Integritet, offentlighet, informationsteknik - del 1
Statens offentliga utredningar 1997:39
| SOU 1997:39 | Missiv | i |
| Till | statsrådet och chefen för |
| Justitiedepartementet |
Vid sitt sammanträde torsdagen den 15 juni 1995 beslutade regeringen att tillkalla en parlamentariskt sammansatt kommitté med uppgift att lägga fram förslag till en ny lag om skydd för personuppgifter och förslag till ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet (dir. 1995:91).
Den 7 december 1995 förordnade chefen för Justitiedepartementet, statsrådet Laila Freivalds, justitierådet Staffan Vängby till ordförande i kommittén. Den 20 december 1995 förordnades som ledamöter i kommittén
N advokaten Anders Christner (kd),
N universitetslektorn Bo Edvardsson (mp), N riksdagsledamoten Helena Frisk (s),
N riksdagsledamoten Tomas Eneroth (s),
N riksdagsledamoten Birgitta Hambraeus (c),
N riksdagsledamoten Barbro Hietala Nordlund (s), N utredningsledaren Ulrika Landergren (fp),
N riksdagsledamoten Inger René (m), N riksdagsledamoten Per Rosengren (v),
N riksdagsledamoten Majléne Westerlund Panke (s) och N riksdagsledamoten Sven-Erik Österberg (s).
Ulrika Landergren har den 12 november 1996 ersatts av fil.lic. Tomas Ohlin (fp).
Som experter har arbetat ombudsmannen Christer Arvsten, advokaten Tom Ekelund, universitetslektorn Jan Evers, verkställande direktören Barbro Fischerström, departementssekreteraren Anders S Forsberg, generaldirektören Jan Freese, hovrättsassessorn Per Furberg, överdirektören Claes Gränström, departementsrådet Martin Holmgren, professorn Rolf Nygren, bolagsjuristen Kerstin Osterman, chefsjuristen Per Samuelson,
| ii | Missiv | SOU 1997:39 |
professorn Björn Pehrson, kanslirådet Thomas Rolén, professorn Peter Seipel och datarådet Margareta Åberg.
Per Furberg har under tiden den 1 juli–31 augusti 1996 arbetat på heltid för kommittén med ett underlag avseende allmänna handlingars offentlighet.
Till sekreterare förordnades den 15 december 1995 hovrättsassessorerna Charlotte Brokelind, Jönköping, och Sören Öman, Stockholm.
Kommittén (Ju 1995:08) har antagit namnet Datalagskommittén.
Bitr. professorn Göran Collste, Centrum för tillämpad etik, Universitetet i Linköping, och doktoranden Johan Åhlfeldt, Institutionen för socialmedicin, Uppsala universitet, har anlitats som konsulter i fråga om begreppet personlig integritet respektive allmänhetens inställning till behandling av personuppgifter. Deras rapporter finns fogade som bilagor till betänkandet.
Härmed får kommittén överlämna betänkandet Integritet • Offentlighet
• Informationsteknik (SOU 1997:39).
Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och Inger René (m) gemensamt samt av Bo Edvardsson (mp).
Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.
Utredningsarbetet är härmed avslutat.
| Stockholm den 5 mars 1997 | |
| Staffan Vängby | |
| Anders Christner | Bo Edvardsson |
| Helena Frisk | Tomas Eneroth |
| Birgitta Hambraeus | Barbro Hietala Nordlund |
| Tomas Ohlin | Inger René |
| Per Rosengren | Majléne Westerlund Panke |
| Sven-Erik Österberg |
| /Charlotte Brokelind | Sören Öman |
| SOU 1997:39 | iii |
| INNEHÅLLSFÖRTECKNING | ||
| HUVUDRUBRIKER: | ||
| FÖRKORTNINGAR ........................................................................................................ | 1 | |
| SAMMANFATTNING..................................................................................................... | 3 | |
| FÖRFATTNINGSFÖRSLAG......................................................................................... | 11 | |
| UTREDNINGSARBETET ............................................................................................. | 75 | |
| EN NY PERSONDATALAG.................................................................... | 83 | |
| 1 | Gällande rätt i huvuddrag ........................................................................................ | 85 |
| 2 | Datalagsutredningens förslag och utvecklingen därefter ......................................... | 91 |
| 3 | EG-direktivet om personuppgifter ......................................................................... | 107 |
| 4 | Övriga internationella regler.................................................................................. | 165 |
| 5 | Teknikens möjligheter ........................................................................................... | 175 |
| 6 | Reglering av bruk eller missbruk........................................................................... | 177 |
| 7 | En teknikoberoende och generell persondatalag.................................................... | 195 |
| 8 | Förhållandet till särskilda registerförfattningar ..................................................... | 203 |
| 9 | Förhållandet till offentlighetsprincipen ................................................................. | 213 |
| 10 | Förhållandet till yttrandefriheten ........................................................................... | 221 |
| 11 | Forskning och statistik........................................................................................... | 267 |
| 12 | Innehållet i den nya persondatalagen ..................................................................... | 319 |
| 13 | Regler i datalagen som bör flyttas till andra lagar ................................................. | 461 |
| SOU 1997:39 | Innehållsförteckning v |
| DETALJERAD INNEHÅLLSFÖRTECKNING: | |
| FÖRKORTNINGAR................................................................................... | 1 |
| SAMMANFATTNING................................................................................ | 3 |
| FÖRFATTNINGSFÖRSLAG.................................................................. | 11 |
| a) Förslag till Persondatalag (1998:000) ............................................ | 11 |
| b) Förslag till Lag om ändring i Tryckfrihetsförordningen ................ | 29 |
| c) Förslag till Lag om ändring i Regeringsformen ............................. | 47 |
d)Förslag till Lag om ändring i Yttrandefrihetsgrundlagen
| (1991:1469) | ..................................................................................... | 51 | |
| e) | Förslag till Lag om ändring i Sekretesslagen (1980:100) .............. | 53 | |
| f) | Förslag till Lag om ändring i Arkivlagen (1990:782) .................... | 71 | |
| UTREDNINGSARBETET ....................................................................... | 75 | ||
| Utredningsuppdraget ................................................................................... | 75 | ||
| Hur utredningen har bedrivits ..................................................................... | 75 | ||
| Dispositionen av betänkandet ..................................................................... | 78 | ||
| EN NY PERSONDATALAG.................................................................... | 83 | ||
| 1 | Gällande rätt i huvuddrag ........................................................... | 85 | |
| 2 | Datalagsutredningens förslag och utvecklingen därefter ......... | 91 | |
| 2.1 | Inledning ......................................................................................... | 91 | |
| 2.2 | Sammanfattning av Datalagsutredningens förslag ......................... | 92 | |
| 2.2.1 | Lagens tillämpningsområde........................................ | 92 | |
| 2.2.2 | Förhållandet till offentlighetsprincipen...................... | 93 | |
| 2.2.3 | Förhållandet till yttrandefriheten................................ | 93 | |
| 2.2.4 | Tillstånd eller tillsyn................................................... | 94 | |
| 2.2.5 | Den materiella regleringen i datalagen....................... | 95 | |
| 2.2.5.1 | Regler för de olika momenten i behandlingen .......................... | 95 | |
| 2.2.5.2 | Personuppgift ............................................................................ | 95 | |
| 2.2.5.3 | Persondataansvarig .................................................................. | 96 | |
| 2.2.5.4 | Ändamålsanknytningen ............................................................. | 96 | |
| 2.2.5.5 | Förutsättningarna för att få behandla personuppgifter............ | 97 | |
| 2.2.5.6 | Känsliga personuppgifter.......................................................... | 97 | |
| 2.2.5.7 | Gallring av personuppgifter...................................................... | 98 | |
| 2.2.6 | Bemyndigande att meddela föreskrifter ..................... | 99 | |
| 2.3 | Sammanfattning av remissutfallet .................................................. | 99 | |
| 2.4 | Genomförda förändringar ............................................................. | 101 | |
| 2.4.1 | Sammanfattning........................................................ | 101 | |
| 2.4.2 | Normgivningen på dataskyddsområdet.................... | 101 | |
| vi | Innehållsförteckning | SOU 1997: 39 |
| 2.4.2.1 | Bakgrund ................................................................................. | 101 | |
| 2.4.2.2 | Datainspektionens normgivning .............................................. | 102 | |
| 2.4.3 | Yttranden från Datainspektionen ............................. | 103 | |
| 2.4.4 | Vite ............................................................................ | 104 | |
| 2.4.5 | Överklagande ............................................................ | 104 | |
| 3 | EG-direktivet om personuppgifter............................................ | 107 | |
| 3.1 | Bakgrund | ....................................................................................... | 107 |
| 3.1.1 | Inledning ................................................................... | 107 | |
| 3.1.2 ................................ | Genomförandet av EG - direktiv | 107 | |
| 3.1.3 ......................................... | Bakgrunden till direktivet | 110 | |
| 3.2 | Tillämpningsområdet .................................................................... | 112 | |
| 3.2.1 ................................................................... | Inledning | 112 | |
| 3.2.2 ............................................................... | Definitioner | 112 | |
| 3.2.2.1 ................................................................................. | Inledning | 112 | |
| 3.2.2.2 .................................... | Personuppgifter och den registrerade | 113 | |
| 3.2.2.3 .............................................................................. | Behandling | 114 | |
| 3.2.2.4 ................................................................................... | Register | 114 | |
| 3.2.2.5 ..................................................................... | Registeransvarig | 115 | |
| 3.2.2.6 ......................................................................... | Registerförare | 116 | |
| 3.2.2.7 .............................................................................. | Tredje man | 116 | |
| 3.2.2.8 ................................................................................ | Mottagare | 116 | |
| 3.2.2.9 .................................................................................. | Samtycke | 116 | |
| 3.2.3 ............ | Sådant som faller utanför gemenskapsrätten | 118 | |
| 3.2.4 ..................... | Privat användning av personuppgifter | 118 | |
| 3.2.5 ....................... | Det territoriella tillämpningsområdet | 119 | |
| 3.3 | Förhållandet ..................................................till yttrandefriheten | 121 | |
| 3.4 | Grundläggande .............................krav på uppgiftsbehandlingen | 122 | |
| 3.4.1 ................................................................... | Inledning | 122 | |
| 3.4.2 .................................. | Korrekt och laglig behandling | 123 | |
| 3.4.3 .................................. | Ändamålet med behandlingen | 123 | |
| 3.4.4 | Personuppgifterna skall vara adekvata, | ||
| ............................. | relevanta och inte för omfattande | 124 | |
| 3.4.5 | Personuppgifterna skall vara riktiga och | ||
| ...................................................................... | aktuella | 124 | |
3.4.6Personuppgifterna får inte förvaras längre än
| nödvändigt ................................................................ | 125 |
3.5Förutsättningar för att uppgiftsbehandling skall kunna
| tillåtas | ............................................................................................ | 125 |
| 3.5.1 | Inledning ................................................................... | 125 |
| 3.5.2 ................................................................... | Samtycke | 126 |
| 3.5.3 ................................................. | I samband med avtal | 126 |
| 3.5.4 .................................................. | Rättslig förpliktelse | 126 |
| 3.5.5 .................................. | För att skydda vitala intressen | 127 |
SOU 1997:39
Innehållsförteckning vii
| 3.5.6 | Myndighetsutövning eller allmänt intresse .............. | 128 | |
| 3.5.7 | Efter en intresseavvägning ....................................... | 128 | |
| 3.6 | Behandling av särskilt känsliga uppgifter .................................... | 129 | |
| 3.6.1 | Ett principiellt förbud mot behandling av | ||
| uppgifter om ras eller etniskt ursprung, | |||
| religiösa, filosofiska eller politiska åsikter, | |||
| fackföreningsmedlemskap, hälsa och sexualliv ....... | 129 | ||
| 3.6.2 | Undantag från förbudet............................................. | 130 | |
| 3.6.2.1 | Samtycke.................................................................................. | 130 | |
| 3.6.2.2 | Inom arbetsrätten .................................................................... | 130 | |
| 3.6.2.3 | För att skydda vitala intressen................................................ | 130 | |
| 3.6.2.4 | Politiska, filosofiska, religiösa och fackliga | ||
| organisationer......................................................................... | 131 | ||
| 3.6.2.5 | Den registrerades offentliggörande ........................................ | 131 | |
| 3.6.2.6 | Nödvändig med hänsyn till rättsliga anspråk ......................... | 131 | |
| 3.6.2.7 | Hälso- och sjukvård ................................................................ | 132 | |
| 3.6.2.8 | Viktigt allmänt intresse ........................................................... | 132 | |
| 3.6.3 | Uppgifter om brott m.m............................................ | 134 | |
| 3.6.4 | Användning av personnummer................................. | 134 | |
| 3.7 | Rätten att motsätta sig uppgiftsbehandling .................................. | 135 | |
| 3.7.1 | Inledning ................................................................... | 135 | |
| 3.7.2 | I vissa fall vid avgörande och berättigade skäl ........ | 135 | |
| 3.7.3 | Direkt marknadsföring.............................................. | 136 | |
| 3.8 | Rätten att slippa automatiserade beslut ........................................ | 136 | |
| 3.9 | Information till den registrerade ................................................... | 137 | |
| 3.10 Rätten att på begäran få tillgång till uppgifterna och rättelse ...... | 139 | ||
| 3.10.1 | Inledning ................................................................... | 139 | |
| 3.10.2 | Information om uppgifterna ..................................... | 140 | |
| 3.10.3 | Rättelse...................................................................... | 141 | |
| 3.10.4 | Underrättelse till tredje man om rättelse .................. | 141 | |
| 3.10.5 | Undantag................................................................... | 141 | |
| 3.11 Möjlighet till undantag och begränsningar................................... | 142 | ||
| 3.12 Sekretess och säkerhet vid behandlingen ..................................... | 144 | ||
| 3.13 | Anmälan till tillsynsmyndigheten................................................. | 146 | |
| 3.13.1 | Inledning ................................................................... | 146 | |
| 3.13.2 | Anmälningsplikt för alla automatiska | ||
| behandlingar ............................................................. | 146 | ||
3.13.3Möjlighet till undantag från och förenklingar
| av anmälningsproceduren......................................... | 147 | |
| 3.13.3.1 | Inledning ................................................................................. | 147 |
| 3.13.3.2 | Om det inte är sannolikt att rättigheter kränks....................... | 148 |
| 3.13.3.3 | När ett uppgiftsskyddsombud har utsetts ................................ | 149 |
| 3.13.3.4 | Författningsreglerat register för allmänheten........................ | 149 |
| viii Innehållsförteckning | SOU 1997: 39 |
3.13.3.5Icke vinstdrivande organs behandling av känsliga
| personuppgifter ....................................................................... | 149 |
3.13.4Förhandskontroll av särskilt riskfyllda
| behandlingar ............................................................. | 150 | |
| 3.13.5 | Offentliggörande av behandlingar............................ | 151 |
| 3.13.5.1 | Inledning ................................................................................. | 151 |
| 3.13.5.2 | Offentligt register över anmälda behandlingar ...................... | 151 |
3.13.5.3Skyldighet att på begäran lämna information om icke
| anmälda behandlingar ............................................................ | 151 | |
| 3.14 Överföring av uppgifter utanför EG ............................................. | 152 | |
| 3.14.1 | Överföring är tillåten till länder som | |
| säkerställer en adekvat skyddsnivå .......................... | 152 | |
| 3.14.2 | Överföring till länder med sämre skydd................... | 154 |
| 3.14.2.1 | Fall där överföring måste tillåtas ........................................... | 154 |
3.14.2.2Överföring får tillåtas om den registeransvarige kan
| garantera skydd ....................................................................... | 155 | ||
| 3.15 | Sanktioner | ..................................................................................... | 155 |
| 3.15.1 | Rätt till domstolsprövning ........................................ | 155 | |
| 3.15.2 | Rätt till skadestånd ................................................... | 156 | |
| 3.15.3 ....................................................... | Andra sanktioner | 156 | |
| 3.16 | Uppförandekodexar....................................................................... | 157 | |
| 3.16.1 ................................................................... | Inledning | 157 | |
| 3.16.2 .................................................... | Nationella kodexar | 157 | |
| 3.16.3 .................................... | Kodexar på gemenskapsnivå | 157 | |
| 3.17 | Tillsynsmyndighetens ....................................................ställning | 158 | |
| 3.18 Tillsynsmyndigheterna ...............inom EG bildar en arbetsgrupp | 159 | ||
| 3.19 Medlemsstaterna ..........ingår i en kommitté med kommissionen | 160 | ||
| 3.20 | Ikraftträdande .................................och övergångsbestämmelser | 160 | |
| 3.21 | Den fortsatta ............................................utvecklingen inom EG | 162 | |
| 4 | Övriga internationella .....................................................regler | 165 | |
| 4.1 | Inledning ....................................................................................... | 165 | |
| 4.2 | OECD:s riktlinjer .......................................................................... | 168 | |
| 4.3 | Europarådets ..............................................................konvention | 170 | |
| 4.4 | Utländsk rätt.................................................................................. | 172 | |
| 5 | Teknikens ................................................................möjligheter | 175 | |
| 6 | Reglering ..............................................av bruk eller missbruk | 177 | |
| 6.1 | Integritet och ..............................................................effektivitet | 177 | |
| 6.2 | Olika modeller .....................................................för regleringen | 179 | |
| 6.2.1 .......... | Hanteringsmodellen och missbruksmodellen | 179 | |
| 6.2.2 ............ | Valet på lång sikt av modell för regleringen | 181 | |
| 6.2.3 ........................... | Valet nu av modell för regleringen | 189 | |
SOU 1997:39
Innehållsförteckning ix
| 6.3 | Den lagstiftningsstruktur som EG-direktivet anvisar................... | 191 | |
| 7 | En teknikoberoende och generell persondatalag..................... | 195 | |
| 7.1 | Förutsättningar .............................................................................. | 195 | |
| 7.2 | Överväganden ............................................................................... | 196 | |
| 7.2.1 | Olika typer av behandlingar ..................................... | 196 | |
| 7.2.2 | Uppgifter om juridiska personer ............................... | 198 | |
| 7.2.3 | Den nya lagen bör liksom hittills vara generell ....... | 198 | |
| 7.2.4 | Privat användning av personuppgifter ..................... | 199 | |
| 7.2.5 | Lagens namn ............................................................. | 201 | |
| 8 | Förhållandet till särskilda registerförfattningar..................... | 203 | |
| 8.1 | Bakgrund | ....................................................................................... | 203 |
| 8.2 | Överväganden ............................................................................... | 207 | |
8.2.1De särskilda registerförfattningarna omfattas
| inte av vårt uppdrag .................................................. | 207 |
8.2.2Undantag från den generella lagstiftningen för
| särskilda registerförfattningar .................................. | 207 | ||
| 8.2.3 | Datainspektionen skall höras när | ||
| registerförfattningar beslutas.................................... | 210 | ||
| 9 | Förhållandet till offentlighetsprincipen.................................... | 213 | |
| 9.1 | Inledning | ....................................................................................... | 213 |
9.2Utlämnande av personuppgifter enligt
| offentlighetsprincipen ................................................................... | 214 | ||
| 9.3 | Rättelse av uppgifter hos myndigheter ......................................... | 217 | |
| 9.4 | Myndigheternas arkiv ................................................................... | 219 | |
| 10 | Förhållandet till yttrandefriheten ............................................. | 221 | |
| 10.1 | Inledning | ....................................................................................... | 221 |
| 10.2 | Yttrandefriheten ............................................................................ | 222 | |
| 10.2.1 ..................................................................... | Allmänt | 222 | |
| 10.2.2 ............................... | Vad innebär grundlagsskyddet? | 222 | |
| 10.2.3 .......... | Vilka skrifter omfattas av grundlagsskyddet? | 223 | |
| 10.2.4 | Vilka övriga yttranden omfattas av | ||
| .................................................... | grundlagsskyddet? | 224 | |
| 10.2.5 ....... | Vilka personer omfattas av grundlagsskyddet? | 225 | |
| 10.2.6 ....................... | Skyddet mot myndighetsingripanden | 227 | |
| 10.2.6.1 ........................................................................ | Censurförbudet | 227 | |
| 10.2.6.2 ................................................................. | Anonymitetsskyddet | 228 | |
| 10.3 Hur beaktas den personliga integriteten? ..................................... | 229 | |
| 10.3.1 | Allmänt ..................................................................... | 229 |
| 10.3.2 | Straffbara förfaranden............................................... | 230 |
| x | Innehållsförteckning | SOU 1997: 39 |
| 10.3.3 | Beriktigande och genmäle ........................................ | 231 | |
| 10.3.3.1 | Allmänt .................................................................................... | 231 | |
| 10.3.3.2 | Pressen .................................................................................... | 231 | |
| 10.3.3.3 | Radio och TV........................................................................... | 231 | |
| 10.3.3.4 | Förslag till lagreglering.......................................................... | 232 | |
| 10.3.4 | Privatlivets fred......................................................... | 234 | |
| 10.3.4.1 | Självsanering........................................................................... | 234 | |
| 10.3.4.2 | Förslag till lagreglering.......................................................... | 235 | |
| 10.4 Yttrandefriheten i nya massmedier ............................................... | 236 | ||
| 10.5 | Internationella förhållanden.......................................................... | 236 | |
| 10.5.1 | EG-direktivet ............................................................ | 236 | |
| 10.5.2 | Europarådsbestämmelser .......................................... | 237 | |
| 10.5.3 | En internationell jämförelse ..................................... | 238 | |
| 10.6 | Närmare om normkonflikten......................................................... | 242 | |
| 10.6.1 | Allmänt ..................................................................... | 242 | |
| 10.6.2 | Datalagsutredningens förslag och | ||
| remissutfallet............................................................. | 243 | ||
| 10.6.3 | Några regeringsavgöranden...................................... | 246 | |
| 10.7 | Överväganden ............................................................................... | 247 | |
| 10.7.1 | Allmänt om konflikten mellan | ||
| persondatalagstiftningen och yttrandefriheten......... | 247 | ||
| 10.7.2 | Skall undantaget vara generellt? .............................. | 251 | |
| 10.7.3 | Hur skall undantaget utformas?................................ | 252 | |
| 10.7.4 | Vilka behandlingar omfattas av undantaget? ........... | 254 | |
| 10.7.4.1 | Allmänt .................................................................................... | 254 | |
| 10.7.4.2 | Behandlingar som syftar till att framställa yttranden............. | 254 | |
10.7.4.3Behandlingar som syftar till att anskaffa och meddela
| uppgifter .................................................................................. | 256 | ||
| 10.7.4.4 | Lagring och spridning av uppgifter ........................................ | 257 | |
| 10.7.4.5 | Behandling för flera ändamål ................................................. | 258 | |
| 10.7.4.6 | Överflödiga uppgifter .............................................................. | 259 | |
| 10.7.4.7 | Falska invändningar om grundlagsskydd ............................... | 260 | |
| 10.7.4.8 | Prövning av undantagsregeln ................................................. | 260 | |
| 10.7.5 | Förhållandet till EG - direktivet ................................. | 261 | |
| 11 | Forskning och statistik................................................................ | 267 | |
| 11.1 | Inledning | ....................................................................................... | 267 |
| 11.2 | Statistik.......................................................................................... | 268 | |
| 11.2.1 ................................................................... | Inledning | 268 | |
| 11.2.2 .............................................. | Den statliga statistiken | 269 | |
| 11.2.2.1 ................................................................................. | Inledning | 269 | |
| 11.2.2.2 ...................................................................... | Officiell statistik | 269 | |
| 11.2.2.3 .......................................................................... | Övrig statistik | 271 | |
| 11.2.3 | Privat och kommunal statistik .................................. | 271 |
| 11.2.4 | Tillämpningen av datalagen ..................................... | 272 |
SOU 1997:39
Innehållsförteckning xi
| 11.2.5 | Registerutdrag ........................................................... | 274 | |
| 11.2.6 | Sekretess ................................................................... | 275 | |
| 11.3 | Forskning | ...................................................................................... | 277 |
| 11.3.1 ................................................................... | Inledning | 277 | |
| 11.3.2 ..................................... | Tillämpningen av datalagen | 278 | |
| 11.3.3 ............ | Granskning av forskningsetiska kommittéer | 281 | |
| 11.3.4 ................................... | Forskningsetiska utredningen | 288 | |
| 11.4 | Internationella .....................................................................regler | 291 | |
| 11.4.1 .............. | Europarådets rekommendation på området | 291 | |
| 11.4.2 ............................................................ | EG - direktivet | 293 | |
| 11.5 | Datalagsutredningen ..................................................................... | 295 | |
| 11.5.1 ................................................................... | Förslagen | 295 | |
| 11.5.2 ........................................................... | Remissutfallet | 296 | |
| 11.6 | Överväganden ............................................................................... | 296 | |
| 11.6.1 ................................................................... | Inledning | 296 | |
| 11.6.2 | Huvudprincipen bör vara samtycke vid | ||
| .................. | behandling av känsliga personuppgifter | 297 | |
11.6.3Behandling av känsliga personuppgifter utan
| samtycke ................................................................... | 298 | |
| 11.6.3.1 | Det måste ske en avvägning i varje enskilt fall ....................... | 298 |
| 11.6.3.2 | Vem bör göra avvägningen ..................................................... | 299 |
| 11.6.3.3 | De forskningsetiska kommittéerna .......................................... | 300 |
| 11.6.3.4 | En avvägningsnorm i lagtexten............................................... | 303 |
| 11.6.3.5 | Förhållandet till internationella regler................................... | 306 |
| 11.6.4 | Behandling av icke känsliga personuppgifter .......... | 307 |
11.6.5Betydelsen av det ändamål för vilket
| uppgifterna samlats in............................................... | 308 | |
| 11.6.5.1 | Inledning ................................................................................. | 308 |
11.6.5.2Personuppgifter för forskning och statistik används för
| att vidta åtgärder beträffande enskilda................................... | 309 | |
| 11.6.5.3 | Verksamhetsstatistik................................................................ | 310 |
11.6.5.4Personuppgifter för administrativa ändamål lämnas ut
| för forskning och statistik........................................................ | 311 |
11.6.5.5Personuppgifter för forskning och statistik återanvänds
| i ett annat projekt .................................................................... | 311 | ||
| 11.6.6 | Strykningsrätt............................................................ | 313 | |
| 11.6.7 | Registerutdrag och rättelse ....................................... | 316 | |
| 12 | Innehållet i den nya persondatalagen ....................................... | 319 | |
| 12.1 | Lagstiftningstekniken.................................................................... | 319 | |
| 12.1.1 | Allmänt ..................................................................... | 319 | |
| 12.1.2 | Regeringen eller Datainspektionen kan | ||
| precisera lagreglerna................................................. | 321 | ||
| xii | Innehållsförteckning | SOU 1997: 39 |
| 12.2 | Begrepp som används ................................................................... | 329 | |
| 12.2.1 | Inledning ................................................................... | 329 | |
| 12.2.2 | Behandling av personuppgifter ................................ | 334 | |
| 12.2.3 | Blockering................................................................. | 334 | |
| 12.2.4 | Känsliga personuppgifter ......................................... | 335 | |
| 12.2.5 | Mottagare och tredje man......................................... | 335 | |
| 12.2.6 | Persondataansvarig och persondatabiträde .............. | 336 | |
| 12.2.7 | Personuppgifter och den registrerade....................... | 340 | |
| 12.2.8 | Register ..................................................................... | 341 | |
| 12.2.9 | Samtycke................................................................... | 343 | |
| 12.2.10 | Tillsynsmyndigheten ................................................ | 345 | |
| 12.2.11 | Tredje land ................................................................ | 346 | |
| 12.2.12 | Automatisk respektive icke automatisk | ||
| behandling................................................................. | 346 | ||
| 12.2.13 | Skriftligen respektive undertecknad......................... | 348 | |
| 12.3 | Det territoriella tillämpningsområdet ........................................... | 349 | |
| 12.4 Grundläggande krav på all behandling av personuppgifter ......... | 352 | ||
| 12.4.1 | Inledning ................................................................... | 352 | |
| 12.4.2 | Korrekt och laglig behandling.................................. | 352 | |
| 12.4.3 | Ändamålet med behandlingen .................................. | 353 | |
| 12.4.4 | Personuppgifternas kvalitet och omfattning ............ | 354 | |
| 12.4.5 | Personuppgifterna får inte sparas längre än | ||
| nödvändigt ................................................................ | 356 | ||
| 12.4.6 | Behandling för historiska, statistiska och | ||
| vetenskapliga ändamål.............................................. | 356 | ||
| 12.4.6.1 | Inledning ................................................................................. | 356 | |
| 12.4.6.2 | Särskilt om arkiv ..................................................................... | 356 | |
| 12.4.6.3 | Lämpliga skyddsåtgärder........................................................ | 359 | |
| 12.5 När behandling av personuppgifter skall vara tillåten ................. | 360 | ||
| 12.5.1 | Allmänna förutsättningar för när | ||
| personuppgifter får behandlas .................................. | 360 | ||
| 12.5.1.1 | Inledning ................................................................................. | 360 | |
| 12.5.1.2 | Samtycke.................................................................................. | 361 | |
| 12.5.1.3 | Nödvändighetskravet............................................................... | 361 | |
| 12.5.1.4 | I samband med avtal ............................................................... | 362 | |
| 12.5.1.5 | Rättslig skyldighet ................................................................... | 363 | |
| 12.5.1.6 | För att skydda vitala intressen................................................ | 364 | |
| 12.5.1.7 | Myndighetsutövning eller allmänt intresse ............................. | 364 | |
| 12.5.1.8 | Efter en intresseavvägning...................................................... | 365 | |
12.5.2När den registrerade motsätter sig behandling
| av personuppgifter .................................................... | 366 |
| 12.5.2.1 | Inledning ................................................................................. | 366 |
| 12.5.2.2 | Samtycke återkallas................................................................. | 367 |
| 12.5.2.3 | Direkt marknadsföring ............................................................ | 368 |
SOU 1997:39
Innehållsförteckning xiii
| 12.5.3 | Ett principiellt förbud mot behandling av | ||
| känsliga personuppgifter .......................................... | 369 | ||
| 12.5.3.1 | Inledning ................................................................................. | 369 | |
| 12.5.3.2 | Definitionen av känsliga personuppgifter ............................... | 371 | |
| 12.5.3.3 | Undantag från förbudet ........................................................... | 372 | |
| 12.5.3.4 | Uppgifter om brott ................................................................... | 381 | |
| 12.6 | Användning av personnummer..................................................... | 384 | |
| 12.7 Information till den registrerade ................................................... | 386 | ||
| 12.7.1 | Inledning ................................................................... | 386 | |
| 12.7.2 | När uppgifterna samlas in ......................................... | 386 | |
| 12.7.2.1 | Inledning ................................................................................. | 386 | |
| 12.7.2.2 | När skall informationen lämnas .............................................. | 387 | |
| 12.7.2.3 | Vilken information skall lämnas .............................................. | 388 | |
| 12.7.2.4 | Undantag från informationsskyldigheten ................................ | 389 | |
| 12.7.3 | På ansökan av den registrerade ................................ | 391 | |
| 12.7.4 | Förhållandet till bestämmelser om sekretess | ||
| och tystnadsplikt ....................................................... | 397 | ||
| 12.8 | Rättelse | .......................................................................................... | 399 |
| 12.8.1 ................................................................... | Inledning | 399 | |
| 12.8.2 .................................................... | Korrigeringsregeln | 400 | |
| 12.8.2.1 ................................................................................. | Inledning | 400 | |
| 12.8.2.2 .............................................. | På begäran av den registrerade | 401 | |
| 12.8.2.3 ..................................................... | Valet av korrigeringsmetod | 401 | |
| 12.8.2.4 .................................................................................... | Rättelse | 402 | |
| 12.8.2.5 .............................................................................. | Utplånande | 402 | |
| 12.8.2.6 ............................................................................... | Blockering | 403 | |
| 12.8.3 ........ | Underrättelse till tredje man om korrigeringen | 403 | |
| 12.9 | Automatiserade ...................................................................beslut | 406 | |
| 12.9.1 ............................................................ | EG - direktivet | 406 | |
| 12.9.2 ............................................................... | Vårt förslag | 407 | |
| 12.10 Säkerhet .....................................och sekretess vid behandlingen | 410 | ||
| 12.10.1 ................................................................... | Inledning | 410 | |
12.10.2Behandling får bara utföras enligt instruktion
| från den persondataansvarige ................................... | 410 | |
| 12.10.3 | Säkerhetsåtgärder...................................................... | 412 |
| 12.10.4 | När den persondataansvarige anlitar ett | |
| persondatabiträde...................................................... | 414 | |
| 12.11 Överföring av personuppgifter utanför EU .................................. | 415 | |
| 12.11.1 | Inledning ................................................................... | 415 |
| 12.11.2 | Ett principiellt förbud mot överföring...................... | 416 |
| 12.11.3 | Undantag i persondatalagen från förbudet ............... | 417 |
| 12.11.4 | Behörighet att medge ytterligare undantag .............. | 418 |
| 12.12 Anmälningsbyråkrati eller tillsyn ................................................. | 421 | |
| 12.12.1 | Våra utgångspunkter................................................. | 421 |
| xiv Innehållsförteckning | SOU 1997: 39 |
| 12.12.2 | Genomförandet av EG - direktivet ............................. | 423 | |
| 12.12.2.1 | EG - direktivet i korthet ............................................................. | 423 | |
| 12.12.2.2 | En principiell anmälningsskyldighet måste införas ................ | 424 | |
| 12.12.2.3 | Undantag från anmälningsskyldigheten ................................. | 425 | |
| 12.12.2.4 | Särskilt om persondataombud ................................................. | 427 | |
| 12.12.2.5 | Förhandskontroll av särskilt integritetskänsliga | ||
| behandlingar ........................................................................... | 430 | ||
| 12.12.2.6 | Upplysningar skall på begäran lämnas om | ||
| behandlingar som inte anmälts ............................................... | 431 | ||
| 12.12.2.7 | Datainspektionens register över anmälda behandlingar ........ | 431 | |
| 12.13 | Sanktioner | ..................................................................................... | 432 |
| 12.13.1 | Inledning ................................................................... | 432 | |
| 12.13.1.1 | EG - direktivet ........................................................................... | 432 | |
| 12.13.1.2 | Datalagen ................................................................................ | 433 | |
| 12.13.1.3 ................................................. | Datalagsutredningens förslag | 434 | |
| 12.13.1.4 ......................................... | Skrivelse från Landstingsförbundet | 434 | |
| 12.13.2 ......................................................... | Vår bedömning | 435 | |
| 12.13.2.1 .............................. | Omfattningen av skadeståndsskyldigheten | 435 | |
| 12.13.2.2 ................................................................................. | Jämkning | 436 | |
| 12.13.2.3 ................. | Förhållandet till andra skadeståndsbestämmelser | 439 | |
| 12.13.2.4 .................................................................... | Övriga sanktioner | 440 | |
| 12.14 Datainspektionens ..............................uppgifter och finansiering | 443 | ||
| 12.14.1 ........ | Datainspektionens uppgifter och befogenheter | 443 | |
| 12.14.1.1 ........................................................................... | EG - direktivet | 443 | |
| 12.14.1.2 .................. | Datainspektionens befogenheter enligt datalagen | 445 | |
| 12.14.1.3 ................................................................. | Våra överväganden | 445 | |
| 12.14.2 ............................................................ | Överklagande | 449 | |
| 12.14.3 | Datainspektionens finansiering och | ||
| .............................................................. | organisation | 450 | |
| 12.14.3.1 ............................................................... | Finansieringen i dag | 450 | |
| 12.14.3.2 ................................................................. | Våra överväganden | 451 | |
| 12.15 | Ikraftträdande .................................och övergångsbestämmelser | 454 | |
| 12.15.1 ............................................................ | EG - direktivet | 454 | |
| 12.15.2 ................................................... | Våra överväganden | 455 | |
| 12.15.2.1 ....................................................... | Dagen för ikraftträdandet | 455 | |
| 12.15.2.2 ............................. | Behandling som pågår vid ikraftträdandet | 456 | |
| 12.15.2.3 ............... | Manuell behandling som pågår vid ikraftträdandet | 457 | |
| 12.15.2.4 ............... | Personuppgifter som lagras för historisk forskning | 457 | |
| 12.15.2.5 ................................................. | Vissa övriga övergångsfrågor | 458 | |
| 13 | Regler i datalagen ..................som bör flyttas till andra lagar | 461 | |
| 13.1 | Inledning ....................................................................................... | 461 | |
| 13.2 | Dokumentationsskyldighet ........................................................... | 461 | |
| 13.3 | Straff för dataintrång..................................................................... | 462 | |
| 13.4 Det statliga ........................................person- och adressregistret | 462 | ||
| SOU 1997: 39 | 1 |
FÖRKORTNINGAR
| A. | Anförd/anförda | ||
| Arkivlagen | Arkivlagen (1990:782) | ||
| Arkivförordningen | Arkivförordningen (1991:446) | ||
| BrB | Brottsbalken | ||
| Dataförordningen | Dataförordningen (1982:480) | ||
| Datalagen | Datalagen (1973:289) | ||
| Datalagsutredningens | En ny datalag (SOU 1993:10) | ||
| slutbetänkande | |||
| DIFS | Datainspektionens författningssamling | ||
| Dir. | Direktiv | ||
| Dnr | Diarienummer | ||
| Ds | Departementsserien | ||
| EES | Europeiska ekonomiska samarbetsområdet | ||
| EG | Europeiska gemenskapen (tidigare Europeiska | ||
| ekonomiska gemenskapen, EEG) | |||
| EG-direktivet (ibland | Europaparlamentets | och | rådets direktiv |
| bara direktivet) | 95/46/EG av den 24 oktober 1995 om skydd | ||
| för enskilda personer med avseende på be- | |||
| handling av personuppgifter och om det fria | |||
| flödet av sådana uppgifter | |||
| EG-domstolen | Europeiska gemenskapernas domstol | ||
| EG-fördraget | Fördraget om upprättandet av Europeiska ge- | ||
| menskapen | |||
| EGT | Europeiska gemenskapernas officiella tidning | ||
| EU | Europeiska unionen | ||
| FJFT | Tidskrift utgiven av juridiska föreningen i | ||
| Finland | |||
| Förvaltningslagen | Förvaltningslagen (1986:223) | ||
| ILO | International Labour Organization | ||
| IT | Informationsteknik | (tidigare: | Informationstek- |
| nologi) | |||
| JT | Juridisk Tidskrift vid Stockholms universitet | ||
| Kommissionen | Europeiska gemenskapernas kommission | ||
| KU | Konstitutionsutskottets betänkande | ||
| 2 | Förkortningar | SOU 1997: 39 |
| NJA | Nytt juridiskt arkiv, avdelning 1 |
| OECD | Organisation for Economic Co-operation and |
| Development | |
| Prop. | Proposition |
| RA-FS | Riksarkivets författningssamling |
| RF | Regeringsformen |
| RB | Rättegångsbalken |
| RÅ | Regeringsrättens årsbok |
| Rådet | Europeiska unionens råd |
| Sekretesslagen | Sekretesslagen (1980:100) |
| SFS | Svensk författningssamling |
| SOU | Statens offentliga utredningar |
| SPAR | Det statliga person- och adressregistret |
| SvJT | Svensk Juristtidning |
| TF | Tryckfrihetsförordningen |
| UfR | Ugeskrift for retsvæsen |
| URL | Lagen (1960:729) om upphovsrätt till litterära |
| och konstnärliga verk | |
| Utredningsdirektiven | Dir. 1995:91 (direktiven till Datalags- |
| kommittén) | |
| Verksförordningen | Verksförordningen (1995:1322) |
| YGL | Yttrandefrihetsgrundlagen |
| SOU 1997: 39 | 3 |
SAMMANFATTNING
En ny persondatalag
Vi har haft i uppdrag att göra en översyn av datalagen, som kom till redan år 1973. Syftet har varit att åstadkomma en modern och teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter.
Vi lämnar förslag till en helt ny persondatalag som till största delen bygger på ett färskt EG-direktiv på området. En förutsättning för att vi skulle kunna lämna ett sådant förslag har varit att direktivet går att förena med det som i Sverige är grundlagsskyddat eller annars särskilt betydelsefullt från svenska utgångspunkter. Den nya lagstiftningen får inte inkräkta på offentlighetsprincipen eller tryck- och yttrandefriheten. Denna förutsättning är uppfylld. Genom att Sverige deltog i de slutliga förhandlingarna om direktivet har de svenska synpunkterna kommit att beaktas i det. Vi föreslår tydliga bestämmelser i persondatalagen som klargör att lagen inte skall tillämpas i den utsträckning det skulle inskränka grundlagsskyddade rättigheter. Den föreslagna lagen berör och förändrar således inte dessa rättigheter.
Den föreslagna lagstiftningen bygger liksom EG-direktivet på att själva hanteringen av personuppgifter regleras. Ett alternativ skulle vara att lämna hanteringen av personuppgifter i stort sett fri och i stället hindra bara det som kan betecknas som ett missbruk. Med hänsyn till den oro som många människor alltjämt känner för samlingar av elektroniska uppgifter om dem har vi dock inte ansett tiden mogen att i princip släppa hanteringen av databaserade personuppgifter fri. Sverige skulle inte heller fullgöra sina internationella åtaganden om vi valde en helt annan modell än EG- direktivets. Vi anser dock att man i ett längre perspektiv bör inrikta sig mera på att stävja och beivra missbruk än på att reglera en hantering som snart sagt alla kan hålla på med.
Den föreslagna persondatalagen kan ses som en ramlag som ger generella riktlinjer för all behandling av personuppgifter. Avsikten är att rege-
| 4 | Sammanfattning | SOU 1997: 39 |
ringen och Datainspektionen skall inom den ram som lagen drar upp närmare precisera regleringen. De särskilda registerförfattningarna, som innehåller regler för bl.a. många viktiga myndighetsregister, omfattas inte av vårt uppdrag. Vi påpekar att dessa författningar inom de närmaste åren måste ses över och anpassas till den nya persondatalagen.
Rent privat användning av personuppgifter undantas från den föreslagna lagen. Som exempel kan nämnas e-post mellan privatpersoner.
Med behandling av personuppgifter avses i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter. Behandling av personuppgifter som är helt eller delvis automatisk – dvs. i första hand datoriserad – omfattas av den föreslagna lagen. Manuell behandling av sådana uppgifter (på papper) omfattas bara om uppgifterna skall ingå i ett regelrätt register.
I den föreslagna lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Den persondataansvarige skall se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna ursprungligen samlades in. Fler uppgifter än nödvändigt får inte behandlas, och de behandlade uppgifterna skall vara adekvata och relevanta. Felaktiga, missvisande eller ofullständiga uppgifter skall korrigeras. Uppgifterna får sparas bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen. För uppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål finns särskilda regler.
Den föreslagna lagen innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. I annat fall krävs att behandlingen är nödvändig för vissa angivna ändamål. De situationer då behandling är tillåten utan samtycke kan sammanfattas enligt följande.
N I samband med avtal
N För att fullgöra en rättslig skyldighet
N För att skydda vitala intressen för den registrerade
N För att utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning
N Efter en intresseavvägning där den registrerades intressen vägs mot intressen på den persondataansvariges sida
För behandling av känsliga personuppgifter gäller enligt den föreslagna lagen särskilda regler. Som känsliga uppgifter anses sådana uppgifter som
| SOU 1997: 39 | Sammanfattning 5 |
rör hälsa eller sexualliv eller som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Sådana uppgifter får behandlas bara i de fall som räknas upp i lagen. Regeringen eller Datainspektionen kan dock tillåta att känsliga personuppgifter behandlas också i andra fall, under förutsättning att det behövs med hänsyn till ett viktigt allmänt intresse.
Känsliga personuppgifter får behandlas när den registrerade har lämnat sitt samtycke eller när han eller hon på ett tydligt sätt har offentliggjort uppgifterna. De fall där sådana för ändamålet relevanta uppgifter annars får behandlas kan sammanfattas enligt följande.
N För att fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten
N För att skydda vitala intressen när den registrerade inte kan lämna samtycke
N För att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras
N Inom ideella organisationer får känsliga uppgifter om medlemmar och t.ex. sympatisörer behandlas, men inte lämnas ut till någon utomstående
N Inom hälso- och sjukvård
N För forskning och statistik när en forskningsetisk kommitté har godkänt projektet eller när samhällsintresset av behandlingen annars klart överväger integritetsriskerna
Uppgifter om lagöverträdelser m.m. får enligt huvudregeln behandlas bara av myndigheter. Personnummer skall liksom i dag få användas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
De som registreras skall få kännedom om behandlingen av uppgifterna. Enligt förslaget skall den persondataansvarige i samband med insamlingen av uppgifter självmant lämna de registrerade information om behandlingen. När uppgifterna hämtas in från någon annan källa än den registrerade, behöver information dock inte lämnas, om registreringen eller utlämnandet av uppgifterna är författningsreglerat eller om det skulle innebära en oproportionerligt stor arbetsinsats att informera.
Den registrerade skall enligt förslaget ha rätt att på begäran en gång per kalenderår gratis få information om de uppgifter som behandlas, dvs. ett registerutdrag. Den persondataansvarige skall vidare på begäran korrigera personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats enligt de bestämmelser som gäller.
| 6 | Sammanfattning | SOU 1997: 39 |
För överföring av personuppgifter utanför EU och EES föreslås vissa restriktioner.
Den föreslagna lagen innehåller bestämmelser om säkerheten vid behandling av personuppgifter.
Den nuvarande skyldigheten att i förväg anmäla behandlingar till Datainspektionen bör begränsas till ett minimum. Inspektionens verksamhet skall i stället koncentreras till tillsyn, information och rådgivning. Datainspektionen skall också genom föreskrifter precisera lagens regler på olika områden.
Om någon bryter mot den föreslagna lagen skall Datainspektionen söka åstadkomma rättelse. Inspektionen får enligt förslaget förelägga vite och föra talan om att personuppgifter skall utplånas.
I övrigt är påföljden för brott mot den föreslagna lagen i första hand skadestånd till de registrerade som har drabbats av skada. De skall utom annan ersättning liksom hittills ha rätt till ideellt skadestånd för kränkning. Skadeståndsansvaret bör vara i princip rent strikt, dvs. skadestånd skall betalas så snart reglerna inte har följts, men vi föreslår en möjlighet att efter skälighet sätta ned skadeståndet för det fall att den persondataansvarige kan bevisa att den felaktiga behandlingen inte berodde på honom eller henne.
Den föreslagna lagen bör träda i kraft den 1 januari 1999 och tillämpas fullt ut på behandlingar som påbörjas därefter. För behandlingar som redan pågår vid ikraftträdandet, bör den gamla datalagen få gälla ända till den 1 oktober 2001.
Offentlighetsprincipen i IT-samhället
Den andra delen av vårt uppdrag har varit att se över reglerna i 2 kap. tryckfrihetsförordningen om medborgarnas rätt att ta del av allmänna handlingar – offentlighetsprincipen. Syftet har inte varit att förändra denna princip utan att undersöka hur den kan tillämpas i en modern IT-miljö. Vi har satt upp två utgångspunkter för detta arbete:
N Offentligheten skall vara så vid som möjligt
N Reglerna måste vara tydliga och lätta att tillämpa
En vidsträckt offentlighetsinsyn medger en kontroll av makten och stärker på så sätt demokratin. Våra förslag syftar också till att på sikt vidga allmänhetens möjligheter att dra nytta av det enorma uppgiftsmaterial som finns samlat hos de offentliga myndigheterna.
| SOU 1997: 39 | Sammanfattning 7 |
Vi föreslår att det centrala begreppet i offentlighetsprincipen skall vara ”allmän uppgift” i stället för ”allmän handling”. Begreppet uppgift är teknikneutralt och sekretesslagen bygger redan nu på det. Förslaget innebär i denna del ingen större saklig förändring; har man kunnat få ut en handling skall man kunna få ut en uppgift som finns i en handling. En fördel är att man inte behöver använda fiktioner som uttrycket ”potentiella handlingar” för att föra in elektroniska register under offentlighetsprincipen.
Begreppet handling finns enligt vårt förslag kvar i lagen som en ”förvaringsplats” för uppgifter. En handling har ett bestämt innehåll, nämligen det innehåll som den som en gång skrev handlingen gav den. Det har ingen betydelse om handlingen har formen av ett papper eller om den finns i digital form.
Sådana förvaringsplatser som inte är handlingar kallar vi databaser. Det som är typiskt för en databas är att uppgifterna är ordnade på ett sådant sätt att det går att söka bland dem och att man kan kombinera uppgifterna på olika sätt. Register är typiska exempel på databaser. Manuella databaser och sådana som förs med hjälp av digital teknik är likställda.
Uppgifter kan alltså finnas antingen i handlingar eller i databaser.
En förutsättning för att en uppgift skall vara allmän hos en myndighet är att den förvaras hos myndigheten. På 1970-talet infördes en bestämmelse som innebär att allt som är tekniskt tillgängligt för en myndighet anses förvarat hos denna. I den tidens stordatormiljö var en sådan regel rimlig. Vi konstaterar emellertid att en sådan regel inte går att tillämpa i en modern IT-miljö där snart sagt allt är ”tekniskt tillgängligt” t.ex. via Internet. En förutsättning för att offentlighetsprincipen skall fungera i praktiken är att gränserna mellan myndigheterna upprätthålls. Myndigheterna har annars sämre möjligheter att hålla ordning på sina uppgifter, och därmed försämras förutsättningarna för att allmänheten skall kunna finna dem.
Vi föreslår att begreppet förvar återfår sin egentliga betydelse, men att det får innefatta även elektroniska förvar. Myndighetens skyldighet att lämna ut allmänna uppgifter skall alltså omfatta sådana uppgifter som den förvarar, antingen rent fysiskt (på papper eller på en cd-romskiva, diskett eller hårddisk) eller logiskt (i ett elektroniskt arkiv som tillhör myndigheten).
Sådant som tillhör myndighetens bibliotek omfattas inte av offentlighetsprincipen. Det nya sättet att se på förvar innebär att den bestämmelsen kan förenklas. En bok i biblioteket bör behandlas på samma sätt oavsett om den är tryckt på papper eller om den finns på en cd-romskiva.
| 8 | Sammanfattning | SOU 1997: 39 |
I dag anser man att myndigheterna har en viss skyldighet att när allmänheten vill ha ut uppgifter göra extra sökningar och sammanställningar utöver det som myndigheten själv normalt gör. Det brukar uttryckas så att det som kan tas fram med ”rutinbetonade åtgärder” anses vara en allmän handling. Detta bör gälla även i framtiden men bör relateras till kostnaden. Det extra arbete som myndigheten kan utföra utan nämnvärda kostnader skall den vara skyldig att göra. Eftersom tekniken kommer att ge allt vidare och billigare möjligheter att söka och sammanställa uppgifter kommer också allmänhetens möjligheter att få insyn i myndigheternas verksamhet och del av deras kunskaper att öka i framtiden.
När det gäller själva utlämnandet av allmänna uppgifter till allmänheten föreslår vi en utvidgning av offentlighetsprincipen. Den bör, enligt vårt förslag, även omfatta en rätt att få ut allmänna uppgifter i elektronisk form. Vi är medvetna om att en sådan rätt inte kan införas generellt och omedelbart. Enligt den föreslagna regeln skall allmänhetens rätt att få allmänna uppgifter t.ex. på en diskett eller via e-post vara anpassad efter myndighetens tekniska möjligheter. Eftersom dessa fortlöpande förbättras kommer också insynen att bli mer effektiv. Det kan finnas särskilda bestämmelser som förbjuder myndigheter att lämna ut uppgifter i digital form och i vissa fall kan sådant utlämnande falla under sekretess, men principen bör vara att man har samma rätt att få uppgifter i elektronisk form som på papper. Detta bör, åtminstone på sikt, vara positivt även för myndigheterna som slipper dyrbar pappershantering.
Rätten att få uppgifter i elektronisk form bör inte omfatta datorprogram, eftersom detta skulle kunna inkräkta på upphovsrätten. Vi anser däremot att det finns ett allmänt intresse av att få reda på hur myndigheternas datorprogram fungerar; detta gäller särskilt när myndighetens beslut fattas automatiskt genom datorprogram. För att förstärka offentlighetsinsynen föreslår vi därför att myndigheterna, när det gäller sådana program, skall vara skyldiga att tillhandahålla beskrivningar (systemdokumentation) över hur programmen fungerar.
Vårt förslag till ny begreppsapparat i tryckfrihetsförordningen kräver följdändringar i andra lagar. Vi lämnar förslag till sådana ändringar i sekretesslagen och arkivlagen.
Tryckfrihetsförordningen anger inte i dag vad som skall hända med de allmänna handlingarna när de inte längre är aktuella. Eftersom det är av stor praktisk betydelse för offentlighetsinsynen att allmänna uppgifter bevaras föreslår vi att det införs en bestämmelse i tryckfrihetsförordningen som hänvisar till arkivlagen.
| SOU 1997: 39 | Sammanfattning 9 |
Reservationer har lämnats av Anders Christner (kd), Tomas Ohlin (fp) och Inger René (m) gemensamt samt av Bo Edvardsson (mp).
Särskilda yttranden har lämnats av Bo Edvardsson (mp) och av Jan Evers, med instämmande av Rolf Nygren, av Barbro Fischerström, Anders S Forsberg, Jan Freese samt av Margareta Åberg.
SOU 1997: 39
Författningsförslag: Persondatalagen 11
FÖRFATTNINGSFÖRSLAG
a)Förslag till Persondatalag (1998:000)
Härmed föreskrivs1 följande.
Inledande bestämmelser
Syftet med lagen
1 § Syftet med denna lag är att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter.
Avvikande bestämmelser i annan lagstiftning
2 § Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall dessa bestämmelser gälla.
1Jfr Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046).
| 12 Författningsförslag: Persondatalagen | SOU 1997: 39 |
Definitioner
3 § I denna lag används följande beteckningar med nedan angiven betydelse.
| Beteckning | Betydelse | ||
| Behandling | (av | per- | Varje åtgärd som vidtas beträffande personuppgif- |
| sonuppgifter) | ter. | ||
| Blockering | (av | per- | Varje åtgärd som kan vidtas för att personuppgif- |
| sonuppgifter) | terna i alla sammanhang skall vara förknippade | ||
| med tydlig information om att de är spärrade och | |||
| om anledningen till spärren och för att personupp- | |||
| gifterna inte skall lämnas ut till tredje man annat än | |||
| Den registrerade | med stöd av 2 kap. tryckfrihetsförordningen. | ||
| Den som en personuppgift avser. | |||
| Känsliga personupp- | Sådana personuppgifter som avses i 13 §. | ||
| gifter | |||
| Mottagare | Den till vilken personuppgifter lämnas ut. När per- | ||
| sonuppgifter lämnas ut för att en myndighet skall | |||
| kunna utföra sådan tillsyn, kontroll eller revision | |||
| som åligger den, anses dock inte myndigheten som | |||
| Persondataansvarig | mottagare. | ||
| Den som ensam eller tillsammans med andra be- | |||
| stämmer ändamålen med och medlen för behand- | |||
| Persondatabiträde | lingen av personuppgifter. | ||
| Den som behandlar personuppgifter för den per- | |||
| Personuppgifter | sondataansvariges räkning. | ||
| All slags information som direkt eller indirekt kan | |||
| Samtycke | hänföras till en fysisk person som är i livet. | ||
| Varje slag av frivillig, särskild och informerad | |||
| viljeyttring genom vilken den registrerade godtar | |||
| behandling av personuppgifter som rör honom eller | |||
| Tillsynsmyndigheten | henne. | ||
| Den myndighet som regeringen utser. | |||
| Tredje land | En stat som inte ingår i Europeiska unionen eller är | ||
| ansluten till Europeiska ekonomiska samarbetsom- | |||
| Tredje man | rådet. | ||
| Någon annan än den registrerade, den persondata- | |||
| ansvarige, persondatabiträdet och sådana personer | |||
| som under den persondataansvariges eller person- | |||
| databiträdets direkta ansvar har befogenhet att be- | |||
| handla personuppgifter. Ett sådant persondataom- | |||
| bud som avses i 37 § anses inte som tredje man. | |||
SOU 1997: 39
Författningsförslag: Persondatalagen 13
Tillämpningsområdet
Det territoriella tillämpningsområdet
4 § Denna lag gäller för sådana persondataansvariga som är etablerade i Sverige.
Lagen tillämpas också när den persondataansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land.
I det fall som avses i andra stycket skall den persondataansvarige utse en företrädare för sig som är etablerad i Sverige. Den persondataansvarige skall, innan utrustningen börjar användas, till tillsynsmyndigheten skriftligen anmäla vem som har utsetts och därvid bifoga ett skriftligt medgivande från den utsedde. Vad som anges i denna lag om den persondataansvarige skall också gälla den företrädare som har anmälts på detta sätt.
Vilken behandling av personuppgifter omfattas av lagen
5 § Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatisk.
Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Undantag för privat användning av personuppgifter
6 § Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur.
Undantag med hänsyn till yttrandefriheten
7 § Bestämmelserna i 9–29 och 33–46 §§ samt 47 § första stycket och 49 § skall inte tillämpas på
a)sådana förfaranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen,
b)spridningen av sådana yttranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, eller
| 14 Författningsförslag: Persondatalagen | SOU 1997: 39 |
c)sådan behandling av personuppgifter som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Förhållandet till offentlighetsprincipen
8 § Bestämmelserna i denna lag skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter.
Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar sina allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelserna i 9 § tredje stycket gäller inte för personuppgifter i en myndighets arkiv.
Grundläggande krav på behandlingen av personuppgifter
9 § Den persondataansvarige skall se till
a)att personuppgifter behandlas bara när det är lagligt, särskilt att samtycke inhämtas när så krävs,
b)att personuppgifter alltid behandlas på ett korrekt sätt,
c)att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
d)att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
e)att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
f)att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
g)att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
h)att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och
i)att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Beträffande första stycket d) gäller att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. I fråga om första stycket i) gäller att personuppgifter får bevaras under längre tid än som sagts där för historiska, statistiska eller vetenskapliga ändamål.
SOU 1997: 39
Författningsförslag: Persondatalagen 15
Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen.
När behandling av personuppgifter är tillåten
Allmänt
10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig
a)för att fullgöra ett avtal med den registrerade,
b)för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c)för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet,
d)för att skydda vitala intressen för den registrerade,
e)för att utföra en arbetsuppgift av allmänt intresse,
f)för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
g)för ändamål som rör ett berättigat intresse hos den persondataansvarige eller hos sådana tredje män till vilka personuppgifterna lämnas ut när detta intresse väger tyngre än den registrerades intresse.
Direkt marknadsföring
11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
Samtycke återkallas
12 § I de fall där behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas.
En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag.
| 16 Författningsförslag: Persondatalagen | SOU 1997: 39 |
Förbud mot behandling av känsliga personuppgifter
13 § Det är förbjudet att behandla personuppgifter som avslöjar
a)ras eller etniskt ursprung,
b)politiska åsikter,
c)religiös eller filosofisk övertygelse, eller
d)medlemskap i fackförening.
Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.
Undantag från förbudet mot behandling av känsliga personuppgifter
Allmänt
14 § Utan hinder av 13 § är det tillåtet att behandla känsliga personuppgifter i de fall som anges i 15–19 §§.
I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten.
Samtycke eller offentliggörande
15 § Känsliga personuppgifter får behandlas, om den registrerade har samtyckt till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna.
Behandlingen är nödvändig i vissa fall
16 § Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att
a)den persondataansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten,
b)skydda vitala intressen för den registrerade eller någon annan och den registrerade inte kan lämna samtycke, eller
c)rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras.
Uppgifter som behandlas med stöd av första stycket a) får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet.
SOU 1997: 39
Författningsförslag: Persondatalagen 17
Ideella organisationer
17 § Ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte får inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med denna. Känsliga personuppgifter får dock lämnas ut till tredje man bara om den registrerade har samtyckt till det.
Hälso- och sjukvård
18 § Känsliga personuppgifter får behandlas, om behandlingen är nödvändig för
a)förebyggande hälso- och sjukvård,
b)medicinska diagnoser,
c)vård eller behandling, eller
d)administration av hälso- och sjukvård.
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten.
Forskning och statistik
19 § Känsliga personuppgifter får behandlas för forsknings- och statistikändamål, om behandlingen är nödvändig och om samhällsintresset av det forsknings- eller statistikprojekt vari behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära.
Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna enligt första stycket anses uppfyllda. Med forskningsetisk kommitté avses ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.
Personuppgifter får lämnas ut för att användas i sådana projekt som avses i första stycket, om inte något annat följer av sekretesslagen (1980:100).
| 18 Författningsförslag: Persondatalagen | SOU 1997: 39 |
Bemyndigande att föreskriva ytterligare undantag
20 § Regeringen eller den myndighet som regeringen bestämmer får föreskriva ytterligare undantag från förbudet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse.
Uppgifter om lagöverträdelser
21 § Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål.
Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från förbudet i första stycket.
Användning av personnummer
22 § Uppgift om personnummer får behandlas bara när det är klart motiverat med hänsyn till
a)ändamålet med behandlingen,
b)vikten av en säker identifiering, eller
c)något annat beaktansvärt skäl.
Information till den registrerade
Information skall lämnas självmant när uppgifterna samlas in
23 § När uppgifter om en person samlas in från denne själv, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen.
24 § Om personuppgifterna har samlats in från annan källa än den registrerade, skall den persondataansvarige självmant lämna den registrerade information rörande behandlingen när uppgifterna noteras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock lämnas först när uppgifterna lämnas ut för första gången.
Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning.
Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ar-
SOU 1997: 39
Författningsförslag: Persondatalagen 19
betsinsats. Om uppgifterna används för att vidta åtgärder beträffande den registrerade, skall dock information alltid lämnas senast i samband med att så sker.
Vilken information skall lämnas självmant
25 § Information enligt 23 § eller 24 § första stycket skall omfatta
a)uppgift om den persondataansvariges identitet,
b)uppgift om ändamålen med behandlingen, och
c)all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.
Uppgifter behöver dock inte lämnas om sådant som den registrerade redan känner till.
Information skall också lämnas efter ansökan
26 § Den persondataansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna information, om personuppgifter som rör sökanden behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om
a)vilka uppgifter om sökanden som behandlas,
b)varifrån dessa uppgifter har hämtats,
c)ändamålen med behandlingen, och
d)till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
En ansökan enligt första stycket skall göras skriftligen hos den persondataansvarige och vara undertecknad av den sökande själv. Information enligt första stycket skall lämnas inom en månad från det att ansökan gjordes. Det är dock tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det.
Information enligt första stycket behöver inte lämnas beträffande personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Vad som nu sagts gäller dock inte om uppgifterna har lämnats ut till tredje man, om uppgifterna behandlas bara för historiska, statistiska eller vetenskapliga ändamål eller, såvitt gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år.
| 20 Författningsförslag: Persondatalagen | SOU 1997: 39 |
Undantag från informationsskyldigheten vid sekretess och tystnadsplikt
27 § I den utsträckning det är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade gäller inte bestämmelserna i 23– 26 §§.
Regeringen eller den myndighet som regeringen bestämmer får medge undantag från bestämmelserna i 23–26 §§, om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott.
Rättelse
28 § Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag eller föreskrifter som har utfärdats med stöd av lagen. Den persondataansvarige skall också underrätta de tredje män till vilka uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon sådan underrättelse behöver dock inte lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Automatiserade beslut
29 § Ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verkningar för denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.
Var och en som varit föremål för ett sådant beslut som avses i första stycket har rätt att på ansökan få information från den persondataansvarige om vilka regler som har styrt den automatiska behandling som har lett fram till beslutet. I fråga om ansökan och lämnandet av information gäller i tillämpliga delar bestämmelserna i 26 §.
SOU 1997: 39
Författningsförslag: Persondatalagen 21
Säkerheten vid behandling
De personer som arbetar med personuppgifter
30 § Ett persondatabiträde och den eller de personer som arbetar under dennes eller den persondataansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den persondataansvarige. I fråga om sekretess och tystnadsplikt i det allmännas verksamhet tillämpas i stället bestämmelserna i sekretesslagen (1980:100).
Det skall finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige och att persondatabiträdet är skyldigt att vidta de åtgärder som avses i 31 § första stycket.
Skyddsåtgärder
31 § Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a)de tekniska möjligheter som finns,
b)vad det skulle kosta att genomföra åtgärderna,
c)de särskilda risker som finns med behandlingen av personuppgifterna, och
d)hur pass känsliga de behandlade personuppgifterna är.
När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet verkligen vidtar åtgärderna.
Tillsynsmyndigheten får besluta om skyddsåtgärder
32 § Tillsynsmyndigheten får besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta enligt 31 §.
I 47 § finns det bestämmelser om tillsynsmyndighetens möjligheter att förena beslutet med vite.
| 22 Författningsförslag: Persondatalagen | SOU 1997: 39 |
Överföring av personuppgifter till tredje land
Förbud mot överföring
33 § Det är förbjudet att till tredje land föra över personuppgifter som behandlas. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
Undantag från förbudet
34 § Utan hinder av 33 § är det tillåtet att föra över personuppgifter till tredje land, om den registrerade har samtyckt till överföringen eller när överföringen är nödvändig för att
a)fullgöra ett avtal mellan den registrerade och den persondataansvarige,
b)på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c)ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och tredje man som är i den registrerades intresse,
d)rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller
e)skydda vitala intressen för den registrerade.
Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter.
35 § Regeringen får för överföring av personuppgifter till vissa stater föreskriva undantag från förbudet i 33 §. Regeringen får också föreskriva att överföring av personuppgifter till tredje land är tillåten, om överföringen regleras av ett avtal som innehåller vissa bestämmelser till skydd för de registrerades rättigheter.
Regeringen eller den myndighet som regeringen bestämmer får vidare medge undantag från förbudet i 33 §, om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter.
SOU 1997: 39
Författningsförslag: Persondatalagen 23
Anmälan till tillsynsmyndigheten
Anmälningsskyldighet
36 § Behandling av personuppgifter som är helt eller delvis automatisk omfattas av anmälningsskyldighet. Den persondataansvarige skall innan en sådan behandling eller en serie av sådana behandlingar, som har samma eller liknande ändamål, genomförs göra en skriftlig anmälan till tillsynsmyndigheten.
Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten.
Anmälan behöver inte göras om det finns ett persondataombud
37 § När den persondataansvarige har offentliggjort en uppgift om att ett persondataombud utsetts och vem det är, behöver anmälan enligt 36 § inte göras.
Persondataombudets uppgifter
38 § Persondataombudet skall ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne.
Har persondataombudet anledning att misstänka att den persondataansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, skall persondataombudet anmäla förhållandet till tillsynsmyndigheten.
Persondataombudet skall även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter skall tillämpas.
39 § Persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit.
| 24 Författningsförslag: Persondatalagen | SOU 1997: 39 |
40 § Persondataombudet skall hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga.
Obligatorisk anmälan för särskilt integritetskänsliga behandlingar
41 § Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §.
Upplysningar till allmänheten om behandlingar som inte anmälts
42 § Den persondataansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna skall omfatta det som en anmälan enligt 36 § skulle ha omfattat. Den persondataansvarige är dock inte skyldig att lämna ut uppgifter om vilka säkerhetsåtgärder som har vidtagits.
Skadestånd
43 § Den persondataansvarige skall ersätta den registrerade för den skada som en behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats med stöd av lagen har fört med sig. Ersättning skall också betalas för ren förmögenhetsskada och för den kränkning av den personliga integriteten som behandlingen har inneburit.
Ersättningsskyldigheten enligt första stycket kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.
SOU 1997: 39
Författningsförslag: Persondatalagen 25
Straff för osanna uppgifter
44 § Till böter eller fängelse högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet lämnar osann uppgift
a)i information till registrerade som föreskrivs i denna lag,
b)i anmälan till tillsynsmyndigheten enligt 36 §, eller
c)till tillsynsmyndigheten när myndigheten begär information enligt 45 §.
Tillsynsmyndighetens befogenheter
45 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få
a)tillgång till de personuppgifter som behandlas,
b)upplysningar och dokumentation rörande behandlingen av personuppgifter och säkerheten vid denna, och
c)tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
46 § Om tillsynsmyndigheten inte efter begäran enligt 45 § kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig, får myndigheten vid vite förbjuda den persondataansvarige att behandla personuppgifter på annat sätt än genom att lagra dem.
47 § Om tillsynsmyndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifterna på annat sätt än genom att lagra dem.
Om den persondataansvarige inte frivilligt följer ett beslut om skyddsåtgärder enligt 32 §, som vunnit laga kraft, får tillsynsmyndigheten föreskriva vite för att beslutet skall genomföras.
48 § Innan tillsynsmyndigheten beslutar om vite enligt 46 eller 47 §, skall den persondataansvarige ha fått tillfälle att yttra sig. Om det är riskfyllt att vänta, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet skall prövas om, när yttrandetiden har gått ut.
Ett vitesföreläggande skall delges den persondataansvarige. Delgivning enligt 12 § delgivningslagen (1970:428) får dock användas bara om det
| 26 Författningsförslag: Persondatalagen | SOU 1997: 39 |
finns skäl att anta att den persondataansvarige har avvikit eller håller sig undan på något annat sätt.
49 § Tillsynsmyndigheten får hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas.
Beslut om utplånande får inte meddelas om det är oskäligt.
Överklagande
50 § Tillsynsmyndighetens beslut enligt denna lag om annat än generella föreskrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om
det överklagas.
Närmare föreskrifter
51 § Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om
a)i vilka fall behandling av personuppgifter är tillåten,
b)vilka krav som ställs på den persondataansvarige vid behandling av personuppgifter,
c)i vilka fall användning av personnummer är tillåten,
d)innehållet i en anmälan eller ansökan till en persondataansvarig,
e)vilken information som skall lämnas till registrerade och hur lämnandet av information skall gå till, och
f)anmälan till tillsynsmyndigheten och förfarandet när anmälda uppgifter har ändrats.
Övergångsbestämmelser
1.Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) skall upphöra att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som har meddelats före den 1 januari 1999.
2.Beträffande sådan behandling av personuppgifter som pågår vid ikraftträdandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.
| SOU 1997: 39 | Författningsförslag: Persondatalagen 27 |
3.Bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet.
4.Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13 och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan.
5.Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet.
6.Ett samtycke som har lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.
7.Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen.
8.Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet. I annat fall tillämpas de äldre bestämmelserna.
| SOU 1997: 39 | Författningsförslag: Tryckfrihetsförordningen 29 |
b)Förslag till
Lag om ändring i Tryckfrihetsförordningen
Härigenom föreskrivs i fråga om tryckfrihetsförordningen (1949:105) dels att 1 kap. 1 §, 2 kap. 1–19 §§, 7 kap. 3 och 5 §§ samt rubriken till
2 kap. skall ha följande lydelse,
dels att det skall införas en ny paragraf, 2 kap. 20 §, av följande lydelse.
| Nuvarande lydelse | Föreslagen lydelse |
1 kap.
1 §
Med tryckfrihet förstås varje svensk medborgares rätt att, utan några av myndighet eller annat allmänt organ i förväg lagda hinder, utgiva skrifter, att sedermera endast inför laglig domstol kunna tilltalas för deras innehåll, och att icke i annat fall kunna straffas därför, än om detta innehåll strider mot tydlig lag, given att bevara allmänt lugn, utan att återhålla allmän upplysning.
| 30 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
| I överensstämmelse med de i | I överensstämmelse med de i | ||||
| första | stycket angivna | grunderna | första | stycket angivna | grunderna |
| för en allmän tryckfrihet och till | för en allmän tryckfrihet och till | ||||
| säkerställande av ett fritt menings- | säkerställande av ett fritt menings- | ||||
| utbyte och en allsidig upplysning | utbyte och en allsidig upplysning | ||||
| skall det stå varje svensk medbor- | skall det stå varje svensk medbor- | ||||
| gare fritt att, med iakttagande av de | gare fritt att, med iakttagande av de | ||||
| bestämmelser som äro i denna för- | bestämmelser som äro i denna för- | ||||
| ordning meddelade till skydd för | ordning meddelade till skydd för | ||||
| enskild rätt och allmän säkerhet, i | enskild rätt och allmän säkerhet, i | ||||
| tryckt skrift yttra sina tankar och | tryckt skrift yttra sina tankar och | ||||
| åsikter, | offentliggöra | allmänna | åsikter, | offentliggöra | handlingar |
| handlingar samt meddela uppgifter | som innehåller allmänna uppgifter | ||||
| och underrättelser i vad ämne som | samt meddela uppgifter och under- | ||||
| helst. | rättelser i vad ämne som helst. | ||||
Det skall ock stå envar fritt att, i alla de fall då ej annat är i denna förordning föreskrivet, meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om för skriften finnes särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter.
Vidare skall envar äga rätt att, om ej annat följer av denna förordning, anskaffa uppgifter och underrättelser i vad ämne som helst för att offentliggöra dem i tryckt skrift eller för att lämna meddelande som avses i föregående stycke.
2 kap.
| Om allmänna handlingars offent- | Om allmänna uppgifters offent- |
| lighet | lighet |
| 1 § | 1 § |
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att taga del av allmänna handlingar.
Till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna uppgifter.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 31
| 3 § | 2 § |
Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handling är allmän om den förvaras hos myndighet och enligt 6 eller 7 § är att anse som inkommen till eller upprättad hos myndighet.
En uppgift är allmän om den finns i myndighetens förvar
a)i en handling som enligt 7 eller 8 § är att anse som inkommen till eller upprättad hos myndigheten eller
b)i ett register eller någon annan samling av uppgifter som har färdigställts för införing, sökning eller sammanställning av uppgifter (databas).
Upptagning som avses i första stycket anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Detta gäller dock ej upptagning som ingår i personregister, om myndigheten enligt lag eller förordning eller särskilt beslut, som grundar sig på lag, saknar befogenhet att göra överföringen. Med personregister förstås register, förteckning eller andra anteckningar som innehålla uppgift som avser enskild person och som kan hänföras till denne.
Uppgifter är allmänna oavsett om de finns i skrift eller bild eller i en form som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel som myndigheten har.
Med handling avses en framställning som har ett bestämt innehåll.
| 32 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
| 2 § | 3 § |
Rätten att taga del av allmänna handlingar får begränsas endast om det är påkallat med hänsyn till
Rätten att ta del av allmänna uppgifter får begränsas endast om det är påkallat med hänsyn till
1.rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation,
2.rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3.myndighets verksamhet för inspektion, kontroll eller annan tillsyn,
4.intresset att förebygga eller beivra brott,
5.det allmännas ekonomiska intresse,
6.skyddet för enskilds personliga eller ekonomiska förhållanden,
7.intresset att bevara djur- eller växtart.
Begränsning av rätten att taga del av allmänna handlingar skall angivas noga i bestämmelse i en särskild lag eller, om så i visst fall befinnes lämpligare, i annan lag vartill den särskilda lagen hänvisar. Efter bemyndigande i sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.
Utan hinder av andra stycket får i bestämmelse som där avses riksdagen eller regeringen tilläggas befogenhet att efter omständigheterna medgiva att viss handling lämnas ut.
Begränsningar av rätten att ta del av allmänna uppgifter skall anges noga i bestämmelser i en särskild lag eller, om det är lämpligare i ett visst fall, i en annan lag till vilken den särskilda lagen hänvisar. Efter bemyndigande i en sådan bestämmelse får dock regeringen genom förordning meddela närmare föreskrifter om bestämmelsens til??lämplighet.
Utan hinder av andra stycket får i en bestämmelse som där avses riksdagen eller regeringen ges befogenhet att efter omständigheterna medge att en viss uppgift lämnas ut.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 33
4 §
Om en myndighets rätt att själv söka efter eller sammanställa uppgifter av hänsyn till enskildas personliga integritet har begränsats genom lag eller annan författning, gäller den begränsningen även för den som vill ta del av allmänna uppgifter.
| 4 § | 5 § |
Brev eller annat meddelande som är ställt personligen till den som innehar befattning vid myndighet anses som allmän handling, om handlingen gäller ärende eller annan fråga som ankommer på myndigheten och ej är avsedd för mottagaren endast som innehavare av annan ställning.
En uppgift i ett brev eller annat meddelande som är ställt personligen till den som innehar en befattning vid en myndighet anses som allmän, om uppgiften gäller ett ärende eller en annan fråga som ankommer på myndigheten och inte är avsedd för mottagaren endast som innehavare av annan ställning.
| 5 § | 6 § |
Med myndighet likställas i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.
Med myndighet likställs i detta kapitel riksdagen, kyrkomötet och beslutande kommunal församling.
| 34 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
| 6 § | 7 § |
Handling anses inkommen till myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om upptagning som avses i 3 § första stycket gäller i stället att den anses inkommen till myndighet när annan har gjort den tillgänglig för myndigheten på sätt som angives i 3 § andra stycket.
Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses ej inkommen före den tidpunkt som har bestämts för öppnandet.
Åtgärd som någon vidtager endast som led i teknisk bearbetning eller teknisk lagring av handling, som myndighet har tillhandahållit, skall ej anses leda till att handling är inkommen till den myndigheten.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa.
Tävlingsskrift, anbud eller annan sådan handling som enligt tillkännagivande skall avlämnas i förseglat omslag anses inte inkommen före den tidpunkt som har bestämts för öppnandet.
| 7 § | 8 § |
Handling anses upprättad hos myndighet, när den har expedierats. Handling som ej har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten eller, om handlingen ej hänför sig till visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
En handling anses upprättad hos en myndighet, när den har expedierats. Handling som inte har expedierats anses upprättad när det ärende till vilket den hänför sig har slutbehandlats av myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller på annat sätt färdigställts.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 35
I stället för vad som föreskrives i första stycket gäller att handling anses upprättad,
1.diarium, journal samt sådant register eller annan förteckning som föres fortlöpande, när handlingen har färdigställts för anteckning eller införing,
2.dom och annat beslut, som enligt vad därom är föreskrivet skall avkunnas eller expedieras, samt protokoll och annan handling i vad den hänför sig till sådant beslut, när beslutet har avkunnats eller expedierats,
3.annat myndighets protokoll och därmed jämförliga anteckningar, när handlingen har justerats av myndigheten eller på annat sätt färdigställts, dock ej protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.
Följande undantag gäller från vad som föreskrivs i första stycket.
1.Domar och andra beslut, som enligt föreskrift skall avkunnas eller expedieras, samt protokoll och andra handlingar i vad de hänför sig till sådana beslut, anses upprättade när beslutet har avkunnats eller expedierats.
2.Andra protokoll och därmed jämförliga anteckningar anses upprättade, när handlingen har justerats av myndigheten eller färdigställts på annat sätt, dock inte protokoll hos riksdagens eller kyrkomötets utskott, riksdagens eller kommuns revisorer eller statliga kommittéer eller hos kommunal myndighet i ärende som denna endast bereder till avgörande.
| 36 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
| 8 § | 9 § |
Har organ som ingår i eller är knutet till ett verk eller liknande myndighetsorganisation överlämnat handling till annat organ inom samma myndighetsorganisation eller framställt handling för sådant överlämnande, skall handlingen ej anses som därigenom inkommen eller upprättad i annat fall än då organen uppträda som självständiga i förhållande till varandra.
Har ett organ som ingår i eller är knutet till ett verk eller en liknande myndighetsorganisation överlämnat en handling till ett annat organ inom samma myndighetsorganisation eller framställt en handling för ett sådant överlämnande, skall handlingen inte anses som därigenom inkommen eller upprättad i annat fall än då organen uppträder som självständiga i förhållande till varandra.
| 9 § | 10 § |
Hos myndighet tillkommen minnesanteckning som ej har expedierats skall ej heller efter den tidpunkt då den enligt 7 § är att anse som upprättad anses som allmän handling hos myndigheten, om den icke tages om hand för arkivering. Med minnesanteckning förstås promemoria och annan uppteckning eller upptagning som har kommit till endast för ärendes föredragning eller beredning, dock ej till den del den har tillfört ärendet sakuppgift.
Utkast eller koncept till myndighets beslut eller skrivelse och annan därmed jämställd handling som ej har expedierats anses ej som allmän handling, såvida den icke tages om hand för arkivering.
Uppgifter som har antecknats eller införts endast för ett ärendes föredragning eller beredning är inte allmänna om de inte har tillfört ärendet något i sak. Inte heller uppgifter i utkast eller koncept till en myndighets beslut eller skrivelse eller uppgifter i någon annan därmed jämställd handling är allmänna.
Uppgifter som har tagits om hand för arkivering eller som förekommer i handlingar som har expedierats är dock alltid allmänna.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 37
| 10 § | 11 § |
Handling som förvaras hos myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses ej som allmän handling hos den myndigheten.
Uppgifter som finns i en myndighets förvar endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning är inte allmänna hos den myndigheten. Uppgifterna blir inte heller att anse som allmänna hos den myndighet som har tillhandahållit dem endast på grund av att de i samband med eller efter åtgärden återlämnas till den myndigheten.
11 §
Som allmän handling anses ej
1.brev, telegram eller annan sådan handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande,
2.meddelande eller annan handling som har inlämnats till eller upprättats hos myndighet endast för offentliggörande i periodisk skrift som utgives genom myndigheten,
12 §
Sådana uppgifter är inte allmänna som ingår i
1.brev, telegram eller någon annan sådan handling som har inlämnats till eller upprättats hos en myndighet endast för befordran av meddelande,
2.meddelande eller någon annan handling som har inlämnats till eller upprättats hos en myndighet endast för offentliggörande i en periodisk skrift som utges genom myndigheten,
| 38 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
3.tryckt skrift, ljud- eller bildupptagning eller annan handling som ingår i bibliotek eller som från enskild har tillförts allmänt arkiv uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller upptagningar som eljest ha överlämnats till myndighet uteslutande för ändamål som nu angivits,
4.upptagning av innehållet i handling som avses i 3, om upptagningen förvaras hos myndighet där den ursprungliga handlingen ej skulle vara att anse som allmän.
Det som föreskrivs i första stycket 3 om handling som ingår i bibliotek tillämpas inte på upptagning för automatisk databehandling i sådant register som myndighet har tillgång till enligt avtal med annan myndighet.
3.tryckta skrifter, ljud- eller bildupptagningar samt andra handlingar och databaser som ingår i bibliotek,
4.handlingar och databaser som från en enskild har tillförts en myndighet uteslutande för förvaring och vård eller forsknings- och studieändamål eller privata brev, skrifter eller uppgifter som annars har överlämnats till en myndighet uteslutande för ett sådant ändamål.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 39
13 §
Den som begär att få ta del av allmänna uppgifter skall precisera sin begäran så att det är möjligt att finna den handling där uppgifterna ingår eller utföra den sökning eller sammanställning som annars krävs för att uppgifterna skall kunna tas fram.
| 12 § | 14 § |
Allmän handling som får lämnas ut skall på begäran genast eller så snart det är möjligt på stället utan avgift tillhandahållas den, som önskar taga del därav, så att handlingen kan läsas, avlyssnas eller på annat sätt uppfattas. Handling får även skrivas av, avbildas eller tagas i anspråk för ljudöverföring. Kan handling ej tillhandahållas utan att sådan del därav som icke får lämnas ut röjes, skall den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia.
Om någon begär att få ta del av allmänna uppgifter som får lämnas ut, skall myndigheten genast, eller så snart det är möjligt, utan avgift på stället
1.tillhandahålla den handling där uppgifterna ingår så att den kan läsas, avlyssnas eller uppfattas på annat sätt, eller
2.ta fram de begärda uppgifterna ur en databas, om det kan ske med användning av de tekniska hjälpmedel som myndigheten har eller annars utan nämnvärda kostnader.
| 40 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
Myndighet är icke skyldig att tillhandahålla handling på stället, om betydande hinder möter. I fråga om upptagning som avses i 3 § första stycket föreligger ej heller sådan skyldighet, om sökanden utan beaktansvärd olägenhet kan taga del av upptagningen hos närbelägen myndighet.
Handlingar och uppgifter som tillhandahålls på stället får även skrivas av, avbildas eller tas i anspråk för ljudöverföring. Kan en handling inte tillhandahållas utan att uppgifter som inte får lämnas ut röjs, skall handlingen i övriga delar göras tillgänglig för sökanden i utskrift eller kopia. Motsvarande gäller om uppgifter ur databaser.
En myndighet är inte skyldig att tillhandahålla en handling på stället eller ta fram uppgifter ur en databas, om det möter betydande hinder.
| 13 § | 15 § |
Den som önskar taga del av allmän handling har även rätt att mot fastställd avgift få avskrift eller kopia av handlingen till den del den får lämnas ut. Myndighet är dock ej skyldig att lämna ut upptagning för automatisk databehandling i annan form än utskrift. Ej heller föreligger skyldighet att framställa kopia av karta, ritning, bild eller annan i 3 § första stycket avsedd upptagning än som nyss har angivits, om svårighet möter och handlingen kan tillhandahållas på stället.
Den som begär det har även rätt att mot en fastställd avgift i utskrift, kopia eller elektronisk form få ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas ut.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 41
Begäran att få avskrift eller kopia av allmän handling skall behandlas skyndsamt.
Myndigheten är dock inte skyldig att framställa kopior av kartor, ritningar, bilder eller andra liknande handlingar om det möter svårigheter och handlingen kan tillhandahållas på stället.
En myndighet är inte skyldig att tillhandahålla uppgifter i elektronisk form om det finns en särskild bestämmelse i lag eller annan författning som förbjuder detta eller om det möter betydande hinder. Datorprogram behöver aldrig tillhandahållas i elektronisk form.
En begäran att få ut en allmän uppgift i någon av de angivna formerna skall behandlas skyndsamt.
| 14 § | 16 § |
Begäran att få taga del av allmän handling göres hos myndighet som förvarar handlingen.
En begäran att få ta del av en allmän uppgift skall göras hos den myndighet som har uppgiften i sitt förvar.
| 42 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
Begäran prövas av myndighet som angives i första stycket. Om särskilda skäl föranleda det, får dock i bestämmelse som avses i 2 § andra stycket föreskrivas att prövningen vid tillämpningen av bestämmelsen skall ankomma på annan myndighet. I fråga om handling som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall begäran om utlämnande genast hänskjutas till behörig myndighet.
Myndighet får inte på grund av att någon begär att få taga del av allmän handling efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att handlingen lämnas ut.
Begäran skall prövas av den myndighet som anges i första stycket. Om det finns särskilda skäl får det dock föreskrivas i en bestämmelse som avses i 3 § andra stycket att prövningen vid tillämpningen av bestämmelsen skall ankomma på en annan myndighet. I fråga om en handling eller en databas som är av synnerlig betydelse för rikets säkerhet kan även genom förordning föreskrivas att endast en viss myndighet får pröva frågan om utlämnande. I de nu nämnda fallen skall en begäran om utlämnande genast hänskjutas till behörig myndighet.
En myndighet får inte på grund av att någon begär att få ta del av en allmän uppgift efterforska vem han är eller vilket syfte han har med sin begäran i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att uppgiften lämnas ut.
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 43
| 15 § | 17 § |
Om annan än riksdagen eller regeringen avslår begäran att få taga del av handling eller lämnar ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller eljest förfoga över den, får sökanden föra talan mot beslutet. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av annan myndighet hos domstol.
I den i 2 § omnämnda lagen skall närmare angivas hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.
Angående rätt att föra talan mot beslut av myndighet som lyder under riksdagen är särskilt föreskrivet.
Om någon annan än riksdagen eller regeringen avslår en begäran att få ta del av en allmän uppgift eller lämnar ut den med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får sökanden föra talan mot beslutet. Detsamma gäller om en begäran att få ut uppgifter i en viss form avslås. Talan mot beslut av statsråd skall föras hos regeringen och talan mot beslut av en annan myndighet hos domstol.
I den i 3 § omnämnda lagen skall närmare anges hur talan mot beslut som avses i första stycket skall föras. Sådan talan skall alltid prövas skyndsamt.
Angående rätt att föra talan mot beslut av en myndighet som lyder under riksdagen är särskilt föreskrivet.
| 16 § | 18 § |
Anteckning om hinder att lämna ut allmän handling får göras endast på handling som omfattas av bestämmelse som avses i 2 § andra stycket. Härvid skall tillämplig bestämmelse angivas.
En markering om att det finns hinder att lämna ut en allmän uppgift får göras endast i anslutning till en sådan uppgift i en handling eller databas som omfattas av en bestämmelse som avses i 3 § andra stycket. Härvid skall tillämplig bestämmelse anges.
| 44 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
| 17 § | 19 § |
I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna handlingar som hänför sig till myndighets verksamhet, vilken skall övertas av enskilt organ, får överlämnas till det organet för förvaring, om detta behöver handlingarna i verksamheten, utan att handlingarna därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade handlingar jämställas med myndighet vid tillämpningen av 12–16 §§.
I lag får föreskrivas att regeringen eller beslutande kommunal församling får besluta att allmänna uppgifter som hänför sig till en myndighets verksamhet, som skall övertas av ett enskilt organ, får överlämnas till det organet för förvaring, om detta behöver uppgifterna i verksamheten, utan att dessa därigenom upphör att vara allmänna. Ett sådant organ skall i fråga om överlämnade uppgifter jämställas med en myndighet vid tillämpningen av 13– 18 §§.
20 §
Grundläggande bestämmelser om bevarande och gallring av allmänna uppgifter och om överlämnande av handlingar och databaser till arkivmyndighet eller annan myndighet finns i lag.
7 kap.
3 §
Om någon lämnar meddelande, som avses i 1 kap. 1 § tredje stycket, eller, utan att svara enligt 8 kap., medverkar till framställning, som är avsedd att införas i tryckt skrift, såsom författare eller annan upphovsman eller såsom utgivare och därigenom gör sig skyldig till
1.högförräderi, spioneri, grovt spioneri, grov obehörig befattning med hemlig uppgift, uppror, landsförräderi, landssvek eller försök, förberedelse eller stämpling till sådant brott;
SOU 1997: 39
Författningsförslag: Tryckfrihetsförordningen 45
2.oriktigt utlämnande av allmän handling som ej är tillgänglig för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnade, när gärningen är uppsåtlig; eller
2.oriktigt utlämnande av handling som innehåller allmänna uppgifter som ej är tillgängliga för envar eller tillhandahållande av sådan handling i strid med myndighets förbehåll vid dess utlämnade, när gärningen är uppsåtlig; eller
3.uppsåtligt åsidosättande av tystnadsplikt i de fall som angivas i särskild lag,
gäller om ansvar för sådant brott vad i lag är stadgat.
Om någon anskaffar uppgift eller underrättelse i sådant syfte som avses i 1 kap. 1 § fjärde stycket och därigenom gör sig skyldig till brott som angives i förevarande paragrafs första stycke 1, gäller om ansvar härför vad i lag är stadgat.
Det som sägs i 2 kap. 12 § tredje stycket regeringsformen skall gälla också i fråga om förslag till föreskrifter som avses i första stycket 3.
5 §
Som tryckfrihetsbrott skall anses också sådana gärningar, begångna genom tryckt skrift och straffbara enligt lag, som innebär att någon
| 1. uppsåtligen offentliggör allmän | 1. uppsåtligen offentliggör hand- |
| handling som ej är tillgänglig för | ling som innehåller allmänna |
| envar, om han fått tillgång till | uppgifter som ej är tillgängliga |
| handlingen i allmän tjänst, under | för envar, om han fått tillgång |
| utövande av tjänsteplikt eller i | till handlingen i allmän tjänst, |
| därmed jämförbart förhållande; | under utövande av tjänsteplikt |
| eller i därmed jämförbart för- | |
| hållande; |
2.offentliggör uppgift och därvid uppsåtligen åsidosätter tystnadsplikt som avses i den i 3 § första stycket angivna särskilda lagen;
3.när riket är i krig eller omedelbar krigsfara offentliggör uppgift om förhållanden vilkas röjande enligt lag innefattar annat brott mot rikets
säkerhet än som anges i 4 §.
1. Denna lag träder i kraft den 1 januari 1999.
| 46 | Författningsförslag: Tryckfrihetsförordningen | SOU 1997: 39 |
2.Bestämmelsen i 2 kap. 4 § nya lydelsen tillämpas även när myndighetens rätt att söka efter eller sammanställa uppgifter begränsats genom ett beslut som avses i 2 kap. 3 § andra stycket andra meningen äldre lydelsen och som meddelats före ikraftträdandet, dock längst till utgången av september 2001.
SOU 1997: 39
Författningsförslag: Regeringsformen 47
c)Förslag till
Lag om ändring i Regeringsformen
Härigenom föreskrivs att 2 kap. 1 § samt 8 kap. 7 och 18 §§ regeringsformen skall ha följande lydelse.
| Nuvarande lydelse | Föreslagen lydelse |
2 kap.
1 §
Varje medborgare är gentemot den allmänna tillförsäkrad
1.yttrandefrihet: frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor,
2.informationsfrihet: frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden,
3.mötesfrihet: frihet att anordna och bevista sammankomst för upplysning, meningsyttring eller annat liknande syfte eller för framförande av konstnärligt verk,
4.demonstrationsfrihet: frihet att anordna och deltaga i demonstration på allmän plats,
5.föreningsfrihet: frihet att sammansluta sig med andra för allmänna eller enskilda syften,
6.religionsfrihet: frihet att ensam eller tillsammans med andra utöva sin religion.
Beträffande tryckfriheten och motsvarande frihet att yttra sig i ljudradio, television och vissa liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar gäller vad som är föreskrivet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
| 48 Författningsförslag: Regeringsformen | SOU 1997: 39 |
I tryckfrihetsförordningen finns också bestämmelser om rätt att taga del av allmänna handlingar.
I tryckfrihetsförordningen finns också bestämmelser om rätt att taga del av allmänna uppgifter.
8 kap.
7 §
Utan hinder av 3 eller 5 § kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om annat än skatt, om föreskrifterna avser något av följande ämnen:
1.skydd för liv, personlig säkerhet eller hälsa,
2.utlännings vistelse i riket,
3.in- eller utförsel av varor, av pengar eller av andra tillgångar, tillverkning, kommunikationer, kreditgivning, näringsverksamhet, ransonering, återanvändning och återvinning av material, utformning av byggnader, anläggningar eller tillståndsplikt i fråga om åtgärder med byggnader och anläggningar,
4.jakt, fiske, djurskydd eller natur- och miljövård,
5.trafik eller ordningen på allmän plats,
6.undervisning och utbildning,
7.förbud att röja sådant som någon har erfarit i allmän tjänst eller under utövande av tjänsteplikt,
8.skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling.
8.skydd för personlig integritet vid behandling av personuppgifter.
Bemyndigande som avses i första stycket medför ej rätt att meddela föreskrifter om annan rättsverkan av brott än böter. Riksdagen kan i lag, som innehåller bemyndigande med stöd av första stycket, föreskriva även annan rättsverkan än böter för överträdelse av föreskrift som regeringen meddelar med stöd av bemyndigandet.
18 §
För att avge yttrande över lagförslag skall finnas ett lagråd, vari ingår domare i Högsta domstolen och Regeringsrätten. Yttrande från Lagrådet inhämtas av regeringen eller, enligt vad som närmare angives i riksdagsordningen, av riksdagsutskott.
| SOU 1997: 39 | Författningsförslag: Regeringsformen 49 |
| Yttrande av Lagrådet bör in- | Yttrande av Lagrådet bör in- | |||||||||
| hämtas innan riksdagen | beslutar | hämtas | innan | riksdagen | beslutar | |||||
| grundlag om tryckfriheten, eller om | grundlag om tryckfriheten, eller om | |||||||||
| motsvarande frihet att yttra sig i | motsvarande frihet att yttra sig i | |||||||||
| ljudradio, television och vissa lik- | ljudradio, television och vissa lik- | |||||||||
| nande överföringar, filmer, video- | nande överföringar, filmer, video- | |||||||||
| gram och andra upptagningar av | gram och andra upptagningar av | |||||||||
| rörliga bilder samt ljudupptag- | rörliga bilder samt ljudupptag- | |||||||||
| ningar, lag om begränsning av | ningar, lag om begränsning av | |||||||||
| rätten att taga del av allmänna | rätten att taga del av allmänna upp- | |||||||||
| handlingar, lag som avses i 2 kap. | gifter, lag som avses i 2 kap. 3 § | |||||||||
| 3 § | andra | stycket, | 12 § | första | andra stycket, 12 § första stycket, | |||||
| stycket, 17–19 §§ eller 22 § andra | 17–19 §§ | eller 22 § andra stycket | ||||||||
| stycket eller lag som ändrar eller | eller lag som ändrar eller upphäver | |||||||||
| upphäver sådan lag, lag om | sådan lag, lag om kommunal be- | |||||||||
| kommunal | beskattning, lag som | skattning, lag som avses i 2 eller | ||||||||
| avses i 2 eller 3 § eller lag som av- | 3 § eller lag som avses i 11 kap., | |||||||||
| ses i 11 kap., om lagen är viktig för | om lagen är viktig för enskilda eller | |||||||||
| enskilda eller från allmän syn- | från allmän synpunkt. Vad nu har | |||||||||
| punkt. Vad nu har sagts gäller dock | sagts gäller dock icke, om Lag- | |||||||||
| icke, om Lagrådets hörande skulle | rådets hörande skulle sakna bety- | |||||||||
| sakna betydelse på grund av frå- | delse på grund av frågans be- | |||||||||
| gans beskaffenhet eller skulle för- | skaffenhet eller skulle fördröja lag- | |||||||||
| dröja | lagstiftningsfrågans | behand- | stiftningsfrågans behandling så att | |||||||
| ling så att avsevärt men skulle | avsevärt | men | skulle | uppkomma. | ||||||
| uppkomma. | Föreslår | regeringen | Föreslår | regeringen riksdagen att | ||||||
| riksdagen att stifta lag i något av de | stifta lag i något av de ämnen som | |||||||||
| ämnen som avses i första meningen | avses i första meningen och har | |||||||||
| och har Lagrådets yttrande dessför- | Lagrådets | yttrande | dessförinnan | |||||||
| innan inte inhämtats, skall rege- | inte inhämtats, | skall | regeringen | |||||||
| ringen samtidigt för riksdagen re- | samtidigt | för riksdagen | redovisa | |||||||
| dovisa skälen härtill. Att Lagrådet | skälen härtill. Att Lagrådet icke har | |||||||||
| icke har hörts över ett lagförslag | hörts över ett lagförslag utgör | |||||||||
| utgör aldrig hinder mot lagens | aldrig hinder mot lagens tillämp- | |||||||||
| til??lämpning. | ning. | |||||||||
| 50 Författningsförslag: Regeringsformen | SOU 1997: 39 |
Lagrådets granskning skall avse
1.hur förslaget förhåller sig till grundlagarna och rättsordningen i övrigt,
2.hur förslagets föreskrifter förhåller sig till varandra,
3.hur förslaget förhåller sig till rättssäkerhetens krav,
4.om förslaget är så utformat att lagen kan antagas tillgodose angivna syften,
5.vilka problem som kan uppstå vid tillämpningen.
Närmare bestämmelser om lagrådets sammansättning och tjänstgöring meddelas i lag.
Denna lag träder i kraft den 1 januari 1999.
SOU 1997: 39
Författningsförslag: Yttrandefrihetsgrundlagen 51
d)Förslag till
Lag om ändring i Yttrandefrihetsgrundlagen (1991:1469)
Härigenom föreskrivs att 5 kap. 3 § yttrandefrihetsgrundlagen skall ha följande lydelse.
5 kap.
3 §
Om någon lämnar ett meddelande, som avses i 1 kap. 2 §, eller, utan att svara enligt 6 kap., medverkar till en framställning som är avsedd att offentliggöras i ett radioprogram, en film eller en ljudupptagning, som författare eller annan upphovsman eller genom att framträda i radioprogrammet och därigenom gör sig skyldig till
1.högförräderi, spioneri, grovt spioneri, grov obehörig befattning med hemlig uppgift, uppror, landsförräderi, landssvek eller försök, förberedelse eller stämpling till sådant brott;
| 2. oriktigt utlämnande av allmän | 2. oriktigt utlämnande av handling | |
| handling som ej är tillgänglig för | som innehåller allmänna upp- | |
| envar eller tillhandahållande av | gifter som ej är tillgängliga för | |
| sådan handling i strid med myn- | envar eller tillhandahållande av | |
| dighets förbehåll vid dess utläm- | sådan handling i strid med | |
| nande, när gärningen är uppsåt- | myndighets | förbehåll vid dess |
| lig; eller | utlämnande, | när gärningen är |
| uppsåtlig; eller | ||
| 52 | Författningsförslag: Yttrandefrihetsgrundlagen | SOU 1997: 39 |
3. uppsåtligt åsidosättande av tystnadsplikt i de fall som anges i särskild lag,
gäller vad som föreskrivs i lag om ansvar för sådant brott.
Om någon anskaffar en uppgift eller underrättelse i sådant syfte som avses i 1 kap. 2 § och därigenom gör sig skyldig till brott som anges i första stycket 1, gäller vad som föreskrivs i lag om ansvar för brottet.
Det som sägs i 2 kap. 12 § tredje stycket regeringsformen om särskilt lagstiftningsförfarande skall gälla också i fråga om förslag till föreskrifter som avses i första stycket 3.
Denna lag träder i kraft den 1 januari 1999.
SOU 1997: 39
Författningsförslag: Sekretesslagen 53
e)Förslag till
Lag om ändring i Sekretesslagen (1980:100)
Härigenom föreskrivs i fråga om sekretesslagen (1980:100) dels att 15 kap. 13 § skall upphöra att gälla,
dels att i 2 kap. 1 och 2 §§, 3 kap. 1 §, 5 kap. 1 §, 6 kap. 1–7 §§, 7 kap. 1 §, 4 §, 6–15 §§ och 19–36 §§, 8 kap. 1–3 §§, 5–19 §§, 21 §, 23 § och 24 § samt 9 kap. 1–5 §§, 8 §, 10–17 §§ och 19–24 §§ orden ”uppgift i allmän handling” skall bytas ut mot ”allmän uppgift”,
dels att 1 kap. 1 § och 8–10 §§, 2 kap. 3 §, 5 kap. 2 §, 7 kap. 16 §, 9 kap. 6 §, 15 kap. 1–4 §§ och 6–12 §§, rubriken till 15 kap. samt rubrikerna närmast före 15 kap. 1 och 9 §§ skall ha följande lydelse,
dels att det i lagen skall införas närmast före 15 kap. 3 §, 4 §, 6 §, 7 §, 11 § och 12 § nya rubriker av följande lydelse.
| Nuvarande lydelse | Föreslagen lydelse |
1 kap.
1 §
Denna lag innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. I sistnämnda hänseende innefattar bestämmelserna begränsning i den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar.
Denna lag innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna uppgifter. I sistnämnda hänseende innefattar bestämmelserna begränsning i den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter.
| 54 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
| Bestämmelserna avser förbud att | Bestämmelserna avser förbud att |
| röja uppgift, vare sig det sker munt- | röja en uppgift, vare sig det sker |
| ligen eller genom att allmän hand- | muntligen eller på annat sätt (sekre- |
| ling lämnas ut eller det sker på | tess). |
| annat sätt (sekretess). | |
| Lagen innehåller även andra | Lagen innehåller även andra |
| föreskrifter om allmänna hand- | föreskrifter om allmänna uppgifter. |
| lingar. |
I denna lag finns också bestämmelser om begränsning av den rätt att lämna meddelande för offentliggörande i tryckt skrift eller därmed jämställd skrift eller i radioprogram, film, ljudupptagningar eller därmed jämställt medium varom grundläggande bestämmelser ges i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
8 §
Vid tillämpningen av denna lag skall med myndighet jämställas riksdagen, kyrkomötet och beslutande kommunal församling.
| Vad som föreskrivs i tryckfri- | Vad som föreskrivs i tryckfri- | |
| hetsförordningen om rätt att ta del | hetsförordningen om rätt att ta del | |
| av handlingar hos en myndighet | av allmänna uppgifter hos en myn- | |
| skall i tillämpliga delar gälla också | dighet skall i tillämpliga delar gälla | |
| handlingar hos de organ som anges | också uppgifter hos de organ som | |
| i bilagan till denna lag, i den mån | anges i bilagan till denna lag, i den | |
| handlingarna hör till den verksam- | mån uppgifterna hör till den verk- | |
| het som nämns där. De i bilagan | samhet som nämns där. De i bila- | |
| angivna organen skall vid tillämp- | gan angivna organen skall vid | |
| ningen av denna lag jämställas med | til??lämpningen av denna lag jäm- | |
| myndighet. Detsamma gäller ett | ställas med myndighet. Detsamma | |
| enskilt organ som med stöd av la- | gäller ett enskilt organ som med | |
| gen (1994:1383) om överlämnande | stöd av lagen (1994:1383) om | |
| av allmänna handlingar till andra | överlämnande av allmänna hand- | |
| organ än myndigheter för förvaring | lingar till andra organ än myndig- | |
| förvarar sådana handlingar | såvitt | heter för förvaring har sådana |
| avser befattningen med | dessa | uppgifter i sitt förvar såvitt avser |
| handlingar. | befattningen med dessa uppgifter. | |
SOU 1997: 39
Författningsförslag: Sekretesslagen 55
9 §
Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av handlingar hos myndighet skall i tillämpliga delar också gälla handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser skall vid tillämpningen av denna lag jämställas med myndighet.
Vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna uppgifter hos myndighet skall i tillämpliga delar också gälla uppgifter hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser skall vid tillämpningen av denna lag jämställas med myndighet.
Kommuner och landsting skall anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans
1.äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,
2.har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse,
3.utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag. Vid tillämpningen av 1–3 skall inflytande som utövas av en juridisk person över vilken en kommun eller ett landsting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.
| Första stycket gäller också be- | Första stycket gäller också be- |
| träffande handlingar som efter | träffande uppgifter som efter med- |
| medgivande av en kommun eller ett | givande av en kommun eller ett |
| landsting för viss bestämd tid | landsting för viss bestämd tid finns |
| förvaras hos aktiebolag, handels- | i förvar hos aktiebolag, handelsbo- |
| bolag, ekonomiska föreningar eller | lag, ekonomiska föreningar eller |
| stiftelser där kommuner eller lands- | stiftelser där kommuner eller lands- |
| ting har utövat ett rättsligt inflytan- | ting har utövat ett rättsligt inflytan- |
| de. | de. |
Vad som sägs om kommuner och landsting i första–tredje styckena til??lämpas också på kommunförbund.
| 56 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
10 §
Har i denna lag föreskrivits att sekretessen i fråga om uppgift i allmän handling är begränsad till viss tid, räknas tiden från handlingens tillkomst, om inte annat anges. I fråga om diarium, journal samt sådant register eller annan förteckning som förs fortlöpande räknas tiden från det uppgiften fördes in i handlingen.
Har i denna lag föreskrivits att sekretessen i fråga om allmän uppgift är begränsad till viss tid, räknas tiden från tillkomsten av den handling i vilken uppgiften finns, om inte annat anges. I fråga om allmän uppgift i en databas räknas tiden från det uppgiften fördes in i databasen.
2 kap.
3 §
Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att det genom förordning kan föreskrivas, att endast viss myndighet får pröva fråga om utlämnande till enskild av allmän handling som är av synnerlig betydelse för rikets säkerhet.
Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att det genom förordning kan föreskrivas, att endast viss myndighet får pröva fråga om utlämnande till enskild av allmän uppgift som är av synnerlig betydelse för rikets säkerhet.
5 kap.
2 §
Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på
1.byggnader eller andra anläggningar, lokaler eller inventarier,
2.tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktivt avfall,
3.telekommunikation,
4.behörighet att få tillgång till 4. behörighet att få tillgång till
| upptagning för automatisk data- | handlingar eller databaser, |
| behandling eller annan hand- | |
| ling, |
om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.
SOU 1997: 39
Författningsförslag: Sekretesslagen 57
7 kap.
16 §
Sekretess gäller för personuppgift i personregister som avses i datalagen (1973:289), om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid med datalagen.
Sekretess för uppgift som anges i första stycket gäller också, om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i utlandet och att detta medför otillbörligt intrång i personlig integritet. Vid tillämpning av denna bestämmelse ankommer det på datainspektionen att pröva fråga om utlämnande. Sekretess enligt detta stycke gäller dock ej, om uppgiften skall användas för automatisk databehandling enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk behandling av personuppgifter.
Sekretess gäller för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med persondatalagen (1998:000).
| 58 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
9 kap.
6 §
Sekretess gäller hos datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till regeringen eller justitiekanslern, gäller sekretessen också där.
I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.
Sekretess gäller hos Datainspektionen i ärende om tillstånd eller tillsyn, som enligt lag eller annan författning ankommer på inspektionen, och i ärende om sådant bistånd som avses i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider skada eller men om uppgiften röjs. Har uppgift, för vilken gäller sekretess enligt vad nu har sagts, lämnats till Justitiekanslern, gäller sekretessen också där.
I fråga om allmän uppgift gäller sekretessen i högst sjuttio år.
SOU 1997: 39
Författningsförslag: Sekretesslagen 59
| 15 kap. | |||||||
| Bestämmelser | om | registrering | Bestämmelser | om | registrering | ||
| och utlämnande | av allmänna | och | utlämnande | av allmänna | |||
| handlingar m.m. | uppgifter m.m. | ||||||
| Allmänna bestämmelser | Registrering av | handlingar | med | ||||
| allmänna uppgifter | |||||||
| 1 § | |||||||
| När allmän handling har kommit in | När en handling med allmänna | ||||||
| till eller upprättats hos myndighet | uppgifter har kommit in till eller | ||||||
| skall handlingen registreras utan | upprättats hos en myndighet skall | ||||||
| dröjsmål, om det inte är uppenbart | handlingen registreras utan dröjs- | ||||||
| att den är av ringa betydelse för | mål, om det inte är uppenbart att | ||||||
| myndighetens | verksamhet. I fråga | den är av ringa betydelse för myn- | |||||
| om allmänna handlingar, för vilka | dighetens verksamhet. I fråga om | ||||||
| sekretess inte gäller, får dock re- | handlingar med allmänna uppgifter, | ||||||
| gistrering underlåtas om handling- | för vilka sekretess inte gäller, får | ||||||
| arna hålls så ordnade att det utan | dock | registrering underlåtas | om | ||||
| svårighet kan fastställas om hand- | handlingarna hålls så ordnade att | ||||||
| ling har kommit in eller upprättats. | det utan svårighet kan fastställas | ||||||
| om handling har kommit in eller | |||||||
| upprättats. | |||||||
Om särskilda skäl föreligger får regeringen föreskriva undantag från registreringsskyldighet enligt första stycket i fråga om handlingar av visst slag som hos myndighet förekommer i betydande omfattning.
I 13 § finns bestämmelser om undantag från registreringsskyldigheten i fråga om vissa upptagningar för automatisk databehandling.
2 §
Beträffande handling som registrerats enligt 1 § skall av registret framgå
1.datum, då handlingen kom in eller upprättades,
2.diarienummer eller annan beteckning som har åsatts handlingen,
| 60 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
3.i förekommande fall från vem handlingen har kommit in eller till vem den har expedierats,
4.i korthet vad handlingen rör.
| Vid registrering skall dock uppgift | Vid registrering skall dock uppgift |
| enligt första stycket 3 eller 4 ute- | enligt första stycket 3 eller 4 ute- |
| lämnas eller särskiljas om det be- | lämnas eller särskiljas om det be- |
| hövs för att registret i övriga delar | hövs för att registret i övriga delar |
| skall kunna företes för allmänhe- | skall kunna visas för allmänheten. |
| ten. |
Regeringen får beträffande visst register föreskriva att föreskriften i andra stycket inte skall tillämpas, om denna annars skulle omfatta flertalet i registret upptagna handlingar.
Hemligstämpling
3 §
Kan det antas att hinder mot utlämnande av uppgift i allmän handling föreligger enligt sekretessbestämmelse i denna lag eller annan författning, får myndighet utmärka detta genom särskild anteckning. Sådan anteckning skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för anteckningen och den myndighet, som har låtit göra den.
Kan det antas att hinder mot utlämnande av allmän uppgift föreligger enligt någon sekretessbestämmelse i denna lag eller annan författning, får myndigheten markera detta särskilt. En sådan markering skall innehålla beteckningen hemlig samt ange tillämplig bestämmelse, dagen för markeringen och den myndighet, som har låtit göra den.
SOU 1997: 39
Författningsförslag: Sekretesslagen 61
Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän handling, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av viss myndighet, skall handling som avses med sådan föreskrift så snart det kan ske förses med anteckning enligt första stycket. Anteckningen skall innehålla uppgift om vilken myndighet som är behörig att pröva fråga om utlämnande.
Har genom förordning meddelats föreskrift att fråga om utlämnande till enskild av allmän uppgift, som är av synnerlig betydelse för rikets säkerhet, får prövas endast av en viss myndighet, skall handling eller databas som innehåller sådana uppgifter så snart det kan ske förses med markering enligt första stycket. Markeringen skall innehålla uppgift om vilken myndighet som är behörig att pröva frågan om utlämnande.
Myndigheternas serviceskyldighet
4 §
Myndighet skall på begäran av enskild lämna uppgift ur allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
Bestämmelser om tillhandahållande av allmän handling finns i
2 kap. 12 § tryckfrihetsförordningen.
En myndighet skall, utöver vad som följer av 2 kap. 14 och 15 §§ tryckfrihetsförordningen, på begäran av enskild lämna allmänna uppgifter ur handlingar och databaser hos myndigheten i den mån hinder inte möter på grund av någon sekretessbestämmelse eller av hänsyn till arbetets behöriga gång.
Om en enskild begär att få allmänna uppgifter i elektronisk form skall myndigheten lämna de upplysningar och den hjälp som den enskilde behöver, under förutsättning att det kan ske utan olägenhet.
| 62 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
En myndighet som med tekniska hjälpmedel kan tillhandahålla allmänna uppgifter som finns i en annan myndighets förvar skall hjälpa den enskilde att ta del av dessa uppgifter. Detta gäller inte om uppgifterna är tillgängliga för allmänheten via allmänt nät eller liknande, eller om det skulle orsaka myndigheten påtagliga olägenheter att tillgodose en sådan begäran.
5 §
Myndighet skall på begäran av annan myndighet lämna uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång.
Prövning av begäran om utlämnande
6 §
Av 2 kap. 14 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän handling till enskild prövas av den myndighet som förvarar handlingen, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.
Av 2 kap. 16 § andra stycket tryckfrihetsförordningen framgår att fråga om utlämnande av allmän uppgift till enskild prövas av den myndighet som har uppgiften i sitt förvar, om det inte är föreskrivet att prövningen skall ankomma på annan myndighet.
SOU 1997: 39
Författningsförslag: Sekretesslagen 63
Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling, ankommer det på honom att i första hand pröva fråga om handlingens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut handling eller lämnar han ut handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.
Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling eller databas där uppgiften finns, ankommer det på honom att i första hand pröva fråga om uppgiftens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut en uppgift eller lämnar han ut en uppgift med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.
Beslut som avses i 2 kap. 17 § tryckfrihetsförordningen överklagas, om inte annat följer av andra– fjärde styckena, hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande. Har beslut som avses i första stycket meddelats av tingsrätt och rör det uppgift i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut tillämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.| 64 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
Överklagande
7 §
Beslut varigenom myndighet har avslagit enskilds begäran att få ta del av handling eller lämnat ut allmän handling med förbehåll, som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den, får överklagas av sökanden. Om inte annat följer av andra–fjärde styckena, överklagas beslutet hos kammarrätten eller, såvitt gäller kammarrätts beslut i där väckt ärende, hos Regeringsrätten. Har beslutet meddelats av organ som avses i 1 kap. 8 § andra stycket eller 9 § tillämpas bestämmelserna i 23–25 §§ och 30 § första meningen förvaltningslagen (1986:223) om överklagande.
Har beslut som avses i första stycket meddelats av tingsrätt och rör det handling i domstols rättskipande eller rättsvårdande verksamhet, överklagas det hos hovrätten. Motsvarande beslut av hovrätt i där väckt eller dit överklagat ärende överklagas hos Högsta domstolen. Vid överklagande av tingsrätts eller hovrätts beslut til??lämpas i övrigt bestämmelserna i rättegångsbalken om överklagande av beslut.
Första och andra styckena gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.
SOU 1997: 39
Författningsförslag: Sekretesslagen 65
| Att beslut av statsråd skall över- | Att beslut av statsråd skall över- | ||||
| klagas hos regeringen föreskrivs i | klagas hos regeringen föreskrivs i | ||||
| 2 kap. | 15 § | tryckfrihetsförord- | 2 kap. | 17 § | tryckfrihetsförord- |
| ningen. | ningen. | ||||
Angående rätt att överklaga beslut av myndighet som lyder under riks-
| dagen är särskilt föreskrivet. | |
| 8 § | |
| Beslut varigenom myndighet har | Beslut varigenom myndighet har |
| avslagit annan myndighets begäran | avslagit en annan myndighets be- |
| att få ta del av handling eller på | gäran att få ta del av uppgift får |
| annat sätt få del av uppgift får | överklagas i samma ordning som |
| överklagas i samma ordning som | gäller i fråga om överklagande en- |
| gäller i fråga om överklagande en- | ligt 7 §. Överklagandet görs hos |
| ligt 7 §. Överklagandet görs hos | regeringen, om beslutet har med- |
| regeringen, om beslutet har med- | delats av en statlig myndighet och |
| delats av en statlig myndighet och | överklagas av en annan statlig |
| överklagas av en annan statlig | myndighet. |
| myndighet. |
Första stycket gäller inte för beslut av riksdagen, regeringen, Högsta domstolen eller Regeringsrätten.
Har i lag eller förordning meddelats bestämmelse som avviker från föreskrifterna i första stycket, gäller den bestämmelsen.
I fråga om beslut som har meddelats av myndighet som lyder under riksdagen är särskilt föreskrivet.
| 66 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
Särskilda bestämmelser om upp- En god offentlighetsstruktur tagningar för automatisk databe-
handling
9 §
Myndighet som i sin verksamhet använder automatisk databehandling skall ordna denna med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna handlingar. Därvid skall myndigheten särskilt beakta
1.att allmänna handlingar bör hållas åtskilda från andra handlingar,
2.att skyddet av sekretessbelagda uppgifter i upptagningar som är allmänna handlingar bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,
3.att uppgifter i upptagningar som är allmänna handlingar inte bör innehålla förkortningar, koder och liknande som kan försvåra för den enskilde att ta del av handlingen,
4.att det bör framgå när uppgifter tillförts en upptagning som är allmän handling och, om de ändrats eller gallrats, vid vilken tidpunkt detta skett.
När en myndighet använder automatisk databehandling i sin verksamhet skall det ske med beaktande av den i tryckfrihetsförordningen stadgade rätten att ta del av allmänna uppgifter. Därvid skall myndigheten särskilt beakta
1.att allmänna uppgifter bör hållas åtskilda från andra uppgifter,
2.att skyddet av allmänna uppgifter som är sekretessbelagda bör vara sådant att insynen enligt tryckfrihetsförordningen inte försvåras,
3.att allmänna uppgifter bör presenteras i klartext,
4.att det bör framgå när allmänna uppgifter har tillförts en databas och, om de har ändrats eller gallrats, vid vilken tidpunkt detta skett.
SOU 1997: 39
Författningsförslag: Sekretesslagen 67
Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja terminal eller annat tekniskt hjälpmedel hos myndigheten för att ta del av allmänna handlingar.
Myndigheten skall vidare ordna databehandlingen med beaktande av det intresse som enskilda kan ha att själva utnyttja tekniska hjälpmedel för att ta del av allmänna uppgifter.
| 10 § | |||||||
| Myndighet skall på begäran bereda | Myndighet skall på begäran bereda | ||||||
| enskild tillfälle att själv använda | enskild tillfälle att själv använda | ||||||
| terminal eller annat tekniskt | tekniska hjälpmedel som myndig- | ||||||
| hjälpmedel som myndigheten för- | heten förfogar över för att ta del av | ||||||
| fogar över för att ta del av upptag- | allmänna | uppgifter. | Myndigheten | ||||
| ning för automatisk databehand- | skall | därvid | lämna | nödvändiga | |||
| ling. Sådan skyldighet föreligger | upplysningar | om | användningen. | ||||
| dock inte, om sökanden därigenom | Sådan | skyldighet | föreligger | dock | |||
| får tillgång till upptagning som inte | inte, om sökanden därigenom får | ||||||
| anses som allmän handling hos | tillgång till uppgifter som inte är | ||||||
| myndigheten eller om hinder möter | allmänna | hos | myndigheten | eller | |||
| på grund av bestämmelse om sekre- | om hinder möter på grund av be- | ||||||
| tess, på grund av fara för för- | stämmelse om sekretess, på grund | ||||||
| vanskning eller förstöring eller av | av fara för förvanskning eller för- | ||||||
| hänsyn till arbetets behöriga gång. | störing eller av hänsyn till arbetets | ||||||
| behöriga gång. | |||||||
I fråga om beslut, varigenom myndighet har avslagit enskilds begäran enligt första stycket, tillämpas vad som är föreskrivet om överklagande av beslut som avses i 7 § första stycket.
| 68 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
Dokumentationsskyldighet
11 §
Varje myndighet skall för allmänheten hålla tillgänglig beskrivning av de register, förteckningar eller andra anteckningar hos myndigheten som förs med hjälp av automatisk databehandling (ADB-re- gister). Sådan skyldighet föreligger dock inte i fråga om ADB-register som inte till någon del anses som allmän handling hos myndigheten. Myndigheten är inte heller skyldig att tillhandahålla beskrivning som uppenbarligen skulle vara av ringa betydelse för enskildas rätt att ta del av allmänna handlingar hos myndigheten.
Beskrivning som avses i första stycket skall ge upplysning om
1.ADB-registrets benämning,
2.ADB-registrets ändamål,
3.vilka typer av uppgifter i ADB- registret som myndigheten har tillgång till och på vilket sätt dessa uppgifter normalt inhämtas,
4.hos vilka andra myndigheter ADB-registret är tillgängligt för överföring till läsbar form,
5.vilka terminaler eller andra tekniska hjälpmedel som enskild själv kan få utnyttja hos myndigheten,
Om en myndighet för handläggningen av ett mål eller ärende använder en uppgift i en databas skall uppgiften på lämpligt sätt tillföras målet eller ärendet.
SOU 1997: 39
Författningsförslag: Sekretesslagen 69
6.vilka bestämmelser om sekretess som myndigheten vanligen skall tillämpa på uppgifter i ADB-registret,
7.vem som hos myndigheten kan lämna närmare upplysningar om ADB-registret och dess användning i myndighetens verksamhet,
8.rätt till försäljning av personuppgifter i personregister som avses i datalagen (1973:289).
I beskrivningen skall dock uppgift enligt andra stycket utelämnas, om det behövs för att beskrivningen i övriga delar skall kunna företes för allmänheten.
Systemdokumentation
12 §
Myndighet skall på begäran av enskild lämna de särskilda upplysningar som den enskilde behöver för att kunna ta del av upptagningar för automatisk databehandling som anses som allmänna handlingar hos myndigheten. Så- dan skyldighet föreligger dock inte i den mån hinder möter av hänsyn till arbetets behöriga gång.
En myndighet som i sin myndighetsutövning använder tekniska hjälpmedel för att fatta automatiserade beslut skall hålla systemdokumentation tillgänglig för allmänheten. Av dokumentationen skall framgå
1.ändamålet med systemet,
2.vilka uppgifter som används i systemet,
3.varifrån och hur de uppgifter som används i systemet hämtas,
| 70 Författningsförslag: Sekretesslagen | SOU 1997: 39 |
4. hur aktuella rättsregler har omvandlats till logiska regler i systemet,
5. vem som hos myndigheten kan lämna närmare upplysningar om hur systemet fungerar.
Dokumentationen får dock inte innehålla upplysningar som kan leda till att sekretessbelagda uppgifter om systemet röjs.
13 §
Om upptagning för automatisk databehandling förs in i ett ADB-re- gister som är tillgängligt för flera myndigheter för överföring i läsbar form, är endast den myndighet som gör införingen registreringsskyldig enligt 1 §.
1.Denna lag träder i kraft den 1 januari 1999.
2.Beträffande uppgift i ärende som avgjorts genom beslut av Datainspektionen före den 1 januari 1999 gäller dock fortfarande 9 kap. 6 § i den äldre lydelsen.
SOU 1997: 39
Författningsförslag: Arkivlagen 71
f)Förslag till
Lag om ändring i Arkivlagen (1990:782)
Härigenom föreskrivs att 1, 3, 5, 6, 10, 12, och 15 §§ arkivlagen (1990:782) skall ha följande lydelse.
| Nuvarande lydelse | Föreslagen lydelse |
| 1 § |
I denna lag ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna.
Bestämmelserna i 3–6 och 10 §§ skall tillämpas också på statliga, kommunala och kyrkokommunala beslutande församlingar.
| Bestämmelserna i 3–6 samt 9 | Bestämmelserna i 3–6 samt 9 |
| och 10 §§ skall i tillämpliga delar | och 10 §§ skall i tillämpliga delar |
| gälla också sådana enskilda organ | gälla också sådana enskilda organ |
| hos vilka allmänna handlingar för- | som har allmänna uppgifter i sitt |
| varas med stöd av lagen | förvar med stöd av lagen |
| (1994:1383) om överlämnande av | (1994:1383) om överlämnande av |
| allmänna handlingar till andra or- | allmänna handlingar till andra or- |
| gan än myndigheter för förvaring. | gan än myndigheter för förvaring. |
| 72 Författningsförslag: Arkivlagen | SOU 1997: 39 |
3 §
En myndighets arkiv bildas av de En myndighets arkiv bildas av de allmänna handlingarna från mynhandlingar och databaser med dighetens verksamhet och sådana allmänna uppgifter som finns i handlingar som avses i 2 kap. 9 § myndighetens förvar. tryckfrihetsförordningen och som
myndigheten beslutar skall tas om hand för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, skall dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.
Myndigheternas arkiv är en del av det nationella kulturarvet.
Myndigheternas arkiv skall bevaras, hållas ordnade och vårdas så att de tillgodoser
| 1. rätten att ta del av allmänna | 1. rätten att | ta del av allmänna |
| handlingar, | uppgifter, |
2.behovet av information för rättskipningen och förvaltningen, och
3.forskningens behov.
| 5 § | |||
| Som grund för arkivvården skall myndigheterna | |||
| 1. vid | registreringen av | allmänna | 1. vid registreringen av handlingar |
| handlingar ta vederbörlig hänsyn | med allmänna uppgifter ta ve- | ||
| till dess betydelse för en ända- | derbörlig hänsyn till dess bety- | ||
| målsenlig arkivvård, och | delse för en ändamålsenlig ar- | ||
| 2. vid | framställningen | av hand- | kivvård, och |
| 2. vid framställningen av hand- | |||
| lingar använda materiel och me- | lingar och databaser använda | ||
| toder som är lämpliga med hän- | materiel och metoder som är | ||
| syn till behovet av arkivbestän- | lämpliga med hänsyn till beho- | ||
| dighet. | vet av arkivbeständighet. | ||
SOU 1997: 39
Författningsförslag: Arkivlagen 73
| 6 § | ||
| I arkivvården ingår att myndigheten skall | ||
| 1. organisera arkivet på ett sådant | 1. | organisera arkivet på ett sådant |
| sätt att rätten att ta del av all- | sätt att rätten att ta del av all- | |
| männa handlingar underlättas, | männa uppgifter underlättas, | |
| 2. upprätta dels en arkivbeskriv- | 2. | upprätta dels en arkivbeskriv- |
| ning som ger information om | ning som ger information om | |
| vilka slag av handlingar som kan | vilka slag av handlingar och da- | |
| finnas i myndighetens arkiv och | tabaser som kan finnas i myn- | |
| hur arkivet är organiserat, dels | dighetens arkiv och hur arkivet | |
| en systematisk arkivförteckning, | är organiserat, dels en systema- | |
| tisk arkivförteckning, | ||
3. skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst,
| 4. avgränsa arkivet genom att fast- | 4. avgränsa arkivet genom att fast- | ||
| ställa vilka handlingar som skall | ställa | vilka | uppgifter enligt |
| vara arkivhandlingar, och | 2 kap. | 10 § | tryckfrihetsförord- |
| ningen som skall höra till arki- | |||
| vet, och | |||
| 5. verkställa föreskriven gallring i arkivet. | |||
| 10 § | |||
| Allmänna handlingar får gallras. | Allmänna uppgifter får gallras. | ||
Vid gallring skall dock alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår skall kunna tillgodose de ända-
| mål som anges i 3 § tredje stycket. | |
| Om det finns avvikande be- | Om det finns avvikande be- |
| stämmelser om gallring av vissa | stämmelser om gallring av vissa |
| allmänna handlingar i annan lag | allmänna uppgifter i annan lag eller |
| eller i förordning gäller dessa be- | i förordning gäller dessa be- |
| stämmelser, dock med undantag för | stämmelser. |
| bestämmelserna i 12 § datalagen | |
| (1973:289). |
| 74 Författningsförslag: Arkivlagen | SOU 1997: 39 |
12 §
Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av
Utöver vad som följer av bestämmelserna i 9, 10 och 11 §§ får en statlig myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av
1.lag eller föreskrift som meddelas av regeringen eller den myndighet som regeringen bestämmer, eller
2.särskilt beslut av regeringen.
Första stycket gäller inte handlingar som en myndighet har fått som lån.
15 §
Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av
Utöver vad som följer av bestämmelserna i 9, 10 och 14 §§ får en kommunal myndighet avhända sig handlingar och databaser med allmänna uppgifter endast genom sådant återlämnande eller överlämnande som sker med stöd av
1.lag, eller
2.särskilt beslut av kommunfullmäktige eller landstingsfullmäktige.
Första stycket gäller inte handlingar som en myndighet har fått som lån.
Denna lag träder i kraft den 1 januari 1999.
| SOU 1997: 39 | 75 |
UTREDNINGSARBETET
Utredningsuppdraget
Regeringen beslöt den 15 juni 1995 direktiv för utredningen (dir. 1995:91). Direktiven finns fogade till detta betänkande som bilaga 1. Dessutom har vi, liksom alla andra kommittéer, att beakta direktiven den 10 juni 1996 från regeringen om att redovisa konsekvenser för brottsligheten och det brottsförebyggande arbetet (dir. 1996:49).
Sammanfattningsvis kan sägas att vi har haft två huvuduppgifter:
N Göra en total revision av datalagen och analysera på vilket sätt EG-di- rektivet om personuppgifter skall införlivas i svensk rätt.
N Anpassa grundlagsreglerna om allmänna handlingars offentlighet till den nya tekniken.
Vi har också, enligt direktiven, haft stor frihet att ta upp de ytterligare frågor som behöver övervägas inom ramen för uppdraget.
Hur utredningen har bedrivits
Utredningstiden har varit knapp. Kommittén i sin helhet har haft sammanträde ungefär en gång per månad. Dessutom har en s.k. redaktionskommitté, bestående av ordföranden och experterna, haft sammanträde ungefär en gång per månad. Kommittéledamöterna har vidare haft ett internatsammanträde under två dagar.
| 76 Utredningsarbetet | SOU 1997: 39 |
Regeringen har enligt beslut vid sitt sammanträde torsdagen den 7 mars 19961 till oss lämnat över en skrivelse från Landstingsförbundet om en översyn av 23 § datalagen.
För att hämta in synpunkter från aktörer på arbetsmarknaden har vi haft en s.k. hearing till vilken inbjudits representanter för Arbetsgivarverket, Landsorganisationen i Sverige, Landstingsförbundet, SACO, Sveriges akademikers centralorganisation, Svenska Arbetsgivareföreningen, Svenska Kommunförbundet och Tjänstemännens centralorganisation.
Kommittén har varit representerad, genom ordförande eller sekreterare, vid olika konferenser och seminarier av intresse för utredningsuppdraget. Som exempel kan nämnas konferenser eller liknande ordnade av
N Förvaltningspolitiska kommissionen (Fi 1995:13), N IT-kommissionen (SB 1995:01),
N Folkomröstningsutredningen (Ju 1996:01),
N Kommunikationsforskningsberedningen, N Europarådet,
N Europeiska kommissionen,
N Svenska föreningen för ADB och juridik, N Riksarkivet,
N Astra,
N Datainspektionen, N Statskontoret,
N Institutet för rättsinformatik vid universitetet i Hannover, Tyskland, N Det nordiska juristmötet,
N Europeiska Rättsakademien i Trier, N Telia Infomedia och
N Centre de Recherches Informatique et Droit (CRID) vid universitetet i Namur, Belgien.
Ordföranden och sekreterarna har deltagit i ett seminarium i Norge med representanter för de utredningar i Norden som har till uppdrag att lämna förslag till hur EG-direktivet om personuppgifter skall genomföras.
En av sekreterarna har deltagit i ett internationellt akademiskt seminarium om genomförandet av EG-direktivet arrangerat av Institutet för rättsinformatik vid universitet i Hannover.
| 1 | Dnr Ju 95/4244. |
SOU 1997: 39
Utredningsarbetet 77
Sekreterarna har haft ett möte angående bl.a. tolkningen av EG-direkti- vet med dr Ulf Brühann, Chef de l’Unité Libre circulation de l’information, protection des données et les aspects internationaux s’y référant vid generaldirektorat XV vid Europeiska gemenskapernas kommission.
Sekreterarna har därutöver haft olika kontakter med personer som medverkat vid andra länders genomförande av EG-direktivet, bl.a. kontakter med N professorn Jos Dumortier, Interdisciplinary Centre for Law & IT vid det katolska universitetet i Leuven, Belgien, som för den belgiska regeringen har utarbetat ett förslag till genomförande av EG-direktivet, och
dennes assistent,
N olika representanter i den finländska kommissionen för att genomföra direktivet, bl.a. professorn Ahti Saarenpää, universitetet i Lappland, och dataskyddsombudsmannen Jorma Kuopus,
N direktøren Henrik Waaben, Registertilsynet i Danmark, och professorn Peter Blume, Københavns universitet samt
N Frau Valtraut Kotschy, Bundeskanzleramt i Österrike.
Vi har vidare under utredningsarbetets gång haft kontakter med bl.a. N Socialvetenskapliga forskningsrådet och dess etiska kommitté,
N Humanistisk-samhällsvetenskapliga forskningsrådet och dess etiska kommitté,
N Nämnden för forskningsetik inom den medicinska forskningen, N Justitiekanslern,
N Patent- och registreringsverket, N Socialstyrelsen,
N Datatilsynet i Norge,
N Commission de la protection de la vie privée i Belgien, N Föreningen Svenska Marknadsinformationsföretag och N USA:s ambassad i Stockholm.
Vi har vidare haft samråd och andra kontakter – ofta på sekretariatsnivå – med flera statliga utredningar, bl.a.
N IT-kommissionen (SB 1995:01),
N Ungdomens IT-råd (SB 1995:02), N IT-utredningen (Ju 1994:05),
N Mediekommittén (Ju 1994:13),
N Registerutredningen (Ju 1995:01),
N Katalogutredningen (K 1995:06),
N Utredningen om register för forskning inom rättspsykiatrin (S 1995:07),
| 78 Utredningsarbetet | SOU 1997: 39 |
N Utredningen om fastighetsdatasystemets författningsreglering (Ju 1995:09),
N Penningtvättutredningen (Fi 1995:18),
N Pliktregisterutredningen (Fö 1996:03),
N utredningen Kulturnät Sverige (Ku 1995:03), N Skatteflyktskommittén (Fi 1995:04),
N Förvaltningspolitiska kommissionen (Fi 1995:13),
N Utredningen om trossamfundens rättsliga reglering (C 1995:11), N Grunddatabasutredningen (Fi 1996:06) och
N Utredningen för översyn av inkomstbegreppet inom bidrags- och socialförsäkringssystemen (S 1996:06).
Kommittén har spritt kunskap om utredningsuppdraget och sin verksamhet genom en s.k. hemsida på Internet.
Jur.kand. Per Hammarstedt har kontrollerat de hänvisningar betänkandet innehåller.
Dispositionen av betänkandet
Inledning
Utredningsuppdraget har innefattat två huvuduppgifter, dels göra en total översyn av 1973 års datalag och lämna förslag till hur EG-direktivet om personuppgifter kan införlivas i svensk rätt, dels anpassa grundlagsreglerna om offentlighetsprincipen till den nya tekniken.
Redovisningen av de båda huvuduppgifterna sker i två skilda delar i betänkandet. Den första delen kallas EN NY PERSONDATALAG och den andra kallas OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET. Avsnitten i de båda delarna har en löpande numrering. Därutöver finns avsnitt som är gemensamma för de två delarna och som inte har numrerats. Det gäller förteckningen över använda förkortningar, sammanfattningen, författningsförslagen och detta inledande avsnitt om utredningsarbetet och dispositionen av betänkandet samt de avslutande avsnitten med konsekvensredovisning och författningskommentarer. I bilaga 6 finns en gemensam litteraturförteckning och i bilaga 1 finns, som nämnts, våra utredningsdirektiv. Bilaga 7 innehåller en gemensam sammanfattning på engelska.
SOU 1997: 39
Utredningsarbetet 79
Sist i betänkandet – men före bilagorna – kommer de reservationer och särskilda yttranden som har avgetts.
Till varje avsnitt med överväganden – och till vissa underavsnitt – finns en ruta som innehåller en kort sammanfattning.
EN NY PERSONDATALAG
Denna del av betänkandet inleds med en kortfattad redovisning av gällande rätt i huvuddrag, dvs. en beskrivning av den föråldrade datalagen från år 1973 (avsnitt 1). Därefter följer en redovisning av tidigare försök att revidera datalagen i form av de förslag som fördes fram år 1993 av Datalagsutredningen och som i huvudsak inte följts (avsnitt 2). Även remissinstansernas synpunkter och de smärre författningsjusteringar som förslagen medfört redovisas här.
Efter denna redovisning av var vi i Sverige står i dag kommer en ganska omfattande formell analys av det nya EG-direktiv om personuppgifter som Sverige har att genomföra (avsnitt 3). Själva direktivtexten på svenska finns i bilaga 2. Även övriga internationella regler – inom OECD och Europarådet – berörs kortfattat i ett särskilt avsnitt (avsnitt 4).
Utöver information om det som redan nämnts – läget i dag i Sverige, inklusive tidigare förslag som inte kunnat godtas, och Sveriges skyldigheter i förhållande till andra stater – har vi ansett att det som utgångspunkt för våra överväganden behövs även information om det som lagstiftningen skall skydda, nämligen den personliga integriteten, om vad svenska män och kvinnor i allmänhet tycker i dessa frågor och om vad som är möjligt att göra med den nya tekniken. Våra egna undersökningar om teknikens möjligheter i dag och i framtiden har emellertid gett vid handen att det knappast finns några bestående tekniska begränsningar som bör beaktas vid utformningen av den nya persondataskyddslagstiftningen; det mesta i fråga om automatiserad behandling av personuppgifter är eller kommer att bli tekniskt möjligt. Detta redogör vi för kortfattat i ett särskilt avsnitt (avsnitt 5), och bilaga 3 innehåller en rapport med tekniska synpunkter på innehållet i betänkandet. Frågorna om innebörden av begreppet personlig integritet och om allmänhetens inställning till behandling av personuppgifter behandlas av anlitade experter vilkas rapporter finns i bilaga 4 och 5. För åsikterna i dessa rapporter svarar naturligtvis experterna själva.
Den första fråga som vi har ansett oss böra överväga är vilken allmän inriktning en ny lagstiftning för att skydda den personliga integriteten bör ha. Bör lagstiftningen reglera själva hanteringen av personuppgifter eller
| 80 Utredningsarbetet | SOU 1997: 39 |
bara sådan användning av uppgifter som kan karakteriseras som ett missbruk? Denna fråga, liksom frågan om hur man bör se på saken i ett längre perspektiv, berörs i det inledande avsnittet med överväganden (avsnitt 6). Den slutsats som vi kommer till i detta avsnitt kan sägas innebära att det enda sättet för oss att uppfylla uppdraget att lämna förslag till genomförande av EG-direktivet är att i enlighet med direktivet reglera hanteringen av personuppgifter och därvid nära följa direktivets uppbyggnad och struktur; i ett något längre perspektiv bör man dock försöka koncentrera sig mera på att stävja och beivra missbruk än att reglera en hantering som snart sagt alla kan hålla på med.
Mot bakgrund av den redovisade slutsatsen innehåller de följande avsnitten närmast en redogörelse för hur EG-direktivets bestämmelser lämpligen bör överföras till svensk lagstiftning och hur man bör utnyttja det spelrum som EG-direktivet medger vid genomförandet. Därvid berörs först vilka typer av behandling av personuppgifter som bör omfattas av en ny persondatalag och huruvida lagen i princip bör vara generellt tillämplig på alla behandlingstyper som bör omfattas (avsnitt 7).
Mycket av den behandling som äger rum inom främst den allmänna sektorn regleras i dag i särskilda registerförfattningar. Frågan om systemet med särskilda registerförfattningar och förhållandet mellan den nya persondatalagen och dessa författningar berörs i nästa avsnitt (avsnitt 8).
Därefter kommer två avsnitt om den betydelsefulla frågan hur EG-di- rektivet och den nya persondatalagen förhåller sig till den offentlighetsprincip och den yttrandefrihet som i Sverige är grundlagsfäst (avsnitt 9 och 10).
Frågan om när personuppgifter bör få utnyttjas för att forska eller framställa statistik har diskuterats mycket genom åren. Den frågan berörs i ett särskilt avsnitt (avsnitt 11). Därefter kommer ett omfattande avsnitt om det materiella innehållet (i övrigt) i den nya persondatalagen (avsnitt 12). Det avsnittet innehåller såväl allmänna överväganden som kommentarer av närmast detaljkaraktär till de föreslagna bestämmelserna.
Avslutningsvis i denna del av betänkandet finns ett avsnitt om sådana regler i den nuvarande datalagen som inte passar in i en ny persondatalag utan bör flyttas till annan lagstiftning (avsnitt 13).
Eftersom de föreslagna bestämmelserna i persondatalagen har berörts i detalj redan i den allmänna motiveringen i huvudavsnitten, innehåller det särskilda avsnittet med författningskommentarer till den föreslagna persondatalagen bara ett slags ”nyckel” med hänvisningar till de avsnitt där respektive paragraf berörs.
SOU 1997: 39
Utredningsarbetet 81
OFFENTLIGHETSPRINCIPEN I IT-SAMHÄLLET
I den andra delen av betänkandet föreslår vi hur bestämmelserna i 2 kap. TF om offentlighetsprincipen kan anpassas till den nya tekniken. Den innehåller till att börja med en kort beskrivning av offentlighetsprincipens grundläggande syften och dess nuvarande reglering (avsnitt 14).
Vi försöker därefter beskriva hur de tekniska förutsättningarna har ändrats sedan begreppet allmän handling fick en ny innebörd 1976 och vilka problem den då införda regleringen vållar i den nuvarande tekniska miljön (avsnitt 15). Vidare gör vi ett försök att blicka framåt när det gäller den tekniska utvecklingen och anger två utgångspunkter för våra överväganden: Offentlighetsprincipen skall vara så vid som möjligt. Reglerna skall vara så tydliga och enkla som möjligt.
I den gällande lagen är det främst begreppet handling (som omfattar varje uppgiftssammanställning som kan göras med rutinbetonade åtgärder) och förvaringsrekvisitet (som omfattar allt som är tillgängligt för myndigheten) som vållar problem. I syfte att åstadkomma en mera lättillämpad ordning föreslår vi en delvis ny begreppsapparat där begreppet allmän uppgift är centralt och där förvaringsrekvisitet återfår sin egentliga betydelse (avsnitt 16).
Rätten att använda sökverktyg för att söka eller sammanställa uppgifter är svagt utvecklad i den gällande lagen. I en modern teknisk miljö är emellertid sådana funktioner avgörande för rätten att ta del av allmänna uppgifter. Vi lämnar därför förslag till en uttrycklig bestämmelse om detta i lagen (avsnitt 17).
En fråga som är i hög grad aktuell är allmänhetens möjligheter att ta del av allmänna uppgifter på elektronisk väg. Även om frågan inte finns uttryckligen nämnd i vårt uppdrag är det oundvikligt, anser vi, att ta upp den (avsnitt 18). Vårt förslag innebär att det införs en sådan rätt, om än inte undantagslös, för allmänheten att få ut allmänna uppgifter i elektronisk form. Vi berör också något frågan om sekretessprövning av uppgifter som läggs ut allmänt tillgängliga t.ex. via en presentationsterminal eller allmänna nätverk.
Såsom vårt uppdrag anger överväger vi den s.k. biblioteksregeln särskilt (avsnitt 19). Vårt förslag till ny begreppsapparat i 2 kap. TF innebär emellertid att specialbestämmelsen i 11 § andra stycket som syftar till att bl.a. avskära kommersiella databaser från offentlighetsprincipen blir överflödig.
| 82 Utredningsarbetet | SOU 1997: 39 |
Enligt gällande rätt är även myndigheternas datorprogram allmänna handlingar som omfattas av offentlighetsprincipen. En rätt för allmänheten att få ut sådana i elektronisk form – i enlighet med vad vi föreslår – skulle emellertid kollidera med upphovsrätten till sådana program. Vi lämnar därför förslag till hur denna konflikt skall lösas (avsnitt 20).
Myndigheternas skyldighet att dels dokumentera de uppgifter de använder dels registrera allmänna handlingar är av grundläggande betydelse för offentlighetsprincipen, även om bestämmelserna om detta inte finns i grundlagen. Vi överväger därför dessa frågor särskilt (avsnitt 21).
Slutligen redogör vi för vilka följdändringar som den nya begreppsapparaten i 2 kap. TF bör medföra i sekretesslagen, främst i 15 kap., och i arkivlagen (avsnitt 22). Vi passar i sammanhanget också på att lämna vissa förslag till ändringar i dessa regelverk.
I författningskommentaren till 2 kap. TF, 15 kap. sekretesslagen och arkivlagen kommenteras våra förslag ytterligare. Här finns också hänvisningar till aktuella avsnitt i den allmänna motiveringen.
EN NY
PERSONDATALAG
| SOU 1997: 39 | 85 |
1 Gällande rätt i huvuddrag
Datalagen var modern när den antogs år 1973. Den har ändrats ett antal gånger under årens lopp, men den är i dag ändå föråldrad, såväl innehållsmässigt som lagtekniskt. Vi har på olika sätt tagit del av erfarenheterna av lagens tillämpning. Vi har däremot inte ansett det nödvändigt att här lämna en ingående redovisning av den föråldrade lagen.2 Här ges därför bara en kortfattad och översiktlig beskrivning av regelsystemet.3
Datalagen inleds med en definition av begreppen personuppgift, personregister, registrerad och registeransvarig (1 §).
Med personuppgift avses upplysning som avser enskild person. Det kan vara upplysningar om namn, personnummer, födelsedatum, nationalitet, utbildning, familj och anställningsförhållanden. Även andra typer av upplysningar av mindre personlig karaktär räknas som personuppgifter. Enligt lagmotiven4 avses även uppgifter om en persons bostadsförhållanden, banktillgodohavanden, fastighets- eller bilinnehav och upplysningar i övrigt om en persons ekonomiska ställning.
Med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Bara register som förs med hjälp av ADB omfattas således av datalagen. Register som förs med hjälp av annan teknik än ADB faller i dag utanför lagens tillämpningsområde.
En personuppgift kan hänföras till en viss person antingen direkt genom själva uppgiften eller med hjälp av en identitetsuppgift som också ingår i registret. Även register som innehåller identitetsuppgifter av sådan art att bara den invigde kan utläsa vilka personer som finns registrerade omfattas av datalagen. Likaså omfattas statistiska uppgifter där beteckningar
2Det finns en lagkommentar till lagen: Claes Kring & Sten Wahlqvist, Datalagen med kommentarer, 1989.
3Beskrivningen bygger på Datalagsutredningens motsvarande redovisning.
4Prop. 1973:33 s. 117.
| 86 Gällande rätt i huvuddrag | SOU 1997: 39 |
som också återfinns på dokument gör det möjligt att knyta uppgifterna till en viss person.
Med begreppet registrerad avses en enskild person om vilken det förekommer en personuppgift i ett personregister.
Registeransvarig är den för vars verksamhet personregister förs, om han eller hon förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga.
Bara den som har anmält sig till Datainspektionen och fått licens får inrätta och föra personregister (2 §). Datainspektionen granskar inte anmälan i sak utan ger bara den registeransvarige ett bevis (licens) om att anmälan har gjorts samt ett särskilt licensnummer (10 § dataförordningen). En licens berättigar den registeransvarige att föra ett eller flera personregister. Licens behövs inte för personregister som en enskild person inrättar eller för uteslutande för personligt bruk (2 § 3 st.).
Den som fått licens skall betala en årlig avgift till Datainspektionen.5 Inspektionen får, om det finns särskilda skäl, sätta ned eller efterskänka avgiften. Avgifterna finansierar inspektionens verksamhet.
Med hjälp av ADB för Datainspektionen ett register över licensanmälningar, licensregistret (3 § dataförordningen). Licensregistret får Datainspektionen använda för sin tillsyns- och informationsverksamhet samt som underlag för uppbörd av licensavgifter.
För vissa typer av register med känsliga uppgifter krävs utöver licens även ett särskilt tillstånd från Datainspektionen (2 § 2 st. datalagen). Sådant tillstånd behövs i regel för att inrätta och föra register som innehåller
a)i sig känsliga personuppgifter,
b)omdömen om den registrerade,
c)uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt
d)personuppgifter som hämtas in från något annat personregister (s.k. samkörning), om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande.
Tillstånd behövs inte för personregister som någon inrättar eller för uteslutande för personligt bruk (2 § 3 st.). Tillstånd behövs inte heller för register
51 och 3 §§ förordningen (1982:481) om avgifter för Datainspektionens verksamhet.
SOU 1997: 39
Gällande rätt i huvuddrag 87
vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) eller för register som har tagits emot för förvaring av en arkivmyndighet (2 a § 1 st. 1 och 3). För sådana personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål kan det meddelas särskilda föreskrifter (19 §). Följer den registeransvarige sådana föreskrifter, behövs inte något tillstånd (2 a § 1 st. 2).
Sammanslutningar får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen (2 a § 2 st. 1).
Myndigheter inom hälso- och sjukvården får utan tillstånd för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt (2 a § 2 st. 2). Likaså får myndigheter inom socialtjänsten utan tillstånd inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten (2 a § 2 st. 3).
Läkare och tandläkare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har fått reda på i sin yrkesverksamhet (2 a § 2 st. 4).
Arbetsgivare får utan tillstånd inrätta och föra personregister som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han eller hon skall påbörja en rehabiliteringsutredning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän försäkring (2 a § 2 st. 5).
Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att registreringen medför ett otillbörligt intrång i den registrerades personliga integritet. Om så anses vara fallet, skall tillstånd inte meddelas. Vid prövningen skall inspektionen särskilt beakta
N arten och mängden av de personuppgifter som skall ingå i registret, N hur och från vem uppgifterna skall hämtas in,
N vilken inställning de som kan komma att registreras har eller kan antas ha till saken och
N att inte andra uppgifter eller andra personer registreras än som står i överensstämmelse med ändamålet med registret (3 §).
Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda
| 88 Gällande rätt i huvuddrag | SOU 1997: 39 |
eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §).
Det krävs synnerliga skäl för att andra än myndigheter som enligt lag eller annan författning har att föra förteckning över sådana uppgifter skall kunna få tillstånd att inrätta och föra personregister som innehåller vissa angivna typer av känsliga uppgifter, såsom exempelvis uppgift om att någon misstänks eller har dömts för brott eller varit föremål för vissa tvångsingripanden (4 § 1 st.).
Tillstånd att inrätta och föra personregister som i övrigt innehåller uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen får bara om det finns särskilda skäl meddelas annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter. Särskilda skäl krävs även för registrering av uppgifter om någons ras eller politiska uppfattning eller religiösa övertygelse (4 § 2–3 st.).
När Datainspektionen meddelar tillstånd att inrätta och föra personregister, skall inspektionen samtidigt meddela beslut om ändamålet med registret (5 §). I den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet skall inspektionen i samband med tillståndsgivningen även meddela särskilda villkor (6 §). Sådana villkor får meddelas beträffande exempelvis inhämtande av uppgifter, vilka personuppgifter som får ingå i registret, utlämnande, bevaring och gallring.
Personregister skall inrättas och föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. I 7 § anges närmare vad som skall iakttas för att nå upp till vad som brukar kallas ”god registersed”. Den registeransvarige är också skyldig att förteckna de personregister som han eller hon är ansvarig för (7 a §). Förteckningen skall vara aktuell och hållas tillgänglig för Datainspektionen.
I datalagen finns också särskilda bestämmelser om ADB-användningen som är avsedda att garantera att personuppgifter är riktiga och fullständiga. Dessa bestämmelser, som återfinns i 8 och 9 §§, behandlar bl.a. rättelse av oriktiga och missvisande uppgifter.
En central bestämmelse är vidare 10 §. Den ger den enskilde en rätt till insyn i personregister. Där stadgas att den registeransvarige på skriftlig begäran av den enskilde skall underrätta denne om innehållet i registret, såvitt gäller honom eller henne. Ett sådant registerutdrag, s.k. § 10-utdrag, har den enskilde rätt att kostnadsfritt få en gång per år.
SOU 1997: 39
Gällande rätt i huvuddrag 89
I datalagen finns allmänna bestämmelser om gallring av personuppgifter och om vad som skall iakttas då en registeransvarig upphör att föra ett personregister för vilket Datainspektionen har meddelat tillstånd (12 §). Vissa bestämmelser om tystnadsplikt finns i 13 §.
En särskild bestämmelse om dokumentationsskyldighet avser att göra det möjligt att i efterhand fastställa vilka uppgifter i en ADB-upptagning som har legat till grund för avgörandet av ett mål eller ärende hos en myndighet. Sådan ADB-upptagning skall tillföras handlingarna i målet eller ärendet i läsbar form. Undantag gäller bara om det finns särskilda skäl (14 §).
Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet (15–18 §§).
Inspektionen har möjlighet att meddela villkor eller, om rättelse inte kan åstadkommas på annat sätt, förbjuda förandet av personregister eller återkalla meddelade tillstånd.
Datainspektionens beslut enligt datalagen kan överklagas till länsrätten i Stockholm eller, när en statlig myndighet är registeransvarig, regeringen. Justitiekanslern får föra talan för att ta till vara allmänna intressen. (25 §.)
Bestämmelser om straff och skadestånd finns i 20–21 och 23 §§. Ett personregister kan förklaras förverkat, om det inrättas eller förs utan nödvändig licens eller tillstånd (22 §).
I datalagen regleras även det statliga person- och adressregistret (SPAR), 26–28 §§.
Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan, handläggningen hos Datainspektionen, verkställighetsföreskrifter och bistånd till personer som är registrerade utomlands finns i dataförordningen.
| SOU 1997: 39 | 91 |
2 Datalagsutredningens förslag och utvecklingen därefter
2.1Inledning
Datalagsutredningen presenterade sitt slutbetänkande, En ny datalag (SOU 1993:10), i februari 1993. I sitt arbete hade utredningen beaktat bl.a. det då föreliggande förslaget till EG-direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Utredningens förslag hade till stora delar anpassats till direktivförslaget. Vissa avvikelser förekom emellertid. Sådana bestämmelser i direktivförslaget som inkräktade på den svenska offentlighetsprincipen skulle enligt utredningen inte införas. Utredningen ansåg inte heller att direktivförslagets bestämmelser om anmälningsskyldighet för automatisk databehandling av personuppgifter skulle genomföras fullt ut.
Utredningen var inte enig i alla frågor. Till betänkandet fanns fogat skiljaktiga meningar och särskilda yttranden.
Utredningens förslag har remissbehandlats.
Regeringen lämnade i prop. 1993/94:116 förslag till ändringar i regeringsformen (RF) som bl.a. innebar att regeringen skulle kunna delegera viss normgivningskompetens till Datainspektionen avseende skyddet för den personliga integriteten vid automatisk databehandling av personuppgifter. Vidare anförde regeringen att beslut om en ny datalag borde anstå till dess slutlig ställning hade tagits till EG-direktivet. Vissa angelägna ändringar i datalagen borde enligt regeringen dock vidtas innan dess, och förslag till sådana lämnades i prop. 1993/94:217. Riksdagen beslutade om ändringar i enlighet med de båda förslagen och de nya bestämmelserna trädde i kraft den 1 januari 1995.6
| 6 | SFS 1994:1480 respektive 1994:1485. |
| 92 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
Nedan lämnas först en kort sammanfattning av Datalagsutredningens förslag med noteringar om huvuddragen i remissvaren. Därefter följer en presentation av den lagstiftning som beslutats till följd av förslaget.
2.2Sammanfattning av Datalagsutredningens förslag
2.2.1Lagens tillämpningsområde
Datalagens tillämpningsområde är knutet till begreppet personregister. Datalagsutredningen föreslog att tillämpningsområdet i stället skulle definieras så att lagen var tillämplig på varje behandling av personuppgifter med hjälp av automatisk databehandling, även t.ex. lagring och utlämnande. En sådan definition skulle emellertid leda till att lagens tillämpningsområde blev mycket omfattande. Utredningen konstaterade att vissa undantag måste göras. Undantag skulle enligt förslaget bl.a. göras för sådan behandling som sker uteslutande för personligt bruk eller som avser personuppgifter som ingår i uppslagsverk, ordböcker eller liknande referensmaterial. Vidare skulle inte heller sådana personuppgifter som förekommer i löpande text (ord- och textbehandling) omfattas av lagen.
Remissinstanserna var positiva till att begreppet ”personregister” ersattes med ”behandling av personuppgifter”. Flera instanser pekade dock på de gränsdragningsproblem som kan tänkas uppkomma mellan sådan ord- och textbehandling som faller utanför lagens tillämpningsområde och sådana behandlingar av texten, t.ex. sökningar i den, som omfattas av lagen.
Liksom tidigare skulle datalagen enligt utredningens förslag gälla enbart sådan behandling som sker med hjälp av automatisk databehandling. Detta begrepp borde enligt utredningen inte definieras, bl.a. eftersom en sådan definition snabbt skulle bli inaktuell. I den föreslagna lagen har emellertid klargjorts att i vissa fall även manuella hanteringar av personuppgifter kan omfattas av lagen. Begreppet behandling skulle nämligen innefatta även insamling av personuppgifter som avses bli föremål för automatisk databehandling. Helt manuella behandlingar skulle däremot falla utanför lagens tillämpningsområde.
Remissinstanserna var oeniga i frågan om även helt manuella register skulle omfattas av lagen. Några pekade på fördelarna med att göra lagen
SOU 1997: 39
Datalagsutredningens förslag och utvecklingen därefter 93
helt teknikoberoende, medan andra var av den åsikten att det är just den omständigheten att uppgifterna behandlas automatiskt som gör förfarandet riskfyllt från integritetssynpunkt.
2.2.2Förhållandet till offentlighetsprincipen
Utredningen hade som utgångspunkt att inga inskränkningar skulle göras i offentlighetsprincipen, som bl.a. innebär att alla medborgare har rätt att ta del av myndigheternas handlingar (2 kap. 1 § TF). Förslaget till EG-direk- tiv innehöll, enligt utredningens bedömning, inget formellt hinder mot utlämnande av personuppgifter med stöd av offentlighetsprincipen. I förslaget till ny datalag togs i några bestämmelser dock in en erinran om myndighets skyldighet att lämna ut uppgifter enligt TF. Offentlighetsprincipen innefattar också en rätt för den enskilde att i samband med utfående av sådana uppgifter vara anonym (2 kap. 14 § 3 st. TF). Här måste enligt utredningen göras en avvikelse från direktivförslaget, som innebar att när uppgifter om någon person lämnas ut skall personen underrättas om detta och om vem som har fått del av uppgifterna.
Remissinstanserna uttryckte stöd för att offentlighetsprincipen skall behållas i nuvarande omfattning.
2.2.3Förhållandet till yttrandefriheten
Datalagsutredningen konstaterade att konflikter kunde uppstå mellan å ena sidan datalagen och å andra sidan de bestämmelser i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) som gäller förbud mot censur och annan förhandsgranskning samt rätten för meddelare m.fl. att vara anonyma. Utredningen utgick från att grundlagsbestämmelserna även i fortsättningen skulle tillämpas framför datalagstiftningen vid en konflikt mellan dem, även om skyddet mot otillbörligt intrång i den personliga integriteten i samband med personregistrering med hjälp av automatisk databehandling också har visst grundlagsskydd (2 kap. 3 § 2 st. RF). Någon saklig förändring borde därför enligt utredningen inte göras. Däremot borde det framgå av datalagen att vissa datasamlingar till följd härav inte faller under datalagens tillämpningsområde.
Undantag från lagens tillämpning borde enligt utredningen göras för produktionsregister, dvs. personregister som används som ett direkt tekniskt hjälpmedel i samband med framställning av ett grundlagsskyddat yttrande. Datainspektionens tillsynsverksamhet enligt datalagen skulle näm-
| 94 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
ligen, enligt utredningen, till stora delar strida mot förbudet att granska eller i övrigt vidta någon hindrande åtgärd i samband med framställning av yttrande (1 kap. 2 § TF och 1 kap. 3 § YGL). Vidare borde undantag göras för sådana register som används direkt i den journalistiska verksamheten och som innehåller uppgifter om personer som omfattas av anonymitetsskyddet i 3 kap. 1 § TF. Utredningen pekade på risken att sådana uppgifter kan avslöjas t.ex. i samband med tillsyn av Datainspektionen. Detta skulle i så fall kollidera med anonymitetsskyddet. För övrigt ansåg utredningen att just anonymitetsskyddet i detta sammanhang är det bästa skyddet för den personliga integriteten. Utredningen föreslog slutligen att även klipparkiven skulle undantas, dvs. arkiv som innehåller tidigare publicerade artiklar samt bevarade radio- och TV-inslag. I det sammanhanget gjorde utredningen följande bedömning. Det skulle vara olämpligt om Datainspektionen kunde meddela villkor som t.ex. innebar att tidningarnas egen tillgång till tidigare publicerat material begränsades. Sådana villkor skulle vidare kunna innebära restriktioner i fråga om tryckfriheten. Man ansåg slutligen att allmänheten inte genom datalagen borde hindras från att ta del av sådant material, eftersom det tidigare varit publicerat.
Remissinstanserna gav starkt stöd åt utredningens uttalanden om att bestämmelserna i TF och YGL skall gälla framför datalagen. Flera remissinstanser ansåg dock inte att klipparkiven generellt borde undantas från lagen. Till den del klipparkiven inte kan anses utgöra produktionsregister skulle de, enligt dessa instanser, vara underkastade lagens tillämpning eftersom de inte sällan innehåller känsliga personuppgifter. Å andra sidan förordade många instanser att all behandling av personuppgifter som används i publicistiskt syfte borde undantas från lagen, alltså även uppgifter som använts av journalister, författare m.fl. men som inte blivit publicerade.
2.2.4Tillstånd eller tillsyn
Tillståndsförfarandet enligt datalagen borde enligt utredningen avskaffas. En alltför stor del av Datainspektionens resurser måste läggas på tillståndsärendena på bekostnad av tillsynsverksamheten menade man. Ut- redningen gjorde den bedömningen att om mera tid kunde ägnas åt tillsyn, t.ex. inspektioner, skulle detta leda till en bättre efterlevnad av bestämmelserna på området. Vidare upptar många tillståndsansökningar behandling av både känsliga och icke-känsliga uppgifter. I sådana fall får Datainspektionen ägna tid åt granskning av uppgiftsbehandling som inte är känslig.
SOU 1997: 39
Datalagsutredningens förslag och utvecklingen därefter 95
Dessa resurser borde enligt utredningen i stället läggas på tillsynsverksamheten.
En klar majoritet av remissinstanserna ställde sig positiva till en övergång från en ordning som bygger på tillstånd till ett tillsynssystem.
Enligt förslaget skulle det i stället för tillstånd krävas en anmälan till Datainspektionen för behandling av känsliga personuppgifter. Anmälningarna skulle ligga till grund för inspektionens tillsynsverksamhet. An- mälningsavgifter skulle dessutom finansiera inspektionens verksamhet.
Av de remissinstanser som yttrat sig i frågan avstyrkte de flesta ett införande av en anmälningsplikt för vissa typer av register. Många uttalade farhågor för att anmälningsförfarandet skulle ta stora resurser i anspråk utan att anmälningarna skulle komma att utgöra någon bra grund för tillsynen. En del remissinstanser menade att Datainspektionens verksamhet borde skattefinansieras.
2.2.5Den materiella regleringen i datalagen
2.2.5.1Regler för de olika momenten i behandlingen
Eftersom kravet på tillstånd enligt förslaget skulle försvinna helt, var det enligt utredningen nödvändigt att direkt i lagen ta in tydliga och utförliga bestämmelser som reglerar behandlingen av personuppgifter. Flera allmänt hållna begrepp t.ex. ”otillbörligt intrång i personlig integritet” måste därför ersättas med klarare regler, så att det blir möjligt för en enskild att avgöra om den behandling av personuppgifter som planeras eller utförs uppfyller lagens krav eller ej. Begreppet ”otillbörligt intrång” borde därför enligt utredningen ersättas med regler för de olika momenten i behandlingen. Det skulle med andra ord framgå direkt av lagen i vilka fall det är tillåtet att behandla personuppgifter utan att någon integritetsbedömning först behöver göras.
Remissinstanserna tillstyrkte i huvudsak den metod som utredningen hade valt.
2.2.5.2Personuppgift
Definitionen av begreppet personuppgift skulle enligt förslaget anpassas bättre till internationella regler. Detta skulle innebära att fler uppgifter än nu omfattas, nämligen alla uppgifter som direkt eller indirekt går att här-
| 96 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
leda till en individ. I syfte att begränsa de uppgifter som behandlas skulle endast sådana uppgifter som behövs för angivna ändamål få behandlas.
Remissinstanserna lämnade förslaget i stort sett utan erinran.
2.2.5.3Persondataansvarig
Bestämmelserna om vem som är persondataansvarig (tidigare registeransvarig) borde enligt utredningen utformas på ett sådant sätt att det blev lättare att avgöra hos vem ansvaret låg, särskilt beträffande data som används av flera olika rättssubjekt. Enligt förslaget skulle den vara ansvarig som bestämmer ändamålet med behandlingen, vilka personuppgifter som skall behandlas och hur de skall behandlas. Detta skulle bl.a. medföra att ansvaret läggs på den som har möjlighet att faktiskt påverka innehållet i uppgifterna.
Flera av remissinstanserna ställde sig positiva till förslaget att koncentrera ansvaret för en viss databehandling till ett rättssubjekt. Samtidigt pekade många på svårigheterna att åstadkomma detta i en situation där alltfler system används av flera olika myndigheter och flödet av uppgifter mellan olika rättssubjekt ökar. Många instanser ansåg därför att den aktuella bestämmelsen borde bli föremål för förnyade överväganden.
2.2.5.4Ändamålsanknytningen
All behandling av personuppgifter skulle, liksom tidigare, ha anknytning till ett visst ändamål för att vara tillåten. Bestämmelsen borde enligt utredningen dock preciseras, så att det framgick att ändamålet skall vara uttryckligt angivet och definieras så snävt som möjligt. Ändamålet skulle bestämmas av den som ansvarar för behandlingen av personuppgifterna (den persondataansvarige). Ändamålsanknytningen skulle enligt utredningen vidare fungera som avgränsning mellan olika persondatasamlingar sedan registerbegreppet lämnats. Ytterst skulle det angivna ändamålet också bestämma i vilken omfattning datorlagrade uppgifter hos en myndighet utgör allmän handling och därmed faller under offentlighetsprincipen.
Remissinstanserna var i huvudsak positiva till utredningens ställningstaganden. Några ansåg dock att det borde uppställas ytterligare krav i lagen på att ändamålsbestämningarna är noggrant preciserade. Några instanser ifrågasatte om de ändamål som bestämts av den persondataansvarige själv verkligen bör få avgöra i vilken omfattning uppgifterna skall betraktas som
SOU 1997: 39
Datalagsutredningens förslag och utvecklingen därefter 97
allmän handling, oavsett vilka uppgiftssammanställningar som i och för sig är tekniskt möjliga att göra.
2.2.5.5Förutsättningarna för att få behandla personuppgifter
Vidare borde förutsättningarna för att få behandla personuppgifter framgå direkt av lagen, i stället för som nu – oftast indirekt – som undantag från tillståndsplikten. Personuppgifter skulle enligt förslaget få behandlas endast
N om den enskilde hade samtyckt till behandlingen, eller om behandlingen behövdes för att
N fullgöra ett avtal med den enskilde eller för att på den enskildes begäran vidta förberedande åtgärder inför ett avtal,
N fullgöra åligganden som följer av lag eller annan författning,
N skydda enskilda intressen som är av väsentlig betydelse för den enskilde,
N utföra en uppgift i det allmännas intresse eller i myndighetsutövning av den persondataansvarige eller någon till vilken uppgifterna lämnas ut, eller
N tillgodose ett allmänintresse eller ett intresse hos den persondataansvarige eller någon till vilken uppgifterna lämnas ut, under förutsättning att detta intresse får anses väga tyngre än den enskildes intresse av att uppgifterna om honom inte behandlas.
Dessa bestämmelser skulle också reglera i vilka fall sambearbetningar av uppgifter från olika datasamlingar är tillåten. Särskilda regler skulle gälla för behandling av känsliga personuppgifter.
Remissinstanserna hade i huvudsak inte några invändningar mot den föreslagna konstruktionen. Några menade dock att bestämmelserna till viss del borde förtydligas så att det klarare framgick vad som var tillåtet respektive otil??låtet, detta särskilt mot bakgrund av att ett otillåtet förfarande föreslogs bli straffbelagt.
2.2.5.6Känsliga personuppgifter
För att få behandla känsliga personuppgifter föreslog Datalagsutredningen att det skulle krävas författningsstöd, om inte den registrerade hade lämnat skriftligt samtycke till behandlingen. Enligt förslaget till EG-direktiv skulle för behandling av sådana uppgifter krävas antingen en särskild författningsreglering eller ett tillståndsförfarande. Eftersom tillståndsförfa-
| 98 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
randet enligt utredningens förslag skulle upphöra, återstod möjligheten att reglera sådan behandling i författning (s.k. statsmaktsregister).
Sambearbetning av känsliga personuppgifter skulle enligt utredningsförslaget kräva särskilt stöd i den författning som reglerar bearbetningen, om inte samtycke föreligger.
De remissinstanser som yttrade sig i frågan var huvudsakligen positiva till att behandling av känsliga personuppgifter författningsregleras. Flera ansåg att det skulle vara praktiskt taget omöjligt att i stället tillämpa ett förfarande där samtycke krävs i varje enskilt fall för behandlingen. Några instanser, särskilt inom den kommunala och landstingskommunala sektorn, pekade på det kommande behovet av ett tämligen omfattande författningsarbete.
Utredningen föreslog vidare att två typer av sådana register som innehåller känsliga personuppgifter skulle regleras direkt i datalagen. Behandling av känsliga personuppgifter för forsknings- eller statistikändamål och vissa typer av känsliga personuppgifter för anställningsändamål skulle under särskilda i lagen uppräknade fall kunna ske utan samtycke av de registrerade. Den allmänna bestämmelsen om att uppgifter inte får behandlas för andra ändamål än de som ursprungligen angetts skulle gälla även på forskningsområdet.
En klar majoritet av remissinstanserna tillstyrkte förslaget att nämnda typer av behandlingar som huvudregel skulle kräva samtycke av dem vars uppgifter behandlas. Några instanser, företrädesvis inom forskningssektorn, ansåg att förslaget skulle leda till inskränkningar i forskningsverksamheten. Det är ofta svårt, menade man, att i förväg ange uttömmande vad uppgifterna kommer att användas till, t.ex. inom den medicinska forskningen. Andra instanser menade att undantagen från huvudregeln om samtycke för behandling av personuppgifter på forskningsområdet var alltför långtgående. När det gäller behandlingen av personuppgifter i samband med anställningsförhållanden ansåg vissa att undantag från kravet på samtycke endast skulle göras för löneberäkningar eller liknande.
2.2.5.7Gallring av personuppgifter
Utredningen föreslog att integritetsintressena skulle beaktas i större omfattning än tidigare i gallringssammanhang utan att det för den skull gjordes några avsteg från offentlighetsprincipen. I en särskild bestämmelse angavs därför hur avvägningen skall göras mellan intresset att bevara uppgifterna för framtiden och intresset hos den enskilde att uppgifterna gallras.
SOU 1997: 39
Datalagsutredningens förslag och utvecklingen därefter 99
Flera remissinstanser var kritiska mot den föreslagna bestämmelsen, som man ansåg vara oklar. Det måste, menade dessa instanser, klart framgå vem – Datainspektionen eller arkivmyndigheten – som har den slutliga bestämmanderätten i fråga om gallring.
2.2.6Bemyndigande att meddela föreskrifter
Utredningen konstaterade att datalagen även i fortsättningen måste kunna kompletteras med bestämmelser på lägre nivå. Datainspektionen kan meddela sådana föreskrifter t.ex. i tillståndsärenden. Eftersom tillståndsförfarandet skulle slopas, föreslog utredningen att det i stället skulle tas in en bestämmelse i datalagen, som gav regeringen möjlighet att delegera till Datainspektionen att meddela närmare föreskrifter om tillämpningen av datalagen inom olika branscher eller sektorer. En sådan bestämmelse förutsatte emellertid även en ändring i 8 kap. 7 § RF.
Ändringar av det slag som utredningen föreslog har införts och trätt i kraft den 1 januari 1995.7
2.3Sammanfattning av remissutfallet
Det rådde stor enighet bland remissinstanserna om att det behövs en ny datalag och att den bör vara anpassad till den internationella regleringen, bl.a. det kommande EG-direktivet. Huvuddelen av instanserna ansåg att en ny lag bör avvakta EG-direktivet, men några menade att det är så angeläget att en ny datalag kommer till stånd att man inte skall vänta på direktivet.
Vidare uttalade en klar majoritet av instanserna att den svenska offentlighetsprincipen skall behållas i sin nuvarande omfattning och att – om det skulle behövas – EG-direktivet får stå tillbaka på den punkten. Vissa pekade på den intressekonflikt som kan finnas mellan offentlighet och effektivitet i förvaltningen å ena sidan och personlig integritet å den andra. Det rådde mellan instanserna delade meningar om vilket intresse som skall väga tyngst. Några ansåg att det borde analyseras ytterligare vilka konsekvenser den nya lagen skulle få för offentlighetsprincipen.
Huvuddelen av instanserna ansåg att det skall göras undantag från datalagen för att skydda yttrandefriheten enligt TF och YGL. Däremot var de
| 7 | SFS 1994:1480 och 1994:1485. |
| 100 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
inte överens om hur ett sådant undantag i praktiken skulle utformas. Vissa menade att utredningens förslag skulle innebära att alltför stor del av den behandling av personuppgifter som förekommer inom detta område undantogs från lagens tillämpning. Dessa instanser ansåg att ett alltför omfattande undantag kan medföra intrång i den personliga integriteten. Andra menade att undantaget var för snävt och ansåg att den omständigheten att man reglerar användningen av datorer inte får inskränka den grundlagsfästa yttrandefriheten.
Det rådde stor enighet bland remissinstanserna om att tillståndssystemet borde avskaffas till förmån för ett renodlat tillsynsförfarande. Många påpekade att detta förutsätter klara och precisa regler i datalagen som kan förstås av var och en, och många ansåg att lagförslaget inte uppfyller detta krav. Den föreslagna lagen lämnar, enligt vissa, åt den enskilde att efter avvägningar mellan skilda intressen själv avgöra om en behandling av personuppgifter är tillåten eller inte. Några instanser ansåg att en sådan reglering är otillfredsställande, särskilt eftersom den som inte följer bestämmelserna kan straffas.
Många var kritiska till det föreslagna anmälningsförfarandet som enligt dessa instanser skulle vålla onödig och kostsam byråkrati. Datainspektionens verksamhet borde, enligt vissa, i stället för att betalas genom anmälningsavgifter finansieras via statsbudgeten. En del uttalade också kritik mot de föreslagna bestämmelserna om information och underrättelser till de registrerade. Även dessa regler ansågs av vissa vålla alltför stora kostnader.
Remissinstanserna var generellt sett positiva till en övergång från ”personregister” till ”personuppgifter”. Vissa menade att även manuella register bör omfattas av lagen.
Flera instanser ifrågasatte utredningens tolkning av bestämmelserna om ändamålsanknytning. Enligt denna skulle de ändamål för behandlingen av personuppgifter som bestämts av den persondataansvarige själv få avgöra vilka uppgifter som är offentliga. Dessa instanser ansåg att en sådan ordning i praktiken skulle innebära en inskränkning av offentlighetsprincipen. En sådan inskränkning välkomnades emellertid av några andra.
De flesta var i huvudsak positiva till förslaget att behandling av känsliga personuppgifter författningsregleras. Det andra alternativet – att kräva samtycke i varje enskilt fall av den registrerade – avvisades. När det gällde de föreslagna reglerna om behandling av känsliga uppgifter för forsknings- eller statistikändamål rådde delade meningar. De flesta tillstyrkte förslaget att sådana behandlingar som huvudregel skulle kräva samtycke. Andra
| SOU 1997: 39 | Datalagsutredningens förslag och utvecklingen därefter 101 |
menade att förslaget skulle leda till inskränkningar för forskningen medan andra åter menade att undantagen för forskning var alltför långtgående.
Några remissinstanser var kritiska mot att förslaget inte innehöll en – som de ansåg nödvändig – kostnadsanalys.
2.4Genomförda förändringar
2.4.1Sammanfattning
Datalagsutredningens förslag har legat till grund för vissa ändringar i bl.a. datalagen. Genom en ändring i 8 kap. 7 § RF öppnades en möjlighet för regeringen att efter bemyndigande i lag delegera normgivningskompetens till Datainspektionen i fråga om automatisk databehandling av personuppgifter.8 Grundlagsändringen har följts upp med ändringar i datalagen.9 Ändringarna trädde i kraft den 1 januari 1995.
I samma lagstiftningsärende vidtogs ytterligare, som det bedömdes, angelägna förändringar. Skyldigheten att inhämta särskilt yttrande från Datainspektionen inför inrättande av s.k. statsmaktsregister togs bort. Datainspektionen fick vidare möjlighet att förena föreskrifter och förbud med vite. Slutligen infördes nya regler om överklagande. Datainspektionens beslut skall inte längre överklagas till regeringen utan till allmän förvaltningsdomstol. Endast i de fall den registeransvarige är en myndighet skall regeringen även i fortsättningen pröva överklagandet.
2.4.2Normgivningen på dataskyddsområdet
2.4.2.1Bakgrund
Datalagen innehöll från början ett generellt krav på tillstånd från Datainspektionen för alla typer av automatiskt förda personregister. Endast sådana register som var beslutade av riksdag eller regering var undantagna från tillståndsplikten. Vissa inskränkningar i tillståndskravet genomfördes den 1 juli 1979.10 Härigenom undantogs register som fördes med viss
8SFS 1994:1480.
9SFS 1994:1485.
10SFS 1979:334.
| 102 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
teknisk utrustning och där det framstod som uppenbart att otillbörligt intrång i de registrerades personliga integritet inte skulle uppkomma (t.ex. sådan behandling som utfördes i s.k. hemdatorer). Tillståndshanteringen blev emellertid med tiden alltmer omfattande. I syfte att begränsa Datainspektionens tillståndsverksamhet ytterligare togs det generella tillståndskravet bort den 1 juli 1982.11 Endast sådana personregister som är särskilt känsliga från integritetssynpunkt har därefter varit underkastade ett tillståndskrav.
2.4.2.2Datainspektionens normgivning
Datainspektionen saknade tidigare formell möjlighet att meddela generella föreskrifter för behandling av personuppgifter. Föreskrifter kunde endast meddelas i varje enskilt tillståndsärende. I övrigt kunde inspektionen genom sin informations- och rådgivningsverksamhet påverka de registeransvariga. Datainspektionen hade emellertid redan under 1970-talet börjat tillämpa ett förenklat tillståndsförfarande som i praktiken innebar att inspektionen för vissa verksamhetsområden utfärdade generella föreskrifter. Inspektionen kunde sedan i det enskilda tillståndsärendet, genom att hänvisa till sådana föreskrifter, efter en mer summarisk kontroll låta föreskrifterna bli gällande i det individuella fallet. Det förenklade tillståndsförfarandet fyllde det behov som fanns av generella föreskrifter på olika områden.
Med Datalagsutredningens förslag som grund infördes den 1 januari 1995 bestämmelser i datalagstiftningen som öppnade möjlighet för Datainspektionen att meddela generella föreskrifter för personregister som ofta förekommer inom en viss verksamhet.12 Samtidigt infördes ett undantag från tillståndsplikten för sådana register som inrättas och förs i enlighet med sådana av Datainspektionen meddelade föreskrifter. Tanken på att införa krav på en speciell anmälningsskyldighet för sådana register avvisades i motiven.13 Ändringen syftade till att minska Datainspektionens tillståndshantering och därigenom lämna mer utrymme för tillsynsverksamheten.14
11SFS 1982:446.
1219 § datalagen och 14 § dataförordningen, SFS 1994:1485 respektive SFS 1994:1487.
13Prop. 1993/94:217 s. 20
14A. prop. s. 15 f.
SOU 1997: 39
Datalagsutredningens förslag och utvecklingen därefter 103
Datainspektionens normgivningskompetens avser endast en regelutfyllnad av datalagens bestämmelser. Tanken är att föreskrifterna skall vara tämligen detaljerade och i sak ligga nära enskilda tillståndsbeslut. Möjligheten till delegerad normgivningskompetens skall inte påverka strävandena att reglera särskilt integritetskänsliga personregister genom speciella registerförfattningar, något som särskilt poängterades vid utskottsbehandlingen.15 Normgivningskompetensen avser vidare endast personregister som ofta förekommer inom en viss verksamhet (branscher och sektorer) och för ett visst ändamål. Normgivningsrätten innefattar inte någon rätt för Datainspektionen att utfärda generella föreskrifter om gallring av allmänna handlingar. Datainspektionens kompetens omfattar såväl privat som statlig och kommunal verksamhet.16
Datainspektionen har hittills meddelat generella föreskrifter för
N församlingsregister och ministerialböcker i Svenska kyrkans verksamhet (DIFS 1995:3),
N vissa personregister i kommunal verksamhet (DIFS 1995:5), N vissa direktreklamregister (DIFS 1995:6),
N vissa tillståndspliktiga personregister i försäkringsrörelse (DIFS 1996:2),
N protokollsregister hos kommuner och landsting (DIFS 1996:3), N uppdragsregister i advokatverksamhet (DIFS 1996:5),
N personregister över nämndemän, särskilda ledamöter och jurymän (DIFS 1996:6) och
N domstolars personregister över tolkar (DIFS 1996:7).
2.4.3Yttranden från Datainspektionen
Tidigare skulle yttrande inhämtas från Datainspektionen innan riksdagen eller regeringen fattade beslut om personregister (statsmaktsregister). Tanken var bl.a. att otillbörlighetsbedömningen skulle ske enhetligt oavsett om det gällde ett tillståndspliktigt register eller ett register som inrättades direkt av statsmakterna.17 I syfte att minska inspektionens arbetsbörda togs denna skyldighet enligt 2 a § datalagen bort den 1 januari 1995.18 I moti-
15KU 1994/95:10 s. 6
16Prop. 1993/94:217
17Prop. 1973:33 s. 120
18Prop. 1993/94:217 s. 23
| 104 Datalagsutredningens förslag och utvecklingen därefter | SOU 1997: 39 |
ven uttalades att Datainspektionen ändå får tillfälle att avge synpunkter, bl.a. mot bakgrund av den skyldighet som regeringen har enligt 7 kap. 2 § RF att inhämta vissa upplysningar och yttranden från myndigheter under beredningen av regeringsärendena. Vidare anfördes att det är vanligt att inspektionen deltar i beredningsarbetet inför inrättandet av statsmaktsregister samt att inspektionen regelmässigt är remissorgan i sådana lagstiftningsärenden.
2.4.4Vite
Om förandet av ett personregister har lett till otillbörligt intrång i personlig integritet, kan Datainspektionen meddela föreskrifter för att förhindra fortsatt sådant intrång (18 § datalagen). När det gäller statsmaktsregister får sådana föreskrifter inte stå i strid med beslut av regeringen eller riksdagen. Om intrånget inte kan hindras på något annat sätt, får Datainspektionen förbjuda fortsatt förande av registret eller återkalla ett meddelat tillstånd. Detta gäller inte statsmaktsregister. För överträdelse av sådana föreskrifter eller förbud är föreskrivet straff (20 § 1 st. 2 p.). Någon möjlighet för Datainspektionen att ingripa mot förfaranden som stred mot sådana förelägganden eller förbud fanns inte tidigare. Genom lagändringen infördes en möjlighet för Datainspektionen att förena sådana med vite (18 § 3 st.). Vitesmöjligheten ansågs skapa bättre förutsättningar för att sätta stopp för otillbörliga intrång i personlig integritet.19 Enligt allmänna principer får inte samma gärning föranleda både vite och straff. En särskild erinran togs därför in i lagen om att den som har överträtt ett vitesföreläggande inte får dömas för en gärning som omfattas av vitesföreläggandet (20 § 2 st.).
2.4.5Överklagande
Datainspektionens beslut skall efter lagändringen överklagas till allmän förvaltningsdomstol (i praktiken länsrätten i Stockholms län) i stället för regeringen. Undantag gäller för det fallet att en statlig myndighet är registeransvarig. Överklagande skall då även i fortsättningen ske till regeringen. Ändringen är ett led i det arbete som sedan flera år pågår inom regeringskansliet för att minska regeringens befattning med förvaltningsärenden.20
19Prop. 1993/94:217 s. 24
20Prop. 1993/94:116 s. 12
| SOU 1997: 39 | Datalagsutredningens förslag och utvecklingen därefter 105 |
Den innebär vidare en samordning med EG-direktivets artikel 22 enligt vilken enskilda skall ha rätt till domstolsprövning vid brott mot de rättigheter som tillförsäkras dem genom direktivet.
Enligt regeringens förslag skulle i samtliga fall överklagande ske till domstol. Regeringen angav som grundsats i det sammanhanget att överklaganden av förvaltningsbeslut som rör en rättsfråga skall gå till domstol medan ärenden där lämplighetsbedömningar dominerar bör prövas i administrativ ordning. Vidare angav regeringen att det var en bestämd målsättning att myndighetsregister med känsligt innehåll skall ha stöd i författning. Den politiska styrningen av utvecklingen inom området för automatisk databehandling skulle med andra ord uteslutande ske författningsvägen. Eftersom utrymmet för lämplighetsbedömningar i enskilda fall på detta sätt inskränktes, borde enligt regeringen överprövningen av Datainspektionens beslut flyttas till domstol.21 Konstitutionsutskottet uttalade emellertid att det, särskilt på det statliga området, inte kunde uteslutas att det fortfarande kan förekomma fall där de bedömningar som måste göras rymmer politiska inslag. Som exempel nämndes ett uppmärksammat fall av samkörning av personuppgifter från vissa arbetslöshetskassor med uppgifter från allmänna försäkringskassor i syfte att upptäcka bidragsfusk.22 Enligt utskottets mening borde därför överklaganden av beslut som rör statliga myndigheter även i fortsättningen avgöras av regeringen.23 Riksdagen beslutade i enlighet med utskottets förslag.
21Prop. 1993/94:217 s. 27
22Regeringsbeslut 1994-09-15, Ju 94/3280
23KU 1994/95:10 s. 11
| SOU 1997: 39 | 107 |
3 EG-direktivet om personuppgifter
3.1Bakgrund
3.1.1Inledning
Vi har enligt utredningsdirektiven till uppgift att analysera på vilket sätt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter24, i det följande kallat direktivet, skall införlivas i svensk lagstiftning. Direktivet finns bifogat som bilaga 2.
Här skall inte lämnas någon allmän beskrivning av EU eller Sveriges åtaganden i det sammanhanget; sådana översiktliga beskrivningar finns i flera betänkanden från senare år och i diverse läroböcker och andra skrifter. Som en bakgrund till vår analys av innebörden av direktivet och hur det bör införlivas i svensk rätt finns det emellertid anledning att kort dels erinra om vad som gäller i fråga om genomförandet av EG-direktiv (avsnitt 3.1.2), dels beröra bakgrunden till det aktuella direktivet (avsnitt 3.1.3).
3.1.2Genomförandet av EG-direktiv
Bestämmelserna i ett EG-direktiv måste införlivas i varje medlemsstats rättsordning för att bli gällande rätt i den staten. EG-direktivet är dock för medlemsstaterna bindande i fråga om det resultat som skall uppnås, men
24 EGT nr L 281, 23.11.95, s. 31.
| 108 EG-direktivet om personuppgifter | SOU 1997: 39 |
det är de nationella myndigheterna som bestämmer formen och tillvägagångssättet för genomförandet.25
Ibland kan EG-direktiv – särskilt på det sociala området – innehålla bara minimibestämmelser. Medlemsstaterna måste då kunna garantera att minimiskyddet enligt EG-direktivet alltid uppfylls, men det är tillåtet att ha längre gående nationella bestämmelser för att skydda de aktuella intressena. Är det inte fråga om ett sådant minimidirektiv, måste medlemsstaterna emellertid kunna garantera att varken strängare eller mildare bestämmelser gäller än vad som följer av EG-direktivet. En annan sak är att bestämmelserna i ett EG-direktiv i sig kan tillåta medlemsstaterna ett visst spelrum vid genomförandet.
Det aktuella direktivet om behandling av personuppgifter är inte ett minimidirektiv. Det är alltså inte tillåtet att föreskriva – eller behålla – ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av direktivet.
En anknytande frågeställning är huruvida de uttryck och begrepp som används i ett EG-direktiv har en för hela EG gemensam innebörd eller om avsikten bara är en partiell harmonisering på det sättet att varje medlemsstat i enlighet med nationell lagstiftning och praxis får bestämma innebörden av använda uttryck och begrepp. Om det i ett EG-direktiv anges att ”fysiska personer” skall ha ett visst skydd, är det då tillåtet för varje medlemsstat att i enlighet med nationell lagstiftning och praxis bestämma om t.ex. ofödda och avlidna skall ha det föreskrivna skyddet?
Även om det inte framgår uttryckligen av ett EG-direktiv, måste medlemsstaterna vidta alla nödvändiga åtgärder för att kunna garantera en effektiv tillämpning av bestämmelserna i EG-direktivet. Medlemsstaterna måste därför föreskriva sanktioner mot dem som bryter mot det som följer av EG-direktivet, och dessa sanktioner måste vara effektiva, proportionella i förhållande till brottet och avskräckande.26
Ett EG-direktiv kan, liksom varje annan rättslig text, behöva tolkas. Det är ytterst EG-domstolen som beslutar i fråga om tolkningen, t.ex. efter det att en nationell domstol i ett aktuellt mål har begärt ett s.k. förhandsavgörande om tolkningen.27
25Artikel 189 a i EG-fördraget.
26Detta följer av artikel 5 i EG-fördraget och av EG-domstolens praxis.
27Artikel 177 i EG-fördraget.
| SOU 1997: 39 | EG-direktivet om personuppgifter 109 |
Till ledning för tolkningen av ett EG-direktiv finns det inte förarbeten av det slag som vi är vana vid i Sverige. I varje EG-direktiv brukar det emellertid finnas en ingress i vilken det redogörs för bakgrunden till och syftet med direktivet28, och det finns flera exempel på att EG-domstolen för tolkningen har hämtat ledning från vad som anges i ingressen.
En tolkningsprincip som EG-domstolen har använt är vidare att bestämmelser som medger avvikelser eller undantag från individuella rättigheter skall tolkas restriktivt.
Ett annat problem vid tolkningen av EG-direktiv är att alla officiella språkversioner av direktivet har samma giltighet.29 Det kan därför finnas anledning att jämföra flera olika språkversioner för att fastställa innebörden.
Det anses vidare att de nationella domstolarna har att om möjligt tolka den nationella lagstiftningen på ett sådant sätt att den går att förena med bestämmelserna i EG-direktiv.
Sverige har genom sitt medlemskap i Europeiska unionen åtagit sig att genomföra direktivet. Uppfyller en medlemsstat inte sitt åtagande att på ett riktigt och fullständigt sätt genomföra ett EG-direktiv, kan någon annan medlemsstat eller kommissionen föra talan om saken vid EG-domstolen.30 I vissa fall kan bestämmelser i ett EG-direktiv få genomslag på nationell nivå, trots att staten har låtit bli att i rätt tid införliva bestämmelserna i den nationella rättsordningen. Den enskilde som i förhållande till staten – eller något statsorgan – på grund av underlåtenheten inte har fått den rätt som EG-direktivet tillförsäkrar honom eller henne, kan då föra talan mot staten vid de nationella domstolarna (t.ex. om skadestånd för det att en myndighet på ett otillåtet sätt har behandlat personuppgifter). Det är också möjligt att staten på grund av sin underlåtenhet kan bli skadeståndsskyldig gentemot en enskild för det att denne inte har kunnat göra gällande sin rätt mot någon annan enskild (t.ex. ett privat företag som har behandlat personuppgifterna på ett otillåtet sätt).31
28Jämför artikel 190 i EG-fördraget.
29Se t.ex. artikel 176 i Anslutningsfördraget för Sverige.
30Artikel 169–171 i EG-fördraget.
31Det har nyligen tillsatts en utredning (Ju 1996:04) för att klarlägga hur svensk nationell skadeståndsrätt förhåller sig till EG-rättens principer om statens skadeståndsansvar mot den som lidit skada på grund av statens överträdelse av EG- rätten, se dir. 1996:31.
| 110 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.1.3Bakgrunden till direktivet
Direktivet har en lång förhistoria. Redan år 1990 lämnade kommissionen ett första förslag till direktiv.32 År 1991 yttrade sig Ekonomiska och sociala kommittén över förslaget33, och i ett yttrande år 1992 föreslog Europaparlamentet en rad förändringar i det ursprungliga förslaget.34 Kommissionen omarbetade därefter förslaget och avlämnade i oktober 1992 ett reviderat förslag.35 Det reviderade förslaget, jämte kommissionens förklarande anmärkningar (i det följande kallade kommissionens förklaring), finns fogat till Datalagsutredningens slutbetänkande som bilaga 3. Först i februari 1995 kom rådet fram till en gemensam ståndpunkt36 och senare samma år kunde direktivet antas.
I protokollet över det möte då rådet antog den gemensamma ståndpunkten intogs vissa förklaringar av rådet, kommissionen och olika enskilda medlemsstater. Något justerat eller på annat sätt färdigställt protokoll finns dock enligt uppgift inte hos Justitiedepartementet. Däremot finns hos departementet en till svenska språket översatt handling37 som upptar de förklaringar som skall tas in i protokollet. Handlingen har enligt beslut av Justitiedepartementet den 16 juni 199538 med stöd av den svenska offentlighetsprincipen lämnats ut till en journalist i Danmark, dock att uppgifter om vilka andra medlemsstater än Sverige som avgett förklaringar strukits. Handlingen med förklaringarna kallas i det följande mötesprotokollet.
Direktivet inleds med en längre ingress omfattande 72 punkter där bakgrunden till och syftet med bestämmelserna i direktivet berörs (i det följande kallad ingressen). Det fria flödet av personuppgifter inom gemenskapen skall underlättas till gagn för den inre marknaden med fri rörlighet för varor, personer, tjänster och kapital. Detta skall ske genom att det i samtliga medlemsstater skapas en likvärdig, hög skyddsnivå när det gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Efter en
32COM(90) 314 final – SYN 287 och EGT nr C 277, 5.11.1990, s. 3.
33EGT nr C 159, 17.6.1991, s. 38.
34EGT nr C 94, 13.4.1992, s. 198.
35COM(92) 422 final – SYN 287 och EGT nr C 311, 27.11.1992, s. 30.
36EGT nr C 93, 13.4.1995, s. 1.
37Handlingen har EU:s beteckning 4730/95 ECO 20 och är daterad den 8 februari 1995. Protokollsförklaringarna översatta till danska finns intagna i Peter Blume, Personregistrering, 3. rev. udgave, 1996, s. 430 ff.
38§ 255, dnr Ju 95/2444.
| SOU 1997: 39 | EG-direktivet om personuppgifter 111 |
sådan tillnärmning av medlemsstaternas lagstiftning, kan staterna inte längre hindra det fria flödet av personuppgifter inom gemenskapen med hänvisning till skyddet för enskilda personers fri- och rättigheter.
Det betonas vidare i ingressen att medlemsstaterna kommer att få ett handlingsutrymme i samband med genomförandet av direktivet och att staterna skall sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger; tillnärmningen skall syfta till att garantera en hög skyddsnivå inom gemenskapen. Inom ramen för detta handlingsutrymme kan det alltså uppkomma skillnader vid genomförandet av direktivet.
Direktivets syfte kommer också till uttryck i själva direktivtexten (artikel 1). Medlemsstaterna skall i enlighet med direktivet skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.39 Och staterna får varken begränsa eller inskränka det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med detta skydd.
Vad medlemsstaterna får göra är att inom de begränsningar som de materiella bestämmelserna i (kapitel II i) direktivet innebär precisera på vilka villkor behandling av personuppgifter är tillåten (artikel 5). Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom gemenskapen. Medlemsstaterna kan närmare ange de allmänna villkoren för att tillåta behandling, liksom ange särskilda villkor för behandling inom vissa sektorer eller avseende vissa kategorier av personuppgifter. Staterna kan använda såväl generell lagstiftning som särskild lagstiftning, t.ex. avseende statistiska institut. (Se punkt 22 och 23 i ingressen, jämför punkt 68.)
I fråga om ingressen är det för svenskt vidkommande vidare viktigt att notera att det i punkt 72 anges att direktivet gör det möjligt att vid genomförandet av bestämmelserna ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.40
I samtliga medlemsstater torde det för närvarande pågå arbete med att se över lagstiftningen för att genomföra direktivet. Våren 1996 offentlig-
39I mötesprotokollet har rådet och kommissionen i anslutning till artikel 1.1 konstaterat att skyddet för grundläggande fri- och rättigheter, särskilt rätten till privatliv, innefattar skyddet av den personliga identiteten.
40På engelska ”the principle of public access to official documents”, på franska ”le principe du droit d’accès du public aux documents administratifs”, på tyska ”der Grundsatz des öffentlichen Zugangs zu amtlichen Dokumenten”, på danska ”princippet om aktindsigt i offentlige dokumenter”.
| 112 EG-direktivet om personuppgifter | SOU 1997: 39 |
gjorde den brittiska regeringen ett remissunderlag (Consultation Paper) som bl.a. innehåller vissa tolkningar av direktivets bestämmelser. I det följande kallas denna handling det brittiska remissunderlaget.
3.2Tillämpningsområdet
3.2.1Inledning
Direktivet gäller för behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om personuppgifterna ingår i ett register. Direktivet omfattar emellertid även icke automatisk behandling av personuppgifter, om dessa ingår i eller är avsedda att ingå i ett register.41 (Artikel 3.1.) Det finns definitioner i direktivet av vad som avses med behandling, personuppgifter respektive register, se avsnitt 3.2.2.
I mötesprotokollet finns i anslutning till definitionen av register (artikel 2 c) följande: ”Rådet och kommissionen erkänner att de dokument på papper som tryckts på faxapparat eller persondator omfattas av de regler som är tillämpliga för manuella uppgifter och att de följaktligen endast ingår i tillämpningsområdet för detta direktiv om de är avsedda för ett register.”
Av kommissionens förklaring framgår att med uttryckssättet att behandlingen skall företas helt eller delvis på automatisk väg avses att en behandling utgör en enda enhet, även om bara en del av behandlingen, såsom ett index, är datoriserad.
3.2.2Definitioner
3.2.2.1Inledning
I artikel 2 finns det definitioner av en rad begrepp som förekommer i direktivet. Dessa definitioner av centrala begrepp kan sägas avgränsa tillämpningsområdet för bestämmelserna i direktivet.
41I den svenska språkversionen av direktivet talas det om uppgifter som ”kommer att ingå i ett register”, medan det i den engelska språkversionen heter ”personal data which […] are intended to form part of a filing system”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 113 |
3.2.2.2Personuppgifter och den registrerade
Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En person är identifierbar om han eller hon kan identifieras direkt eller indirekt, t.ex. genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans eller hennes fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Av punkt 14 i ingressen – och artikel 33 andra stycket – framgår att bild- och ljuduppgifter som rör fysiska personer omfattas av direktivet, jämför också punkt 15–17 i ingressen.
Uppgifter om juridiska personer omfattas inte av direktivet.42
Det verkar inte krävas att den registrerade skall vara medborgare eller bosatt i en medlemsstat.
Det framgår inte av direktivtexten huruvida uppgifter om personer som ännu inte är födda eller som – i enlighet med svensk lagstiftning43 – betraktas som döda omfattas. I mötesprotokollet har emellertid rådet och kommissionen bekräftat att medlemsstaterna får bestämma om och i vilken utsträckning direktivet kan tillämpas på avlidna personer.44
I punkt 26 i ingressen betonas att man, för att avgöra om en person är identifierbar, skall beakta alla hjälpmedel som kan komma att användas för att identifiera personen. Däremot gäller inte direktivet för uppgifter som har gjorts anonyma på ett sådant sätt att personen inte längre är identifierbar. Uppförandekodexar kan användas för att ge vägledning om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera personen.
I kommissionens förklaring anges som exempel på direkt identifiering att personen kan identifieras genom namnet. Indirekt identifiering kan vara när personen kan identifieras genom ett telefonnummer, ett bilregistreringsnummer, ett socialförsäkringsnummer eller ett passnummer. Ett annat exempel är när identifieringen av en person sker genom en kombination av särskiljande kriterier (ålder, yrke, bostadsort etc.), vilka gör att personen kan kännas igen genom att den grupp han eller hon tillhör omfattar färre och färre andra personer. Det framgår vidare av kommissionens förklaring
42Jämför punkt 24 i ingressen.
43Jämför lagen (1987:269) om kriterier för bestämmande av människans död och bestämmelserna om dödförklaring i 25 kap. ärvdabalken.
44Se också punkt 2.2 i det brittiska remissunderlaget.
| 114 EG-direktivet om personuppgifter | SOU 1997: 39 |
att frågan om en person är identifierbar är oberoende av kostnaden för att fastställa personens identitet. Definitionen omfattar även uppgifter om utseende, röst, fingeravtryck och genetiska karakteristika.
I artikel 6.1 e finns bestämmelser om att personuppgifter skall förvaras på ett sätt som förhindrar identifiering under en längre tid än vad som är nödvändigt (se avsnitt 3.4.6). Och i artikel 8.7 finns bestämmelser rörande identifikationsnummer, dvs. personnummer (se avsnitt 3.6.4).
3.2.2.3Behandling
Begreppet behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, oavsett om det sker på automatisk väg eller inte. Till exempel omfattas
N insamling, N registrering, N organisering, N lagring,
N bearbetning eller ändring, N återvinning,
N inhämtande, N användning,
N utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter,
N sammanställning eller samkörning, N blockering och
N utplåning eller förstöring.
Det bör här erinras om att direktivet gäller för helt icke automatisk behandling av personuppgifter bara om dessa ingår i eller är avsedda att ingå i ett register (artikel 3.1, se avsnitt 3.2.1).
3.2.2.4Register
Med register med personuppgifter avses varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier. Det måste alltså vara fråga om en samling av personuppgifter, men det saknar betydelse om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Samlingen måste vidare vara strukturerad, och personuppgifterna måste vara tillgängliga enligt särskilda kriterier.
| SOU 1997: 39 | EG-direktivet om personuppgifter 115 |
I punkt 27 i ingressen framhålls att innehållet i ett register måste vara strukturerat enligt särskilda kriterier, som avser enskilda personer, för att lätt ge tillgång till personuppgifterna. De olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter kan, liksom de olika kriterier som gör det möjligt att få tillgång till en sådan samling, utformas av varje medlemsstat. Akter eller grupper av akter liksom deras omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom direktivets tillämpningsområde.
3.2.2.5Registeransvarig
Med registeransvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den registeransvarige kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ.
I punkt 47 i ingressen berörs den situationen att ett meddelande som innehåller personuppgifter överförs genom förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att överföra sådana meddelanden. I sådana fall blir det normalt den från vilken meddelandet härrör – och inte den som tillhandahåller överföringstjänsten
– som anses som registeransvarige i förhållande till de personuppgifter som meddelandet innehåller. Den som tillhandahåller överföringstjänsten blir däremot normalt att anse som registeransvarig i förhållande till behandlingen av de ytterligare personuppgifter som behövs för att kunna utföra tjänsten.
I artikel 18.2 andra strecksatsen – och i artikel 20.2 – finns det bestämmelser om uppgiftsskyddsombud som den registeransvarige utser (se avsnitt 3.13.3.3). I artikel 2 e finns det en definition av sådana registerförare som behandlar personuppgifter för den registeransvariges räkning (se avsnitt 3.2.2.6). Vidare finns det i artikel 4.2 bestämmelser som innebär att den registeransvarige i vissa fall måste utse en företrädare (se avsnitt 3.2.5). Också i artikel 10 och 11 talas det om den registeransvariges företrädare (se avsnitt 3.9), liksom i artikel 18.1 (se avsnitt 3.13.2). I artikel 8.3 berörs det fallet att en person som är ålagd tystnadsplikt, t.ex. inom hälso- och sjukvården, behandlar känsliga personuppgifter (se avsnitt 3.6.2.7).
| 116 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.2.2.6Registerförare
Med registerförare avses den som behandlar personuppgifter för den registeransvariges räkning. Den registeransvarige kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ.
I artikel 17.2–4 finns det bestämmelser rörande förhållandet mellan den registeransvarige och registerföraren och om det avtal som måste finnas mellan dem (se avsnitt 3.12).
3.2.2.7Tredje man
Med tredje man avses någon annan än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna. En fysisk eller juridisk person, en myndighet, en institution eller något annat organ kan vara tredje man.
I kommissionens förklaring framhålls att den som arbetar för en annan organisation normalt är tredje man, även om organisationen tillhör samma företagsgrupp eller koncern. Å andra sidan kan ett lokalkontor hos en bank som behandlar kundkonton under huvudkontorets direkta ansvar inte anses som tredje man. Detsamma gäller anställda i ett försäkringsbolag. När det i stället gäller försäkringsmäklare kan deras ställning variera från fall till fall.
3.2.2.8Mottagare
Med mottagare avses den till vilken uppgifterna lämnas ut oavsett om han eller hon är tredje man eller inte. Mottagaren kan vara en fysisk eller juridisk person, en myndighet, en institution eller något annat organ. Myndigheter som kan komma att ta emot uppgifter inom ramen för ett särskilt uppdrag45 skall dock inte betraktas som mottagare.
3.2.2.9Samtycke
Med den registrerades samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne.
45På engelska ”particular inquiry”, på franska ”une mission d’enquête particulière”, på tyska ”ein einzeln Untersuchungsauftrag”.
SOU 1997: 39
EG-direktivet om personuppgifter 117
I artikel 7 a (förutsättningar för att behandling av uppgifter skall vara tillåten) och artikel 26.1 a (överförande av uppgifter till tredje land) talas det om att den registrerade otvetydigt har lämnat sitt samtycke, och i artikel 8.2 a (förutsättningar för att behandling av känsliga uppgifter skall vara tillåten) talas det om att den registrerade har lämnat sitt uttryckliga samtycke.
I kommissionens förklaring till det reviderade direktivförslaget, som på denna punkt hade en något annan utformning än det antagna direktivet, anges att viljeyttringen kan vara muntlig eller skriftlig. Samtycket måste vara frivilligt i sådana fall där påtryckningar kan påverka den registrerade, t.ex. i en arbetsgivar–arbetstagarrelation. Samtycket måste vidare vara informerat så att den registrerade kan värdera för- och nackdelarna med att personuppgifter som rör honom eller henne behandlas och så att han eller hon kan utöva de rättigheter som direktivet ger honom eller henne. Den registeransvarige måste förse den registrerade med den information han eller hon behöver. Samtycket måste också vara särskilt46, vilket innebär att det måste avse en viss behandling som rör den registrerade och som utförs av en viss registeransvarig för vissa ändamål.
I artikel 10 finns det bestämmelser om information som skall lämnas till den registrerade när personuppgifter samlas in från honom eller henne (se avsnitt 3.9). Och i artikel 14 finns det bestämmelser om den registrerades rätt att motsätta sig viss behandling av personuppgifter (se avsnitt 3.7).
Punkt 70 i ingressen berör det fallet att ett avtal har slutits på grundval av ett frivilligt och informerat samtycke innan bestämmelserna i direktivet träder i kraft. Om en fortsatt behandling av känsliga uppgifter är nödvändig för att genomföra det avtalet, behöver den registrerade inte på nytt lämna sitt samtycke till denna behandling.
46 På engelska ”specific”, på franska ”spécifique”, på tyska ”für den konkreten Fall”.
| 118 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.2.3Sådant som faller utanför gemenskapsrätten
Direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges sådan verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen.47 Det anges vidare uttryckligen att direktivet inte under några omständigheter omfattar behandlingar som rör
a)allmän säkerhet,
b)försvar,
c)statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet), och
d)statens verksamhet på straffrättens område.48 (Artikel 3.2 första strecksatsen.)
I punkt 16 i ingressen pekas det särskilt på att behandling av ljud- och bilduppgifter, t.ex. i samband med videoövervakning, inte omfattas av direktivet om behandlingen utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller någon annan statens verksamhet på straffrättens område, jämför också punkt 13.
I kommissionens förklaring anges säkerhetstjänst49 som exempel på en aktivitet som faller utanför tillämpningsområdet.
3.2.4Privat användning av personuppgifter
Direktivet gäller inte för sådan behandling av personuppgifter som en fysisk person bedriver som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll50 (artikel 3.2 andra strecksatsen).
Av mötesprotokollet framgår att rådet och kommissionen anser att det inte är tillåtet att med hänvisning till den bestämmelsen undanta behand-
47Dessa avdelningar i fördraget innehåller bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om samarbete i rättsliga och inrikes frågor.
48Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.
49På engelska ”secret services”.
50På engelska ”a purely personal or household activity”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 119 |
ling av personuppgifter som utförs av en enskild person när dessa uppgifter förmedlas inte bara till en eller flera personer utan till ett obestämt antal personer.
I punkt 12 i ingressen framhålls att en fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk51, såsom korrespondens eller förandet av adressregister, inte omfattas av direktivet.
I kommissionens förklaring ges som exempel förandet av en elektronisk dagbok.
Utöver undantagen för sådant som inte omfattas av gemenskapsrätten och privat användning av personuppgifter finns det inte några tillåtna generella undantag från direktivets tillämpning. Medlemsstaterna skall dock besluta om för yttrandefriheten nödvändiga undantag och avvikelser beträffande behandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (artikel 9, se avsnitt 3.3). I enlighet med vad som anges i artikel 13 är det också möjligt för medlemsstaterna att genom lagstiftning göra nödvändiga undantag och begränsningar i fråga om vissa bestämmelser i direktivet av hänsyn till statens säkerhet eller allmän säkerhet m.m. (se avsnitt 3.11). I det följande kommer att framgå att medlemsstaterna även i övrigt kan, under närmare angivna förutsättningar, besluta om vissa avvikelser m.m. från en del av bestämmelserna i direktivet.
3.2.5Det territoriella tillämpningsområdet
I punkt 18 i ingressen framhålls att varje behandling av personuppgifter inom gemenskapen skall ske i enlighet med lagstiftningen i en av medlemsstaterna. Behandling som utförs på uppdrag av en registeransvarig som är etablerad i en medlemsstat skall regleras av den statens lagstiftning (tydligen även om själva behandlingen sker utanför gemenskapen). I punkt 19 i ingressen framhålls vidare att verksamhetens juridiska form inte har någon avgörande betydelse vid bedömningen av om en registeransvarig är etablerad i en viss stat; det kan vara fråga om såväl en filial som ett dotterbolag som är en juridisk person. Om en enda registeransvarig är etablerad i flera medlemsstater, t.ex. genom dotterbolag, måste han eller hon se till att
51På engelska ”activities which are exclusively personal or domestic”, på franska ”d’activités exclusivement personelles ou domestiques”, på tyska ”Ausübung ausschließlich persönlicher oder familieärer Tätigkeiten”.
| 120 EG-direktivet om personuppgifter | SOU 1997: 39 |
varje verksamhet uppfyller bestämmelserna i den tillämpliga nationella lagstiftningen.
Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.
I själva direktivet finns i artikel 4 följande bestämmelser.52
En medlemsstat skall tillämpa de nationella bestämmelser som antas för att genomföra direktivet när behandlingen av personuppgifter utförs som ett led i aktiviteter av en registeransvarig som är etablerad inom statens territorium. Om en registeransvarig är etablerad53 inom flera medlemsstaters territorier, skall han eller hon vidta nödvändiga åtgärder för att säkerställa att alla verksamheter54 uppfyller kraven enligt den tillämpliga nationella lagstiftningen. (Artikel 4.1 a.)
En medlemsstat skall också tillämpa sina nationella bestämmelser när den registeransvarige inte är etablerad inom någon medlemsstats territorium utan på en plats där statens lagstiftning gäller på grund av folkrätten
(artikel 4.1 b).
Om en registeransvarig som inte är etablerad på gemenskapens territorium använder utrustning – automatiserad eller annan – som befinner sig på en medlemsstats territorium, skall den statens nationella bestämmelser tillämpas, och den registeransvarige måste då utse en företrädare för sig som är etablerad inom statens territorium. Detta gäller dock inte om utrustningen bara används för att låta uppgifter passera genom gemenskapen. (Artikel 4.1 c och 4.2, jämför punkt 20 i ingressen.)
I kommissionens förklaring anges terminaler och frågeformulär som exempel på utrustning eller hjälpmedel.55
I artikel 10–11 och 18 finns det bestämmelser som ålägger den registeransvariges företrädare skyldighet att informera den registrerade respektive att göra anmälan till tillsynsmyndigheten (se avsnitt 3.9 och 3.13.2).
52Referatet av artikel 4 har, liksom referatet av innehållet i punkt 18–19 i ingressen, utformats med beaktande av flera språkversioner av direktivet, eftersom den svenska språkversionen kan betraktas som något tvetydig i vissa avseenden.
53På engelska ”established”, på franska ”établi”.
54På engelska ”each of these establishments”, på franska ”chacun de ses établissements”.
55I kommissionens reviderade förslag till direktiv används den engelska termen ”means”. I det antagna direktivet används i stället på engelska termen ”equipment” (på franska ”moyens”, på tyska ”Mittel”), men i punkt 20 i ingressen finns termen ”means” fortfarande kvar.
SOU 1997: 39
EG-direktivet om personuppgifter 121
Tillsynsmyndigheten i en stat skall ha behörighet att utöva sina befogenheter inom den statens territorium oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen (artikel 28.6, se avsnitt 3.17).
3.3Förhållandet till yttrandefriheten
Medlemsstaterna skall besluta om undantag och avvikelser från de flesta materiella bestämmelser i direktivet56 för behandling av personuppgifter som sker uteslutande för
N journalistiska ändamål,
N konstnärligt skapande eller N litterärt skapande.
Sådana undantag och avvikelser får dock beslutas bara om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten. (Artikel 9.)
Sverige har i mötesprotokollet fått infört: ”Sverige anser att begreppet konstnärliga och litterära uttryck mer syftar på uttrycksmedlen än kommunikationens innehåll eller dess kvalitet.” En annan medlemsstat har vidare i protokollet förklarat sin avsikt att använda undantagen i artikel 9 för all den verksamhet inom den audiovisuella sektorn som omfattas av direktivet.
I punkt 37 i ingressen hänvisas i fråga om yttrandefriheten till den rätt att ta emot och lämna upplysningar som slås fast i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Det betonas att den avvägning mellan rätten till privatlivet och yttrandefriheten som medlemsstaterna skall göra inte får leda till beslut om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Tillsynsmyndigheten bör utrustas med i vart fall vissa befogenheter som kan utövas efter behandlingens genomförande, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter. I fråga om konstnärligt och
56Undantag och avvikelser får göras från de materiella bestämmelserna om behandling av personuppgifter (kapitel II), om överföring till tredje land (kapitel IV) och om tillsynsmyndighetens befogenheter (kapitel VI). Från bestämmelserna i kapitel I (allmänna bestämmelser), kapitel III (rättslig prövning, ansvar och sanktioner), kapitel V (uppförandekodex) och kapitel VII (gemenskapens åtgärder för genomförandet) får däremot avvikelser eller undantag inte göras.
| 122 EG-direktivet om personuppgifter | SOU 1997: 39 |
litterärt skapande hänvisas särskilt till det audiovisuella området (se också punkt 17 i ingressen).
I kommissionens förklaring anges som exempel på faktorer som kan beaktas vid den intresseavvägning som skall ske
N möjligheten till rättslig prövning eller rätten till replik, N förekomsten av en uppförandekodex,
N de gränser som läggs fast i den europeiska människorättskonventionen och
N allmänna rättsprinciper.
I kommissionens reviderade direktivförslag avsågs uttrycket journalister inkludera såväl fotojournalister som skribenter, såsom biografer (levnadstecknare).
Den brittiska regeringen anser, enligt det brittiska remissunderlaget (punkt 4.19), att det står klart att ett generellt undantag för pressen inte är förenligt med direktivet.
Genom artikel 13.1 tillåts medlemsstaterna att göra nödvändiga avvikelser från vissa bestämmelser i direktivet med hänsyn till skyddet för den registrerades eller andras fri- och rättigheter (se avsnitt 3.11).
3.4Grundläggande krav på uppgiftsbehandlingen
3.4.1Inledning
I artikel 6.1 finns det – under rubriken Principer om uppgifternas kvalitet – vissa grundläggande krav som måste vara uppfyllda för att behandling av personuppgifter skall kunna tillåtas. Det åligger den registeransvarige att säkerställa att kraven efterlevs (artikel 6.2). Medlemsstaterna skall inom de begränsningar som bl.a. bestämmelserna i artikel 6 innebär närmare precisera på vilka villkor uppgiftsbehandling är tillåten (artikel 5).
I artikel 13.1 finns det bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 6.1 (se avsnitt 3.11).
SOU 1997: 39
EG-direktivet om personuppgifter 123
3.4.2Korrekt och laglig behandling
Personuppgifter skall behandlas på ett korrekt och lagligt sätt.57
I punkt 38 i ingressen anges att en korrekt behandling förutsätter att de registrerade får kännedom om behandlingen och att de – när uppgifterna samlas in hos dem – kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen (se artikel 10 och avsnitt 3.9).
I artikel 7 – se avsnitt 3.5 – anges det kriterier för när en behandling av personuppgifter kan anses laglig (se också punkt 30 och 31 i ingressen).
Enligt kommissionens förklaring innebär kravet på korrekt och laglig behandling att man inte får använda dolda anordningar för att i hemlighet samla in uppgifter utan att den registrerade känner till det, t.ex. telefonavlyssning och liknande. Kravet på korrekt och laglig behandling förhindrar också att de registeransvariga utvecklar och använder hemliga eller ljusskygga behandlingsmetoder för personuppgifter.
3.4.3Ändamålet med behandlingen
Personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Under förutsättning att medlemsstaterna beslutar om lämpliga skyddsåtgärder skall dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med de ursprungliga ändamålen.
Av punkt 28 i ingressen framgår att ändamålen med behandlingen skall vara bestämda redan när uppgifterna samlas in och att sådana ändamål som läggs fast först därefter inte får vara oförenliga med de ändamål som ursprungligen angavs. I punkt 29 i ingressen anges att de skyddsåtgärder som staterna beslutar om när det gäller senare behandling för historiska, statistiska eller vetenskapliga ändamål särskilt skall hindra att uppgifterna används för att vidta åtgärder mot en viss person eller för att fatta ett beslut som rör honom eller henne.
Av kommissionens förklaring framgår att kravet att insamlingen skall ske för ett särskilt ändamål innebär att avsikten med insamlandet och an-
57På engelska ”fairly and lawfully”, på franska ”loyalement et licitement”, på tyska ”nach Treu und Glaube und auf rechtsmäßige Weise”.
| 124 EG-direktivet om personuppgifter | SOU 1997: 39 |
vändningen av personuppgifterna skall definieras på ett så precist sätt som möjligt. En generell eller vag definition eller beskrivning av ändamålet med behandlingen – såsom ”för kommersiella ändamål” – uppfyller inte kravet. Det framhålls vidare att den registeransvarige är skyldig att bestämma ändamålet för lagring av personuppgifterna.
I artikel 10–11 finns det bestämmelser om att den registrerade skall informeras om ändamålen med behandlingen (se avsnitt 3.9).
3.4.4Personuppgifterna skall vara adekvata, relevanta och inte för omfattande
Personuppgifterna skall vara adekvata och relevanta och de får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna har samlats in eller58 för vilka de senare behandlas.
Av kommissionens förklaring framgår att denna bestämmelse innebär att uppgifternas beskaffenhet måste korrespondera med det mål man vill uppnå med behandlingen.
3.4.5Personuppgifterna skall vara riktiga och aktuella
Personuppgifterna skall vara riktiga och de skall också, om det är nödvändigt, vara aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att sådana personuppgifter, som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas, utplånas eller rättas.
I artikel 12 b finns det bestämmelser om att den registrerade har rätt att få felaktiga och ofullständiga uppgifter rättade, utplånade eller blockerade (se avsnitt 3.10.3). I artikel 17 finns det bestämmelser om säkerheten vid behandling av personuppgifter (se avsnitt 3.12). I artikel 28.3 första stycket andra strecksatsen finns det bestämmelser om att tillsynsmyndigheten skall ha befogenhet att besluta om bl.a. blockering, utplåning eller förstöring av uppgifter (se avsnitt 3.17).
58I den svenska språkversionen används här ”och”, medan den engelska och den tyska versionen använder ”and/or” respektive ”und/oder”. I den franska versionen används ”et”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 125 |
3.4.6Personuppgifterna får inte förvaras längre än nödvändigt
Personuppgifter skall förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlats in eller för vilka de senare behandlas. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för sådana personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
Personuppgifter, dvs. upplysningar om en identifierbar fysisk person, får alltså lagras bara så länge det är nödvändigt med hänsyn till ändamålen med behandlingen, inklusive historiska, statistiska eller vetenskapliga ändamål. Därefter måste uppgifterna avidentifieras (eller förstöras).
Av kommissionens förklaring framgår att medlemsstaterna genom skyddsåtgärder för sådana personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål kan förena – på den ena sidan – principen om att behandlingen skall ha ett lagligt ändamål och anspråket på att ens förflutna någon gång skall vara glömt med – på den andra sidan – de krav som forskningen ställer.
I artikel 17 finns det bestämmelser om säkerheten vid behandling av personuppgifter (se avsnitt 3.12).
3.5Förutsättningar för att uppgiftsbehandling skall kunna tillåtas
3.5.1Inledning
I artikel 7 anges det – under rubriken Principer som gör att uppgiftsbehandling kan tillåtas – att medlemsstaterna skall föreskriva att personuppgifter får behandlas bara i de sex fall som räknas upp i artikeln; uppgiftsbehandling i andra fall är inte laglig. Medlemsstaterna skall inom de begränsningar som bl.a. bestämmelserna i artikel 7 innebär närmare precisera på vilka villkor uppgiftsbehandling är tillåten (artikel 5).
I artikel 8 finns det bestämmelser om att behandling av vissa särskilt känsliga uppgifter är förbjuden (se avsnitt 3.6).
| 126 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.5.2Samtycke
Behandling av personuppgifter är tillåten om den registrerade otvetydigt har lämnat sitt samtycke.
Av artikel 2 h framgår att med samtycke avses varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne (se avsnitt 3.2.2.9).
3.5.3I samband med avtal
Personuppgifter får behandlas om det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part. Sådan behandling får också ske om det är nödvändigt för att – på begäran av den registrerade – vidta åtgärder innan ett avtal59 ingås.
3.5.4Rättslig förpliktelse
Det är tillåtet att behandla personuppgifter om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse60 som åvilar den registeransvarige.
I kommissionens reviderade direktivförslag innebar bestämmelsen att uppgiftsbehandling var tillåten om den var nödvändig för att fullgöra en skyldighet som ålagts i nationell rätt eller i gemenskapsrätten.61
Att bestämmelsen omfattar t.ex. sådan uppgiftsbehandling som är nödvändig för att företag skall kunna fullgöra sina skyldigheter i fråga om skattelagstiftningen eller arbetsrätten torde vara klart. Det är mera osäkert om bestämmelsen också omfattar sådan uppgiftsbehandling som är nöd-
59I den svenska språkversionen talas det om ett ”sådant” avtal, dvs. ett avtal i vilket den registrerade, dvs. en fysisk person, är part. Motsvarande bestämning av avtalet finns inte i den engelska, den franska eller den tyska språkversionen, vilket kan ha betydelse när en registrerad som företräder en juridisk person begär åtgärder innan avtal ingås med den juridiska personen.
60På engelska ”legal obligation”, på franska ”obligation légale”, på tyska ”rechtliche Verplichtung”.
61På engelska ”processing is necessary in order to comply with an obligation imposed by national law or by Community law”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 127 |
vändig för att fullgöra en rättslig förpliktelse enligt ett avtal som den registeransvarige frivilligt har ingått med någon annan än den registrerade.62
3.5.5För att skydda vitala intressen
Behandling av personuppgifter får tillåtas om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade.
I den engelska språkversionen talas det om ”vital interests”.63 Ordet ”vital” har flera betydelser i engelskan och kan betyda såväl det som den svenska språkversionen anger som något som är livsviktigt.64 Och i punkt 31 i ingressen talas det just om att uppgiftsbehandlingen sker för att skydda ett intresse som är av avgörande betydelse för den registrerades liv. Också i kommissionens förklaring talas det om den situationen att den registrerade har ett ”vitalt” intresse att få sina uppgifter behandlade, men inte kan lämna sitt samtycke, t.ex. när det är fråga om ett allvarligt medicinskt fall.65
Det kan noteras att det är bara vitala intressen för den registrerade – och inte t.ex. sådana intressen hos hans eller hennes minderåriga barn – som kan göra uppgiftsbehandlingen tillåten enligt denna bestämmelse.66 I artikel 8.2 c finns det däremot bestämmelser om att behandling av särskilt känsliga uppgifter kan tillåtas också om den är nödvändig för att skydda någon annans vitala intressen (se avsnitt 3.6.2.3); uppgiftsbehandling måste då i sig vara tillåten enligt någon annan punkt i artikel 7, t.ex. enligt punkt e eller f (se avsnitt 3.5.6 och 3.5.7).
62Uppgiftsbehandling för att fullgöra ett avtal med den registrerade omfattas av en annan bestämmelse (artikel 7 b), se avsnitt 3.5.3.
63På franska ”intérêt vital”, på tyska ”lebenswichtige Interessen”
64Se punkt 3.9 i det brittiska remissunderlaget.
65Jan Evers anser att direktivet lämnar öppet om det finns andra vitala intressen än liv och hälsa som kan få skyddas enligt denna bestämmelse, se EG och behandling av personuppgifter, 1993, s. 17.
66Jämför också artikel 26.1 e beträffande överföring av personuppgifter utanför gemenskapen.
| 128 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.5.6Myndighetsutövning eller allmänt intresse
Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en arbetsuppgift som är antingen
N av allmänt intresse eller
N ett led i myndighetsutövning som utförs av den registeransvarige eller den tredje man till vilken uppgifterna har lämnats ut.
I punkt 32 i ingressen anges att det ankommer på den nationella lagstiftningen att avgöra om den registeransvarige som utför en behandling i allmänt intresse eller som ett led i myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, t.ex. en yrkesorganisation.67 I artikel 8.5 finns det däremot bestämmelser om att behandling av personuppgifter om brott m.m. i vissa situationer måste utföras i vart fall under myndighetskontroll (se avsnitt 3.6.3).
3.5.7Efter en intresseavvägning
Det är slutligen möjligt att tillåta behandling av personuppgifter efter en intresseavvägning. Behandlingen måste då vara nödvändig för ändamål som rör berättigade intressen hos den registeransvarige – eller hos den eller de tredje män till vilka uppgifterna har lämnats ut – och dessa intressen får inte uppvägas av den registrerades intressen eller sådana grundläggande fri- och rättigheter för honom eller henne som skall skyddas av direktivet (enligt artikel 1.1).68
I punkt 30 i ingressen framhålls det att medlemsstaterna – för att garantera en jämvikt mellan berörda intressen och för att samtidigt säkerställa en
67Enligt punkt 30 i ingressen i den svenska språkversionen skulle behandlingen vara tillåten om den ”fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning”. I de engelska, franska och tyska språkversionerna finns det inget motsvarande krav på lagstiftning vid allmänt intresse eller myndighetsutövning. Möjligen är det fråga om ett skrivfel i den svenska versionen; betydelsen blir en annan om ordet ”eller” sätts in efter ordet ”lagstiftning”, vilket är fallet i de engelska och franska versionerna.
68I den engelska språkversionen talas det bara om den registrerades intresse av att få åtnjuta fri- och rättigheter (”interests for fundamental rights and freedoms of the data subject”), medan det i den franska och tyska språkversionen talas om detsamma som i den svenska, dvs. den registrerades intressen eller fri- och rättigheter. Det kan möjligen vara fråga om ett skrivfel i den engelska versionen; betydelsen blir en annan om ordet ”for” byts ut mot ”or”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 129 |
effektiv konkurrens – får närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som utövas av företag och andra organ i deras löpande verksamhet. Staterna får även närmare ange på vilka villkor personuppgifter får vidarebefordras till tredje man i marknadsföringssyfte. Detta gäller oavsett om vidarebefordrandet sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, t.ex. av politisk karaktär. En förutsättning är dock att de regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att uppgifter som rör honom eller henne behandlas (se artikel 14 1 st. b och avsnitt 3.7.3).
Av punkt 30 i ingressen framgår vidare att det kan vara fråga om berättigade intressen hos såväl en juridisk som en fysisk person.69
3.6Behandling av särskilt känsliga uppgifter
3.6.1Ett principiellt förbud mot behandling av uppgifter om ras eller etniskt ursprung, religiösa, filosofiska eller politiska åsikter, fackföreningsmedlemskap, hälsa och sexualliv
I artikel 8 föreskrivs att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar
N ras eller etniskt ursprung, N politiska åsikter,
N religiös eller filosofisk övertygelse eller N medlemskap i fackförening
eller som rör N hälsa eller N sexualliv.70
I kommissionens förklaring anges att information om hudfärg innefattas i bestämmelsen om ras eller etniskt ursprung. När det gäller religiös eller filosofisk övertygelse omfattas en uppgift om att någon inte har någon reli-
69Detta framgår också av punkt 45 i ingressen i den engelska språkversionen.
70I den svenska, den franska och den danska språkversionen anges hälsa och sexualliv, medan det i den engelska och tyska språkversionen talas om hälsa eller sexualliv.
| 130 EG-direktivet om personuppgifter | SOU 1997: 39 |
giös tro, liksom information om aktiviteter som hör samman med en sådan övertygelse. I fråga om uppgifter som rör hälsa omfattas uppgifter om den registrerades tidigare, nuvarande och framtida fysiska och psykiska hälsa samt uppgifter om missbruk av droger eller alkohol.
Av mötesprotokollet framgår att rådet och kommissionen anser att medlemsstaterna får, i enlighet med artikel 5, precisera de kategorier av känsliga uppgifter som anges i artikel 8.1 med hänsyn till landets juridiska och sociologiska särdrag, t.ex. vad beträffar uppgifter som rör genetisk identitet, partipolitisk tillhörighet, fysisk hälsa, personliga övertygelser eller vanor, osv.
3.6.2Undantag från förbudet
3.6.2.1Samtycke
Förbudet mot behandling av känsliga personuppgifter gäller inte om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. I medlemsstaternas lagstiftning kan det dock anges att förbudet mot behandling av känsliga personuppgifter inte kan upphävas ens med den registrerades samtycke.
3.6.2.2Inom arbetsrätten
Känsliga personuppgifter får behandlas när behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten.71 Detta gäller i den omfattning behandlingen är tillåten enligt nationell lagstiftning där lämpliga skyddsåtgärder föreskrivs.
Av mötesprotokollet framgår att rådet och kommissionen anser att varje överenskommelse mellan arbetsmarknadens parter omfattas här.
3.6.2.3För att skydda vitala intressen
Det är tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig för att skydda den registrerades eller någon annan persons
71På engelska ”in the field of employment law”, på franska ”en matière de droit du travail”, på tyska ”auf dem Gebit des Arbeitsrechts”.
SOU 1997: 39
EG-direktivet om personuppgifter 131
grundläggande intressen (”vital interests”) när den registrerade är fysiskt eller rättsligt förhindrad att lämna sitt samtycke.
Se rörande uttrycket grundläggande intressen (”vital interests”) avsnitt 3.5.5 ovan.
3.6.2.4Politiska, filosofiska, religiösa och fackliga organisationer
Känsliga personuppgifter får behandlas om behandlingen utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ – t.ex. en stiftelse eller en förening – som har ett syfte som är
N politiskt, N filosofiskt,
N religiöst eller N fackligt.
För att sådan behandling skall vara tillåten förutsätts dock
N att uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke och
N att behandlingen endast rör
—sådana organs medlemmar eller
—personer som på grund av organets ändamål har regelbunden kontakt med detta.
För sådan behandling som nu avses är det möjligt att föreskriva undantag från eller förenklingar av den anmälningsprocedur som annars skall iakttas innan en behandling genomförs (artikel 18.4, se avsnitt 3.13.3.5).
3.6.2.5Den registrerades offentliggörande
Det är tillåtet att behandla känsliga personuppgifter som på ett tydligt sätt offentliggörs av den registrerade.
Ett exempel här skulle kunna vara uppgifter om politiska förhållanden som rör politiska representanter, t.ex. riksdagsledamöters partitillhörighet och åsikter som förts fram i riksdagen.
3.6.2.6Nödvändig med hänsyn till rättsliga anspråk
Behandling av känsliga uppgifter får ske när behandlingen är nödvändig för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
En medlemsstat har i mötesprotokollet anfört att den utgår från att den princip som här slås fast också omfattar motsvarande användning av upp-
| 132 EG-direktivet om personuppgifter | SOU 1997: 39 |
gifter i förfaranden inför andra statliga organ i den utsträckning som dessa förfaranden föregår förfaranden inför domstol.
3.6.2.7Hälso- och sjukvård
Förbudet mot behandling av känsliga uppgifter gäller inte när behandlingen är nödvändig med hänsyn till
N förebyggande hälso- och sjukvård, N medicinska diagnoser,
N vård eller behandling eller
N administration av hälso- eller sjukvård.
Förbudet gäller inte heller när sådana uppgifter behandlas antingen
N av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som är underkastad tystnadsplikt72 enligt nationell lagstiftning eller bestämmelser som har antagits av behöriga nationella organ eller
N av någon annan person som är underkastad en liknande tystnadsplikt73.
Det verkar inte krävas att behandlingen är nödvändig för något visst ändamål, t.ex. inom hälso- och sjukvårdsområdet, i det fallet att den utförs av någon som är underkastad tystnadsplikt; däremot måste behandlingen givetvis falla under någon av de grundläggande förutsättningar som gör att behandlingen över huvud taget kan tillåtas (se artikel 7 och avsnitt 3.5).
Det verkar vidare inte krävas att den person med tystnadsplikt som behandlar de känsliga personuppgifterna skall vara registeransvarig (eller registerförare) eller ens att han eller hon är yrkesmässigt verksam på hälso- och sjukvårdsområdet.
3.6.2.8Viktigt allmänt intresse
Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten göra även andra undantag än de som tidigare nämnts från förbudet mot behandling av känsliga personuppgifter. Detta får dock bara göras av hänsyn till ett viktigt allmänt intresse, och det är en ytterli-
72På engelska ”subject to […] the obligation of professional secrecy”, på franska ”secret professionel”, på tyska ”Berufsgeheimnis”.
73På engelska ”equivalent obligation of secrecy”, på franska ”obligation de secret équivalente”, på tyska ”entsprechenden Geheimhaltungsplicht”.
SOU 1997: 39
EG-direktivet om personuppgifter 133
gare förutsättning att det finns lämpliga skyddsåtgärder. Sådana undantag som görs med stöd av denna bestämmelse skall anmälas till kommissionen.
I punkt 34 i ingressen anges följande. När det av hänsyn till viktiga allmänna intressen är nödvändigt måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på vissa områden. Som exempel på områden och fall där avvikelser kan ske nämns
N folkhälsa,
N socialskydd, särskilt för att säkerställa kvalitet och lönsamhet i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet,
N i samband med vetenskaplig forskning och N i samband med offentlig statistik.
Det betonas att det dock åligger medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
I punkt 35 i ingressen klargörs att myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga allmänna intressen. Punkt 36 i ingressen behandlar det fallet att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning i samband med att allmänna val hålls. Om det är nödvändigt för att det demokratiska systemet skall fungera, får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen under förutsättning att lämpliga garantier föreskrivs.
Av kommissionens förklaring framgår att undantag skulle kunna göras för internationella människorättsorganisationer som behöver känsliga personuppgifter för sitt arbete, förutsatt att dessa kan erbjuda lämpliga skyddsåtgärder.
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
| 134 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.6.3Uppgifter om brott m.m.
Det finns inte något principiellt förbud mot att behandla personuppgifter om brott eller liknande. Men i artikel 8.5 finns det särskilda regler rörande behandling av uppgifter om
N lagöverträdelser,
N brottmålsdomar eller N säkerhetsåtgärder.74
Behandling av sådana uppgifter får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.
Det är tillåtet för medlemsstaterna att föreskriva att uppgifter som rör administrativa sanktioner och avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
I artikel 8.6 finns det en bestämmelse om att de avvikelser från artikel 8.1 som har tillåtits i enlighet med artikel 8.5 skall anmälas till kommissionen. Eftersom behandling av de uppgifter om brott m.m. som avses i artikel 8.5 inte i sig verkar omfattas av förbudet i artikel 8.1, är det svårt att säga vilken räckvidd denna anmälningsskyldighet har.
3.6.4Användning av personnummer
Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
74På engelska ”offences, criminal convictions or security measures”, på franska ”aux infractions, aux condamnations pénales ou aux measures de sûreté”, på tyska ”Straftaten, strafrechtliche Verurteilungen oder Sicherungsmassregeln”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 135 |
3.7Rätten att motsätta sig uppgiftsbehandling
3.7.1Inledning
I artikel 14 finns det – under rubriken Den registrerades rätt att göra invändningar – bestämmelser om att medlemsstaterna skall tillförsäkra den registrerade rätt att motsätta sig att personuppgifter om honom eller henne behandlas. Det gäller i vissa fall när den registrerade har avgörande och berättigade skäl (artikel 14 1 st. a och avsnitt 3.7.2) och i samband med behandling som rör direkt marknadsföring (artikel 14 1 st. b och avsnitt 3.7.3). Medlemsstaterna skall vidare vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till sina rättigheter i samband med behandling som rör direkt marknadsföring (artikel 14 2 st.).
3.7.2I vissa fall vid avgörande och berättigade skäl
Den registrerade skall ha rätt att motsätta sig behandling av uppgifter som rör honom eller henne, om han eller hon har avgörande och berättigade skäl75 som rör hans eller hennes personliga situation. Detta skall gälla åtminstone i de fall som avses i artikel 7 e och f (se avsnitt 3.5.6 och 3.5.7), dvs. vid uppgiftsbehandling i allmänt intresse eller i samband med myndighetsutövning och vid sådan uppgiftsbehandling som är tillåten efter en intresseavvägning. Men det är tillåtet att i den nationella lagstiftningen föreskriva något annat, dvs. att den registrerade inte har någon sådan rätt att motsätta sig uppgiftsbehandling. När den registrerades invändning är berättigad76, får en behandling som har påbörjats av den registeransvarige inte längre avse uppgifter som rör den registrerade.
Av det brittiska remissunderlaget framgår att det – under förhandlingarna om direktivet – som exempel på giltigt skäl att motsätta sig behandling av personuppgifter angavs det fallet att uppgifterna, även om de behandlades i enlighet med bestämmelserna i direktivet, förmodligen skulle i praktiken komma att falla i händerna på någon som den registrerade kände.
75På engelska ”compelling legitimate grounds”, på franska ”raisons prépondérantes et légitimes”, på tyska ”überwiegende, schutzwürdige […] Gründe”.
76På engelska ”justified objection”, på franska ”opposition justifiée”, på tyska ”berechtigte Widerspruch”.
| 136 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.7.3Direkt marknadsföring
Den registrerade skall ha rätt
att efter anmodan och utan kostnader motsätta sig behandling av sådana personuppgifter som rör honom eller henne och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring
eller
att få bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring
och
att uttryckligen få ett erbjudande om att utan kostnad motsätta sig ett sådant utlämnande eller sådan användning.
I punkt 30 i ingressen talas det om kommersiell eller annan marknadsföring, se närmare under avsnitt 3.5.7. Av punkt 71 i ingressen framgår det att direktivet inte hindrar en medlemsstat från att anta bestämmelser om sådan marknadsföring som riktar sig till konsumenter som har hemvist inom dess territorium, förutsatt att dessa bestämmelser inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter.
3.8Rätten att slippa automatiserade beslut
Artikel 15 behandlar beslut som har rättsliga följder för en person eller som märkbart påverkar honom eller henne. Varje person skall ha rätt att inte bli föremål för ett sådant beslut som enbart grundas på automatisk databehandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom eller henne, t.ex. hans eller hennes arbetsprestationer, kreditvärdighet, pålitlighet eller uppträdande. (Artikel 15.1.)
Om inte något annat följer av övriga bestämmelser i direktivet, skall medlemsstaterna dock föreskriva att en person får bli föremål för ett sådant beslut i två fall (artikel 15.2).
| SOU 1997: 39 | EG-direktivet om personuppgifter 137 |
Det första fallet avser den situationen att beslutet fattas som ett led i ingåendet eller fullgörandet av ett avtal. Som förutsättning gäller emellertid här antingen
att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits
eller
att det vidtas lämpliga åtgärder för att skydda hans eller hennes berättigade intressen, exempelvis en möjlighet för honom eller henne att göra sin uppfattning gällande. (Artikel 15.2 a.)
Det andra fallet är när beslutet har tillåtits i en lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.
I kommissionens förklaring framhålls att det skall vara fråga om ett beslut som grundar sig enbart på automatisk databehandling. Det som är förbjudet är att slaviskt följa det resultat som har producerats av ett system för automatisk databehandling. Den automatiska databehandlingen kan vara ett stöd vid beslutsfattandet, men behandlingen får inte utgöra slutresultatet utan det måste finnas utrymme för en mänsklig bedömning. Det skulle t.ex. strida mot denna princip, anför kommissionen, att en arbetsgivare avvisar en arbetssökande bara på grund av dennes resultat vid en datorbaserad psykologisk utvärdering eller att använda sådan programvara för utvärdering för att ta fram en lista där jobbsökande betygsätts och rangordnas enbart på grund av ett personlighetstest.
När det gäller undantaget i samband med avtal framhåller kommissionen att medlemsstaterna kan precisera vilka lämpliga åtgärder som kan vidtas för att skydda den registrerades intressen. Sådana skyddsåtgärder kan vara föreskrivna i lag, framgå av den underrättelseprocedur som skall tillämpas eller framgå av de interna åtgärder som har vidtagits inom den registeransvariges organisation.
I artikel 12 a tredje strecksatsen finns det en bestämmelse om att den registrerade har rätt att få kännedom om den logik som används vid automatiserade beslut (se avsnitt 3.10.2).
3.9Information till den registrerade
I artikel 10–11 anges att medlemsstaterna skall föreskriva att den registeransvarige – eller dennes företrädare – skall lämna den registrerade viss information.
| 138 EG-direktivet om personuppgifter | SOU 1997: 39 |
Skyldigheten att lämna information gäller inte i de fall den registrerade redan känner till uppgifterna.
I artikel 13.1 finns det bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 10 och 11.1 (se avsnitt 3.11).
När uppgifter om en viss person samlas in från den berörde själv, skall den berörde i vart fall få information om
a)den registeransvariges – och dennes eventuella företrädares – identitet,
b)ändamålen med den behandling för vilka uppgifterna är avsedda, och
c)all ytterligare information i den utsträckning informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Som exempel på information enligt punkt c anges
N mottagarna eller de kategorier som mottar uppgifterna,
N huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara och
N förekomsten av rättigheter att få tillgång till och att få rättelse av uppgifter.
Om uppgifterna inte har samlats in från den registrerade, skall information lämnas vid tiden för registrering av personuppgifter eller, om ett utlämnande till tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut. Informationen skall åtminstone omfatta det som anges i punkt a–c ovan. Som exempel på information som i detta fall skall lämnas enligt punkt c anges, i stället för upplysning om det är frivilligt att svara, uppgift om de kategorier av uppgifter som behandlingen gäller.
Vad som nu sagts för det fallet att uppgifterna inte har samlats in från den registrerade skall dock inte gälla
—när det – särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information
eller
— när utlämnande uttryckligen föreskrivs i författning.
I sådana undantagsfall skall medlemsstaterna emellertid föreskriva lämpliga skyddsåtgärder.
| SOU 1997: 39 | EG-direktivet om personuppgifter 139 |
I punkt 40 i ingressen anges att man vid bedömningen av om ett informationslämnande skulle innebära en oproportionerligt stor ansträngning kan beakta
N antalet registrerade, N uppgifternas ålder och
N de kompensatoriska åtgärder som kan vidtas.
Av mötesprotokollet framgår att rådet och kommissionen anser att man vid denna bedömning måste ta i beaktande vikten av det allmänna intresse för vilket uppgifterna behandlas.
I kommissionens förklaring anges att frågan om hur informationslämnandet skall gå till i praktiken får bero på de särskilda omständigheter under vilka informationen samlas in från de registrerade.
3.10Rätten att på begäran få tillgång till uppgifterna och rättelse
3.10.1Inledning
I artikel 12 finns det bestämmelser om att medlemsstaterna skall säkerställa att varje registrerad har vissa rättigheter gentemot den registeransvarige. Det gäller rätt till information rörande de uppgifter som behandlas, rätt att få felaktiga eller ofullständiga uppgifter rättade m.m. För den händelse uppgifterna rättats m.m. är den registeransvarige skyldig att underrätta de tredje män som redan har fått uppgifterna om den rättelse som har skett.
Från bestämmelserna i artikel 12 är det möjligt att göra vissa särskilda undantag rörande vetenskaplig forskning och statistikproduktion (artikel 13.2). I artikel 13.1 finns det vidare generella bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 12 (se avsnitt 3.11).
| 140 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.10.2Information om uppgifterna
Den registrerade skall ha rätt att från den registeransvarige få viss information om uppgifterna. Den registrerade skall ha rätt att få informationen utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader. Den registrerade har rätt till följande information.
N Bekräftelse på om uppgifter som rör den registrerade behandlas eller inte.
N Information om åtminstone
—ändamålen med behandlingen,
—de berörda uppgiftskategorierna och
—mottagarna eller de kategorier av mottagare till vilka uppgifterna utlämnas.
N Begriplig information om vilka uppgifter som behandlas.
N All tillgänglig information om varifrån de behandlade uppgifterna kommer.
N Kännedom om den logik som används när uppgifter som rör den registrerade behandlas på automatisk väg, åtminstone såvitt avser sådana automatiserade beslut som avses i artikel 15.1 (se avsnitt 3.8).
I punkt 41 i ingressen framhålls det att rätten att få kännedom om den logik som används vid automatisk uppgiftsbehandling inte får negativt påverka affärshemligheter eller upphovsrätten, särskilt den upphovsrätt som skyddar programvaran. Detta bör dock inte få medföra att den registrerade nekas all information.
I kommissionens förklaring anges att det har överlämnats till medlemsstaterna att precisera hur informationen skall lämnas till den registrerade, t.ex. för att garantera att informationen lämnas till rätt person eller för att underlätta för såväl den registeransvarige som den registrerade när flera uppgiftsbehandlingar berörs, särskilt när det gäller manuella register. Ge- nom den nationella lagstiftningen får också den närmare innebörden av ”rimliga intervall” bestämmas. I den nationella lagstiftningen får det vidare
– med beaktande av såväl den registrerades som den registeransvariges intresse – finnas bestämmelser om att den registeransvarige har rätt att ta betalt av en registrerad som utnyttjar rätten att få information, men avgiften får inte överstiga den verkliga kostnaden; avgiften får inte vara ”större”77.
77 På engelska ”excessive”, på franska ”excessif”, på tyska ”übermässig”.
| SOU 1997: 39 | EG-direktivet om personuppgifter 141 |
3.10.3Rättelse
Den registrerade skall – i förekommande fall – ha rätt att få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet
N rättade,
N utplånade eller N blockerade.
Detta skall gälla särskilt om uppgifterna är ofullständiga eller felaktiga. Av kommissionens förklaring verkar framgå att med blockering avses
att den registeransvarige får fortsätta att lagra uppgifterna, men inte på annat sätt behandla eller använda dem, t.ex. lämna ut dem till tredje man. Uppgifterna måste markeras så att användarna får kännedom om att dessa är blockerade. Det verkar också framgå att avsikten med att använda ett uttryck som i förekommande fall har varit att överlåta till medlemsstaterna att närmare bestämma hur den registrerades rätt till rättelse, utplånande eller blockering skall användas i de olika situationer där uppgifter kan ha behandlats eller använts i strid med bestämmelserna i direktivet.
I artikel 6.1 d finns bestämmelser om att alla rimliga åtgärder måste vidtas för att säkerställa att sådana personuppgifter, som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlats in eller för vilka de senare behandlas, utplånas eller rättas, se avsnitt 3.4.5.
3.10.4Underrättelse till tredje man om rättelse
När en registeransvarig har utfört rättelse, utplåning eller blockering av uppgifter i enlighet med vad som anges i närmast föregående avsnitt, har den registrerade rätt att få genomfört att de tredje män till vilka uppgifterna har lämnats ut underrättas om åtgärden. Detta gäller dock inte om en underrättelse är omöjlig eller skulle innebära en oproportionerligt stor ansträngning.
3.10.5Undantag
I sådana fall där det uppenbarligen inte finns någon risk för att den berörda personens privatliv kränks – i synnerhet när uppgifterna inte används för åtgärder eller beslut som avser särskilda personer – får medlemsstaterna (enligt artikel 13.2), under förutsättning av lämpliga rättsliga garantier, genom lagstiftning begränsa de rättigheter i fråga om information om upp-
| 142 EG-direktivet om personuppgifter | SOU 1997: 39 |
gifterna, rättelse och underrättelse till tredje man som anges i artikel 12. Detta gäller dock bara
—när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra
eller
—när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.
I artikel 28.4 andra stycket finns det en bestämmelse om att var och en kan
– i samband med tillämpningen av de nationella undantagsbestämmelser som har antagits med stöd av artikel 13 – hos tillsynsmyndigheten begära att få kontrollera om en behandling är tillåten. Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.11Möjlighet till undantag och begränsningar
I artikel 13.1 finns det bestämmelser om att medlemsstaterna får genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.
N de grundläggande kraven på uppgiftsbehandlingen (artikel 6.1, se avsnitt 3.4),
N skyldigheten att informera den registrerade (artikel 10 och 11.1, se avsnitt 3.9),
N rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, se avsnitt 3.10) och
N reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, se avsnitt 3.13.5).
En sådan begränsning måste vidare vara en nödvändig åtgärd med hänsyn till
a)statens säkerhet,
b)försvaret,
c)allmän säkerhet,
d)förebyggande, undersökning eller avslöjande av brott,
e)åtal för brott,
| SOU 1997: 39 | EG-direktivet om personuppgifter 143 |
f)förebyggande, undersökning eller avslöjande av överträdelser av etiska regler som gäller för lagreglerade yrken,
g)ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen (här inkluderas monetära frågor, budgetfrågor och skattefrågor),
h)en tillsyns-, inspektions- eller regleringsfunktion som – även om den är av övergående karaktär – är förbunden med myndighetsutövning i de fall som nämnts under c, d, e, f och g, eller
i)skydd av den registrerades eller andras fri- och rättigheter.
Av mötesprotokollet framgår att rådet och kommissionen anser att sådana rättigheter som att utföra behandling av personuppgifter inte avses med hänvisningen till andras fri- och rättigheter i punkten i ovan.
I punkt 44 i ingressen framhålls att medlemsstaterna för att uppfylla vissa av målsättningarna kan tvingas att avvika från vissa bestämmelser i direktivet på grund av bestämmelser i gemenskapsrätten. Som exempel på en begränsning med hänsyn till intresset hos den registrerade eller andras fri- och rättigheter (punkt i ovan) anges – i punkt 42 i ingressen – att det kan beslutas att den registrerade har rätt att få tillgång till uppgifter av medicinsk art bara genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
I kommissionens förklaring anges bestämmelser om övervakning av banker och om penningtvätt som exempel på fall då medlemsstaterna på grund av gemenskapsrätten kan vara tvungna att föreskriva begränsningar. Begreppet statens säkerhet omfattar skydd av den nationella suveräniteten mot såväl interna som externa hot. Bestämmelsen om ekonomiska eller finansiella intressen hänför sig till alla åtgärder inom den ekonomiska politiken och åtgärder för att finansiera medlemsstaternas eller den Europeiska unionens politik, såsom kontroll vid valutaväxling, kontroll av utrikeshandel och uppbörd av skatt. När det gäller skyddet av fri- och rättigheter talas det om företagshemligheter, reglerna om den sekretess under vilken advokater och utövare av sjukvård arbetar, rätten att förbereda sig inför en rättegång samt mänskliga rättigheter. Det talas vidare om begränsningar av rätten till tillgång till uppgifter som människorättsorganisationer innehar i de fall där en obegränsad tillgång skulle kunna utsätta andra för fara – t.ex. de personer som i förtroende har lämnat uppgifterna – eller riskera de överordnade intressen som finns hos sådana organisationer.
I artikel 28.4 andra stycket finns det en bestämmelse om att var och en kan – i samband med tillämpningen av de nationella undantagsbestämmelser som har antagits med stöd av artikel 13 – hos tillsynsmyndigheten be-
| 144 EG-direktivet om personuppgifter | SOU 1997: 39 |
gära att få kontrollera om en behandling är tillåten (se avsnitt 3.17). I artikel 9 finns det bestämmelser om förhållandet till yttrandefriheten (se avsnitt 3.3), och artikel 13.2 innehåller särskilda bestämmelser om undantag från rätten att på begäran få tillgång till uppgifterna och rättelse (se avsnitt 3.10.5).
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.12Sekretess och säkerhet vid behandlingen
I artikel 16 finns det – under rubriken Sekretess vid behandling – en bestämmelse om att registerföraren eller den som utför arbete under den registeransvarige eller registerföraren och som får tillgång till personuppgifter får behandla dessa bara enligt instruktion från den registeransvarige. Uppgifterna får dock behandlas även utan instruktion från den registeransvarige, om det enligt lag finns en skyldighet att göra det.
I kommissionens förklaring anges förundersökning (”criminal investigation”) som exempel på när det kan finnas en skyldighet enligt lag att behandla personuppgifter.
I artikel 28.7 finns det bestämmelser om tystnadsplikt för tillsynsmyndighetens ledamöter och personal.
Artikel 17.1 innehåller bestämmelser om säkerheten vid behandling av personuppgifter. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot varje slag av otillåten behandling. Personuppgifter skall dessutom skyddas i följande hänseenden.
N Skydd mot förstöring av uppgifter genom olyckshändelse eller genom otillåtna åtgärder.
N Skydd mot förlust av uppgifter genom olyckshändelse. N Skydd mot ändringar av uppgifter.
N Skydd mot otillåten spridning av uppgifter.
N Skydd mot otillåten tillgång till uppgifter, särskilt när behandlingen innefattar överföring av uppgifter i ett nätverk.
| SOU 1997: 39 | EG-direktivet om personuppgifter 145 |
De säkerhetsåtgärder som skall genomföras skall – med beaktande av den nuvarande tekniska nivån78 och de kostnader som är förenade med åtgärdernas genomförande – åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.
I punkt 46 i ingressen framhålls att skyddet för de registrerades fri- och rättigheter, såvitt avser behandling av personuppgifter, förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet utformas och när själva behandlingen sker, särskilt för att garantera säkerheten för att på så sätt hindra all otillåten behandling.
I artikel 17.2–4 finns det bestämmelser som rör relationen mellan den registeransvarige och registerföraren.
Medlemsstaterna skall föreskriva att den registeransvarige, när behandling utförs för dennes räkning, skall dels välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och organisatoriska åtgärder som måste vidtas, dels se till att dessa åtgärder vidtas.
När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling79 mellan registerföraren och den registeransvarige. Genom handlingen skall särskilt föreskrivas
N att registerföraren bara får handla på instruktioner från den registeransvarige och
N att de skyldigheter i fråga om säkerhet som anges i artikel 17.1, såsom de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad80, även skall åvila registerföraren.
Av direktivtexten framgår inte direkt huruvida vad som nu sagts skulle kunna föreskrivas genom en lagstiftningsåtgärd, t.ex. i en registerförfatt-
78På engelska ”state of the art”.
79På engelska ”legal binding act”, på franska ”acte juridique”, på tyska ”Rechtsakt”.
80Det kan noteras att en registeransvarig som är etablerad i en medlemsstat måste – i fråga om t.ex. säkerheten vid behandling (jämför skyldigheten enligt artikel 17.2 att se till att registerföraren genomför säkerhetsåtgärder) – följa den nationella införandelagstiftningen i den staten (artikel 4.1) och inte den lagstiftning som finns i den stat där den anlitade registerföraren är etablerad. – Jämför punkt 3.31 i det brittiska remissunderlaget.
| 146 EG-direktivet om personuppgifter | SOU 1997: 39 |
ning som anger att en myndighet skall ansvara för ett register som en annan myndighet åläggs att administrera i tekniskt avseende.
Det finns dock, för att säkra bevisning, ett skriftlighetskrav. Avtalet eller den rättsligt bindande handlingen skall nämligen finnas i skriftlig eller därmed jämförlig form i de delar som rör skyddet av uppgifter och de krav som rör sådana säkerhetsåtgärder som anges artikel 17.1.
3.13Anmälan till tillsynsmyndigheten
3.13.1Inledning
I artikel 18 finns det bestämmelser om att behandling av personuppgifter skall anmälas på förhand till tillsynsmyndigheten. Anmälan skall innehålla vissa uppgifter (artikel 19), och tillsynsmyndigheten skall föra in uppgifter om anmälda behandlingar i ett offentligt register (artikel 21.1–2). Den som vill skall kunna få uppgifter även om behandlingen inte har anmälts till tillsynsmyndigheten (artikel 21.3). Vissa särskilt riskfyllda behandlingar skall kontrolleras på förhand (artikel 20).
I punkt 48 i ingressen anges att anmälningsförfarandet är avsett att göra behandlingens ändamål och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra direktivet.
3.13.2Anmälningsplikt för alla automatiska behandlingar
Medlemsstaterna är tvungna att föreskriva att den registeransvarige – eller dennes företrädare – skall underrätta tillsynsmyndigheten före genomförandet av
N en behandling som helt eller delvis genomförs på automatisk väg eller N en serie av sådana automatiska behandlingar som har samma eller flera
närbesläktade ändamål (artikel 18.1).
I kommissionens förklaring anges som ett exempel på fall där regeln om en serie av behandlingar kan användas att det kan räcka med en enda anmälan för alla behandlingar som rör handhavandet av lån vid ett kreditinstitut; anmälan kan då inkludera registrering av ansökan, undersökning av den, beviljandet av den, krav avseende förfallna skulder och övervakandet av vidtagna rättsliga åtgärder.
| SOU 1997: 39 | EG-direktivet om personuppgifter 147 |
När det gäller icke automatiska behandlingar av personuppgifter är det til??låtet för medlemsstaterna att föreskriva att vissa eller alla sådana behandlingar skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem (artikel 18.5).
Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla (artikel 19.1). Det sägs inte uttryckligen att anmälan skall vara skriftlig, men den skall innehålla åtminstone uppgifter i följande hänseenden.
N Den registeransvariges eller dennes eventuella företrädares namn och adress.
N Ändamålen med behandlingen.
N En beskrivning av den eller de kategorier av registrerade som berörs.
N En beskrivning av de uppgifter eller kategorier av uppgifter som hänför sig till de registrerade som berörs.
N Mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut.
N Föreslagna överföringar av uppgifter utanför gemenskapen.
N En allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som i enlighet med artikel 17 har vidtagits för att trygga säkerheten i behandlingen.
Medlemsstaterna skall vidare ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den nyss nämnda informationen (artikel 19.2).
I kommissionens förklaring anges, som exempel på uppgift om den eller de kategorier av registrerade som berörs, företagets kunder, företagets personal eller mottagarna av en viss social förmån.
3.13.3Möjlighet till undantag från och förenklingar av anmälningsproceduren
3.13.3.1Inledning
I artikel 18.2 räknas det upp i vilka två fall och på vilka villkor medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande. Andra undantag är inte tillåtna. Dock finns det i artikel 18.3–4 bestämmelser om möjlighet till särskilda undantag för vissa typer av behandlingar, nämligen förandet av ett författningsreglerat register för allmänheten och icke vinstdrivande organs behandling av känsliga personuppgifter.
| 148 EG-direktivet om personuppgifter | SOU 1997: 39 |
I punkt 51 i ingressen betonas att det förhållandet att en registeransvarig omfattas av ett förenklat anmälningsförfarande eller är undantagen från anmälningsplikt inte befriar honom eller henne från de övriga förpliktelser som följer av direktivet.
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar om undantag utarbetas.
3.13.3.2Om det inte är sannolikt att rättigheter kränks
Den första möjligheten till undantag gäller de typer av behandling i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks. För att undantag skall få göras krävs att medlemsstaterna för dessa typer av behandling anger
N behandlingens ändamål,
N vilka uppgifter eller kategorier av uppgifter som behandlas, N vilka registrerade eller kategorier av registrerade som avses,
N till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut och
N hur länge uppgifterna skall bevaras.
I kommissionens förklaring och reviderade direktivförslag angavs som exempel på typer av behandling som kan undantas
N framställning av korrespondens,
N framställning av promemorior (”papers”),
N uppfyllandet av rättsliga förpliktelser eller skyldigheter avseende bokföring, skatt eller socialförsäkring,
N beräkning av lön och andra förmåner för personalen vid ett offentligt organ eller ett privat företag,
N vissa typer av behandling för vetenskapliga forskningsändamål och
N vissa behandlingar avseende patientjournaler som förs av sjukvårdspersonal eller liknande.
SOU 1997: 39
EG-direktivet om personuppgifter 149
3.13.3.3När ett uppgiftsskyddsombud har utsetts
Den andra möjligheten till undantag gäller när den registeransvarige, i enlighet med den nationella lagstiftning som gäller för honom eller henne, har utsett ett uppgiftsskyddsombud. Uppgiftsskyddsombudet skall ha till uppgift
N att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som har antagits till följd av direktivet och
N att föra ett register över de behandlingar som utförs av den registeransvarige, vilket register skall innehålla de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), med undantag för beskrivning av de säkerhetsåtgärder som har vidtagits.81
Uppgiftsskyddsombudet skall på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna.
Uppgiftsskyddsombudet skall i tveksamma fall rådfråga tillsynsmyndigheten (artikel 20.2).
I punkt 49 i ingressen betonas att den person som utses till uppgiftsskyddsombud måste – vare sig han eller hon är anställd av den registeransvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.
3.13.3.4Författningsreglerat register för allmänheten
Medlemsstaterna får föreskriva att anmälningsplikten inte skall gälla för en sådan behandling vars enda syfte är att föra ett register
N som enligt lagar eller andra författningar är avsett att förse allmänheten med information och
N som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse.
3.13.3.5Icke vinstdrivande organs behandling av känsliga personuppgifter
Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i artikel
81Av mötesprotokollet framgår att det är tillåtet att föreskriva att uppgiftsskyddsombudet inte är skyldigt att registrera sådana behandlingar som omfattas av det undantag som behandlats i avsnitt 3.13.3.2.
| 150 EG-direktivet om personuppgifter | SOU 1997: 39 |
8.2 d, dvs. behandling av känsliga personuppgifter om medlemmar m.fl. som utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte (se närmare avsnitt 3.6.2.4).
3.13.4Förhandskontroll av särskilt riskfyllda behandlingar
Medlemsstaterna är skyldiga att bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter. Medlemsstaterna är vidare skyldiga att säkerställa att sådana särskilt riskfyllda behandlingar kontrolleras innan de påbörjas. (Artikel 20.1.)
I punkt 53 i ingressen anges att vissa typer av behandling på grund av sin natur, sin omfattning eller sitt ändamål kan innebära särskilda risker för att de registrerades fri- och rättigheter kränks. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning. Som exempel på typer av behandling som kan innebära särskilda risker anges
N behandling som har till ändamål att utesluta den berörde från möjligheten att utöva en rättighet, ta emot en förmån eller ingå ett avtal och
N sådan behandling som innebär användning av ny teknik.
I punkt 54 i ingressen anges att det antal behandlingar som innebär särskilda risker torde vara mycket begränsat med tanke på omfattningen av den behandling av uppgifter som utförs i samhället.
Förhandskontrollen skall utföras av tillsynsmyndigheten. Kontrollen skall utföras när myndigheten har fått in en anmälan från den registeransvarige eller från uppgiftsskyddsombudet; uppgiftsskyddsombudet skall nämligen i tveksamma fall rådfråga tillsynsmyndigheten. (Artikel 20.2.) Av artikel 28.3 första stycket andra strecksatsen följer att tillsynsmyndigheten skall ha effektiva befogenheter att ingripa, t.ex. genom att yttra sig innan en behandling äger rum och att i lämplig omfattning offentliggöra yttrandet.
Medlemsstaterna kan emellertid också82 utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstif-
82Ordet ”också” torde inte i detta sammanhang innebära att kontroll skall ske såväl av tillsynsmyndigheten som ”också” i samband med att lagstiftningsåtgärder vidtas; det torde vara fråga om alternativa förfaringssätt.
| SOU 1997: 39 | EG-direktivet om personuppgifter 151 |
tande åtgärd, vilken definierar behandlingens art och anger lämpliga skyddsåtgärder (artikel 20.3).
Av artikel 28.2 följer att medlemsstaterna skall se till att tillsynsmyndigheten hörs när författningar rörande behandling av personuppgifter utarbetas.
3.13.5Offentliggörande av behandlingar
3.13.5.1Inledning
I artikel 21 finns det bestämmelser som rör offentliggörande av behandlingar, både sådana som skall anmälas och sådana som inte skall det. Tillsynsmyndigheten skall föra ett offentligt register över anmälda behandlingar, och information om andra behandlingar skall man på begäran kunna få direkt från den registeransvarige.
I artikel 13.1 finns det generella bestämmelser som gör det möjligt att av hänsyn till vissa intressen föreskriva nödvändiga undantag från vad som följer av artikel 21 (se avsnitt 3.11).
3.13.5.2Offentligt register över anmälda behandlingar
Medlemsstaterna skall vidta åtgärder för att se till att behandlingar offentliggörs (artikel 21.1). Staterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts till den. Detta register skall vara allmänt tillgängligt och innehålla åtminstone de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), förutom beskrivning av de säkerhetsåtgärder som har vidtagits. (Artikel 21.2.)
3.13.5.3Skyldighet att på begäran lämna information om icke anmälda behandlingar
För sådan behandling som inte omfattas av anmälningsplikt är medlemsstaterna skyldiga att föreskriva att de registeransvariga – eller något annat organ som medlemsstaten utser – skall på lämpligt sätt tillhandahålla den som begär det åtminstone de obligatoriska uppgifter som en anmälan skall innehålla (se avsnitt 3.13.2), förutom beskrivning av de säkerhetsåtgärder som har vidtagits. (Artikel 21.3 1 st.)
| 152 EG-direktivet om personuppgifter | SOU 1997: 39 |
Det är dock tillåtet för medlemsstaterna att föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda syfte är att föra ett register
N som enligt lagar eller andra författningar är avsett att förse allmänheten med information och
N som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse. (Artikel 21.3 2 st.)
Sådana register kan enligt artikel 18.3 undantas från anmälningsplikten (se avsnitt 3.13.3.4).
I den utsträckning en medlemsstat väljer att inte föreskriva anmälningsplikt för manuella behandlingar eller att undanta automatiska behandlingar från anmälningsplikten kan således skyldigheten för de registeransvariga att lämna uppgifter komma att bli mera omfattande; uppgifter måste då lämnas varje gång någon begär det och inte bara en gång i en anmälan till tillsynsmyndigheten. Av mötesprotokollet framgår också att rådet och kommissionen anser att rättigheten enligt artikel 21.3 inte får missbrukas, t.ex. genom att en begäran om information görs trots att det är allmänt känt att behandlingen inte rör den som gör begäran.
3.14Överföring av uppgifter utanför EG
3.14.1Överföring är tillåten till länder som säkerställer en adekvat skyddsnivå
Medlemsstaterna skall föreskriva att överföring av personuppgifter, som behandlas eller som är avsedda att behandlas efter överföring till tredje land, bara får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Detta skall dock inte påverka tillämpningen av de nationella bestämmelser som har antagits till följd av andra bestämmelser i direktivet.83 (Artikel 25.1.)
83I punkt 60 i ingressen pekas det särskilt på att behandlingen måste vara tillåten enligt artikel 8, som rör behandling av känsliga uppgifter.
| SOU 1997: 39 | EG-direktivet om personuppgifter 153 |
Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas
N uppgifternas art,
N den eller de avsedda behandlingarnas ändamål, N den eller de avsedda behandlingarnas varaktighet, N ursprungslandet,
N det slutliga bestämmelselandet,
N de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land och
N de regler för yrkesverksamhet och säkerhet som gäller i ifrågavarande tredje land. (Artikel 25.2.)
I kommissionens förklaring anges när det gäller lagstiftningen i tredje land att såväl generella bestämmelser som bestämmelser för olika sektorer måste beaktas, liksom huruvida bestämmelserna tillämpas i praktiken.
Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en sådan adekvat skyddsnivå (artikel 25.3). Om kommissionen – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19) – kommer fram till att ett tredje land inte erbjuder en sådan adekvat skyddsnivå, är medlemsstaterna skyldiga att vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till detta land (artikel 25.4). Kommissionen skall i sådant fall vid lämpligt tillfälle inleda förhandlingar för att avhjälpa den situation som därvid har uppkommit (artikel 25.5).
Kommissionen kan vidare – i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19) – konstatera att ett tredje land, genom sin interna lagstiftning eller på grund av de internationella förpliktelser som åligger landet, har en sådan adekvat skyddsnivå. Medlemsstaterna skall då vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. Som exempel på internationella förpliktelser som åligger tredje land nämns särskilt sådana förpliktelser som är en följd av de förhandlingar som kommissionen har inlett och som gäller skydd för privatliv och enskilda personers grundläggande fri- och rättigheter. (Artikel 25.6.)
| 154 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.14.2Överföring till länder med sämre skydd
3.14.2.1Fall där överföring måste tillåtas
Medlemsstaterna är dock skyldiga att – utom där något annat föreskrivs för särskilda fall i den nationella lagstiftningen84 – föreskriva att överföring av personuppgifter till ett tredje land, som inte har en sådan adekvat skyddsnivå, är tillåten i följande fall.
a)Den registrerade otvetydigt har samtyckt till den planerade överföringen.
b)Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder innan avtalet ingås.
c)Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och tredje man, där avtalet är i den registrerades intresse.
d)Överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk85.
e)Överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade86.
f)Överföringen görs från ett register som 1) enligt lagar eller andra författningar är avsett att förse allmänheten med information och som 2) är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för att få tillgång är uppfyllda. (Artikel 26.1.)
84Formuleringen är anpassad efter vad som anges i den engelska, den franska och den tyska språkversionen. I den svenska språkversionen heter det: ”om det inte finns tvingande regler om detta i deras lagstiftning”, vilket betyder något annat.
85Den närmare innebörden av denna bestämmelse, som återges i enlighet med den svenska språkversionen, är svår att fastslå även när man beaktar andra språkversioner. De engelska, franska och tyska språkversionerna tyder närmast på att här behandlas två skilda fall, dels att överföringen är nödvändig – eller krävs enligt tvingande rättsregler – för ett viktigt allmänt intresse, dels att överföringen är nödvändig (och kanske alternativt krävs enligt tvingande rättsregler) för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Jämför också punkt 58 i ingressen, där det talas om att överföringen är nödvändig för ett rättsligt anspråk eller när skyddet av väsentliga samhällsintressen kräver det.
86Se om sådana vitala intressen vad som anförs i avsnitt 3.5.5.
SOU 1997: 39
EG-direktivet om personuppgifter 155
I punkt 58 i ingressen anges som exempel på viktiga allmänna intressen utbyte av uppgifter mellan skattemyndigheter, tullmyndigheter eller socialförsäkringsmyndigheter. När det gäller överföring från ett sådant register som avses i punkten f ovan anges att överföringen inte bör omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret.
I kommissionens förklaring anges att undantaget i punkten c ovan kan vara särskilt användbart vid överföringar i samband med transaktioner som vidtas av banker och andra kreditinstitut. Undantaget rörande viktiga allmänna intressen avsåg att tillåta internationellt samarbete, t.ex. för att bekämpa penningtvätt eller för att övervaka finansiella institutioner.
3.14.2.2Överföring får tillåtas om den registeransvarige kan garantera skydd
Det är vidare tillåtet för medlemsstaterna att tillåta överföring av personuppgifter till ett tredje land med en icke adekvat skyddsnivå om den registeransvarige ställer tillräckliga garantier för skyddet av privatliv och enskilda personers grundläggande fri- och rättigheter och för utövandet av sådana rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler. (Artikel 26.2.) Medlemsstaterna skall informera kommissionen om de överföringar som har tillåtits enligt denna bestämmelse. Om kommissionen eller en medlemsstat gör en invändning – på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – skall kommissionen vidta lämpliga åtgärder i enlighet med den särskilda beslutsprocedur som föreskrivs i direktivet (se avsnitt 3.19). Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut. (Artikel 26.3.) Om kommissionen å andra sidan – i enlighet med den särskilda beslutsprocedur som nyss nämnts – beslutar att vissa standardklausuler erbjuder tillräckliga garantier, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.
3.15Sanktioner
3.15.1Rätt till domstolsprövning
Enligt artikel 22 skall medlemsstaterna föreskriva att var och en har rätt att föra talan inför domstol om kränkningar av sådana rättigheter som skyddas av den nationella lagstiftning som är tillämplig på den aktuella behand-
| 156 EG-direktivet om personuppgifter | SOU 1997: 39 |
lingen. Detta skall inte påverka möjligheten att utnyttja eventuella administrativa förfaranden som kan användas innan ett ärende anhängiggörs hos en rättslig instans, t.ex. ett förfarande vid tillsynsmyndigheten.87
Enligt artikel 28.3 första stycket tredje strecksatsen skall vidare tillsynsmyndigheten ha befogenhet att inleda rättsliga förfaranden vid överträdelser av de nationella bestämmelser som antagits till följd av direktivet eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.
3.15.2Rätt till skadestånd
Medlemsstaterna skall föreskriva att den som har lidit skada till följd av en otillåten behandling – eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet – har rätt till ersättning av den registeransvarige för den skada som han eller hon har lidit. Den registeransvarige får emellertid, helt eller delvis, undantas från skadeståndsansvar, om han eller hon visar att han eller hon inte är ansvarig för den händelse som orsakade skadan. (Artikel 23.)
I punkt 55 i ingressen anges som exempel på fall där den registeransvarige inte är ansvarig för skadefallet att han eller hon kan påvisa att ett fel har begåtts av den registrerade eller att det är fråga om force majeure.
3.15.3Andra sanktioner
Medlemsstaterna skall vidta lämpliga åtgärder för att säkerställa att direktivet genomförs fullständigt. Staterna skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som har antagits till följd av direktivet. (Artikel 24.)
I punkt 55 i ingressen framhålls att sanktioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som har antagits till följd av direktivet. Punkten 21 i ingressen innehåller en erinran om att direktivet inte påverkar de territorialitetsregler som gäller på straffrättens område.
87 Jämför om anmälan till tillsynsmyndigheten artikel 28.4.
| SOU 1997: 39 | EG-direktivet om personuppgifter 157 |
3.16Uppförandekodexar
3.16.1Inledning
I artikel 27 finns det bestämmelser rörande uppförandekodexar.88 Medlemsstaterna och kommissionen skall uppmuntra utarbetandet av uppförandekodexar som – med beaktande av de särskilda förhållandena på olika områden – skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna har antagit till följd av direktivet.
3.16.2Nationella kodexar
Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga som har upprättat förslag till nationella kodexar – eller som avser att ändra eller utöka redan existerande nationella kodexar – kan lägga fram dessa för bedömning av den nationella myndigheten. Staterna skall föreskriva att denna myndighet bl.a. skall kontrollera att de framlagda förslagen stämmer överens med de nationella bestämmelser som har antagits till följd av direktivet. Myndigheten skall, om den anser det lämpligt, inhämta synpunkter från de registrerade eller deras företrädare.
3.16.3Kodexar på gemenskapsnivå
Förslag till kodexar på gemenskapsnivå – och förslag till ändring av eller tillägg till sådana kodexar – kan läggas fram för den särskilda arbetsgrupp som skall bildas enligt direktivet (se avsnitt 3.18). Arbetsgruppen skall bl.a. avgöra om de framlagda förslagen stämmer överens med de nationella bestämmelser som har antagits till följd av direktivet. Arbetsgruppen skall, om den anser det lämpligt, inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan se till att de kodexar som har godkänts av arbetsgruppen offentliggörs på lämpligt sätt.
88På engelska ”codes of conduct”, på franska ”codes de conduite”, på tyska ”Verhaltensregeln”. Alternativa svenska översättningar kan vara t.ex. branschregler, sektorsvisa förhållningsregler och branschöverenskommelser.
| 158 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.17Tillsynsmyndighetens ställning
Varje medlemsstat skall se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som staterna antar till följd av direktivet. Myndigheterna skall fullständigt oberoende utöva de uppgifter som åläggs dem. (Artikel 28.1.) Den svenska regeringen har beslutat att utse Datainspektionen till tillsynsmyndighet enligt denna bestämmelse.89
Medlemsstaterna skall vidare se till att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter (artikel 28.2).
Enligt artikel 28.3 första stycket skall varje tillsynsmyndighet särskilt ha N undersökningsbefogenheter, såsom befogenhet
—att få tillgång till uppgifter som behandlas och
—att hämta in alla uppgifter som är nödvändiga för att sköta tillsynen,
N effektiva befogenheter att ingripa, såsom befogenhet t.ex.
—att avge yttranden, i enlighet med artikel 20 (se avsnitt 3.13.4), innan en behandling äger rum,
—att se till att sådana yttranden offentliggörs i lämplig omfattning,
—att kunna besluta om blockering, utplåning eller förstöring av uppgifter,
—att kunna besluta om tillfälligt eller slutligt förbud mot behandling,
—att kunna ge den registeransvarige varning eller tillrättavisning och
—att kunna hänvisa saken till det nationella parlamentet eller till andra politiska institutioner samt
N befogenhet att inleda rättsliga förfaranden vid överträdelser av de nationella bestämmelser som antagits till följd av direktivet eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.
Varje tillsynsmyndighet har – oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen – behörighet att inom sin egen medlemsstats territorium utöva dessa befogenheter. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter. Tillsynsmyndigheterna skall samarbeta med varandra i den utsträckning som behövs, särskilt genom att utbyta användbar information. (Artikel 28.6.) I artikel 29–30 finns det bestämmelser om internationellt samarbete
89 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.
| SOU 1997: 39 | EG-direktivet om personuppgifter 159 |
inom en särskild arbetsgrupp som består av företrädare för de nationella tillsynsmyndigheterna och kommissionen (se avsnitt 3.18).
Sådana beslut av tillsynsmyndigheten som går någon emot kan överklagas till domstol (artikel 28.3 2 st.).
Varje tillsynsmyndighet skall behandla framställningar som någon – eller en organisation som företräder denne – gör rörande skyddet för sina fri- och rättigheter avseende behandling av personuppgifter. Anmälaren skall informeras om vilka följder hans eller hennes anmälan har fått. (Artikel 28.4.)
Varje tillsynsmyndighet skall vidare, särskilt, behandla framställningar om kontroll av lagligheten av en behandling av personuppgifter som faller under de nationella bestämmelserna om undantag och begränsningar enligt artikel 13 (se avsnitt 3.11 och 3.10.5). Anmälaren skall i vart fall informeras om att en kontroll har gjorts.
Varje tillsynsmyndighet skall också regelbundet upprätta en rapport om sin verksamhet. Rapporten skall offentliggöras. (Artikel 28.5.)
Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal skall ha tystnadsplikt avseende förtrolig information som de har tillgång till. Tystnadsplikten skall gälla även efter det att anställningen vid myndigheten har upphört. (Artikel 28.7.)
3.18Tillsynsmyndigheterna inom EG bildar en arbetsgrupp
I artikel 29–30 finns det bestämmelser om en rådgivande och oberoende arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter. Arbetsgruppen skall bestå av företrädare för de nationella tillsynsmyndigheterna och en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner samt en företrädare för kommissionen. Arbetsgruppen har vissa utredningsbefogenheter och kan utfärda rekommendationer på eget initiativ, men fungerar i övrigt främst som ett rådgivande organ till kommissionen.
Det finns inte anledning att här gå närmare in på detaljbestämmelserna om arbetsgruppens sammansättning och funktion, vilka bestämmelser inte torde kräva några lagstiftningsåtgärder på det nationella planet. Den intresserade hänvisas i stället till direktivtexten (se bilaga 2).
| 160 EG-direktivet om personuppgifter | SOU 1997: 39 |
3.19Medlemsstaterna ingår i en kommitté med kommissionen
Enligt artikel 31 skall det bildas en kommitté av företrädare för medlemsstaterna under ledning av en ordförande som företräder kommissionen. Kommittén skall biträda kommissionen genom att avge yttranden. Kommissionen har vidare fått rätt att besluta om åtgärder i enlighet med kommitténs yttrande i fråga om överföring av personuppgifter utanför EG (se artikel 25.4, 25.6, 26.3 2 st. och 26.4 samt avsnitt 3.14). I fråga om detaljer rörande beslutsproceduren m.m. hänvisas till direktivtexten (se bilaga 2).
3.20Ikraftträdande och övergångsbestämmelser
Medlemsstaterna skall sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet senast tre år efter det att direktivet antogs, dvs. senast måndagen den 24 oktober 1998 (artikel 32.1 1 st.). Den arbetsgrupp som avses i artikel 29–30 har emellertid, enligt uppgift, redan börjat arbeta.
När sådana lagar och andra författningar för att genomföra direktivet offentliggörs skall de innehålla eller åtföljas av en hänvisning till direktivet. Närmare föreskrifter om hur den hänvisningen skall göras skall varje medlemsstat själv utfärda.90 (Artikel 32.1 2 st.) Medlemsstaterna skall vidare till kommissionen överlämna texten till de nationella bestämmelser som antas inom det område som omfattas av direktivet (artikel 32.4).
Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av direktivet träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt, dvs. allra senast sex år efter antagandet av direktivet eller onsdagen den 24 oktober 2001.
Från denna bestämmelse finns två undantag.
För det första får medlemsstaterna i fråga om behandling av personuppgifter som redan finns i manuella register när de nationella genomförandebestämmelserna träder i kraft föreskriva att behandlingen skall bringas i överensstämmelse med artikel 6–8 inom tolv år från dagen för
90Se för svensk del 18 a § författningssamlingsförordningen (1976:725) samt jämför Statsrådsberedningens PM 1996:4 s. 22 ff.
| SOU 1997: 39 | EG-direktivet om personuppgifter 161 |
antagandet av direktivet, dvs. senast onsdagen den 24 oktober 2007. Medlemsstaterna skall i detta fall emellertid ge den registrerade rätt att på begäran – särskilt när han eller hon utövar rätten att få tillgång till uppgifterna – få rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå.
I punkt 69 i ingressen finns följande, något svårtolkade uttalande: ”För att möjliggöra ett kostnadseffektivt genomförande av [direktivet] skall medlemsstaterna tillåtas att under […] en tidsperiod, som löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att […] befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa [manuella] register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när de är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser.”91
Till mötesprotokollet har vidare fogats en förklaring av rådet och kommissionen som verkar innebära att manuella register, som inte används aktivt, inte ens efter tolvårsperiodens utgång behöver anpassas till artiklarna 6–8, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ekonomisk insats.92 Förklaringen, som måste anses vara något svårtolkad, lyder: ”Med avseende på de särskilda omständigheter som gäller för sådana personuppgifter som finns i register och som inte faktiskt behandlas efter att de nationella bestämmelser som antagits för att genomföra detta direktiv trätt i kraft, men som på ett lagligt sätt förvaras med tanke på en eventuell framtida användning, anser rådet och kommissionen att artikel 32 i detta direktiv innehåller en skyldighet för den registeransvarige att vid utgången av den tolvårsperiod som där avses vidta alla åtgärder som rimligen kan krävas enligt vad som anges i artikel 6, 7 och 8 om detta inte visar sig vara omöjligt att genomföra eller innebära en oproportionellt stor ekonomisk insats. Härvid måste hänsyn tas både till nödvändigheten att garantera skyddet av enskilda personers fri- och rättigheter, och till tillsynsmyndighetens befogenheter som anges i artikel 28 i detta direktiv.”
Medlemsstaterna får – för det andra – också föreskriva att uppgifter som bara bevaras för historisk forskning inte behöver överensstämma med
91Jämför punkt 8.6 i det brittiska remissunderlaget.
92Se punkt 8.8–10 i det brittiska remissunderlaget.
| 162 EG-direktivet om personuppgifter | SOU 1997: 39 |
artikel 6–8. Detta förutsätter emellertid att det finns lämpliga skyddsåtgärder. (Artikel 32.3.)
I punkt 70 i ingressen klargörs att det inte är nödvändigt att den registrerade på nytt lämnar sitt samtycke för att den registeransvarige skall, efter ikraftträdandet av genomförandebestämmelserna, få fortsätta att behandla känsliga uppgifter när behandlingen är nödvändig för att genomföra ett avtal som har slutits på grundval av ett frivilligt och informerat samtycke före ikraftträdandet.
I artikel 33 finns slutligen bestämmelser om att kommissionen regelbundet skall avge en rapport om genomförandet av direktivet, eventuellt med ändringsförslag. Kommissionen skall också särskilt undersöka til??lämpningen av direktivet på behandling av ljud- och bilduppgifter. Kommissionen skall lägga fram alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling visar sig nödvändiga.
3.21Den fortsatta utvecklingen inom EG
Rådet antog den 12 september 1996 en gemensam ståndpunkt (nr 57/96) inför antagandet av ett EG-direktiv ”om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet, särskilt när det gäller det digitala flertjänstnätet (ISDN) och allmänt tillgängliga digitala mobila nät”.93 Enligt uppgift är det troligt att ett direktiv i huvudsak i enlighet med den gemensamma ståndpunkten kommer att utfärdas någon gång under våren 1997. Avsikten är att direktivet skall träda i kraft samtidigt som EG-direktivet om behandling av personuppgifter, dvs. senast den 24 oktober 1998.
Ett EG-direktiv i enlighet med den gemensamma ståndpunkten kan sägas precisera och komplettera bestämmelserna i det generella EG-direkti- vet om behandling av personuppgifter såvitt avser telekommunikationsområdet. Det finns t.ex. bestämmelser om när och hur personuppgifter som utgör s.k. trafikdata får behandlas för olika ändamål, såsom fakturering, marknadsföring och nummerpresentation.
93 EGT nr C 315, 24.10.96, s. 30.
SOU 1997: 39
EG-direktivet om personuppgifter 163
Enligt uppgift pågår vidare arbete inom kommissionen med att undersöka hur den personliga integriteten skall skyddas i samband med användningen av Internet.
| SOU 1997: 39 | 165 |
4 Övriga internationella regler
4.1Inledning
Även inom Europarådet och OECD har det förekommit visst arbete på persondataskyddsområdet.
Datalagsutredningen har i kapitel 4 i sitt slutbetänkande lämnat en redovisning av den internationella utvecklingen på dataskyddsområdet. Den redovisningen är – frånsett vad som anfördes om det då föreliggande förslaget till EG-direktiv – fortfarande aktuell och vi kan därför hänvisa till vad Datalagsutredningen anfört. En rekommendation från Europarådet, som bör nämnas i sammanhanget, har dock kommit till efter det betänkandet: Europarådets rekommendation av den 7 februari 1995 om persondataskydd vid telekommunikation.94
Som bilagor till Datalagsutredningens slutbetänkande finns vidare (i engelsk version) viktigare internationella grunddokument bifogade; OECD:s riktlinjer och Europarådets konvention95 och rekommendationer i fråga om anställning, forskning och statistik samt direktreklam. Däremot verkar själva rekommendationen från OECD inte ha bifogats (bara de bilagda riktlinjerna). OECD:s rekommendation lyder:
94Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services.
95Europarådets konvention finns i engelsk, fransk och svensk version som bilaga 4 till prop. 1981/82:189 (s. 188 ff.).
| 166 Övriga internationella regler | SOU 1997: 39 |
RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA
Adopted by the Council 23rd September, 1980
The Council,
Having regard to articles 1(c), 3(a) and 5(b) of the Convention on the Organisation for Economic Co-operation and Development of 14th December, 1960;
Recognising:
that, although national laws and policies may differ, Member countries have a common interest in protecting privacy and individual liberties, and in reconciling fundamental but competing values such as privacy and the free flow of information;
that automatic processing and transborder flows of personal data create new forms of relationships among countries and require the development of compatible rules and practices;
that transborder flows of personal data contribute to economic and social development; that domestic legislation concerning privacy protection and transborder flows of per-
sonal data may hinder such transborder flows;
Determined to advance the free flow of information between Member countries and to avoid the creation of unjustified obstacles to the development of economic and social relations among Member countries;
RECOMMENDS
1.That Member countries take into account in their domestic legislation the principles concerning the protection of privacy and individual liberties set forth in the Guidelines contained in the Annex to this Recommendation which is an integral part thereof;
2.That Member countries endeavour to remove or avoid creating, in the name of privacy protection, unjustified obstacles to transborder flows of personal data;
3.That Member countries co-operate in the implementation of the Guidelines set forth in the Annex;
4.That Member countries agree as soon as possible on specific procedures of consultation and co-operation for the application of these Guidelines.
| SOU 1997: 39 | Övriga internationella regler 167 |
Europarådets rekommendationer på särskilda områden redovisar vi i det följande i den mån det behövs i anslutning till att vi behandlar det område som rekommendationen rör. Följande rekommendationer bör nämnas i sammanhanget.
N Recommendation No. R (81) 1 on regulations for automated medical data banks (medicinska databanker).
N Recommendation No. R (83) 10 on the protection of personal data used for scientific research and statistics (skydd för personuppgifter som används för vetenskaplig forskning eller statistik)96.
N Recommendation No. R (85) 20 on the protection of personal data used for the purposes of direct marketing (skydd för personuppgifter som används för direkt marknadsföring)97.
N Recommendation No. R (86) 1 on the protection of personal data used for social security purposes (skydd för personuppgifter som används inom socialförsäkringen).
N Recommendation No. R (87) 15 regulating the use of personal data in the police sector (användningen av personuppgifter inom polisens område)98.
N Recommendation No. (89) 2 on the protection of personal data used for employment purposes (skydd för personuppgifter som används för anställningsändamål)99.
N Recommendation No. R (90) 19 on the protection of personal data used for payment and other related operations (skydd för personuppgifter som används i samband med betalning eller liknande).
N Recommendation No. R (91) 10 on the communication to third parties of personal data held by public bodies (om utlämnande till tredje man av personuppgifter som finns hos offentliga organ).
N Recommendation No. R (95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (skydd för personuppgifter vid telekommunikation).
För att underlätta för läsarna har vi beträffande de allmänna reglerna i OECD:s riktlinjer och Europarådets konvention valt att i detta avsnitt ta in en samlad redovisning på svenska. Redovisningen har hämtats från Data-
96Finns som bilaga 3 till SOU 1993:10. Se också avsnitt 11.4.1 i förevarande betänkande.
97Finns som bilaga 3 till SOU 1993:10.
98Finns som bilaga 3 till SOU 1996:35.
99Finns som bilaga 3 till SOU 1993:10. Jämför den ”Code of practice on the protection of worker’s privacy” som antogs av ILO:s styrelse i november 1996.
| 168 Övriga internationella regler | SOU 1997: 39 |
lagsutredningens slutbetänkande.100 Avslutningsvis i detta avsnitt berör vi något frågan om utländska rättsordningar.
4.2OECD:s riktlinjer
Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna, Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommendation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och därmed åtagit sig att följa denna. Ytterligare åtgärder som t.ex. ratifikation av medlemsländerna krävs inte varför riktlinjerna har trätt i kraft. Någon preciserad tidpunkt för när kraven enligt riktlinjerna skall vara genomförda finns inte. […]
Enligt rekommendationen skall medlemsländerna i sin nationella lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som har presenterats i de riktlinjer som fogats till rekommendationen. Medlemsländerna skall vidare försöka undanröja opåkallade hinder för internationell datakommunikation som gäller personuppgifter och undvika att nya sådana skapas under förevändning av behov av skydd för personlig integritet. Samarbete skall bedrivas vid verkställigheten av riktlinjerna och så snart som möjligt skall länderna avtala om särskilda procedurer för överläggningar och samarbete som gäller tillämpningen av riktlinjerna.
Syftet med riktlinjerna är att söka undvika de risker för personlig integritet och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av det sammanhang i vilket de används. Riktlinjerna är tillämpliga på personuppgifter både inom den offentliga och den privata sektorn. De är tillämpliga både för uppgifter som lagras automatiskt och uppgifter som förs manuellt. Det finns inget hinder mot att man tillämpar olika skyddsåtgärder för olika slag av persondata, att man från riktlinjernas tillämpning undantar persondata som uppenbart inte innebär någon risk för personlig integritet eller att man tillämpar riktlinjerna endast på automatisk databehandling av personuppgifter. Undantagen från riktlinjernas grundläggande principer för nationell och internationell tillämpning skall vara så få som möjligt och göras kända för allmänheten. Riktlinjerna skall betraktas som minimiregler, varför ingenting hindrar att integritetsskyddet görs mer omfattande.
Riktlinjerna innehåller en särskild avdelning som behandlar åtta grundläggande principer rörande skyddet för personlig integritet på det nationella planet.
1.Insamlingen av personuppgifter skall vara begränsad och uppgifter skall inhämtas på ett lagligt och korrekt sätt samt, när det är skäligt, med den registrerades kännedom eller samtycke (”Collection Limitation Principle”).
2.Personuppgifter skall vara relevanta för de ändamål för vilka de skall användas och, i den utsträckning det behövs för dessa ändamål, vara riktiga och fullständiga samt hållas aktuella (”Data Quality Principle”).
100 Konventionen och riktlinjerna behandlas i prop. 1981/82:189 s. 42 ff.
| SOU 1997: 39 | Övriga internationella regler 169 |
3.De ändamål för vilka personuppgifterna samlas in skall vara preciserade senast vid insamlingen. Den efterföljande användningen skall vara begränsad till att uppfylla dessa ändamål eller sådana ändamål som är förenliga med ursprungsändamålen och som preciseras vid varje förändring (”Purpose Specification Principle”).
4.Personuppgifter får inte röjas, göras tillgängliga eller på annat sätt användas för andra ändamål än de preciserade, om det inte sker med den registrerades medgivande eller med stöd av författning (”Use Limitation Principle”).
5.Personuppgifter skall genom rimliga säkerhetsåtgärder skyddas mot risker för förlust eller otillåten tillgång, förstörelse, användning, förändring eller otillåtet röjande (”Security Safeguards Principle”).
6.En öppenhet skall råda beträffande personuppgifter i fråga om utveckling, tillämpning och policy. Det skall vara möjligt att få veta existensen och beskaffenheten av personuppgifter samt huvudändamålen för vilka de används. Det skall också vara möjligt att få uppgift om vem som är registeransvarig och om var denne finns (”Openness Principle”).
7.Den enskilde skall ha rätt att av den registeransvarige eller av annan få reda på om denne har personuppgifter om honom/henne, att få sig tillsänt eventuella personuppgifter inom rimlig tid, utan alltför stor kostnad, på rimligt sätt och i begriplig form. Vidare skall den enskilde ha rätt att vid avslag på en begäran om uppgifter få veta skälen härför och ha möjlighet att överklaga. Den enskilde skall även ha rätt att ifrågasätta uppgifter som gäller honom eller henne och, om så är nödvändigt, få dessa utraderade, rättade eller kompletterade (”Individual Participation Principle”).
8.Den registeransvarige skall ha ansvaret för att de lagstiftningsåtgärder eller andra åtgärder som vidtas för att genomföra de tidigare angivna principerna följs (”Accountability Principle”).
En avdelning av riktlinjerna innehåller principer för internationell tillämpning. Här föreskrivs bl.a. att medlemsländerna skall vidta alla rimliga och lämpliga åtgärder för att se till att personuppgifter kan passera gränserna säkert och utan avbrott. Vidare skall medlemsländerna avhålla sig från att göra inskränkningar i fråga om flödet av personuppgifter från det egna landet till andra medlemsländer. Sådana inskränkningar är dock tillåtna i förhållande till ett annat land, om detta inte iakttar riktlinjerna eller om personuppgifter bara skall passera genom det andra landet till ett tredje land och avsändarlandets integritetslagstiftning därigenom kringgås. Ett medlemsland får också göra inskränkningar i fråga om personuppgifter för vilka den inhemska integritetslagstiftningen innehåller särskilda skyddsregler, om sådana uppgifter inte har ett likvärdigt skydd i mottagarlandet. Medlemsländerna skall undvika att – under åberopande av skydd för personlig integritet och individens friheter – i lag, tillämpning eller förfarande ställa upp hinder för flödet av personuppgifter över gränserna som går utöver vad som är nödvändigt för sådant skydd.
Regler om ömsesidigt bistånd mellan medlemsländerna m.m. finns i en särskild avdelning av riktlinjerna. Medlemsländerna skall införa legala, administrativa eller andra förfaranden eller vidta andra åtgärder för att beträffande personuppgifter ge skydd för personlig integritet och individens friheter. Medlemsländerna skall särskilt sträva efter att anta lämplig inhemsk lagstiftning, att främja och understödja självreglering i form av etiska regler eller på annat sätt, att införa lämpliga sanktioner och rättsmedel samt att se till att registrerade inte utsätts för orättvis särbehandling. På begäran skall medlemsländerna ge ett annat medlemsland upplysning om hur de principer iakttas som riktlinjerna innehåller. Medlemsländerna skall också se till att de förfaranden som til??lämpas för
| 170 Övriga internationella regler | SOU 1997: 39 |
flöden av personuppgifter över gränserna och för skyddet av personlig integritet och individens friheter är enkla och jämförbara med dem som andra medlemsländer tillämpar. Medlemsländerna skall vidare genom särskilda förfaranden underlätta utbyte av information rörande riktlinjerna och ömsesidigt bistånd i fråga om de förfaranden och utredningar som kan bli aktuella. Vidare skall medlemsländerna arbeta för att utveckla inhemska och internationella principer för vilket lands lag som blir tillämplig i fråga om flöden av personuppgifter över gränserna.
Internationella associationer och företag, som International Air Transport Association (IATA), Center for Financial Industry Information Systems i Japan, Canadian Bankers Association, American Bank och IBM har antagit egna regler om dataskydd som bl.a. bygger på OECD:s riktlinjer.
4.3Europarådets konvention
Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, den s.k. dataskyddskonventionen. Till konventionen har fogats en förklarande rapport av den expertgrupp inom Europarådet som utarbetat konventionstexten.
Konventionen trädde i kraft den 1 oktober 1985, då kravet var uppfyllt att fem medlemsländer tillträtt konventionen.101
Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Enligt expertgruppens förklarande rapport är utgångspunkten att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.
Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet (artikel 3). Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet. Därutöver finns viss möjlighet till undantag från några enskilda bestämmelser (artikel 9). Reservationer mot bestämmelserna i övrigt får inte göras (artikel 25). Däremot är det ingenting som hindrar att registrerade personer tillerkänns ett mer omfattande skydd än som föreskrivs i konventionen (artikel 11).
Konventionen har fem kapitel. Den centrala delen är kapitel II (artiklarna 4–11) som innehåller de grundläggande principerna för dataskydd. Varje konventionspart skall vidta de åtgärder som behövs för att dess nationella lagstiftning skall innehålla dessa grundläggande principer. Åtgärderna skall vara vidtagna senast vid den tidpunkt då konventionen träder i kraft för parten (artikel 4). Dessa grundläggande principer skall garantera registrerade personer i alla länder där konventionen gäller ett visst minimiskydd i samband med automatisk databehandling av personuppgifter. Detta skall göra
101 Numera har bl.a. samtliga EG-stater, utom Italien, ratificerat konventionen.
| SOU 1997: 39 | Övriga internationella regler 171 |
det möjligt för konventionsparterna att ömsesidigt avstå från att begränsa dataflödet över gränserna.
Kapitel II innehåller krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling (artikel 5). Dessa krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling, om inte den nationella lagen ger ett ändamålsenligt skydd (artikel 6). Det gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga säkerhetsåtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. (artikel 7). Vissa ytterligare skyddsåtgärder för registrerade personer föreskrivs (artikel 8). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade.
Vissa undantag får enligt konventionen göras i fråga om kraven på uppgifternas beskaffenhet och dylikt (artikel 9). För sådana avvikelser krävs dock dels att de har stöd i nationell lagstiftning, dels att de är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet eller dylikt eller för att skydda den registrerade eller andra personers fri- och rättigheter. Rätten till insyn och rättelse m.m. får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller vetenskapliga forskningsändamål. Den nationella lagen skall också innehålla lämpliga sanktioner och rättsmedel (artikel 10).
Kapitel III, som rör dataflödet över gränserna, syftar till att förena kraven på fritt informationsflöde och dataskydd. Det är enligt expertgruppen viktigt att man ser bestämmelserna i kapitel III i samband med de grundläggande principerna i kapitel II, som garanterar att databehandlingen av personuppgifter i alla berörda länder är föremål för samma grundläggande reglering. Kapitel III innehåller bestämmelser om behandlingen i nationell lag av flödet av personuppgifter över gränserna (artikel 12). Bestämmelserna gäller, oavsett vilket medium som används, vid överföring över nationsgränser av personuppgifter som undergår eller skall undergå automatisk databehandling eller som samlas in för det ändamålet. Huvudregeln är att överföring mellan konventionsstater skall vara fri. Det är inte tillåtet att ställa upp vare sig förbud eller krav på särskilt medgivande uteslutande i syfte att skydda den personliga integriteten.
I två fall är det emellertid tillåtet att göra undantag från huvudregeln. Den ena grunden för undantag är att avsändarlandets lagstiftning innehåller särskilda bestämmelser för vissa kategorier av personuppgifter men mottagarlandets lagstiftning inte ger ett likvärdigt skydd. Den andra grunden är att det egentliga mottagarlandet står utanför konventionen men överföringen dit sker via en konventionsstat. I ett sådant fall är det möjligt för avsändarlandet att, för att undvika att dess lagstiftning kringgås, exempelvis kräva särskilt tillstånd för överföringen.
Kapitel IV och V reglerar formerna för samarbetet mellan konventionsstaterna. Konventionen har konstruerats på ett sätt som gjort det möjligt att begränsa innehållet till de grundläggande principerna och för övrigt lita till samarbete mellan konventionsstaterna, bl.a. inom ramen för en rådgivande kommitté, när det gäller att införa och harmonisera dessa principer i de olika staternas lagstiftning.
I kapitel IV finns bestämmelser om att varje konventionsstat skall utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje myndighets behörighet (artikel 13). De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande på dataskyddsområdet m.m. Vidare behandlas frågor om bistånd till registrerade personer som är bosatta utomlands (artikel
| 172 Övriga internationella regler | SOU 1997: 39 |
14). Den myndighet som utses i ett visst land skall hjälpa personer i utlandet med att utöva sina rättigheter till insyn och rättelse m.m. Sådant bistånd skall lämnas oavsett om den som begär hjälp är bosatt i en annan konventionsstat eller i ett land som står utanför konventionen.
I kapitel V finns bestämmelser om den rådgivande kommittén, dess sammansättning och uppgifter m.m. (artikel 18 och 19).
4.4Utländsk rätt
I bilaga 4 till Datalagsutredningens slutbetänkande finns det en redogörelse för utländsk rätt land för land.102 Med hänsyn till att de länder vars rättstraditioner står oss närmast – medlemsstaterna i EU och EES – för närvarande håller på att se över den befintliga dataskyddslagstiftningen för att anpassa den till EG-direktivet har vi inte funnit det meningsfullt att här lämna en motsvarande redovisning; den som är intresserad av en samlad framställning av den delvis överspelade ordningen i utlandet hänvisas till Datalagsutredningens redogörelse.
Vi har dock, så långt möjligt, försökt att följa upp det översynsarbete som nu pågår i många länder och ta till vara erfarenheterna från utlandet, bl.a. genom sammanträffande med de övriga nordiska utredningarna och deltagande i internationella akademiska seminarier och konferenser samt besök vid utländska dataskyddsmyndigheter. Vad som kommer att föreslås i de olika länderna är dock ännu oklart i många delar, och vi har därför inte här kunnat ta in någon samlad redogörelse för förslagen till genomförande av EG-direktivet i andra länder; en sådan redogörelse skall för övrigt kommissionen lämna om några år (se artikel 33 1 st. i EG-direktivet).
En slutsats som kan dras av våra internationella kontakter är att det finns ganska betydande skillnader mellan medlemsstaterna i EU och EES i fråga om uppfattningen om hur den personliga integriteten lämpligen bör skyddas vid informationsbehandling, t.ex. när det gäller värdet av att behandlingar anmäls till en dataskyddsmyndighet. Genomförandet av EG- direktivet torde komma att innebära en viss harmonisering och samsyn på området, men det förefaller högst sannolikt att det även efter genomförandet kommer att finnas betydande skillnader mellan medlemsstaterna i synsätt och tillvägagångssätt på grund av det spelrum EG-direktivet medger vid genomförandet.
102 Se också t.ex. James Michael, Privacy and Human Rights, 1994.
| SOU 1997: 39 | Övriga internationella regler 173 |
Inom kommissionen verkar man dock se det generella EG-direktivet som bara ett första steg, vilket infört en gemensam men flexibel referensram som grund för fortsatt arbete på området. Det särskilda EG-direktivet för telekommunikationsområdet, om vilket en gemensam ståndpunkt nyligen antagits (se avsnitt 3.21), visar att man på särskilda områden är beredd att gå vidare med preciseringar på gemenskapsnivå inom den referensram som det generella EG-direktivet skapat. I den mån man inom EG fortsätter på den inslagna vägen med preciseringar på gemenskapsnivå kommer harmoniseringen att drivas allt längre, samtidigt som det nationella spelrum som det generella EG-direktivet medger gradvis krymper.
| SOU 1997: 39 | 175 |
5 Teknikens möjligheter
Enligt utredningsdirektiven skall vi i vårt arbete beakta utvecklingen på IT-området. Vi skall även beakta den fortsatta utveckling som kan överblickas.
Den tekniska utvecklingen på detta område går med en rasande fart. Vi har under utredningsarbetets gång försökt att hålla oss underrättade om vilka tekniska möjligheter som finns i dag och om vad tekniken kan tänkas erbjuda i framtiden. Vi har också tagit del av olika framtidsvisioner eller scenarier. Däremot har vi inte funnit det meningsfullt att här lämna en redovisning av var tekniken står just i dag. En sådan redovisning skulle beroende på den snabba utvecklingstakten i vissa delar vara inaktuell redan innan remissyttrandena över betänkandet kommit in. Härtill kommer att tekniken i sig – i dag eller inom den framtid som kan överblickas – inte innebär några egentliga begränsningar som bör beaktas vid utarbetandet av en ny lagstiftning om persondataskyddet. Lagstiftningen blir vidare mera framåtsyftande om man vid utarbetandet utgår från att det mesta i fråga om informationsbehandling är – eller kommer att bli – tekniskt möjligt.
Förutsättningarna för vårt arbete med att reglera behandlingen av personuppgifter bör därför vara, att en sådan behandling i dag och inom den överblickbara framtiden inte hindras av några begränsningar i de tekniska möjligheterna att nå och bearbeta datorlagrad information överallt och på alla tänkbara sätt.
Den tekniska utrustningen blir bara kraftfullare, enklare att hantera och billigare. I dag kan i princip alla företag och löntagare i Sverige, som prioriterar detta, skaffa sig utrustning som gör det möjligt att bearbeta ett stort antal uppgifter om tiotusentals personer och att utbyta information med andra datoranvändare över hela världen.103 Möjligheterna finns för alla och inte bara för myndigheter eller andra stora organisationer.104
103En undersökning år 1995 visade att ungefär 60 procent av den svenska befolkningen i åldern 16–64 år är eller har varit datoranvändare, se Statistiska centralby-
| 176 Teknikens möjligheter | SOU 1997: 39 |
Utrustningen och sätten att lagra och representera information kommer förmodligen att bli alltmer standardiserade och kompatibla. Så snart information om t.ex. en person har lagrats i datorformat (binärt, dvs. såsom ettor och nollor) i en dator kommer den informationen tekniskt sett att kunna läsas och användas också av alla andra datorer (eventuellt efter s.k. konvertering). Utvecklingen gör att varje användare tekniskt sett lättare kan nå all information. Alltmer information av olika typ kan vidare användas samtidigt, t.ex. text, ljud och bild sammanställda, s.k. multimedia.
Alltfler datorer och informationsmängder kopplas samman. Det blir tekniskt allt enklare och billigare att dela datorlagrad information med allt fler i allt mer omfattande s.k. nätverk, t.ex. Internet. Samtidigt blir det allt enklare för den enskilde användaren att ta med sig datorkraften eller möjligheterna att koppla upp sig mot informationsmängderna. Det blir vidare allt enklare att sammanställa information från flera olika källor oberoende av de fysiska avstånden. Varje datoranvändare kan varhelst han eller hon befinner sig nå information överallt.
Att datorer blir kraftfullare, enklare att använda och billigare har redan nämnts. Det gör att var och en själv kan bearbeta information på alla tänkbara sätt. Grundinformationen kan hämtas från många olika källor i världen. Den bearbetade (manipulerade) informationen kan sedan – med eller utan källangivelse – spridas till datoranvändare över hela världen för vidare sammanställning och bearbetning av andra.
rån, Datorvanor 1995 – Undersökning gjord på uppdrag av IT-kommissionen, 1995.
104En del brukar måla upp en vision om informationsteknikens A- och B-lag. Diskussionen om hur möjligheterna faktiskt skall kunna göras tillgängliga för alla är givetvis viktig, men hör egentligen inte hemma i detta sammanhang.
| SOU 1997: 39 | 177 |
6 Reglering av bruk eller missbruk
Såväl den nuvarande datalagen som EG-direktivet, andra internationella överenskommelser och de flesta andra EU-staters dataskyddslagstiftning bygger på att själva hanteringen av personuppgifter regleras. Vi föreslår att en ny, svensk lagstiftning också skall reglera själva hanteringen av uppgifterna och inte bara vad som kan betecknas som ett missbruk av dem. Det förtjänar emellertid övervägas om det inte bör ske en övergång till en sådan missbruksmodell. Den struktur som EG-direktivet anvisar läggs till grund för vårt lagförslag, när det inte finns särskilda skäl för avvikelser.
6.1Integritet och effektivitet
Utgångspunkten för vårt arbete skall – enligt utredningsdirektiven – vara att tillförsäkra den enskilde ett fullgott integritetsskydd i IT-samhället samtidigt som användningen av ny teknik i samhällsutvecklingen inte skall hämmas.
När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ibland till en av professorn Stig Strömholm upprättad ”kränkningskatalog”:105
a)tillträde till och genomsökande av privata lokaler eller annan egendom,
b)kroppsundersökning,
c)medicinska undersökningar, psykologiska test,
d)intrång i en persons privata sfär genom skuggning, spionerande, telefonterror,
e)ofredande genom företrädare för massmedierna,
f)olovlig ljudupptagning, fotografering eller filmupptagning,
105 SvJT 1971 s. 698 f.
| 178 Reglering av bruk eller missbruk | SOU 1997: 39 |
g)brytande av brevhemligheten,
h)telefonavlyssning,
i)utnyttjande av elektronisk avlyssningsapparatur,
j)spridande av förtroliga uppgifter,
k)avslöjande inför offentligheten av annans privata förhållanden,
l)olika former av utnyttjande av annans namn, bild eller liknande identifieringsmedel,
m)missbruk av annans ord eller meddelanden, och
n)angrepp på annans heder och ära.
Framför allt förfaranden under j), k) och n) kan avse personuppgifter som behandlas i IT-miljö.
Att den personliga integriteten skyddas innebär i dessa sammanhang att användningen av personuppgifter regleras och begränsas. Det står alltså klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet.
Genom att integritetsskyddslagstiftningen görs teknikoberoende blir såväl manuell som automatisk användning av personuppgifter underkastad i princip samma reglering. Och beslutet att utnyttja eller inte utnyttja ny teknik blir därmed oberoende av den integritetsskyddslagstiftning som finns rörande användningen av personuppgifterna. Frågan om en teknikoberoende integritetsskyddslagstiftning berörs närmare i avsnitt 7.
Andra utredningar, t.ex. IT-kommissionen, arbetar eller har arbetat för att främja användningen av den nya informationstekniken. Det är givetvis angeläget att så effektiva och billiga verktyg som möjligt används för de arbetsuppgifter som behöver utföras i den offentliga sektorn och inom näringslivet. Vi har gjort en total översyn av den föråldrade datalagen och föreslår att den nya lagstiftningen görs teknikoberoende. I dessa hänseenden kan sägas att vårt arbete främjar användningen av ny teknik. I övrigt får vi nöja oss med att försöka utforma en integritetsskyddslagstiftning som inte mer är nödvändigt hämmar användningen av personuppgifter och därmed utnyttjandet av såväl ny som gammal teknik.
Vilken reglering och begränsning av användningen av personuppgifter är då nödvändig för att skydda den personliga integriteten? Det är till stora delar en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörliga intrång i annans personliga integritet skall så långt möjligt förebyggas.
När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället.
| SOU 1997: 39 | Reglering av bruk eller missbruk 179 |
Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana direkt mätbara skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när i och för sig korrekta personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.
Även med denna utgångspunkt kan man på ett mera allmänt och lagtekniskt plan resonera kring vilken metod som bör användas för att reglera integritetsskyddet. Det är ett sådant principiellt resonemang som förs i detta avsnitt. Våra överväganden beträffande den närmare nivån på skyddet – dvs. i praktiken vilka begränsningar i användningen av personuppgifter som bör gälla – kommer att framgå av de följande avsnitten.
6.2Olika modeller för regleringen
6.2.1Hanteringsmodellen och missbruksmodellen
Man kan på ett principiellt plan tänka sig åtminstone två olika modeller för regleringen av skyddet för den personliga integriteten:
N Reglering av själva hanteringen av personuppgifter (hanteringsmodellen).
N Reglering av sådant utnyttjande av personuppgifter som kan karakteriseras som ett missbruk (missbruksmodellen).
När man riktar in sig på att reglera själva hanteringen av personuppgifter, blir det viktigt med regler som avser t.ex.
N att precisera godtagbara ändamål med hanteringen och hindra användning som inte stämmer överens med sådana ändamål,
N att inte fler uppgifter än nödvändigt hanteras,
N att de hanterade uppgifterna är korrekta och relevanta,
N att de hanterade uppgifterna inte läcker ut från den som hanterar dem och
N att de registrerade kan få kännedom om av vem uppgifterna hanteras och vilka uppgifter som hanteras.
Den nuvarande datalagen och EG-direktivet kan sägas bygga på en sådan modell för skyddet av den personliga integriteten. Också Europarådets
| 180 Reglering av bruk eller missbruk | SOU 1997: 39 |
konvention och rekommendationer samt, på det globala planet, OECD:s riktlinjer verkar bygga på hanteringsmodellen. Även den svenska grundlagen106 kan sägas kräva att det skall finnas en lagstiftning baserad på hanteringsmodellen, innefattande skydd mot integritetskränkningar genom att personuppgifter registreras (oavsett om de i någon mening missbrukas eller inte).
De som förespråkar den modell som koncentrerar sig på reglering av det som kan karakteriseras som missbruk av personuppgifter, brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det har t.ex. talats om ett slags allemansrätt till personuppgifter.107 Det viktiga med den modellen blir i stället att identifiera vilken användning av personuppgifter som utgör ett sådant missbruk att det bör förbjudas, dvs. i första hand kriminaliseras eller skadeståndsbeläggas.
Båda modellerna har fördelar.
Även om en reglering i enlighet med hanteringsmodellen görs i princip teknikoberoende, är det inte praktiskt möjligt att låta den omfatta all hantering av personuppgifter; hanteringen av sådana personuppgifter som någon har memorerat (”har i huvudet”) bör t.ex. lämnas utanför regleringen, trots att de memorerade uppgifterna givetvis kan komma att användas till skada för den som uppgifterna avser. Missbruksmodellen däremot är helt teknikoberoende och tar sikte på det skadliga utnyttjandet av personuppgifterna oberoende av vilket hjälpmedel som har använts vid utnyttjandet (papper och penna, dator, det mänskliga minnet etc.).
Med hanteringsmodellen kan man alltså – till skillnad från missbruksmodellen – inte komma till rätta med allt missbruk av personuppgifter eller all användning av personuppgifter som enskilda kan tycka är obehaglig eller skadlig.
Med hanteringsmodellen främjas en kontinuerligt god hantering av personuppgifter; man begränsar hanteringen till de uppgifter som behövs och hanteringen sker på ett ändamålsenligt sätt som den enskilde kan få insyn i. Den modellen förutsätter också att det finns någon sorts kontroll av eller tillsyn över hanteringen. Missbruksmodellen är å andra sidan mera repressiv till sin karaktär. Där kommer regleringen och tillsynen in först sedan skadan har skett, när missbruket är ett faktum. Det torde med den mo-
1062 kap. 3 § 2 st. regeringsformen.
107Se Jan Freese, Rapport om skyddet för enskilda personers privatliv – ett mer samlat grepp?, 1995, avsnitt 10.4.
| SOU 1997: 39 | Reglering av bruk eller missbruk 181 |
dellen vara svårt att på ett tillräckligt förutsebart sätt reglera och kontrollera olika ”förberedelser” till missbruk.
Den hantering som inte innebär ett missbruk lämnas med missbruksmodellen i princip utanför regleringen; där gäller ”allemansrätten till personuppgifter”. Med hanteringsmodellen regleras däremot i princip också sådan hantering av personuppgifter som objektivt sett måste betraktas som harmlös. Det kan därför tyckas att hanteringsmodellen spänner över onödigt mycket. Missbruksmodellen lämnar å andra sidan öppet för en hantering av också känsliga personuppgifter som redan genom sin stora omfattning kan oroa många människor.
6.2.2Valet på lång sikt av modell för regleringen
Den svenska datalagen och EG-direktivet, som kan betecknas som en moderniserad version av datalagen, bygger som framgått av föregående avsnitt på hanteringsmodellen. Denna kännetecknas av långtgående och detaljerade anvisningar för hur persondata får hanteras. Datalagens tillkomst motiverades av den oro och det obehag med vilken många upplevde den begynnande dataålderns nya möjligheter att behandla personuppgifter. Hanteringsmodellen bygger på ett omfattande administrativt system för kontroll och tillsyn av att dessa regler upprätthålls. Att skapa ett sådant system var högst naturligt på den tid då persondata fanns registrerade i ett antal stora datorer, då antalet system var få och lättöverskådliga och det sålunda var realistiskt att tillsynsmyndigheterna skulle kunna pröva och kontrollera att datahanterarna följde lagen.
I framtiden kommer dataflödet – även i fråga om persondata – att bli enormt. Redan nu kan vi se att i stort sett inga spärrar gäller i fråga om vad som läggs in i Internet och som sprids över alla gränser. Hittillsvarande erfarenheter från Sverige säger oss att för endast ungefär 10 procent av alla licenspliktiga personregister har innehavaren sökt licens hos Datainspektionen. Proportionen av laglydiga kan inte väntas bli större när antalet PC- innehavare ökar.
Man skulle kunna tro att det upplevda obehaget skulle ha minskat i takt med att kunskapen om och användningen av datorer ökat och IT-samhället krupit närmare. Emellertid visar de undersökningar som har gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. De upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i nå-
| 182 Reglering av bruk eller missbruk | SOU 1997: 39 |
gon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts. Det förhållandet att den enskilde har eller inte har egen erfarenhet av datorer verkar enligt de senaste undersökningarna inte ha påverkat inställningen till användningen av personuppgifter eller det upplevda obehaget. Och om åldern alls har någon betydelse, är det så att yngre hittills varit mera negativa än äldre till t.ex. överföringar av uppgifter mellan myndigheter.
En förklaring till dessa iakttagelser kan vara att det inte är tekniken som sådan utan teknikens möjligheter som människor är oroliga för. Det väsentliga är vad som registreras och om det kan missbrukas. De stora systemen kan fortfarande – och kanske i växande utsträckning – upplevas som hotande medan de små inte gör det. Oron handlar troligen om möjligheterna till samkörning, skepsis mot myndigheter i allmänhet och mängden information. Det finns en betydande grupp som anser att icke önskvärd kontroll skall hindras. Människor kan dock ha överdrivna föreställningar om teknikens möjligheter. Inställningen kan vara kluven beroende på vilka uppgifter det är fråga om. Man är rädd för att andra har uppgifter om den egna personen och saknar den kontroll över uppgifterna som var möjlig när uppgifterna fanns på papper. När man själv kan få nytta av att exempelvis myndigheterna har tillgång till statistiska uppgifter tycker man däremot att teknikens möjligheter bör utnyttjas.
Problemet är internationellt. Som framkommit vid konferenser i vilka vårt sekretariat deltagit finns en oro för bl.a. den behandling av personuppgifter som utförs av privata intressenter. Ett exempel är att bankerna samlar på sig mängder av uppgifter om kundernas betalningsvanor, övertrasseringar etc. Integritetsintrånget utgörs dels av det obehag människorna känner av att bankerna vet så mycket, dels av oro för att banken kan tänkas fatta beslut i fråga om exempelvis kreditgivning på grundval av dess insamlade uppgifter. Ett exempel från USA är att efterfrågan på uppgifter från sjukvården är stort. Bland andra försäkringsbolagen är mycket intresserade av sådana uppgifter för att kunna agera på grundval av dem.
Reklamföretagen anser att Internet är mycket värdefullt för deras ändamål. Det finns företag som samlar in uppgifter om människors beteende på nätet, vilka BBS man använder, vilka tidningsartiklar man har läst osv. Reklamerbjudanden kan sedan riktas till människor på grundval av dessa uppgifter.
När det gäller Internet görs försök att bringa verksamheten under kontroll, från östliga diktaturers försök att totalförbjuda användandet till strävanden i USA att bekämpa kriminella handlingar som utförs på eller med
SOU 1997: 39
Reglering av bruk eller missbruk 183
hjälp av nätet. Det efterlyses regler från alla håll. För att komma till rätta med problemen har föreslagits såväl lagstiftning som självsanering. I USA har man gett ut rekommendationer som de seriösa företagen förväntas följa. Avsaknaden av auktorisation och ansvarsregler för dem som lägger ut information på nätet har på sina håll ansetts göra det omöjligt för seriösa företag att använda det. Det har sagts att användarna måste ställa krav på dem som skapar programmen att göra det möjligt för den enskilde att på ett enkelt sätt själv avgöra om han eller hon vill ”synas” på nätet eller inte. Om företagen inte tillhandahåller detta bör användaren inte använda produkten.
Den tekniska utvecklingen går nu så snabbt att det är omöjligt att göra några säkra förutsägelser om framtiden. Kanske kommer det inom en snar framtid att finnas teknik som gör det möjligt att urskilja och blockera oönskad information på nätet. För närvarande synes det dock i stort sett omöjligt att bringa Internet under kontroll och försöka upprätthålla strikta krav för hur persondata skall få hanteras på nätet – att försöka hävda att allt är förbjudet som inte är tillåtet. En sträng hanteringsmodell synes för närvarande dömd att misslyckas såtillvida att den inte kommer att respekteras och därmed dra ett löjets skimmer över lagstiftningen. Det kan t.ex. uppkomma svårigheter att på ett lagligt sätt behandla frågor om hälsa och sexualliv i en diskussionsgrupp vid en BBS i någon medicinsk fakultet, om diskussionen knyts till personer. Det finns sålunda de som anser att EG-di- rektivet redan hunnit bli obsolet i detta hänseende, eftersom det bygger på principer som utvecklades innan nätet kom i allmänt bruk. Risken är uppenbar att företag och till och med myndigheter kommer att bortse från delar av regleringen.
Som ytterligare exempel kan nämnas myndigheternas e-post. E-medde- landen i form av löpande text som överförs mellan datorer via nät omfattas av regleringen i EG-direktivet. Det är knappast genomförbart att hindra att e-post med personuppgifter, som inte borde få behandlas enligt direktivet, kommer in till myndigheterna. Är de inkomna måste de också bevaras för att tillgodose offentlighetsprincipen. Föreskrifterna om underrättelse till de registrerade vid insamling av personuppgifter blir inte enkla att tillämpa i sådana fall. Detsamma gäller hur information skall kunna lämnas till den som vill veta om personuppgifter som rör honom eller henne behandlas i e- posten.
Å andra sidan kan det antas att människor även i framtiden kommer att ha kvar sin oro för stora datasystem. Det torde därför bli nödvändigt att behålla en hanteringsmodell, om ock i förenklad form, för stora databaser
| 184 Reglering av bruk eller missbruk | SOU 1997: 39 |
hos myndigheter och hos företag med enskilda som klienter eller kunder, t.ex. sjukhus, banker och försäkringsföretag. Detta kan ske på så sätt att en datalag enligt hanteringsmodellen ges generell giltighet men att undantag görs för nätförbindelser, småföretag och andra som framstår som omöjliga att kontrollera. Det blir dock svårt både att lagtekniskt avgränsa de aktörer som skulle undantas och att i den praktiska verksamheten tillämpa en sådan avgränsning. Det torde vara lättare att reglera persondatahanteringen hos de aktörer som måste kontrolleras genom att skapa särskilda registerlagar för olika förvaltningsgrenar inom allmän verksamhet, efter mönster av de registerförfattningar som finns i dag, respektive för olika branscher inom näringslivet.
När det gäller de många små datasystemen, hos t.ex. skolor, småföretagare, enskilda, och troligen också Internet, synes det däremot hopplöst att söka kontrollera själva hanteringen av persondata. Den beskrivning av de framtida problemen som lämnats i det föregående ger nästan automatiskt vid handen att det är utsiktslöst att försöka reglera innehållet i ett otal databaser, annat än för mycket speciella situationer som t.ex. i fråga om barnpornografi. När så småningom alla kommunicerar via data blir det inte konstigare med det än med telefonsamtal, brevskrivning via den allmänna posten eller information via trycksaker. Det kommer att vara mängder av personuppgifter som behandlas i ett sådant system. Vi kan då inte längre hålla på med att strängt reglera själva hanteringen av personuppgifterna. Mycket få skulle rätta sig efter sådana bestämmelser och det kommer inte att finnas resurser att kontrollera att de efterlevs. Tillräckliga resurser skulle för övrigt kunna leda till ett kontrollsamhälle som inte skulle accepteras. Lika gärna skulle man kunna försöka kontrollera telefontrafiken (annat än i form av telefonavslyssning vid misstanke om grov brottslighet). Vad man i stället kan inrikta sig på utanför de särskilda registerförfattningarnas ram är att förhindra sådan spridning av databehandlade personuppgifter som den uppgifterna avser med fog kan begära att bli skonad från.
Lagstiftningen kan i så fall inriktas på att inskärpa moralnormer på området snarare än på en administrativ prövning av befintliga system. När datahantering blir något som ingår i vardagslivet, precis som alla andra tekniker som mänskligheten under århundradena lagt sig till med, kommer det att bli naturligt att motverka dess avarter på samma sätt som vi motverkar avarter på andra områden av mänsklig samlevnad. Som exempel på andra integritetskränkningar kan nämnas misshandel och hotelser. Påföljder för sådana handlingar är straff och skadestånd. Påföljderna syftar samtidigt till att upprätthålla normerna (i dessa fall att man inte får misshandla
| SOU 1997: 39 | Reglering av bruk eller missbruk 185 |
och hota sina medmänniskor). När vi i Sverige i alla år klarat oss med några få centrala bestämmelser om bl.a. förtal och förolämpning beträffande det tryckta ordet bör en av tekniska skäl framtvingad övergång till en motsvarande reglering på dataområdet kunna fungera.
Självfallet kan olika typer av brott förekomma i samband med databehandling. IT-utredningen har i sitt betänkande (SOU 1996:40) Elektronisk dokumenthantering gått igenom olika straffbestämmelser som därvid kan bli tillämpliga. Det kan sägas att bestämmelser som rör traditionell brottslighet ganska väl låter sig tillämpas också på förfaranden som sker med automatisk databehandling, utom såtillvida att det ofta är svårt att finna gärningsmannen.
Vad frågan nu gäller är emellertid om det går att ersätta den nuvarande datalagstiftningen om skydd mot otillbörlig behandling av personuppgifter. En framtida lagstiftning om behandling av personuppgifter utanför den särskilda registerlagstiftningens ram synes böra bygga på någon form av skydd för privatlivet. Skyddet bör riktas mot användning av personuppgifter på ett sätt som skadar enskilda personers privatliv. En sådan reglering är visserligen förenad med uppenbara svårigheter, eftersom ”vanliga” människor har mer fog för sina krav på ett fredat privatliv än personer som lever i offentlighetens ljus. Det blir inte lättare av att bestämmelser i ämnet också måste tas in i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Det har framförts förslag till lagreglering av skyddet för privatlivets fred. Integritetsskyddskommittén redovisade tre tänkbara lösningar, hur ett utökat skydd för den enskilde skulle kunna genomföras.108 Ett förslag innebar att det i tryckfrihetsförordningen och brottsbalken skulle tas in en straffbestämmelse om skydd mot kränkningar av privatlivets fred. Därmed skulle gärningen bli straffbar även om den begicks av massmedier och det skulle finnas en möjlighet att få skadestånd. Ett annat förslag var att det skulle införas en möjlighet att få skadestånd vid ett intrång i privatlivet även om intrånget inte var straffbart. Det tredje alternativet var att behålla den nuvarande ordningen dvs. att låta regleringen ske genom massmediernas självsanerande verksamhet. I det lagstiftningsärende som därefter följde och som ledde fram till yttrandefrihetsgrundlagen ansågs det att man även i fortsättningen skulle lita till den självsanerande verksamheten.109
108Se SOU 1980:8.
109Se prop. 1986/87:151 s. 44.
| 186 Reglering av bruk eller missbruk | SOU 1997: 39 |
På senare tid har skyddet för den personliga integriteten behandlats i bl.a. studien Skyddet för enskilda personers privatliv (Ds 1994:51). I studien framförs att en viktig metod för att stärka integritetsskyddet kan vara att hindra att känsliga personuppgifter utnyttjas eller sprids på ett inte önskvärt sätt i t.ex. massmedier (s. 173). Vidare diskuteras införandet av en ny straffbestämmelse i tryckfrihetsförordningen och yttrandefrihetsgrundlagen till skydd för privatlivets fred. Sådana bestämmelser finns i bl.a. Danmark, Finland och Norge samt i Frankrike (se redogörelsen i avsnitt 10.5.3).
Det kan finnas anledning att här nämna den finländska regleringen eftersom denna, till skillnad från den danska och norska, är förhållandevis ny; den tillkom 1974.110 Då infördes en bestämmelse i 27 kap. 3 a § strafflagen med följande lydelse.
Den som utan laga rätt med användande av massmedium eller på annat liknande sätt om annans privatliv offentligen sprider uppgift, antydan eller bild, som är ägnad att orsaka denne skada eller lidande, skall för kränkning av privatliv dömas till fängelse i högst två år eller till böter. Som kränkning av privatliv skall icke anses offentliggörande, som gäller persons förfarande i offentlig tjänst eller offentligt värv, i näringslivet eller i politisk verksamhet eller i annan med dessa jämförbar verksamhet och som är av nöden för behandlingen av någon samhälleligt betydelsefull sak.
Det inses lätt att en generell regel om kränkning av privatlivets helgd kan ge upphov till talrika gränsdragningsproblem och tillämpningssvårigheter. Det kan inte ingå i vårt uppdrag att överväga ens om det vore önskvärt att införa en sådan allmän regel, långt mindre hur den i så fall skulle kunna utformas. I och för sig finns sådana bestämmelser i olika europeiska länder men det synes tveksamt om EG-kommissionen kan tänkas acceptera att sådana regler sätts i stället för det detaljerade EG-direktivet. Fördelarna och nackdelarna med en sådan regel blir för övrigt desamma vare sig informationen vidarebefordras med data, t.ex. via Internet, eller exempelvis lämnas muntligen i TV. Den fråga vi ställer oss är, om det är möjligt att skilja ut en sådan behandling av personuppgifter med data som framstår som otillbörlig mot den det berör och därför skulle kunna förebyggas med användande av straff eller skadestånd.
110 Se Ds 1994:51 s. 101 ff.
| SOU 1997: 39 | Reglering av bruk eller missbruk 187 |
Frågan är då vilka missbruk närmare bestämt som bör motarbetas på persondataområdet, dvs. i första hand kriminaliseras eller förknippas med skadeståndspåföljd. I den förut återgivna ”kränkningskatalogen” (se ovan avsnitt 6.1) är de missbruk som är aktuella när fråga är om persondataskyddet närmast
N spridande av förtroliga uppgifter,
N avslöjande inför offentligheten av annans privata förhållanden och N angrepp på annans heder och ära.
Av de former för missbruk som sålunda är aktuella när fråga är om persondataskyddet kan först nämnas att spridning av förtroliga uppgifter knappast medför andra problem vid databehandling än vid andra former av kommunikation. Vanligast och kanske också mest skadebringande torde muntlig spridning vara. På detta område finns lagstiftning och etiska regler om tystnadsplikt. Några särskilda bestämmelser för databehandling synes knappast behövliga.
I fråga om angrepp på annans heder och ära finns regler om förtal och förolämpning. Förtal innebär enligt 5 kap. 1 § första stycket brottsbalken att utpeka någon som brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgift som är ägnad att utsätta denne för andras missaktning. Enligt andra stycket i samma paragraf skall det dock inte dömas för förtal, om den som lämnat uppgifterna var skyldig att uttala sig eller det annars med hänsyn till omständigheterna var försvarligt att lämna denna uppgift i saken och han dessutom visar att uppgiften var sann eller han hade skälig grund för den.
Vad som är försvarligt är det kanske mest besvärliga problemet vid til??lämpning av bestämmelserna om ärekränkning. Den frågan får avgöras i varje enskilt fall för sig med beaktande av omständigheterna.
Emellertid torde trots detta reglerna om förtal ge ett förhållandevis gott skydd mot missbruk av personuppgifter i datamedier, t.ex. via Internet. Ett problem är visserligen att upptäcka spridningen på nätet och inte minst att konstatera varifrån den kommer. Detta problem är dock inte mindre vid tillämpningen av en hanteringsmodell såsom i datalagen eller den av oss föreslagna persondatalagen. Värre är kanske det förhållandet att till skillnad från den nuvarande datalagstiftningen där myndigheterna övervakar att de persondataansvariga hanterar data i överensstämmelse med lagstiftningen blir det i ett system med straff och skadestånd som sanktioner den enskilde som har att agera, med allt vad detta medför av besvär och kostnader. Detta kan motivera att polis och åklagare i större utsträckning än för
| 188 Reglering av bruk eller missbruk | SOU 1997: 39 |
närvarande tillvaratar målsägandens intresse vid förtal. Åklagaren skall väcka åtal för förtal om målsäganden anger brottet och det av särskilda skäl anses påkallat ur allmän synpunkt. Om förtalet skedde genom missbruk av databehandlade personuppgifter borde åtal kunna i större utsträckning anses vara påkallat ur allmän synpunkt. Kanske skulle också under en övergångstid en dataombudsman kunna biträda den enskilde i sådana frågor.
Vad angår avslöjande inför offentligheten av annans privata förhållanden, när förtalsbestämmelsen inte är tillämplig, torde den enskilde få finna sig i att enstaka sådana uppgifter sprids. Detta är just baksidan av att det inte är fråga om förtal. Den enskilde skyddas i viss utsträckning av tystnadsplikt som gäller enligt sekretessreglerna för allmän verksamhet men också enligt särskilda regler för många i privat verksamhet som t.ex. läkare och annan vårdpersonal, advokater och banktjänstemän.
Vad man emellertid inte kommer åt med förtalsbestämmelserna eller regler om tystnadsplikt är sammanställningar av uppgifter om en person, som inte är ägnade att utsätta denne för andras missaktning och som inte heller var för sig är hemliga men som ger en så fullständig bild av den berörda att han eller hon rimligen inte skall behöva finna sig i att få sin personlighet utställd på det viset. Vad det framför allt kan bli fråga om är användning av datorer för sammanställning av uppgifter om någon utan dennes samtycke, när uppgifterna rör personliga förhållanden som inte är av allmänt intresse.
Mot sådana sammanställningar skyddas nu den enskilde av datalagen och de stränga förutsättningar som enligt Datainspektionens föreskrifter och villkor gäller för samkörning av dataregister. Som förut framhållits torde dock i framtiden en sådan kontroll bli omöjlig utanför de särskilda registerförfattningarnas område. Ett generellt förbud mot samkörningar kommer inte heller bli möjligt att tillämpa. Det följer redan av att en enda PC kan rymma ett praktiskt sett oändligt antal uppgifter och att någon uppdelning av sådana uppgifter på olika register knappast kan anses föreligga.
Vad som skulle kunna övervägas är ett skydd mot spridning av sammanställningar av uppgifter som inför offentligheten avslöjar enskildas personliga förhållanden. En bestämmelse skulle i så fall kunna införas i 4 kap. brottsbalken (Om brott mot frihet och frid). Diskussionsvis skulle följande regel kunna skisseras.
| SOU 1997: 39 | Reglering av bruk eller missbruk 189 |
Den som med automatisk databehandling sammanställer uppgifter om annans privata förhållanden och sprider dem dömes, om det innebär olägenhet för den andre att uppgifterna blir kända, för olovlig dataspridning till böter eller fängelse högst sex månader. Det sagda skall dock inte gälla om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att uppgifterna sprids.
Olägenhet skulle då också innefatta det obehag som någon med fog kan känna om alltför mycket av hans eller hennes privatliv prisges till allmänheten. Försvarligt att lämna uppgifterna skulle det vara i betydligt vidare omfattning än vid förtalsbrottet. Försvarlighetsrekvisitet skulle innefatta en avvägning mellan den enskildes anspråk på ett skyddat privatliv och exempelvis behovet av att kunna belysa offentliga personers privatliv som bakgrund till exempelvis deras förmåga att sköta sina uppgifter.
Olovlig dataspridning skulle i så fall också utgöra tryckfrihetsbrott och yttrandefrihetsbrott.
En modell sådan som den nu skisserade skulle fungera i stort sett som det nuvarande systemet för sanktioner mot tryckfrihetsbrott. Endast sporadiskt och i särskilt flagranta fall skulle det bli fråga om åtal och rättegång. Det måste antas att regleringen skulle utgöra en bas för pressens och etermediernas självsanerande verksamhet och därför i allmänhet bli respekterad i massmedier. Detsamma gäller självfallet offentlig verksamhet. I näringslivet och bland enskilda skulle troligen informationen flöda fritt. Systemet skulle genom sin frihet medföra långt mindre kostnader än nuvarande reglering. Samtidigt skulle det inte på något sätt motsvara det behov av skydd mot ansamling av personuppgifter som många människor känner.
6.2.3Valet nu av modell för regleringen
Enligt vår mening bör man vid valet av regleringsmodell ta stor hänsyn till allmänhetens inställning. Det förhållandet att många människor känner obehag inför en viss hantering är i en politisk demokrati ett starkt argument i sig för att reglera den hanteringen. Samma bedömning verkar för övrigt ha gjorts i de flesta EU-stater, vilka har lagstiftning efter hanteringsmodellen, och av EU i och med att EG-direktivet antogs. Härtill kommer att Sverige genom sitt medlemskap i EU är skyldig att genomföra EG-direktivet, vilket bygger på hanteringsmodellen.
De förhållandena att flera internationella överenskommelser bygger på hanteringsmodellen och att flera länder, särskilt i vår närhet, har lagstiftning som bygger på den modellen har betydelse också på ett annat sätt. In-
| 190 Reglering av bruk eller missbruk | SOU 1997: 39 |
ternationaliseringen ökar samtidigt som den nya tekniken gör det möjligt att blixtsnabbt hämta eller flytta uppgifter över hela jordklotet. I en sådan miljö ligger det ett betydande värde i sig i att lagstiftningen i olika länder är likartad. Kan Sverige inte erbjuda samma skydd vid hanteringen av personuppgifter som andra länder, kan dessa försöka hindra att sådana uppgifter förs över till Sverige. På detta sätt kan användningen av ny teknik i Sverige hämmas. Även om det för interna svenska förhållanden skulle finnas skäl att övergå till en missbruksmodell kan det således – oavsett Sveriges internationella åtaganden – ändå vara mest ändamålsenligt att göra som de flesta andra länder för att trygga det fria flödet av information över gränserna.111
En naturlig grund för människors oro för behandlingen av personuppgifter är risken för att de uppgifter som finns skall vara felaktiga, vaga eller subjektiva. Ett grundläggande krav på datahantering är därför kravet på datas kvalitet. Det är den som behandlar personuppgifter som har bevisbördan för att uppgifterna är korrekta och han eller hon måste alltså kunna hänvisa till källor för uppgifterna som är godtagbara. EG-direktivet ställer stränga krav på uppgifternas kvalitet. Sådana krav är ett naturligt led i en hanteringsmodell. Även om de självfallet bör tillämpas även i en missbruksmodell är det lagtekniskt svårare att reglera dem där.
Som framgår av föregående avsnitt finns det enligt vår mening ändå många skäl – framför allt att det inte är ändamålsenligt att reglera en hantering som snart sagt varje medborgare kan hålla på med t.ex. i vardagsrummet – för att hanteringsmodellen i en framtid måste överges åtminstone såvitt angår små datasystem och verksamheten på Internet och liknande. Som också framgått tror vi dock att det kommer att dröja innan tiden är mogen för en övergång till missbruksmodellen. Den oro människor alltjämt känner för teknikens möjligheter måste respekteras. Övriga EU-stater måste också vinnas för tanken på en sådan övergång.
Övervägande skäl talar därför för att en ny, teknikoberoende lagstiftning om skydd för den personliga integriteten vid behandling av personuppgifter i dagens situation bör bygga på hanteringsmodellen och reglera när och under vilka förutsättningar det är tillåtet att behandla personuppgifter. Vi önskar emellertid samtidigt att diskussionen om en övergång till missbruksmodellen skall fortsätta. Inte minst när det gäller att inom EU:s institutioner vinna gehör för en sådan tankegång gäller det att vara tidigt
111 Jämför Peter Blume, Personregistrering, 3. rev. udgave, 1996, s. 283.
| SOU 1997: 39 | Reglering av bruk eller missbruk 191 |
ute. Vi förordar att arbetet drivs vidare i lämpliga former. Vid lämplig tidpunkt bör Sverige ta initiativ till en persondatalagstiftning av mer modernt snitt. Eftersom enhetligheten inom EU bör bevaras, bör detta initiativ i första hand avse tillskapandet av ett nytt EG-direktiv.
6.3Den lagstiftningsstruktur som EG- direktivet anvisar
EG-direktivet, som Sverige har att genomföra och vilket bygger på hanteringsmodellen, kan sägas anvisa en struktur för lagstiftningen.112 Direktivet bygger på ett antal huvudprinciper från vilka medlemsstaterna har möjlighet – och i vissa fall skyldighet – att inom givna ramar föreskriva undantag; vad medlemsstaterna har att göra är, som det står i direktivet (artikel 5), att inom den ram som direktivet drar upp närmare precisera på vilka villkor behandling av personuppgifter är tillåten. Bland huvudprinciperna kan nämnas:
N Behandling av personuppgifter är bara tillåten i sex uppräknade fall. N Behandling av känsliga uppgifter är förbjuden.
N Den enskilde skall alltid få information om den behandling som sker och på begäran kunna få tillgång till sina uppgifter och rättelse, om uppgifterna är felaktiga eller missvisande.
N All automatisk behandling av personuppgifter skall anmälas i förväg till en tillsynsmyndighet.
Sverige har varit ett föregångsland i fråga om lagstiftning på den personliga integritetens och databehandlingens område. EG-direktivet får ses som ett resultat av den utveckling som bl.a. Sverige inspirerat. Den nivå på skyddet för den personliga integriteten som direktivet syftar till får anses vara väl så hög som den svenska lagstiftningens. Härtill bidrar naturligtvis att utgångspunkten för kontinental och anglosachsisk rätt när det gäller myndigheternas handlingar är sekretess medan den nordiska utgångspunkten är öppenhet.
Direktivet har visserligen kommit till stånd efter en lagstiftningsprocedur som till stora delar ägt rum innan Internet och e-post kommit i allmänt
112I de flesta artiklar i direktivet talas det om att medlemsstaterna skall (eller får) ”föreskriva”, ”förbjuda”, ”bestämma” eller ”precisera” i det ena eller andra hänseendet.
| 192 Reglering av bruk eller missbruk | SOU 1997: 39 |
bruk. Den tekniska utvecklingen har sålunda under tiden sprungit ifrån lagstiftarna. Som direktivet nu är föranleder det kritik från olika håll och har till och med kallats obsolet.
Goda skäl talar därför för att direktivet bör ses över och kanske till och med arbetas om i väsentliga hänseenden, efter de riktlinjer vi tidigare förespråkat. Det kan emellertid förutses att en översyn och än mer en omarbetning kommer att ta avsevärd tid i anspråk och säkerligen långt mer än de tre år under vilka vi som EU-medlemmar är skyldiga att genomföra direktivet. Härtill kommer att den svenska datalagen är än mer föråldrad än EG-direktivet och snarast bör ersättas. Reglerna i direktivet är säkerligen lika goda som varje annan just nu tänkbar utformning av hanteringsmodellen. Som vi anfört förut bör vi i dagens läge välja en sådan modell. Detta innebär visserligen att en persondatalag som nu kommer till stånd kanske måste omarbetas inom en tidsram av fem till tio år. Att lagar på områden med så hisnande snabb utveckling som IT-området i viss mening är en förbrukningsvara är dock något vi måste lära oss att leva med.
Sverige driver med skärpa kravet på öppenhet även inom EU:s ramar. Offentlighetsprincipen är djupt rotad i svensk rätt och är grundlagsfäst sedan mer än tvåhundra år. Ett övergivande av den kommer inte i fråga. Att med hänsyn till EG-direktivet om personuppgifter införa begränsningar i grundlagarna kan vi inte tänka oss. I enlighet med vad som anförs i avsnitt 9 kan emellertid EG-direktivet förenas med offentlighetsprincipen. EG-di- rektivet kan också – i enlighet med vad som anförs i avsnitt 10 – förenas med grundlagsreglerna om tryckfrihet och yttrandefrihet.
EG-direktivet, som således inte är oförenligt med några väsentliga grundlagsfästa svenska intressen, bör därför i enlighet med Sveriges förpliktelser som EU-medlem införlivas i svensk rätt. På någon punkt, där det är uppenbart att verkligheten i form av en snabb teknisk utveckling sprungit ifrån de förutsättningar under vilka direktivet tillkom, synes det möjligt att genom en rimlig tolkning av direktivet undvika en rättstillämpning som annars skulle kunna te sig absurd. När det sedan gäller själva tekniken för genomförandet kan följande sägas.
Det är visserligen i formell mening sant att ett EG-direktiv anger vissa mål eller resultat som skall uppnås eller förverkligas i samtliga EU-länder och att varje stat själv får välja hur detta skall genomföras. I praktiken är dock detta en sanning med modifikation. EG-domstolen kräver nämligen att den form som en medlemsstat väljer för genomförande effektivt säkerställer en fullständig tillämpning av direktivet på ett tillräckligt klart och precist sätt, i syfte att i de fall då direktivet syftar till att skapa rättigheter
| SOU 1997: 39 | Reglering av bruk eller missbruk 193 |
för enskilda så skall de berättigade kunna få full kännedom om sina rättigheter och kunna vid behov utnyttja dem inför de nationella myndigheterna. Mot bakgrund härav har domstolen underkänt försök att åberopa exempelvis administrativa åtgärder som tillräcklig form för genomförande av direktiv av lagstiftningskaraktär.113
Otvivelaktigt innehåller EG-direktivet om personuppgifter bestämmelser som ger medborgarna rättigheter i fråga om integritetsskyddet. Direktivet måste därför genomföras i form av lagstiftning. Vi ser oss inte någon möjlighet att i lagtext återge direktivets innehåll i annan form än en nära efterbildning av direktivets text och struktur, med de förbehåll som föranleds av ett fasthållande vid grundläggande svenska intressen. Det finns vidare fördelar i sig med att EU-länderna med sina många inbördes kontakter har en såvitt möjligt likartad lagstiftning.
Sammanfattningsvis anser vi således att den nya svenska lagstiftningen i stort bör följa den struktur som EG-direktivet anvisar och att avvikelser bör göras bara när det finns särskilda skäl till det. I avsnitt 12.1 berörs lagstiftningstekniken i övrigt.
113Se särskilt dom den 30 maj 1991 i mål mellan kommissionen och Tyskland, C-361/88, ECR 2567, punkt 15.
| SOU 1997: 39 | 195 |
7 En teknikoberoende och generell persondatalag
Den nya lagen bör vara teknikoberoende och såvitt avser olika typer av behandlingar ha samma tillämpningsområde som EG-direktivet. Detta innebär att lagen bör tillämpas på all automatisk behandling av personuppgifter och dessutom på manuell behandling av personregister. Behandling av uppgifter om juridiska personer omfattas inte av den föreslagna lagen. La- gen bör till skillnad från EG-direktivet vara generell och i princip omfatta även sådant som faller utanför gemenskapsrätten. Rent privat användning av personuppgifter bör dock undantas från lagens tillämpningsområde.
7.1Förutsättningar
De flesta bestämmelserna i datalagen gäller bara för personregister som förs med hjälp av automatisk databehandling. Det måste alltså vara fråga om ett dataregister med personuppgifter.114
Datalagen gäller i princip för alla sådana personregister inom såväl den privata som offentliga sektorn; de särskilda registerförfattningarna som gäller vid sidan av datalagen berörs i avsnitt 8. Det krävs dock inte licens eller tillstånd för personregister som en enskild person inrättar eller för uteslutande för personligt bruk.115
Enligt utredningsdirektiven skall vi utgå från att en kommande lag skall vara teknikoberoende. Det framgår av utredningsdirektiven inte annat än att lagen skall omfatta bara personuppgifter (och således inte uppgifter om företag, dvs. juridiska personer).
114Se närmare avsnitt 6 i SOU 1993:10.
115Se SOU 1996:40 s. 169 beträffande underrättspraxis rörande begreppet personligt bruk.
| 196 En teknikoberoende och generell persondatalag | SOU 1997: 39 |
EG-direktivet gäller för sådan behandling av personuppgifter som är helt eller delvis automatisk. Direktivet gäller dock även för annan behandling (manuell behandling) av sådana uppgifter, om de ingår i eller är avsedda att ingå i ett register, dvs. en strukturerad samling uppgifter som är tillgänglig enligt särskilda kriterier. Direktivet gäller inte för andra uppgifter än personuppgifter.
EG-direktivet omfattar behandling av personuppgifter inom såväl den privata som offentliga sektorn. Direktivet gäller dock inte för sådan uppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, t.ex. statens verksamhet på straffrättens område. Direktivet gäller inte heller för uppgiftsbehandling som en enskild person bedriver som ett led i en verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll.
7.2Överväganden
7.2.1Olika typer av behandlingar
Datalagens tillämpningsområde är, såvitt avser de olika typer av behandlingar som omfattas, väsentligt snävare än EG-direktivets. Datalagen gäller bara för automatisk behandling av dataregister, medan EG-direktivet gäller all automatisk behandling av personuppgifter – oavsett om uppgifterna ingår i ett register – och dessutom manuell behandling av personregister.
Bland annat det förhållandet att datalagen bara gäller för dataregister gör att lagen framstår som föråldrad med hänsyn till teknikutvecklingen. Så snart en personuppgift har förts över till datorformat (ettor och nollor) finns i princip tekniska möjligheter att på ett otal sätt och på mycket kort tid behandla den uppgiften tillsammans med andra uppgifter som någonstans i världen har förts över till datorformat. Ett exempel på detta är de s.k. sökmaskiner som finns på Internet och som på några sekunder kan producera en sammanställning av en mängd omedelbart tillgängliga datorlagrade dokument (s.k. webbsidor) världen över som innehåller uppgifter om t.ex. en viss person.
Härtill kommer att kränkningen av en individs personliga integritet som regel inte blir vare sig grövre eller lindrigare bara för att hans eller hennes uppgifter finns registrerade (i ett dataregister) tillsammans med en massa andra (kränkta) individers; det kan dock givetvis finnas andra skäl för att
| SOU 1997: 39 | En teknikoberoende och generell persondatalag 197 |
iaktta särskild försiktighet med uppgiftssamlingar som omfattar väldigt många människor.
En ny lagstiftning till skydd för den personliga integriteten bör således vara teknikoberoende i den meningen att den i fråga om automatisk behandling inte begränsas till dataregister, dvs. ett visst sätt att lagra eller presentera personuppgifterna. All automatisk behandling av personuppgifter bör, i enlighet med EG-direktivets tillämpningsområde, omfattas av en ny, modernare lag. Liksom EG-direktivet bör den nya lagen omfatta inte bara automatisk behandling av personuppgifter i text utan även automatisk behandling av personuppgifter som framgår av bilder eller ljud. Också i denna mening bör den nya lagen vara teknikoberoende och således omfatta t.ex. inlästa bilder på personer och inlästa bilder på pappersdokument som innehåller textuppgifter om personer.116
Att personuppgifter förs över till datorformat innebär som framgått av vad som tidigare anförts särskilda möjligheter till avancerad behandling med åtföljande risk för oacceptabla integritetsintrång. Men det går givetvis att på ett otillbörligt sätt kränka den personliga integriteten även med mer gammalmodiga, manuella metoder. Den som vill göra något otillständigt med personuppgifter skulle, om en ny lag bara omfattade automatisk behandling, kunna göra det för hand för att kringgå skyddsreglerna. Detta – jämte vad som anförs i utredningsdirektiven och vad som gäller enligt EG- direktivet – talar för att den nya lagen bör vara teknikoberoende även i den meningen att också behandling som inte är automatisk omfattas. Härtill kommer att användningen av ny teknik i samhällsutvecklingen inte hämmas genom att i stort sett samma regler gäller för såväl automatisk som manuell behandling av personuppgifter.
All manuell behandling av personuppgifter kan dock inte rimligen omfattas av en ny lag. De osorterade telefonlapparna på skrivbordet bör exempelvis kunna få ligga kvar oberörda av lagen, liksom de uppgifter som finns i det mänskliga minnet. I likhet med vad som gäller enligt EG-direk- tivet bör därför manuell behandling omfattas av den nya lagen bara om uppgifterna ingår i – eller är avsedda att ingå i – ett register, dvs. har strukturerats efter bestämda kriterier som avser enskilda personer.117
Vi har således kommit fram till att den nya lagen – i enlighet med vad som anges i utredningsdirektiven – bör vara teknikoberoende och att detta
116I avsnitt 12.2.12 berörs närmare begreppen automatisk och icke automatisk behandling av personuppgifter.
117Begreppet register berörs närmare i avsnitt 12.2.8.
| 198 En teknikoberoende och generell persondatalag | SOU 1997: 39 |
innebär att lagen bör ha samma vida tillämpningsområde som EG-direkti- vet.
Det sagda innebär att den nya lag som vi föreslår får ett vidare tillämpningsområde än vad som krävs enligt grundlagsbestämmelsen i 2 kap. 3 § andra stycket regeringsformen; den bestämmelsen innebär att det skall finnas en lag som behandlar registrering av personuppgifter med hjälp av automatisk databehandling. Man skulle därför kunna överväga att justera grundlagsbestämmelsen i enlighet med det skydd som skall ges enligt den föreslagna lagen och EG-direktivet. Trots att det i utredningsdirektiven talas om att vi skall lämna förslag till en teknikoberoende skyddslag nämns där inget om att förslag rörande grundlagsbestämmelsen skulle ingå i vårt uppdrag. Vi har mot den bakgrunden stannat för att inte lämna något utarbetat förslag till ändring av grundlagsbestämmelsen; en ändring av den befintliga bestämmelsen torde för övrigt vara lagtekniskt sett enkel att göra, och Datalagsutredningen har dessutom redan lämnat förslag till hur en sådan ändring skulle kunna göras.
7.2.2Uppgifter om juridiska personer
Vårt uppdrag kan inte anses omfatta frågan om juridiska personer bör ha ett särskilt skydd mot automatisk eller annan behandling av uppgifter om den juridiska personen.118 Behandling av uppgifter om juridiska personer faller också utanför regleringen i EG-direktivet. Vi föreslår därför att den nya lagen bara skall omfatta behandling av personuppgifter.119
7.2.3Den nya lagen bör liksom hittills vara generell
EG-direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Be- träffande datalagen finns inte någon motsvarande begränsning. Datalagen omfattar i princip också personregister som förs av t.ex. polisen och kriminalvården; datalagen är generellt tillämplig.
Eftersom EG-direktivet i detta hänseende har ett snävare tillämpningsområde än den nuvarande generella datalagen, är det möjligt att göra un-
118Inte heller Datalagsutredningen ansåg att frågan omfattades av den utredningens direktiv, se SOU 1993:10 s. 372.
119Begreppet personuppgift berörs närmare i avsnitt 12.2.7.
| SOU 1997: 39 | En teknikoberoende och generell persondatalag 199 |
dantag från den nya lagen för sådant som inte omfattas av direktivet. För sådana verksamheter som inte omfattas av direktivet, t.ex. inom försvaret och polisen, torde det i och för sig behövas särregler i ganska stor utsträckning. Sådana nödvändiga särregler har med dagens system meddelats genom särskilda registerförfattningar som helt eller delvis tar över den generella datalagen (se avsnitt 8). Vi anser att det nuvarande systemet med en generell lag som innehåller grundläggande regler har sådana fördelar att det bör behållas.
Den nya lagen bör således – liksom datalagen i dag – gälla generellt och i princip tillämpas på all behandling av personuppgifter i samhället.
7.2.4Privat användning av personuppgifter
EG-direktivet omfattar inte rent privat användning av personuppgifter. Också den nuvarande datalagen undantar privata personregister från krav på licens och tillstånd.
Datortekniken får i dag anses tillgänglig för var och en i Sverige; en elektronisk telefon- och adressbok kostar bara några hundra kronor. Det är enligt vår mening mot bl.a. den bakgrunden inte rimligt att låta en lagstiftning av aktuell karaktär omfatta även rent privat användning av personuppgifter. Det skulle t.ex. kunna ses som en otillbörlig kränkning av den personliga integriteten att låta Datainspektionen få full insyn i våra rent privata släktforskningsregister och adressböcker.
Den möjlighet som EG-direktivet ger att undanta rent privat användning av personuppgifter bör utnyttjas fullt ut. Det finns som vi ser det inte anledning att låta någon av bestämmelserna i den nya lagen gälla för sådan användning. Undantaget från lagen bör ha samma innebörd som enligt EG- direktivet. I avsnitt 3.2.4 berörs närmare innebörden av direktivet på denna punkt.
I avsnitt 6.2.2 har vi berört de svårigheter som e-post i form av löpande text för med sig vid tillämpningen av EG-direktivet. E-post är ett kommunikationsmedel och den omständigheten att personuppgifter vidarebefordras med ett sådant medel utgör i sig inget skäl att inte tillämpa den föreslagna lagen på behandling av personuppgifter som sker genom och i anslutning till sådan kommunikation. Om myndigheter, företag eller organisationer vidarebefordrar personuppgifter med e-post saknas anledning att inte låta lagens bestämmelser om behandling av personuppgifter bli til??lämpliga. Detsamma gäller om enskilda med användande av e-post
| 200 En teknikoberoende och generell persondatalag | SOU 1997: 39 |
lämnar personuppgifter som myndigheterna samlar in exempelvis för statistik.
IT-utredningen har lagt fram förslag om undantagande i vissa sammanhang av löpande text från datalagen.120 Den frågan bereds i särskild ordning och vi går inte in på den här; till en del sammanfaller förslaget med vårt förslag om undantag för grundlagsskyddade yttranden. För egen del föreslår vi under avsnitt 12.12.2.3 att framställning av korrespondens och framställning av promemorior och annan löpande text skall kunna genom särskilda föreskrifter undantas från anmälningsskyldighet. Vi förutsätter att så kommer att ske. Detta innebär i praktiken att all intern hantering av sådana texter kommer att vara undandragen annan insyn än den som Datainspektionen kan utöva vid systemtillsyn hos myndigheter och större företag.
Saken kompliceras emellertid av att även enskilda människor numera i snabbt ökande omfattning använder e-post för kommunikationer med andra enskilda. Detta sker i flertalet fall utan någon som helst aning om att den föreslagna lagens bestämmelser om behandling av personuppgifter skulle kunna tänkas bli tillämpliga på det avsända meddelandet. Det finns ingen principiell skillnad mellan en sådan korrespondens och vanlig brevväxling. En tillämpning av EG-direktivet på privat korrespondens kan inte rimligen ha varit avsedd vid direktivets tillkomst och bör inte heller komma i fråga. Den bör därför hänföras till vad som är ett led i en verksamhet av rent privat natur.
En annan sak är enskildas korrespondens med myndigheter, företag eller organisationer. Den kan i vart fall inte på den senare sidan hänföras till vad som är av privat natur. Viss tillämpning skulle dock vara så absurd att den får avböjas av rena förnuftsskäl. Det kan exempelvis tänkas att det till regeringskansliet inkommer brev från enskilda med allvarliga beskyllningar mot anhöriga eller grannar. Sådana brev skall naturligtvis vara tillgängliga enligt offentlighetsprincipen. Men att regeringskansliet eller någon annan mottagare skulle särskilt informera grannarna eller de anhöriga om den behandling som mottagandet – och i fråga om myndigheter bevarandet enligt offentlighetsprincipen – utgör kan naturligtvis inte komma i fråga. Det rör sig emellertid här om så exceptionella fall att någon särreglering inte kan anses erforderlig. Det kan tilläggas att när anmälningar om brott görs till polismyndighet så faller de enligt artikel 3.2 utanför EG-di- rektivets tillämpningsområde och kan nationellt regleras genom särskilda
120 Se SOU 1996:40 s. 164 ff.
SOU 1997: 39
En teknikoberoende och generell persondatalag 201
registerförfattningar. Registerutredningen (Ju 1995:01) ser för närvarande över registrerandet av uppgifter inom polisens område.
I direktivet talas det om behandling av personuppgifter av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Vi har emellertid för att förenkla valt att i den föreslagna persondatalagen bara tala om sådan behandling som är ett led i en verksamhet av rent privat natur. Någon saklig skillnad är inte avsedd. Det som har samband med någons hushåll får i detta sammanhang anses vara av rent privat natur, t.ex. den registrering som en arbetsgivare gör av de arbetstagare som arbetar i hans eller hennes hushåll, inklusive handikappades registrering av personliga assistenter.121
7.2.5Lagens namn
Den nya lagen skall således principiellt sett vara generellt tillämplig och innehålla en reglering av i princip all behandling av personuppgifter utom manuell behandling av uppgifter som inte ingår i eller är avsedda att ingå i ett register. En sådan generell lag bör av praktiska skäl ha ett kort namn, som ger en orientering om vad lagen omfattar.
Vi har kommit fram till att persondatalagen är ett lämpligt namn. Det är kort och leder tanken i rätt riktning, nämligen att det gäller en lag om hur uppgifter (”data”) om personer skall hanteras, särskilt i fråga om sådana uppgifter som finns ”på data”. Att uttrycket persondata sedan inte används i själva lagtexten bör inte ha någon avgörande betydelse, när namnet ”personuppgiftslagen” låter så pass mycket sämre.
Vi föreslår således att den nya lagen skall heta persondatalagen. När vi i det följande talar om persondatalagen avses således den nya lag som vi föreslår.
121Se, rörande sådant arbete som en arbetstagare utför i arbetsgivarens hushåll, lagen (1970:943) om arbetstid m.m. i husligt arbete.
| SOU 1997: 39 | 203 |
8 Förhållandet till särskilda registerförfattningar
Vårt uppdrag omfattar inte de särskilda registerförfattningarna. Vi föreslår därför att särregler i registerförfattningar skall gälla framför den nya persondatalagen.
8.1Bakgrund
Enligt den nuvarande datalagen behövs inte tillstånd av Datainspektionen för personregister som har inrättats genom beslut av riksdagen eller regeringen (2 a §). Sådana register brukar kallas statsmaktsregister. Datainspektionen kan dock meddela föreskrifter för registret i den mån riksdagen eller regeringen inte har gjort det (6 a och 18 §§). När ett personregister är reglerat i lag eller förordning, är det således undandraget Datainspektionens tillståndsprövning och – mer eller mindre – inspektionens föreskriftsrätt. Datainspektionen får t.ex. inte själv fritt bestämma om sitt eget licensregister (3–6 §§ dataförordningen).
Det finns i dag bestämmelser om personregister i en mängd olika lagar och förordningar.122 Avsikten är att Datainspektionen skall höras innan sådana författningar beslutas.123 Det är inte nödvändigt att beslutet att in-
122Sådana lagar och förordningar kallas i det följande för registerförfattningar, även om författningen i första hand reglerar annat än ett register. – En förteckning över vissa registerförfattningar finns som bilaga 6 till SOU 1993:10.
123Se prop. 1993/94:217 s. 22 f. Före den 1 januari 1995 fanns det en uttrycklig regel om att ett särskilt yttrande skulle hämtas in från Datainspektionen innan det inrättades ett statsmaktsregister med känsliga personuppgifter, se avsnitt 2.4.3.
| 204 Förhållandet till särskilda registerförfattningar | SOU 1997: 39 |
rätta ett register får formen av en lag eller förordning, och detta kan ibland leda till osäkerhet om ett visst register kräver tillstånd eller inte.124
År 1990 uttalade regeringen att målsättningen bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag.125 Konstitutionsutskottet ansåg att det allmänt sett är av stor betydelse att en författningsreglering kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Det förutsattes att regeringen ägnar fortlöpande uppmärksamhet åt frågan om vilka register som bör regleras och att åtgärder vidtas för att sådana regleringar kommer till stånd.126
Dessa uttalanden har ofta åberopats i senare lagstiftningsärenden. På senare år har det tillkommit allt fler registerförfattningar. Som exempel kan nämnas:
N Tullregisterlagen (1990:137) med anslutande förordning (1990:179) – prop. 1989/90:40
N 15–18 §§ lagen (1990:886) om granskning och kontroll av filmer och videogram med anslutande förordning (1990:992; 8–9 §§)
N 16 § insiderlagen (1990:1342) – insiderregister – med anslutande förordning (1996:1023) – utredningsregister
N Lagen (1990:1536) om folkbokföringsregister med anslutande förordning (1991:750)
– prop. 1990/91:53
N Lagen (1991:876) om register för betalningsföreläggande och handräckning med anslutande förordning (1992:76) – prop. 1990/91:126
N Förordningen (1992:1027) om register för strafföreläggande, föreläggande av ordningsbot, m.m.
N Lagen (1993:747) om sjukförsäkringsregister hos de allmänna försäkringskassorna med anslutande förordning (1993:836) – prop. 1992/93:193
N Lagen (1993:825) om personregister i riksdagens informationssystem Rixlex
N Förordningen (1993:982) om bostadsbidragsregister (se numera SFS 1995:1016 nedan)
N Förordningen (1993:1058) om sjukvårdsregister hos Socialstyrelsen för forskning och statistik (se också SFS 1996:1293)
N Förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor
N Förordningen (1993:1270) om förande av samfällighetsföreningsregister m.m.
N Förordningen (1994:348) om register för skuldsaneringsärenden
N Lagen (1994:448) om pantbrevsregister med anslutande förordning (1994:598)
124Se t.ex. de fall som refereras i Claes Kring & Stefan Wahlqvist, Datalagen med kommentarer, 1989, s. 89 ff.
125Prop. 1990/91:60 s. 58.
126KU 1990/91:11 s. 11.
| SOU 1997: 39 | Förhållandet till särskilda registerförfattningar 205 |
N Lagen (1994:459) om arbetsförmedlingsregister med anslutande förordning (1994:460) – prop. 1993/94:235
N Förordningen (1994:565) om vårdnadsbidragsregister N Förordningen (1994:1283) om lönegarantiregister
N Lagen (1994:1517) om socialförsäkringsregister – prop. 1994/95:8 – med anslutande förordning (1996:1037) om register för vissa bidrag till barn
N Förordningen (1994:1521) om biverkningsregister angående läkemedel
N Förordningen (1994:1543) om Utrikesdepartementets personregister över främmande staters beskickningspersonal m.m.
N Förordningen (1994:1544) om bostadstilläggsregister
N Förordningen (1994:1671) om tillfälligt statistikregister inom Riksrevisionsverket för kartläggning av vissa förmåner
N 12 kap. alkohollagen (1994:1738)
N Förordningen (1994:1933) om register över europeiska intressegrupper
N Lagen (1995:606) om vissa personregister för officiell statistik med anslutande förordning (1995:1060) – prop. 1994/95:200
N Lagen (1995:743) om aviseringsregister med anslutande förordning (1996:1298) – prop. 1994/95:201
N Förordningen (1995:1016) om bostadsbidragsregister
N Lagen (1995:1536) om provverksamhet avseende hushålls- och bostadsuppgifter med anslutande förordning (1996:434)
N Lagen (1995:1537) om lägenhetsregister med anslutande förordning (1996:435) – prop. 1995/96:90
N 25–27 §§ lagen (1996:786) om tillsyn över hälso- och sjukvården – prop. 1995/96:176 s. 85 ff.
N Lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen – KU 1995/96:13
N Förordningen (1996:825) om register för reglering av vissa vårdkostnader mellan EES-länder
N Lagen (1996:1156) om receptregister – prop. 1996/97:27 (SOU 1995:122)
N Förordningen (1996:1306) om tillfälligt utlämnande av uppgifter från ett folkbokföringsregister
N Förordningen (1996:1389) om register hos Statens invandrarverk över fingeravtryck
Det finns vidare flera färska utredningar rörande nya registerförfattningar, se t.ex.:
N SOU 1994:30 (röstlängdsregister); se också prop. 1996/97:70
N SOU 1995:86 (socialtjänstregister)
N SOU 1995:95 (hälsodataregister och vårdregister)
N SOU 1995:147 (register över hälso- och sjukvårdspersonal)
N SOU 1996:35 (kriminalunderrättelseregister och DNA-register) N Ds 1996:19 (kriminalvårdsregister)
N Ds 1996:70 (ny socialförsäkringsregisterlag)
N SOU 1996:72 (rättspsykiatriskt forskningsregister) N SOU 1996:94 (teleadressregister)
N Ds 1997:2 (Tullverkets brottsregister) N SOU 1997:3 (fastighetsdataregister)
| 206 Förhållandet till särskilda registerförfattningar | SOU 1997: 39 |
Och nya registerförfattningar utreds för närvarande, se t.ex.:
N Registerutredningen (Ju 1995:01), dir. 1995:38 och 1996:22, jämför prop. 1994/95:144
N Pliktregisterutredningen (Fö 1996:03), dir. 1996:14 N Grunddatabasutredningen (Fi 1996:06), dir. 1996:43
N Bulvanutredningen (Ju 1996:06), med uppdrag att bl.a. utreda frågan om ägarregister avseende fåmansbolag, dir. 1996:55
N Register för skattebrottsutredningar, dir. 1996:89
N En utredning om ett offentligt bostadsrättsregister (Ju 1996:10), dir. 1996:108
N En översyn av bestämmelserna inom trafikregisterområdet (K 1996:06), dir. 1996:117
Det pågår vidare t.ex. diskussioner om informationshantering inom s.k. Europol-samarbete.
Datalagsutredningens förslag innebar att systemet med särskilda registerförfattningar skulle finnas kvar vid sidan av den lag som utredningen föreslog.127
Det har på senare tid förts fram kritik mot systemet med en mängd särskilda registerförfattningar. Toppledarforum ansåg att författningsmetodiken var ologisk och föreslog att behovet av de befintliga registerförfattningarna skulle omprövas. Några nya registerförfattningar enligt nuvarande modell borde, enligt Toppledarforum, inte införas, även om undantag kunde tänkas för mycket speciella verksamheter, såsom säkerhetspolisen och delar av sjukvården.128 Skälen för ställningstagandet var att metodiken med registerförfattningar ansågs omständlig och tidsödande. Systemändringar även av detaljkaraktär, t.ex. på grund av ändringar i verksamheten eller den tekniska utvecklingen, måste ofta föregås av ändringar i registerförfattningen, och detta tar tid och kräver resurser inom riksdagen, regeringen och den berörda myndigheten. Angelägna projekt kan försenas eller inte bli av.129
127Se SOU 1993:10 s. 165 ff.
128LEXIT – Förstudie, 1995, s. 42.
129LEXIT – Förstudie, 1995, s. 37 f.
| SOU 1997: 39 | Förhållandet till särskilda registerförfattningar 207 |
8.2Överväganden
8.2.1De särskilda registerförfattningarna omfattas inte av vårt uppdrag
Vi har i uppdrag att göra en total revision av den generella datalagen. De särskilda registerförfattningarna nämns inte i våra utredningsdirektiv. Re- geringen har sedan våra utredningsdirektiv beslutades tillsatt flera utredningar med uppdrag att bl.a. lämna förslag till registerförfattningar och därvid hänvisat till de principiella uttalandena från år 1990 om att målsättningen bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag.130
Mot den bakgrunden kan vi inte annat än konstatera att överväganden rörande de särskilda registerförfattningarna faller utanför vårt uppdrag, liksom t.ex. informationshantering inom Europol. Det förefaller dock nödvändigt att även med den nya lagstiftning som vi föreslår ha särregler i vissa fall; på vilken nivå denna särreglering lämpligen bör beslutas – av riksdagen, regeringen eller någon kompetent myndighet – ankommer det som sagt inte på oss att överväga.
Våra överväganden och förslag i detta betänkande avser alltså inte sådant som i dag är särreglerat och inte heller de områden där det i särskild ordning övervägs regler rörande register eller behandling av personuppgifter.
8.2.2Undantag från den generella lagstiftningen för särskilda registerförfattningar
Vi har således kommit fram till att den persondatalag som vi föreslår bör innehålla en bestämmelse som innebär att särregleringen inte berörs. I den mån någon särreglering inte finns för ett statsmaktsregister, kommer alltså persondatalagen att gälla för det registret. Liksom i dag bör Datainspektionen i princip ha att utöva tillsyn även beträffande särreglerade statsmaktsregister, dock att det i speciella situationer, såsom i vissa fall inom t.ex. försvaret eller säkerhetspolisen, kan finnas anledning att ha särregler om
130 Se dir. 1995:96 och 1995:120.
| 208 Förhållandet till särskilda registerförfattningar | SOU 1997: 39 |
tillsynen. Frågan om Datainspektionens tillsyn berörs närmare i avsnitt 12.14.1.
Undantaget i den nuvarande datalagen gäller för sådana register som har inrättats genom beslut av riksdagen eller regeringen. Vi föreslår emellertid att bara särregler i lag eller förordning skall ta över bestämmelserna i den nya persondatalagen. Att riksdagen och regeringen i dag kan besluta om att inrätta register (med verkan att datalagen delvis inte gäller) på annat sätt än genom en författning (lag eller förordning) har bara lett till osäkerhet om vad som gäller, t.ex. för register som en myndighet i praktiken behöver upprätta för att fullgöra det som ålagts den genom beslut av riksdagen eller regeringen. Om vissa avvikelser från den persondatalagen skall göras för statsmaktsregister, är det för övrigt lämpligt att detta övervägs i den ordning som normalt gäller för författningar och att det i författning preciseras vilka avvikelser som avses. Detta gäller även sådana register som riksdagen själv för.131 Det bör inför ikraftträdandet av persondatalagen göras en översyn av vilka beslut med särregler som fortfarande kan gälla.
Persondatalagen kommer att vara anpassad till Sveriges skyldigheter på grund av EG-direktivet. Det finns inte någon garanti för att de befintliga särskilda registerförfattningarna är det. Vi har övervägt att föreslå en särskild bestämmelse i persondatalagen av innebörd att särregler i lag eller förordning skulle få gälla framför den nya, EG-anpassade lagen bara i den utsträckning som särreglerna inte strider mot vad som följer av EG-direk- tivet. Om det skulle finnas någon bestämmelse i en registerförfattning som inte är förenlig med vad som följer av EG-direktivet, skulle alltså den nya lagen – och inte EG-direktivet direkt – gälla. Den nya EG-anpassade lagen skulle således förses med en s.k. EG-spärr beträffande avvikande lagstiftning. Liknande EG-spärrar som förhindrar enligt EG-rätten otillåtna avvikelser från en grundläggande, EG-anpassad lagstiftning finns på andra håll i lagstiftningen såvitt avser otillåtna avvikelser genom kollektivavtal.132 Det finns dock även exempel på motsvarande EG-spärr i en grund-
131Jämför lagen (1993:825) om personregister i riksdagens informationssystem Rixlex och lagen (1996:810) om registrering av riksdagsledamöters åtaganden och ekonomiska intressen.
132Se 2 § tredje stycket 1 p. lagen (1982:80) om anställningsskydd och 4 § andra stycket lagen (1976:580) om medbestämmande i arbetslivet (SOU 1993:32 och prop. 1993/94:67 samt SOU 1994:83 och prop. 1994/95:102) samt 3 § fjärde stycket arbetstidslagen (1982:673) (SOU 1995:92 och prop. 1995/96:162).
SOU 1997: 39
Förhållandet till särskilda registerförfattningar 209
läggande, EG-anpassad lag som direkt tar sikte på enligt EG-rätten otil??låtna avvikelser genom förordningar och myndighetsföreskrifter.133
Det är emellertid nödvändigt att se över de befintliga registerförfattningarna innan den nya lagstiftningen börjar tillämpas på deras respektive områden. Registerförfattningarna måste anpassas till såväl EG-direktivet som den föreslagna persondatalagen. Registerförfattningarna bygger på att den generellt tillämpliga datalagen fyller ut där det inte finns särregler, och när nu datalagen byts ut mot persondatalagen med delvis andra regler och annan terminologi, måste givetvis vissa justeringar ske i registerförfattningarna för att passa in dem i den nya, grundläggande rättsliga miljön. Eftersom de svenska bestämmelserna som inför direktivet inte behöver tillämpas på behandlingar av personuppgifter som pågår i oktober 1998 förrän på hösten år 2001 (se närmare avsnitt 12.15), finns det en viss respit för att göra en sådan översyn av befintliga registerförfattningar. Detta kommer visserligen att bli ett mycket omfattande arbete. Vi förutsätter dock att det hinns med innan EG-direktivet måste tillämpas efter den övergångstid som gäller.
Direktivet innehåller ett stort antal komplicerade regler som är svårtillämpade för enskilda och myndigheter. Dessa bör med fog kunna förvänta sig att de lagar och förordningar som är i kraft överensstämmer med EG-direktivet. I sista hand gäller visserligen direktivet, men det finns inte skäl att anta, att detta i praktiken kommer att medföra några komplikationer. En EG-spärr skulle i så fall bara skapa oro utan att medföra någon motsvarande nytta. Vi har därför inte funnit anledning att föreslå någon EG-spärr i persondatalagen.
På motsvarande sätt har vi resonerat när det gäller de bestämmelser som innebär att myndigheter eller enskilda är skyldiga att lämna ut uppgifter.134 Med hänsyn till att EG-direktivet och den föreslagna persondata-
133Se 25 § lagen (1974:13) om vissa anställningsfrämjande åtgärder (den s.k. främjandelagen) och därtill SOU 1994:83 s. 126 f. samt prop. 1994/95:102 s. 76 f.
134Se t.ex. 71 § socialtjänstlagen (1980:620) (anmälan om misshandel m.m. mot underåriga) och förordningen (1982:772) om skyldighet att anmäla vissa allvarliga skador m.m. i hälso- och sjukvården samt alla de regler som finns om att myndigheter och domstolar skall underrätta varandra om sina domar och beslut. I dessa fall bör man dock utan mera ingående prövning tills vidare kunna utgå från att ett utlämnande är tillåtet när det gäller personuppgifter i allmänhet enligt artikel 7 e (allmänt intresse, myndighetsutövning) och när det gäller känsliga personuppgifter enligt artikel 8.4 (viktigt allmänt intresse). I det senare fallet skall dock undantag anmälas till kommissionen enligt artikel 8.6.
| 210 Förhållandet till särskilda registerförfattningar | SOU 1997: 39 |
lagen innebär att utlämnande av personuppgifter bara får ske om utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna samlades in (se avsnitt 12.4.3) måste dessa bestämmelser ses över, något som inte kan anses omfattat av vårt uppdrag.
8.2.3Datainspektionen skall höras när registerförfattningar beslutas
Enligt artikel 28.2 i EG-direktivet skall medlemsstaterna se till att tillsynsmyndigheten – dvs. i Sverige Datainspektionen – hörs när sådana författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.
En uttrycklig motsvarande bestämmelse i datalagen avskaffades på Datalagsutredningens förslag135 per den 1 januari 1995.136 Avsikten var att avskaffandet på intet sätt skulle innebära någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister (även om syftet med avskaffandet i och för sig var att minska Datainspektionens arbetsbörda).
I 7 kap. 2 § regeringsformen finns en bestämmelse om att behövliga upplysningar och yttranden skall hämtas in vid beredningen av regeringsärenden. Den bestämmelsen bör tolkas i belysning av vad som krävs enligt EG-direktivet. När regeringen i fråga om en registerförfattning beslutar en förordning eller tar initiativ till en lag, finns det således enligt vår mening tillräckliga garantier för att Datainspektionen hörs på det sätt som krävs enligt direktivet.
Någon motsvarande s.k. remisskyldighet finns inte när det inom riksdagen tas initiativ till en registerförfattning, t.ex. om reglering av riksdagens egna register.137 I 4 kap. 10 § riksdagsordningen finns det dock bestämmelser om att statlig myndighet – t.ex. Datainspektionen – är skyldig att lämna upplysningar och yttra sig när ett riksdagsutskott begär det och om att sådana upplysningar och yttranden som huvudregel skall hämtas in om minst fem utskottsledamöter begär det.
135Se SOU 1993:10 s. 173 f.
136Se prop. 1993/94:217 s. 22 f. och SFS 1994:1485.
137Jämför KU 1992/93:32, beträffande personregister i riksdagens informationssystem Rixlex, och KU 1995/96:13, beträffande registrering av riksdagsledamöters åtaganden och ekonomiska intressen.
SOU 1997: 39
Förhållandet till särskilda registerförfattningar 211
Det får förutsättas att riksdagen utan en särskild bestämmelse om detta ser till att Datainspektionen har hörts på det sätt som EG-direktivet kräver när en registerförfattning beslutas efter ett initiativ inom riksdagen.
Vi anser således att det inte är nödvändigt med hänsyn till EG-direkti- vet att åter införa den bestämmelse om obligatoriskt yttrande från Datainspektionen som nyss avskaffats.
| SOU 1997: 39 | 213 |
9 Förhållandet till offentlighetsprincipen
Det går att förena EG-direktivet med offentlighetsprincipen enligt 2 kap. TF. Vi föreslår en uttrycklig bestämmelse som klargör att den nya persondatalagen inte skall tillämpas, om det skulle inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF. Vidare föreslås en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet.
9.1Inledning
Innebörden av offentlighetsprincipen och våra förslag rörande den berörs närmare i den andra delen av betänkandet. I detta avsnitt berör vi bara förhållandet mellan å ena sidan offentlighetsprincipen, som enligt utredningsdirektiven inte skall förändras, och å andra sidan den nya persondatalag som vi föreslår och EG-direktivet. För sammanhangets skull bör dock här nämnas
N att offentlighetsprincipen innefattar en rätt för varje svensk medborgare att ta del av allmänna handlingar, inklusive personregister, i den utsträckning handlingarna inte innehåller uppgifter för vilka gäller sekretess (2 kap. 1–2 §§ TF) och
N att den som begär att få ta del av allmänna handlingar i allmänhet har rätt att få vara anonym (2 kap. 14 § 3 st. TF).
Vidare bör i fråga om andra regler än dem som finns i grundlag här nämnas att myndigheterna – för att offentlighetsprincipen i praktiken skall ha något värde – måste vara skyldiga att
N i handlingar dokumentera uppgifter av betydelse för verksamheten (t.ex. 15 § förvaltningslagen, 31 § verksförordningen och 14 § datalagen),
| 214 Förhållandet till offentlighetsprincipen | SOU 1997: 39 |
N registrera och strukturera sina handlingar så att man kan hitta bland dem (15 kap. sekretesslagen) och
N bevara sina handlingar i tillräcklig utsträckning i arkiv (arkivlagen).
Datalagsutredningen kom fram till att vissa bestämmelser i 1992 års förslag till EG-direktiv var svåra eller omöjliga att förena med offentlighetsprincipen.138 Sverige har emellertid, bl.a. efter inträdet i EU, tagit aktiv del i de fortsatta förhandlingarna om EG-direktivet och agerat hårt för att få till stånd sådana lösningar att direktivet inte står i motsättning till den svenska offentlighetsprincipen. På flera punkter avviker den antagna direktivtexten från 1992 års förslag. Sverige har också lyckats få in en bestämmelse i ingressen till direktivet som klargör att det är möjligt att vid genomförandet av direktivets bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar (punkt 72). Av utredningsdirektiven framgår vidare att det är den svenska regeringens bedömning att det i EG- direktivet inte finns någon bestämmelse som står i strid med en tillämpning av den svenska offentlighetsprincipen. Vi anser att det är möjligt att – mot bakgrund av den uttryckliga bestämmelse som har tagits in i punkt 72 i ingressen – tolka bestämmelserna i EG-direktivet på ett sådant sätt att det som är grundlagsfäst eller annars särskilt betydelsefullt beträffande offentlighetsprincipen kan behållas.
9.2Utlämnande av personuppgifter enligt offentlighetsprincipen
Den grundlagsfästa delen av offentlighetsprincipen rör utlämnandet av personuppgifter, som finns i allmänna handlingar, till en obestämd krets mottagare. Övriga inledningsvis nämnda regler – om skyldighet att dokumentera, registrera och arkivera – utgör i och för sig en förutsättning för att den grundlagsfästa delen av offentlighetsprincipen i praktiken skall ha något värde. Men det står samtidigt klart att Sverige inte med hänvisning till offentlighetsprincipen och vad som sägs i punkt 72 i ingressen till EG-di- rektivet kan undanta all registrering av personuppgifter inom den offentliga sektorn. I den utsträckning som en viss personregistrering inte kan
138 Se SOU 1993:10 s. 85 ff.
| SOU 1997: 39 | Förhållandet till offentlighetsprincipen 215 |
til??låtas enligt EG-direktivet, kommer det alltså inte att finnas något för allmänheten att titta på med stöd av offentlighetsprincipen.
Enligt vår mening kan man beträffande EG-direktivet resonera på följande sätt när det gäller utlämnande av personuppgifter med stöd av den grundlagsfästa offentlighetsprincipen.
Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlighetsprincipen är i och för sig att anse som en sådan behandling av personuppgifter som omfattas av EG-direktivet.
Av artikel 6.1 b framgår att personuppgifter skall samlas in för särskilda, uttryckligt angivna ändamål och att senare behandling av uppgifterna inte får ske på ett sätt som är oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in; också enligt Europarådets dataskyddskonvention (artikel 5 b) skall personuppgifter för automatisk databehandling lagras för särskilda ändamål och inte användas på ett sätt som är oförenligt med dessa ändamål. – Enligt vår uppfattning kan en myndighets utlämnande av personuppgifter med stöd av offentlighetsprincipen inte anses vara oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in. Offentlighetsprincipen framgår av grundlagen och får anses utgöra en integrerad del av all förvaltningsverksamhet som myndigheterna ägnar sig åt.
Av artikel 7 framgår att personuppgifter får behandlas, t.ex. lämnas ut, om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att fullgöra en arbetsuppgift som är ett led i myndighetsutövning som utförs av den registeransvarige. – De registeransvariga myndigheterna är rättsligt förpliktade att följa bl.a. grundlagsreglerna om utlämnande av allmänna handlingar, och utlämnandet är också ett led i deras myndighetsutövning. Utlämnandet är alltså tillåtet enligt artikel 7.
Behandling – utlämnande – av känsliga personuppgifter skall i princip förbjudas enligt artikel 8. Det är emellertid tillåtet att av hänsyn till ett viktigt allmänt intresse göra undantag från förbudet, om det finns lämpliga skyddsåtgärder (artikel 8.4). – Att utlämnande kan ske enligt den grundlagsfästa offentlighetsprincipen är ett viktigt svenskt allmänt intresse. De svenska sekretessbestämmelserna medför att sådana känsliga personuppgifter som avses i artikel 8 i praktiken inte kommer att lämnas ut om den enskilde kan skadas eller drabbas negativt av utlämnandet. Sekretessbestämmelserna får anses utgöra sådana lämpliga skyddsåtgärder som avses i EG-direktivet. Det finns alltså inget hinder mot att föreskriva ett undantag från det principiella förbudet mot behandling av personuppgifter i artikel 8
| 216 Förhållandet till offentlighetsprincipen | SOU 1997: 39 |
för sådant utlämnande som sker med stöd av offentlighetsprincipen. Det undantaget måste dock anmälas till kommissionen enligt artikel 8.6.
När uppgifter om en viss person samlas in från den berörde själv, skall
–enligt artikel 10 – den information lämnas som är nödvändig för att tillförsäkra den registrerade en korrekt behandling, exempelvis information om ”mottagarna eller de kategorier som mottar uppgifterna”. Information behöver dock inte lämnas i den mån den registrerade redan känner till informationen. I artikel 11.1 finns det motsvarande bestämmelser för det fallet att personuppgifterna inte har samlats in från den registrerade själv utan hämtats från något annat håll. – Eftersom offentlighetsprincipen innebär att var och en kan få ut personuppgifter och att den som får uppgifterna i princip har rätt att vara anonym, kan den myndighet som samlar in personuppgifter inte lämna information om till vilka personer uppgifterna kan komma att lämnas ut. Däremot kan information givetvis lämnas om att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det. Härigenom får de registrerade – på det sätt direktivet kräver
–information om till vilka kategorier av mottagare som uppgifterna kan komma att lämnas ut. Eftersom utlämnande enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk grundlag, kan det vidare förutsättas att allmänheten redan känner till den informationen. Därför torde det inte vara helt nödvändigt att lämna information i detta hänseende.
Enligt artikel 13.1 g är det tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1, 10 och 11.1 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter. – Rätten för var och en att få ta del av allmänna handlingar med stöd av den grundlagsfästa offentlighetsprincipen är en sådan rättighet som kan göra det befogat med undantag.
Som framgått av det anförda finns det goda möjligheter att förena den grundlagsfästa delen av offentlighetsprincipen med bestämmelserna i direktivet. Vi anser att det – för att inte någon tvekan skall uppkomma om hur den nya lagstiftningen förhåller sig till grundlagen – bör införas en uttrycklig bestämmelse om att den nya persondatalagen inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. TF.139 Den bestämmelsen, som omfattar
139Hur EG-direktivet förhåller sig till andra bestämmelser i tryckfrihetsförordningen, dvs. bl.a. bestämmelserna om tryckfrihet och skydd för den som lämnar ut uppgifter till pressen, berörs i avsnitt 10.
SOU 1997: 39
Förhållandet till offentlighetsprincipen 217
även känsliga personuppgifter, bör anmälas till kommissionen enligt artikel 8.6.
9.3Rättelse av uppgifter hos myndigheter
Offentlighetsprincipen innebär att var och en i princip har rätt att få reda på de uppgifter som faktiskt har bestämt utgången av ett ärende oavsett om uppgifterna objektivt sett är riktiga och fullständiga; den enskilde har rätt att få se även ett dåligt beslutsunderlag.
Enligt artikel 6.1 c–d i EG-direktivet är det ett grundläggande krav att de behandlade personuppgifterna är adekvata, relevanta, riktiga och, om nödvändigt, aktuella. Den registrerade skall vidare enligt artikel 12 b ha rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om uppgifterna är ofullständiga eller felaktiga. Enligt artikel 13.1 g är det dock tillåtet för medlemsstaterna att göra nödvändiga undantag från bl.a. bestämmelserna i artikel 6.1 och 12 med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.
Bestämmelsen om rättelse m.m. berörs närmare i avsnitt 12.8. Det torde vara upp till medlemsstaterna att bestämma vilken korrigeringsmetod – rättelse, utplånande eller blockering – som skall användas i olika fall. Det finns vidare inget som hindrar medlemsstaten från att låta den ansvarige för behandlingen välja metod. Vi anser att så bör ske.140
En myndighet har således enligt den nya persondatalagen frihet att välja om felaktiga, missvisande eller ofullständiga uppgifter skall rättas, utplånas eller blockeras. Detta innebär att myndigheten givetvis inte får välja att utplåna t.ex. en uppgift i en allmän handling, om det skulle strida mot andra bestämmelser. Valet av korrigeringsmetod kan således styras av andra bestämmelser som myndigheten har att rätta sig efter. Det är enligt vår mening inte nödvändigt med ett uttryckligt påpekande om detta i den nya persondatalagen. Däremot kan det vara lämpligt att – för att förtydliga
– ta in ett sådant påpekande i en anslutande förordning.
Att en uppgift rättas innebär att den ursprungliga, felaktiga, missvisande eller ofullständiga uppgiften ersätts av en uppgift om de rätta förhållan-
140Vilka möjligheter tillsynsmyndigheten bör ha att få olagligt behandlade personuppgifter utplånade tas upp i avsnitt 12.14.1.
| 218 Förhållandet till offentlighetsprincipen | SOU 1997: 39 |
dena eller att uppgifterna annars kompletteras. Det finns inte något krav på att den felaktiga uppgiften skall utplånas. Det bör vara upp till den som är ansvarig för behandlingen att avgöra hur rättelsen skall göras. Det enda kravet är – om den felaktiga uppgiften inte utplånas – att det i alla sammanhang klart skall framgå att den felaktiga uppgiften har ersatts av en annan uppgift och vilka de rätta förhållandena är. Något hinder mot att med stöd av offentlighetsprincipen lämna ut den (tydligt markerade) felaktiga uppgiften jämte de riktiga uppgifterna och upplysning om den rättelse som skett finns inte. Det torde vara denna rättelsemetod som myndigheter i allmänhet bör använda.141 För att offentlighetsprincipens syfte att möjliggöra en kontroll av myndigheterna skall kunna tillgodoses är det nämligen viktigt att felaktiga uppgifter inte utplånas. Regeringen kan – och bör – i en anslutande förordning meddela föreskrifter om hur myndigheter närmare bör gå till väga vid rättelse, t.ex. föreskrifter om att den ursprungliga uppgiften inte skall utplånas men väl på ett tydligt sätt markeras och att rättelsen skall dateras och signeras av behörig tjänsteman.
Den tredje metoden – blockering – får anses innebära bl.a. att de blockerade uppgifterna inte får lämnas ut till tredje man och att uppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och anledningen till spärren. Blockering kan t.ex. användas när det inte är naturligt att rätta en felaktig uppgift, exempelvis när de rätta förhållandena inte kan utredas; det står t.ex. klart att en uppgift om att en viss person har fått sjukhusvård är felaktig, men det kan inte utredas vem som i stället fått vård.142 Enligt vår mening är det lämpligt med en uttrycklig bestämmelse om att blockeringen inte hindrar att en myndighet lämnar ut den blockerade uppgiften (jämte uppgifter rörande blockeringen) med stöd av 2 kap. TF. Vi föreslår – med stöd av artikel 13.1 g i EG-direk- tivet – att en sådan uttrycklig undantagsbestämmelse tas in i den nya persondatalagen.
Enligt vår mening förefaller det ändamålsenligt att regeringen i en anslutande förordning tar in de föreskrifter för myndigheternas val av korrigeringsmetod som behövs.
141Bestämmelser om att vissa uppgifter inte får ändras – t.ex. 6 kap. 8 § andra stycket rättegångsbalken – torde inte hindra att rättelse görs på det sätt som nu beskrivits.
142Jämför NJA 1994 A 3.
| SOU 1997: 39 | Förhållandet till offentlighetsprincipen 219 |
9.4Myndigheternas arkiv
Det nuvarande systemet för att bevara myndigheternas handlingar innebär att varje myndighet tar om hand sina handlingar, även efter det att handläggningen av ett ärende är avslutad. Efter ett tag lämnas handlingarna över till en arkivmyndighet för långtidsförvaring.
Att myndigheterna bevarar sina handlingar – i enlighet med bl.a. arkivlagen med anknytande författningar – har som sagt betydelse för möjligheten att utnyttja den grundlagsfästa offentlighetsprincipen. Det finns emellertid också – t.ex. i olika registerförfattningar och i beslut av Datainspektionen – många exempel på att myndigheterna är skyldiga att efter en tid förstöra (gallra) uppgifter av hänsyn till den personliga integriteten. Frågan om i vilken utsträckning personuppgifter bör gallras av hänsyn till den personliga integriteten berör vi i avsnitt 12.4.6.2. Här tar vi bara upp den för offentlighetsprincipen betydelsefulla frågan om det är möjligt att behålla det nuvarande systemet för att bevara myndigheternas handlingar.143
Enligt artikel 6.1 b i EG-direktivet skall personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Behandling får inte senare ske av uppgifterna på ett sätt som är oförenligt med de ursprungligen angivna ändamålen. Senare behandling för historiska, statistiska och vetenskapliga ändamål skall dock enligt vad som uttryckligen anges inte anses oförenlig med de ursprungliga ändamålen. Det förutsätts att medlemsstaterna i detta fall beslutar om lämpliga skyddsåtgärder. Personuppgifterna får vidare, enligt artikel 6.1 e, lagras bara så länge det är nödvändigt med hänsyn till de ursprungliga eller senare ändamålen med behandlingen. För personuppgifter som lagras under längre perioder för historiska, statistiska och vetenskapliga ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder.
Behandlingen av personuppgifterna måste vidare alltid vara tillåten enligt artikel 7 i direktivet, t.ex. därför att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att utföra en arbetsuppgift av allmänt intresse. Gäller det känsliga personuppgifter, måste också förutsättningarna i artikel 8 vara uppfyllda, t.ex. att medlemsstaten av hänsyn till ett viktigt allmänt intresse har föreskrivit att behandlingen är tillåten.
143 Den arkivering som enskilda kan ägna sig åt berörs särskilt i avsnitt 12.4.6.
| 220 Förhållandet till offentlighetsprincipen | SOU 1997: 39 |
Myndigheternas arkiv är en del av det svenska nationella kulturarvet, och arkiven skall tillgodose
N rätten att ta del av allmänna handlingar,
N behovet av information för rättskipningen och förvaltningen samt N forskningens behov (3 § 3 st. arkivlagen).
De ändamål som bevarandet av myndighetsarkiven skall tillgodose kan enligt vår mening hänföras under vad som i EG-direktivet kallas ”historiska, statistiska och vetenskapliga ändamål”. Det är således, som vi ser det, inte nödvändigt att myndigheterna redan när personuppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myndighets primära hantering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring.
Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar, och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4; de svenska myndigheternas bevarande även av känsliga personuppgifter utgör enligt vår mening ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda. Att arkivmyndigheten i sin tur lämnar ut uppgifterna med stöd av t.ex. offentlighetsprincipen kan inte anses oförenligt med de ändamål för vilka arkivmyndigheten samlade in uppgifterna.
De bestämmelser som finns om sekretess och skydd för arkiv får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet.
Vi har sammanfattningsvis kommit fram till att den nya lagen bör innehålla en uttrycklig bestämmelse om att lagen inte hindrar att en myndighet bevarar allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet. Den bestämmelsen, som omfattar även känsliga personuppgifter, bör anmälas till kommissionen enligt artikel 8.6.