Integritet, offentlighet, informationsteknik - del 2
Statens offentliga utredningar 1997:39
| SOU 1997: 39 | 221 |
10Förhållandet till yttrandefriheten
Vi föreslår att det görs ett undantag i persondatalagen för all sådan behandling av personuppgifter som skyddas av TF och YGL eller utförs som ett led i konstnärligt skapande. Undantaget är motiverat eftersom persondatalagens materiella bestämmelser annars skulle strida mot de centrala reglerna i grundlagarna om censurförbud och meddelarskydd. Vilka behandlingar som omfattas av undantaget bestäms ytterst av grundlagarna. Skyddet för den personliga integriteten värnas genom andra regler, t.ex. regler om ärekränkning och – inte minst – massmediernas självsanerande verksamhet.
10.1Inledning
I detta avsnitt behandlar vi två frågor. Den första frågan gäller konflikten mellan å ena sidan de bestämmelser i persondatalagen som ger Datainspektionen möjlighet att – för att skydda den personliga integriteten – ingripa mot eller i övrigt inverka på behandling av personuppgifter och å andra sidan skyddet mot ingripanden av myndigheter i samband med utgivning av tryckta skrifter eller andra yttranden. Ytterst handlar det om vilka undantag från persondatalagens tillämpningsområde som måste göras av hänsyn till yttrandefriheten. Denna fråga har tidigare behandlats av Da- talagsutredningen. Vi anknyter även något till den mer generella frågan om vilket skydd som finns för den personliga integriteten i massmediala sammanhang.
| 222 Förhållandet till yttrandefriheten | SOU 1997: 39 |
Den andra frågan rör hur anpassningen skall göras till EG-direktivets bestämmelser om undantag för behandling av personuppgifter för journalistiska ändamål samt konstnärligt och litterärt skapande.144
10.2Yttrandefriheten
10.2.1Allmänt
Yttrandefriheten är en av de grundlagsskyddade fri- och rättigheterna i 2 kap. 1 § regeringsformen (RF). Friheten kan emellertid begränsas genom lag (8 kap. 1 § RF) eller i vissa fall genom förordning efter bemyndigande i lag (8 kap. 7 § RF). Vissa former för att sprida yttranden har fått ett förstärkt skydd i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL). De massmedier som har sådant grundlagsskydd är tryckta skrifter samt offentliga yttranden i radio, TV och liknande överföringar, filmer, videogram och andra upptagningar av rörliga bilder samt ljudupptagningar. Spridning av yttranden kan numera ske även genom mer modern informations- och kommunikationsteknik. Frågan om vilket grundlagsskydd även dessa andra former för yttrandefrihet åtnjuter eller bör åtnjuta är föremål för utredning (se nedan under avsnitt 10.4).
10.2.2Vad innebär grundlagsskyddet?
Skyddet för tryckta skrifter bygger på sex grundläggande principer; förbud mot censur och andra hindrande åtgärder, etableringsfrihet, särskilda regler om ansvarighet för tryckfrihetsbrott, skydd för dem som anskaffar eller tillhandahåller upplysningar för offentliggörande i tryckt skrift, uttömmande angivande av de gärningar som kan beivras som tryckfrihetsbrott och särskild processordning för tryckfrihetsmål.145 YGL innehåller samma principiella skydd som TF, dock att i lag får meddelas föreskrifter om granskning och godkännande av filmer som skall visas offentligt (1 kap. 3 § 2 st.). Vi kommer särskilt att uppmärksamma förbudet mot censur,
144Artikel 9.
145SOU 1983:70 s. 63.
SOU 1997: 39
Förhållandet till yttrandefriheten 223
rätten för meddelare m.fl. att vara anonyma (meddelarskyddet) och i viss mån även tryckfrihetsbrotten.
10.2.3Vilka skrifter omfattas av grundlagsskyddet?
Inte alla yttranden i tryckta skrifter omfattas av grundlagsskyddet i TF. Tryckfriheten skall säkerställa ett fritt meningsutbyte och en allsidig upplysning (1 kap. 1 § 2 st.). I motiven till TF betonades behovet av en allmän tryckfrihet såsom grundval för ett fritt samhällsskick. Vidare anfördes att tryckfriheten inte skall betraktas endast som en rätt att uttrycka egna tankar och åsikter, utan även som en rätt att lämna upplysningar om sakförhållanden.146 Även konstnärliga former av yttranden skyddas av TF, t.ex. skönlitteratur och underhållning av annat slag.
Om ett yttrande som lämnas i en tryckt skrift är olagligt i ett annat hänseende än som ett överskridande av gränserna för yttrandefriheten, kan ingripande ske med stöd av bestämmelser i vanlig lag, t.ex. om ett yttrande i en tryckt skrift ingår som ett led i ett bedrägeribrott.
Skyddet omfattar inte heller tryckta yttranden av uteslutande kommersiell natur, t.ex. annonser eller annan reklam. Massmedieutredningen föreslog att det skulle införas uttryckliga bestämmelser i TF om och i vilken omfattning reklam skulle falla under TF.147 Någon sådan generell reglering infördes emellertid inte148, men uttryckliga undantag från TF:s til??lämpning har införts dels för förbud mot kommersiella annonser för alkohol och tobak dels för sådana förbud mot kommersiella annonser som meddelats till skydd för hälsa eller miljö enligt förpliktelse som följer av anslutningen till EG (1 kap. 9 § 1–2 p.). Gränsdragningsproblem kan uppkomma i detta sammanhang.149 I motiven till YGL beskrevs rättsläget så att den kommersiella reklamen visserligen åtnjuter ett tryck- och yttrandefrihetsrättsligt skydd, men att detta är mera begränsat än det som gäller för andra yttranden.150 Enligt 1 kap. 12 § andra stycket YGL kan föreskrifter meddelas om förbud mot kommersiell reklam i de medier som omfattas av den lagen.
146Prop. 1948:230 s. 33.
147SOU 1972:49.
148Prop. 1973:123 s. 42.
149Se t.ex. NJA 1975 s. 589.
150Prop. 1990/91:64 s. 91.
| 224 Förhållandet till yttrandefriheten | SOU 1997: 39 |
Tryckfriheten omfattar inte heller yrkesmässig kreditupplysningsverksamhet (1 kap. 9 § 3 p. TF).
Grundlagsskyddet är vidare beroende på vilken framställningsform som valts. En skrift som framställs i tryckpress omfattas generellt (1 kap. 5 § TF) under förutsättning att den är utgiven (1 kap. 6 §). Skrifter som har mångfaldigats på annat sätt (t.ex. genom stencilering eller fotokopiering) omfattas under vissa förutsättningar, nämligen om utgivningsbevis gäller för skriften eller om skriften är försedd med beteckning, som utvisar att den är mångfaldigad, samt i anslutning därtill tydliga uppgifter om vem som har mångfaldigat den och om ort och år för mångfaldigandet (1 kap. 5 §). När det gäller skrifter som har framställts på annat sätt än genom tryckning kan utgivaren i viss mån själv bestämma om skriften skall falla in under TF:s bestämmelser eller inte. För vissa typer av skrifter krävs utgivningsbevis för att de skall få ges ut (5 kap. 5 §).
För att omfattas av grundlagsskyddet måste den tryckta skriften vara utgiven (1 kap. 6 §). Den anses utgiven då den blivit utlämnad till salu eller för spridning på annat sätt. Det är således inte nödvändigt att den verkligen har blivit spridd, utan det räcker att den blivit utlämnad för spridning.
Beträffande periodiska skrifter finns slutligen en specialbestämmelse i 1 kap. 7 § andra stycket. Sådana radioprogram, filmer eller ljudupptagningar som ägaren till en periodisk skrift sprider eller låter sprida och som oförändrat återger skriftens innehåll och dess disposition omfattas också av grundlagsskyddet.
10.2.4Vilka övriga yttranden omfattas av grundlagsskyddet?
De tryckfrihetsrättsliga grundprinciperna gäller även för de medier som omfattas av YGL. I 1 kap. 9 § YGL finns dessutom en bestämmelse om spridning av yttrande som även omfattar tryckta skrifter i traditionell mening. Bestämmelsen innebär att grundlagsskyddet för radioprogram även tillämpas när en redaktion för en tryckt periodisk skrift eller för radioprogram, ett företag för framställning av filmer eller ljudupptagningar eller en nyhetsbyrå med hjälp av elektromagnetiska vågor på begäran tillhandahåller allmänheten upplysningar direkt ur ett register med upptagningar för automatisk databehandling. Grundlagsskyddet gäller dock inte om den mottagande kan ändra innehållet i registret. Av motiven till bestämmelsen framgår att de medier som främst åsyftades vid dess tillkomst var text-TV,
| SOU 1997: 39 | Förhållandet till yttrandefriheten 225 |
telefax och videotex i de fall sådana medier används som distributionsform för periodiska skrifter.151
Huruvida spridning av t.ex. en dagstidning via cd-rom anses omfattas av skyddet är i vissa situationer osäkert.152 Bestämmelsen innebär bl.a. att spridningen av yttrande i denna form inte får föregås av censur eller någon annan hindrande åtgärd (1 kap. 3 § YGL). De grundläggande tankarna bakom bestämmelsen är uppenbarligen att samma grundlagsskydd skall gälla för yttranden antingen de läses av allmänheten i tryckt form eller i digitaliserad form via något elektroniskt hjälpmedel. Rätten att sprida yttranden i denna form under grundlagsskydd tillkommer dock inte var och en utan är förbehållen bl.a. tidningsredaktioner och nyhetsbyråer. Det ingår i Mediekommitténs uppgifter att överväga bl.a. denna fråga (dir. 1994:104).
10.2.5Vilka personer omfattas av grundlagsskyddet?
För de personer som medverkar vid framställning av ett yttrande finns bestämmelser för deras skydd. Skyddsbestämmelserna får väl i första hand sägas ha till syfte att hindra repressalier bl.a. från statsmakternas sida på grund av innehållet i ett yttrande. Skyddet består av flera delar; rätt för vissa personer att vara anonyma, förbud för myndigheter att efterforska författare m.fl. och begränsat ansvar för brott.
Ansvarssystemet i TF bygger på två grundläggande principer. Den ena är att det alltid skall finnas någon som, även om han inte själv varit upphovsman, kan göras ansvarig för innehållet i en tryckt skrift. I regel är detta författaren eller, när det gäller periodiska skrifter, den ansvarige utgivaren. Den andra principen är att detta formaliserade ansvar skall utesluta ansvar för alla som på annat sätt medverkat vid skriftens tillkomst. Tanken i TF är således att endast en person skall kunna göras ansvarig för tryckfrihetsbrott samt att dennes ansvar är exklusivt och utesluter ansvar för andras
151Prop. 1990/91:64 s. 67.
152I dir. 1994:104 anförs bl.a. att en cd-romskiva med endast text inte utan vidare kan sägas falla under YGL:s skydd. Jämför dock det nedan nämnda avgörandet av regeringen 1994-09-15 Ju 94/140. Tidningarnas Telegrambyrå ansökte i det fallet om att få lagra av TT producerade och publicerade nyhetstexter på cd-rom eller i annan elektronisk form. Materialet skulle göras tillgängligt för abonnenter samt användas internt. Regeringen konstaterade i beslutet att 1 kap. 9 § YGL var til??lämplig på registret.
| 226 Förhållandet till yttrandefriheten | SOU 1997: 39 |
eventuella medverkan. Det sagda innebär att det i TF inte förekommer något medverkansansvar i brottsbalkens mening. Tvärtom skyddar TF genom olika bestämmelser sådana personer som har medverkat vid tillkomsten av en tryckt skrift men som inte har det speciella tryckfrihetsrättsliga ansvaret. Till denna kategori bestämmelser hör de som gäller meddelarfrihet och anonymitet.
Den grundläggande bestämmelsen om meddelarfriheten finns i 1 kap. 1 § tredje stycket TF. Där stadgas att det skall stå envar fritt att, i alla de fall då inte annat är föreskrivet i TF, meddela uppgifter och underrättelser i vad ämne som helst för offentliggörande i tryckt skrift till författare eller annan som är att anse som upphovsman till framställning i skriften, till skriftens utgivare eller, om det för skriften finns en särskild redaktion, till denna eller till företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter. Meddelarfriheten gäller i princip oberoende av om meddelandet publiceras. Det räcker alltså att meddelarens syfte är att offentliggörande skall ske.153
I stort sett ger TF skydd för meddelare endast gentemot det allmänna. Den enskilde kan av andra skäl vara förhindrad att lämna uppgifter t.ex. till tidningar. Beträffande offentliga funktionärer finns en tämligen omfattande reglering av tystnadsplikten i sekretesslagen. I vissa fall bryter meddelarrätten tystnadsplikten, ibland är det tvärtom (s.k. kvalificerad tystnadsplikt). Även på det civilrättsliga området kan meddelarskyddet vara inskränkt. I ett privat anställningsförhållande kan den enskilde ha avtalat med sin arbetsgivare om att inte lämna ut vissa uppgifter.
I 1 kap. 1 § fjärde stycket TF finns en regel som tar sikte på ett tidigare led i den kedja som löper från en meddelare via t.ex. en tidningsredaktion till publicering i tryckt skrift. Enligt den regeln skall var och en äga rätt att, om inte annat följer av TF, anskaffa uppgifter och underrättelser i vilket ämne som helst för att offentliggöra dem i tryckt skrift eller för att lämna ett meddelande av den typ som angivits i paragrafens tredje stycke. An- skaffaren är i regel den som också är meddelare eller författare. Om anskaffaren inte själv har meddelat uppgifterna till en författare, upphovsman, utgivare eller tidningsredaktion framstår han dock som en självständig person.154
153SOU 1990:12 s. 60.
154Håkan Strömberg, Tryckfrihetsrätt och annan yttrandefrihetsrätt, 11:e uppl., s. 24.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 227 |
I syfte att skydda dem som medverkar vid tillkomsten av tryckta skrifter finns i 3 kap. TF regler om rätt till anonymitet. Den grundläggande bestämmelsen om rätt till anonymitet finns i 3 kap. 1 § TF. Där stadgas att författare till tryckt skrift inte är skyldig att låta sätta ut sitt namn eller sin pseudonym eller signatur på skriften. Vidare anges att motsvarande gäller beträffande den som lämnat meddelande enligt 1 kap. 1 § tredje stycket TF och beträffande utgivare av tryckt skrift som inte är periodisk. En meddelare eller författare kan alltså själv välja om han vill framträda eller om han vill vara anonym. Detsamma gäller utgivare av skrifter som inte är periodiska.
Upphovsmän och meddelare har enligt YGL motsvarande rätt till anonymitet (2 kap. 1 § YGL).
10.2.6Skyddet mot myndighetsingripanden
10.2.6.1Censurförbudet
Censurförbudet riktar sig till myndighet eller annat allmänt organ (1 kap. 2 § TF och 1 kap. 3 § YGL). Syftet med censur är att förhindra att vad som går fram till mottagaren har ett innehåll eller en utformning som från granskarens synpunkt inte kan godtas. Det är enligt dessa bestämmelser inte tillåtet för en myndighet att förhandsgranska skrifter.
Förhandsgranskning är inte det enda sättet att hindra medborgare från att yttra sig offentligt. Det är inte heller tillåtet för myndighet eller annat allmänt organ att på grund av yttrandets innehåll vidta någon åtgärd som – utan stöd i TF – hindrar tryckning eller utgivning av skrift eller dess spridning bland allmänheten (1 kap. 2 § 2 st. TF). Motsvarande förbud mot hindrande åtgärder finns i YGL (1 kap. 3 § 1 st. 2 men. YGL). Spärrar kan upprättas på flera olika punkter längs kommunikationsvägarna. Ett sätt att spärra är att inskränka rätten att använda ett visst uttrycksmedel. Inskränkningen kan också avse bara ett led i ett framställningsförfarande. Hindret behöver inte vara absolut. Även åtgärder som verkar väsentligt försvårande eller ekonomiskt förlustbringande är otillåtna. I YGL finns en speciell bestämmelse som förhindrar det allmänna att på grund av innehållet i ett yttrande förbjuda innehav eller användning av sådana tekniska hjälpmedel som krävs för att uppfatta yttrandet (1 kap. 3 § 3 st.).
Förbudet omfattar sådana hindrande åtgärder som vidtas på grund av yttrandets innehåll. Åtgärder i övrigt torde vara tillåtna. I samband med den nuvarande tryckfrihetsförordningens tillkomst diskuterades huruvida
| 228 Förhållandet till yttrandefriheten | SOU 1997: 39 |
den då aktuella pappersransoneringen kunde utgöra ett sådant hinder. De- partementschefen uttalade i det sammanhanget att det i och för sig inte stred mot förbudet, dock att någon åtskillnad inte fick göras mellan olika publikationer t.ex. på grund av deras politiska inriktning.155 På motsvarande sätt är bestämmelser som reglerar spridning av yttranden tillåtna, så långt de inte tar hänsyn till yttrandenas innehåll.
Förbudet mot hindrande åtgärder riktar sig även mot riksdagen som lagstiftare.156 I en diskussion kring lagprövningsrätten, dvs. myndighets rätt att åsidosätta en bestämmelse som strider mot en annan, togs just den situationen upp när en lag till äventyrs föreskriver hindrande åtgärder trots förbudet häremot i 1 kap. 2 § TF.157
10.2.6.2Anonymitetsskyddet
Myndighet eller annat allmänt organ får inte efterforska författaren till en framställning som har införts eller varit avsedd att införas i tryckt skrift (3 kap. 4 § TF). Efterforskning får inte heller ske av den som har utgivit eller avsett att ge ut framställning i tryckt skrift eller av den som uppträtt som meddelare. Efterforskningsförbudet gäller inte utan undantag. I de fall då ingripande mot t.ex. en meddelare är tillåtet enligt TF får myndigheter och andra allmänna organ vidta åtgärder för att utröna vem meddelaren är. Motsvarande efterforskningsförbud finns i 2 kap. 4 § YGL.
I 3 kap. 3 § TF finns föreskrifter om tystnadsplikt för bl.a. personal vid en tidning eller en nyhetsbyrå beträffande författares, meddelares och utgivares identitet. Paragrafen, som fick sin nuvarande lydelse den 1 januari 1978, föreskriver tystnadsplikt för den som har tagit befattning med tillkomsten eller utgivningen av en tryckt skrift eller med en framställning som var avsedd att införas i en tryckt skrift och den som har varit verksam inom ett företag för utgivning av tryckta skrifter eller inom ett företag för yrkesmässig förmedling av nyheter eller andra meddelanden till periodiska skrifter. Tystnadsplikten innebär att han inte får röja vad han därvid erfarit om vem som är författare eller har lämnat meddelande enligt 1 kap. 1 § tredje stycket eller är utgivare av skrift som inte är periodisk. Från denna
155Prop. 1948:230 s. 111.
156Erik Holmberg & Nils Stjernquist, Grundlagarna med tillhörande författningar, 1980, s. 802.
157Prop. 1975/76:209 s. 92.
SOU 1997: 39
Förhållandet till yttrandefriheten 229
tystnadsplikt görs dock vissa undantag. Bestämmelser av motsvarande slag finns i 2 kap. 3 § YGL.
10.3Hur beaktas den personliga integriteten?
10.3.1Allmänt
Intresset för skyddet av den personliga integriteten har i Sverige kommit alltmer i blickpunkten bl.a. i samband med den ökade datoriseringen. Skyddet för den egna personen kan avse vitt skilda saker. En stor del av de handlingar som är straffbelagda i brottsbalken avser just angrepp på någons personliga sfär; kropp eller egendom. Angreppen på person kan också vara av mer icke-fysiskt slag, t.ex. brotten i 4 kap. brottsbalken mot den personliga friden (hemfridsbrott, ofredande, brytande av post- och telehemlighet, intrång i förvar, olovlig avlyssning). Även förtals- och förolämpningsbrotten i 5 kap. kan sägas utgöra angrepp på den egna personen.
Det skydd för den personliga integriteten som datalagen uppställer omfattar behandling av uppgifter som i och för sig kan vara sanna. Det är just den omständigheten att de är föremål för automatisk databehandling som anses utgöra ett hot mot den personliga integriteten, t.ex. möjligheten att mycket snabbt sammanställa många uppgifter om en person. Grundtanken bakom skyddet i datalagen är att det måste göras en avvägning mellan det intrång i den personliga integriteten som registreringen kan utgöra och det behov – bl.a. av effektivitetsskäl – som kan finnas av registreringen. I direktiven till Datalagsutredningen konstaterade departementschefen att uttrycket ”personlig integritet” flera gånger har behandlats i syfte att precisera begreppet, men att frågan åter borde övervägas. På motsvarande sätt borde utredningen undersöka om det närmare går att beskriva vad som skall anses vara otillbörligt intrång i den personliga integriteten.158 Ut- redningen konstaterade emellertid att begreppet inte går att definiera eftersom fallen där intrånget får anses otillbörligt växlar beroende på vilka utgångspunkter som väljs.159 Vi har införskaffat en särskild utredning om begreppet personlig integritet, se bilaga 4.
158Dir. 1989:26.
159SOU 1993:10 s. 161.
| 230 Förhållandet till yttrandefriheten | SOU 1997: 39 |
10.3.2Straffbara förfaranden
I 7 kap. 4 § TF och 5 kap. 1 § YGL straffbeläggs en del handlingar som utgör intrång i den personliga integriteten. Bestämmelserna kan sägas utgöra ett grundläggande skydd för den personliga integriteten i massmediala sammanhang även om de är giltiga också i andra situationer. Förtalsbrottet (5 kap. 1 § brottsbalken, jämför 7 kap. 4 § 14 p. TF och 5 kap. 1 § YGL) innebär dels att man måste ha lämnat en kränkande uppgift160 om någon person dels att det vid den intresseavvägning som skall göras inte kan anses försvarligt att uppgiften ändå lämnades. Förolämpningsbrottet (5 kap. 3 § brottsbalken, jämför 7 kap. 4 § 15 p. TF och 5 kap. 1 § YGL) innebär bl.a. att man smädar någon genom kränkande tillmäle. Någon intresseavvägning skall inte göras enligt den bestämmelsen. Den som har blivit utsatt för ett tryckfrihetsbrott har rätt till skadestånd enligt sedvanliga principer. I det sammanhanget är rätten till ersättning för ideell skada161 av särskilt intresse. Skadeståndsreglerna innebär att en enskild kan få ersättning för det lidande som t.ex. ett ärekränkningsbrott har inneburit. De skadestånd som brukar betalas ut här i Sverige vid sådana brott anses internationellt sett vara ganska låga162 även om traditionen i viss mån tycks vara på väg att brytas.163
I sammanhanget bör även lagen (1979:800) om namn och bild i reklam nämnas. Näringsidkare får enligt lagen inte använda någon annans namn eller bild i reklamsammanhang utan dennes samtycke (1 §). Förutom regler om bl.a. straff och ekonomiskt skadestånd finns det en uttrycklig bestämmelse om att den som har blivit kränkt kan få ideellt skadestånd.
160Uppgifter som omfattas av bestämmelsen är sådana varigenom man utpekar någon som brottslig eller klandervärd i sitt levnadssätt eller sådana som i övrigt är ägnade att utsätta någon för andras missaktning.
1611 kap. 3 § skadeståndslagen.
162SOU 1992:84 s. 255. Kommittén om ideell skada fann att ersättningsnivån då (1992) brukade ligga någonstans mellan 5 000 och 25 000 kr. Kommittén ansåg att en viss höjning av ersättningarna vid ärekränkningsbrott kunde vara motiverade.
163Se NJA 1994 s. 637 där flera kända svenskar tilldömdes ideellt skadestånd på 100 000 kr för förtal. Brottet bestod i att tidningen Svenska Hustler hade monterat deras porträtt på pornografiska bilder.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 231 |
10.3.3Beriktigande och genmäle
10.3.3.1Allmänt
Med beriktigande avses rättelse av faktauppgift och med genmäle bemötande av värdeomdöme. Skillnaden kan också beskrivas så att ett genmäle oftast måste utformas och framföras av den berörde själv, medan ett beriktigande utformas och införs av utgivaren.164
10.3.3.2Pressen
Det finns inte någon lagstadgad rätt till beriktigande och genmäle beträffande uppgifter som har förekommit i pressen, utan denna rätt bygger på frivilliga åtaganden från pressföretagen. TF innehåller emellertid två bestämmelser som anknyter till frågan. I 1 kap. 4 § andra stycket anges att domstolen, när den skall bestämma påföljd för ett tryckfrihetsbrott, skall särskilt beakta om rättelse av en felaktig uppgift har publicerats. Vidare anges i 7 kap. 6 § andra stycket att om en tidning har fällts för ett ärekränkningsbrott, domstolen kan förordna att domen skall införas i tidningen. De pressetiska reglerna (mer om dessa nedan) innehåller bestämmelser om att felaktiga sakuppgifter skall rättas när det är påkallat, och att den som har ett befogat anspråk att bemöta ett påstående skall beredas tillfälle till genmäle. Allmänhetens pressombudsman (PO) har bl.a. till uppgift att bevaka att de pressetiska reglerna följs och bistå enskilda i sådana sammanhang. Pressens opinionsnämnd (PON), som är en av pressen själv inrättad hedersdomstol, har bl.a. till uppgift att avgöra ärenden som gäller överträdelser av de pressetiska reglerna. PON:s bedömningar redovisas i form av uttalanden som en klandrad tidning är skyldig att publicera.
10.3.3.3Radio och TV
I YGL finns inte heller någon bestämmelse om rätt till beriktigande eller genmäle. I public service-företagens (radio- och TV-företagens) avtal med staten finns dock sådana bestämmelser. Denna ordning grundar sig på en regel i radiolagen (1966:755).165 Enligt avtalen skall företagen beriktiga
164Prop. 1995/96:160 s. 100.
1657 § 1 st. 1 p.
| 232 Förhållandet till yttrandefriheten | SOU 1997: 39 |
felaktiga sakuppgifter när detta är påkallat och bereda den som har befogat anspråk på att bemöta ett påstående tillfälle till genmäle. Bestämmelserna innebär också att företagen är skyldiga att publicera beriktigande och genmäle. Granskningsnämnden för radio och TV övervakar att reglerna följs.
På radio- och TV-området finns i lagen (1992:1356) om satellitsändningar av televisionsprogram som trädde i kraft den 1 januari 1994166 en bestämmelse om skyldighet att sända beriktigande (12 §). Bestämmelsen infördes som ett led i Sveriges anpassning till EG:s direktiv (89/552/EEG) om TV-sändningar till allmänheten. Direktivet innehåller en regel (artikel 23) som föreskriver att varje land skall se till att alla fysiska och juridiska personer skall ha rätt till beriktigande eller liknande åtgärd. Regeringen konstaterade i samband med satellitlagens tillkomst att direktivets krav uppfylldes väl av bestämmelserna i avtalen som gäller beträffande marksänd television, särskilt som reglerna kompletteras av bestämmelser om ärekränkning och reglerna om otillbörlig marknadsföring.167 Liknande regler skulle därför införas för satellitsändningar. Eftersom avtalsvägen inte var öppen för sändningar enligt satellitlagen måste bestämmelsen tas in i lagen. För att det inte skulle uppstå någon kollision med bestämmelsen i YGL (3 kap. 4 §) som föreskriver att den som sänder programmet självständigt avgör vad som skall förekomma i programmet, står det emellertid programföretaget fritt att välja i vilken form beriktigandet skall offentliggöras.
10.3.3.4Förslag till lagreglering
Frågan huruvida rätten till beriktigande och genmäle skall regleras i lag har aktualiserats vid skilda tillfällen under årens lopp. Genmälesrätten togs bl.a. upp av Massmedieutredningen (SOU 1975:49).168 Utredningen diskuterade för- och nackdelar med att grundlagsreglera rätten till beriktigande och genmäle. Utredningens majoritet menade att en sådan reglering skulle innefatta så stora lagtekniska och organisatoriska svårigheter att frågan i vart fall tills vidare skulle överlämnas till pressens självsanerande verksamhet. Däremot ansåg utredningen att det i den föreslagna nya massmediegrundlagen skulle tas in bestämmelser som motsvarade 1 kap. 4 § andra stycket och 7 kap. 6 § andra stycket TF (se om dessa bestämmel-
166SFS 1993:1646.
167Prop. 1992/93:75 s. 30.
168Beträffande tidigare förslag se SOU 1994:105 s. 173–175.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 233 |
ser ovan under avsnitt 10.3.3.2). Genom dessa regler skulle grundlagen, enligt utredningen, anses ge uttryck åt den allmänna grundsatsen att rättelse skall ske då det kan anses befogat. När det gällde radio och TV föreslog utredningen att programföretagen genom en i grundlagen intagen särskild bestämmelse därom skulle åläggas att utöva sin rätt att sända på ett sakligt och opartiskt sätt. Därav skulle följa, menade utredningen, att tillfälle skulle beredas till beriktiganden och genmälen.169 Frågan diskuterades även av Radioutredningen170 och Yttrandefrihetsutredningen171. Utredningarna kom till samma slutsats som Massmedieutredningen, nämligen att nackdelarna med en sådan lagreglering övervägde fördelarna. I det lagstiftningsärende som föregick satellitlagen diskuterades frågan om inte YGL borde ändras så att Granskningsnämnden (tidigare Kabelnämnden) kunde besluta på vilket sätt beriktigandet skulle ske. Frågan hänsköts emellertid till Radiolagsutredningen.172
På senare tid har frågan om beriktigande och genmäle diskuterats av Radiolagsutredningen i förslaget till ny radio- och TV-lag. Efter utredningens förslag har det införts en bestämmelse i den nya radio- och TV- lagen173 som innebär att felaktiga uppgifter som har förekommit i ett TV- program som inte är reklam och som har sänts trådlöst, skall beriktigas när det är befogat, och att detsamma bör ske om sådana uppgifter förekommer i ett TV-program som sänts genom tråd.174 Bestämmelsen omfattar således endast beriktiganden och inte genmälen. TV-direktivets bestämmelse om genmäle har därmed också ansetts vara tillgodosedd.175 I motiven diskuterades också frågan om TV-direktivet kräver att YGL ändras så att det går att lagstadga om hur tillrättalägganden skall publiceras. Regeringen uttalade dock att det inte kan anses föreligga något inhemskt behov av sådana bestämmelser och att den osäkerhet som kan finnas i fråga om den föreslagna bestämmelsen om beriktiganden uppfyller direktivet, inte är ett tillräckligt starkt skäl för att ändra i grundlagen. De grundläggande princi-
169SOU 1975:49 s. 159–160, se även Ds 1994:51 s. 65 och SOU 1994:105 s. 175–176.
170SOU 1977:19.
171SOU 1983:70.
172Prop. 1992/93:75 s. 32.
173SOU 1994:105, Prop. 1995/96:160, KU 1995/96:29 och rskr. 1995/96:296.
1746 kap. 3 § Radio- och TV-lag (1996:844), a. prop. s. 100–101. Anledningen till att skyldigheten att beriktiga har gjorts frivillig när det gäller trådsändningar är att YGL inte anses medge att en sådan reglering sker (3 kap. 1 §).
175Prop. 1995/96:160 s. 101.
| 234 Förhållandet till yttrandefriheten | SOU 1997: 39 |
perna i 3 kap. 4 § och 4 kap. 3 § YGL om det redaktionella oberoendet och utgivarens ensamrätt borde enligt regeringen alltså inte inskränkas. Vidare konstaterade regeringen att det följer av reglerna för god publicistisk sed att ett tillrättaläggande skall publiceras så att det har den åsyftade effekten.176
Även frågan om genmäle diskuterades i förslaget till ny radio- och TV- lag. Regeringen konstaterade att frågan om en lagstadgad genmälesrätt skall införas bör avgöras uteslutande med utgångspunkt i de inhemska behoven av en sådan reglering. (Som nyss nämnts ansågs det tillräckligt för införlivandet av TV-direktivet att en bestämmelse om beriktigande infördes.) Regeringen ansåg att genmälesrätten inte bör regleras i lag. Som skäl för detta angavs det begränsade behovet av en lagreglering, den troligen begränsade effekten av en sådan, risken för att genmälesrätten missbrukas i yttrandefrihetsbegränsande syfte, betänkligheter av att införa en sådan rätt för verksamhet för vilken etableringsfrihet och mångfald i princip råder samt de lagtekniska och organisatoriska svårigheter som införandet av en sådan rätt skulle medföra.177
10.3.4Privatlivets fred
10.3.4.1Självsanering
Inom det massmediala området förekommer självsanerande verksamhet. En stor del av de regler till skydd för den personliga integriteten som til??lämpas på det massmediala området bygger på frivilliga överenskommelser och åtaganden. Flera massmedieorgan har antagit de etiska reglerna ”Etiska regler för press, radio och tv”. Reglerna syftar bl.a. till att skydda enskilda mot oförskyllt lidande genom publicitet och innehåller anvisningar bl.a. under följande rubriker.
N Ge korrekta nyheter
N Ge plats åt bemötanden
N Respektera den personliga integriteten N Var varsam med bilder
N Döm ingen ohörd
N Var försiktig med namn
176Prop. 1995/96:160 s. 143.
177Prop. 1995/96:160 s. 103, se även SOU 1994:105 s. 301.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 235 |
Pressens Opinionsnämnd och Allmänhetens pressombudsman utgör viktiga inslag i pressens självsanerande verksamhet och övervakar att de etiska reglerna följs. Public service-företagens avtal med staten innehåller krav på att den enskildes privatliv skall respekteras i programverksamheten om inte ett oavvisligt allmänt intresse kräver annat. Granskningsnämnden för radio och TV (tidigare Radionämnden) övervakar genom granskning i efterhand att sändningarnas innehåll inte avviker från radiolagen och de särskilda avtal som slutits på området.
Radiolagsutredningen gjorde en undersökning beträffande efterlevnaden av de bestämmelser som gäller för public-serviceföretagens programverksamhet och de pressetiska reglerna. Undersökningen omfattade bl.a. överträdelser av regler till skydd för privatlivets helgd och rätten till beriktigande och genmäle. Utredningens slutsats var att efterlevnaden av reglerna var god.178
10.3.4.2Förslag till lagreglering
Personlighetsrätten har av tradition inte någon framträdande position i svensk rätt. I andra länder däremot förekommer att man har en sådan ”rätt till sina egna personliga uppgifter”. Lagen (1979:800) om namn och bild i reklam har uppfattats som den första och hittills enda lag som helt rör personlighetsrätt.179
Det har framförts förslag till lagreglering av skyddet för privatlivets fred. Integritetsskyddskommittén redovisade tre tänkbara lösningar till hur ett utökat skydd för den enskilde skulle kunna genomföras.180 Ett förslag innebar att det i TF och brottsbalken skulle tas in en straffbestämmelse om brott mot privatlivets fred. Därmed skulle gärningen vara straffbar även om den begicks genom massmedier och det skulle finnas en möjlighet att få skadestånd. Ett annat förslag var att det skulle införas en ordning som gjorde det möjligt att få skadestånd vid ett intrång i privatlivet även om intrånget inte var straffbart. Det tredje alternativet var att behålla den nuvarande ordningen dvs. att låta regleringen ske genom massmediernas självsanerande verksamhet. I det lagstiftningsärende som därefter följde och som ledde fram till YGL ansågs det också att man även i fortsättningen
178SOU 1994:105 s. 292 och 300–301.
179Ulf Bernitz, m.fl., Immaterialrätt, 5 uppl., 1995, s. 78.
180SOU 1980:8.
| 236 Förhållandet till yttrandefriheten | SOU 1997: 39 |
skulle lita till den självsanerande verksamheten i dessa frågor.181 Ytterligare förslag i frågan har väckts därefter men avvisats. (En redogörelse för förslagen finns i den nedan nämnda studien, Ds 1994:51.)
På senare tid har problematiken kring skyddet för den personliga integriteten i bl.a. massmediala sammanhang behandlats bl.a. i studien Skyddet för enskilda personers privatliv (Ds 1994:51). I studien framförs att en viktig metod för att stärka integritetsskyddet kan vara att hindra att personrelaterat, känsligt material utnyttjas eller sprids på ett icke önskvärt sätt t.ex. i massmedier.182 Vidare diskuteras i studien tänkbara åtgärder i det sammanhanget bl.a. införandet av en ny straffbestämmelse i TF och YGL till skydd för privatlivets fred. Studien, som inte innehåller något konkret förslag, har följts upp i Rapport (1995-03-15) om skyddet för enskilda personers privatliv – ett mer samlat grepp?
10.4Yttrandefriheten i nya massmedier
Regeringen har nyligen tillsatt en kommitté som skall analysera TF:s och YGL:s tillämplighet på nya medier som används vid förmedling av yttranden och annan information till allmänheten, Mediekommittén.183 I direktiven till kommittén aktualiseras också frågan om det skall införas ett grundlagsskydd även för moderna medier som inte har sådant skydd i dag.
10.5Internationella förhållanden
10.5.1EG-direktivet
I EG-direktivet finns en regel om att medlemsstaterna skall göra undantag för vissa av direktivets bestämmelser för behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (artikel 9). Sådana undantag och avvikelser får dock beslutas endast om de är nödvändiga för att förena rätten till privatlivet med
181Prop. 1986/87:151 s. 44.
182Ds 1994:51 s. 173.
183Dir. 1994:104.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 237 |
reglerna om yttrandefriheten. Artikeln får uppfattas som en förpliktelse att anpassa integritetsskyddet till yttrandefriheten. Direktivet anger inte närmare hur denna anpassning skall göras, utan detta får avgöras av varje enskilt land. Kommissionen har i sin förklaring anfört exempel på faktorer som kan beaktas vid intresseavvägningen; möjligheten till rättslig prövning eller rätten till replik, förekomsten av en uppförandekodex, de gränser som läggs fast i Europarådskonventionen om de mänskliga rättigheterna184 samt allmänna rättsprinciper. (En redogörelse för direktivets bestämmelse finns under avsnitt 3.3.)
10.5.2Europarådsbestämmelser
Europarådskonventionen om de mänskliga rättigheterna innehåller två artiklar som har betydelse i detta sammanhang. Artikel 8 ger skydd för privatlivet, och i den praxis som har utvecklat sig vid tillämpningen av konventionen har fastslagits att det skydd för privatlivet som denna artikel ger omfattar även dataskydd.185 Enligt artikeln få det göras undantag från skyddsregeln för vissa andra intressen som har bestämts i lag och som är nödvändiga i ett demokratiskt samhälle. Konventionens artikel 10 skyddar yttrandefriheten. Denna innefattar enligt bestämmelsen åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. På motsvarande sätt som enligt artikel 8 får inskränkningar göras som är nödvändiga för att andra för en demokrati viktiga intressen inte skall trädas för när.
Europarådets dataskyddskonvention syftar till att skydda den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. (För en utförligare redogörelse för konventionen se avsnitt 4.3.) Konventionen innehåller inte någon uttrycklig regel om hur databehandling av personuppgifter på det massmediala området skall hanteras. Dock finns det en bestämmelse – artikel 9.2.b – som medger att undantag görs i lag från vissa bestämmelser i konventionen, om det är nödvändigt för att skydda den registrerade personen eller andra personers fri- och rättigheter. Med sådana andra personers rättigheter avses bl.a. yttrandefri-
184Konvention (d. 4 nov. 1950) angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
185Prop. 1987/88:57 s. 7.
| 238 Förhållandet till yttrandefriheten | SOU 1997: 39 |
heten.186 Konventionen anger emellertid inte närmare på vilket sätt denna avvägning skall göras.
10.5.3En internationell jämförelse
För den avvägning som måste göras angående persondatalagens tillämpning på bl.a. massmediernas behandling av personuppgifter kan det vara av intresse att göra jämförelser med andra länder. Jämförelsen bör göras i två avseenden, dels om massmedierna omfattas av eller är undantagna från dataskyddslagstiftningen dels vilket skydd som i övrigt finns för den personliga integriteten i massmediala sammanhang.
Det som vid en internationell jämförelse kan sägas karakterisera det svenska skyddet för personlig integritet i massmediala sammanhang kan kortfattat beskrivas på följande sätt. Det finns inte något undantag i datalagen för massmediernas behandling av personuppgifter. Den praxis som har förekommit under senare år har emellertid inneburit att datalagen inte til??lämpas på viss behandling inom det massmediala området. I huvudsak har behandlingar som ansetts omfattas av grundlagsskyddet i TF och YGL undantagits från datalagens tillämpning.
Yttrandefriheten har en stark ställning och är grundlagsskyddad. Offentlighetsprincipen gör att många personuppgifter är tillgängliga för var och en. Meddelarskyddet gör att även sekretessbelagda uppgifter helt lagligt kan komma till massmediernas kännedom. När det gäller straffrättsliga bestämmelser är reglerna om ärekränkning aktuella. Vid bedömningen av ärekränkningsbrott som har skett i massmediala sammanhang finns en bestämmelse som innebär att man särskilt skall beakta betydelsen av yttrandefriheten och i tveksamma fall hellre fria än fälla.187 Något straffrättsligt skydd i övrigt för privatlivet finns inte.188 För att en person om vilken det har publicerats uppgifter skall kunna få skadestånd för den kränkning detta kan ha inneburit, krävs det att publiceringen har innefattat ett brott, t.ex. förtal. Någon lagstadgad rätt till genmäle och beriktigande finns i huvudsak inte utan dessa institut är föremål för massmediernas självsanerande verksamhet.
186SOU 1993:10 s. 118.
187Bestämmelsen finns dels i 1 kap. 4 § TF, dels i 1 kap. 5 § YGL.
188En sådan bestämmelse har dock föreslagits bl.a. av Integritetsskyddskommittén, SOU 1980:8.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 239 |
Uppgifterna i sammanfattningen nedan har hämtats dels från Datalagsutredningens slutbetänkande (SOU 1993:10), dels studien Skyddet för enskilda personers privatliv (Ds 1994:51) dels ock studien Data protection and the media som utarbetades av en expertkommitté inom Europarådet år 1991. För ett djupare studium hänvisas till dessa publikationer.
Danmark undantar i den registerlag som gäller på det privata området sådana register som endast innehåller material som har publicerats i en periodisk skrift. Sådana register skall dock anmälas till dataskyddsmyndigheten som kan meddela föreskrifter för dem. Utlämnande av personuppgifter från ett sådant register får endast ske om den registrerade har samtyckt, det följer av lag eller uppgifterna lämnas ut för att publiceras i en periodisk skrift. Den registrerade har även rätt till insyn i ett sådant register.
Yttrandefriheten är grundlagsfäst men har inte några klart angivna gränser. Grundlagsskyddet innebär i första hand censurförbud. I övrigt gäller vanliga lagar även på yttrandefrihetens område. Den personliga integriteten i massmedier skyddas – förutom av regler mot ärekränkning – av straffrättsliga regler till skydd för privatlivets fred. Bestämmelserna bygger på att det görs en intresseavvägning mellan den enskildes intresse av att uppgifterna skyddas och allmänintresset av att de offentliggörs. Domstolen kan förordna om förbud mot fortsatt kränkande verksamhet. Den enskilde kan få skadestånd för integritetskränkningar i massmedier utan att det finns något bakomliggande brott. De pressetiska reglerna har lagreglerats i medieansvarsloven. Lagen omfattar alla massmedier, både tidningar och radio och TV. Lagen innehåller bl.a. en bestämmelse om beriktigande. Pressnämnden bevakar att lagen följs och den kan ålägga den klandrade att publicera ett avgörande. Om ett klandrat massmedieföretag underlåter att rätta sig efter nämndens beslut gör det sig skyldigt till ett brott. Den saken prövas av vanlig domstol i ett brottmål.
Finland har under senare år gjort ändringar i sin personregisterlag så att lagen tillämpas på massmediernas s.k. redaktionella register endast då det är fråga om skydd för ett register och om övervakning av detta, dvs. när det gäller säkerhetsfrågor. Med ett redaktionellt register avses ett personregister som skall användas enbart i massmedialt redaktionsarbete och som inte kan nyttjas av andra än de som utför sådant arbete. Personregisterlagen tillämpas inte på sådana personregister som innehåller enbart publicerat material.189
189 Proposition nr 311/1993 rd.
| 240 Förhållandet till yttrandefriheten | SOU 1997: 39 |
Grundlagsskyddet för yttrandefriheten är mer inskränkt än i Sverige, men det är föremål för översyn. Finland har ett mer omfattande straffrättsligt skydd mot insamling och offentliggörande av uppgifter om privata förhållanden. Det är straffbart att sprida uppgifter om någon annans privatliv som är ägnade att orsaka skada eller lidande. Tryckfrihetslagen innehåller regler om beriktigande och genmäle. Den självsanerande verksamheten leds av Opinionsnämnden för Massmedier som prövar frågor rörande god journalistisk sed på det massmediala området. Nämnden är inte bunden av någon särskild regelsamling utan kan fatta sina beslut efter en fri prövning.
Norges personregisterlag tillämpas i princip även på de massmediala personregistren. Det har dock gjorts undantag för vissa register som används internt för redaktionellt arbete. Den registeransvarige måste då följa vissa fastställda föreskrifter. För att få tillgång till ett massmedieföretags register on-line krävs tillstånd av dataskyddsmyndigheten.
Liksom i Danmark och Finland finns en särskild straffrättslig regel om kränkning av privatlivets fred. Rätten till beriktigande är lagfäst och straffsanktionerad. Den självsanerande verksamheten är uppbyggd på samma sätt som i Sverige.
I England är datalagen tillämplig även på databehandling inom det massmediala området.
Det finns liksom i Sverige inte något generellt skydd för den personliga integriteten, men det finns andra regler som indirekt ger sådant skydd. De straffrättsliga reglerna om t.ex. ärekränkning tillämpas emellertid sällan, utan det är främst rätten till skadestånd som är aktuell i sammanhanget. Det räcker inte att det har gjorts ett intrång i privatlivet utan det måste finnas en
– av rättspraxis bestämd – ytterligare skadegörande handling som grund för skadeståndsanspråket. Den självsanerande verksamheten fungerar ungefär som i Sverige.
I Frankrike undantar dataskyddslagen i viss utsträckning pressorgan, tryckta skrifter samt radio och TV inom ramen för de lagar som gäller för dem och i de fall då en tillämpning av datalagens bestämmelser skulle leda till inskränkning av yttrandefriheten. Lagens bestämmelser om bl.a. förbud mot registrering av vissa känsliga uppgifter och kravet på medgivande vad gäller dataflöde över gränserna gäller dock även på det massmediala området.
Yttrandefriheten erkänns som en grundläggande frihet, men den är inte absolut utan är underkastad övriga lagar. Den enskilde har enligt fransk rätt ett relativt vidsträckt skydd för sin personliga integritet. Det lagfästa skyddet omfattar, förutom bestämmelser om ärekränkning, även be-
| SOU 1997: 39 | Förhållandet till yttrandefriheten 241 |
stämmelser om skydd till förmån för privatlivets fred. Skyddet tillgodoses genom såväl straffrättsliga som civilrättsliga regler (främst rätten till skadestånd). Domstolen kan fatta beslut om att en pågående kränkning skall upphöra genom åtgärder som i det enskilda fallet kan vara mest lämpade. Rätten till genmäle är lagfäst och mycket vidsträckt. Den omfattar både beriktigande av faktauppgifter och bemötande av värdeomdöme eller kritik. För att rätt till genmäle skall föreligga krävs sålunda inte att den aktuella publiceringen har varit ärekränkande, nedsättande eller på annat vis skadevållande. Rätten till genmäle i radio och TV är mer begränsad än vad som gäller för tidningar.
I Tyskland omfattas sådana behandlingar som utförs uteslutande för egna publicistiska ändamål av pressföretag, radioföretag och filmföretag endast av den tyska federala dataskyddslagens bestämmelser om datasäkerhet. Lagens övriga regler tillämpas dock på sådana uppgifter, om dessa används för andra syften, t.ex. om de utlämnas till någon utanför det egna företaget.
Yttrandefriheten är grundlagsfäst men inte absolut. Av författningsdomstolens praxis framgår att yttrandefriheten skall balanseras mot andra intressen t.ex. den i grundlagen likaså skyddade personliga värdigheten. Den enskilde skyddas – förutom av straffrättsliga regler om ärekränkning – av den civilrättsliga regleringen kring den s.k. allmänna personlighetsrätten. Ett intrång i den personliga sfären kan utgöra en kränkning av personlighetsrätten om det vid en avvägning i det enskilda fallet visar sig att intrånget var obefogat. En förvanskande, negativ pressartikel eller uppspelning av en icke medgiven upptagning av en bandinspelning kan utgöra sådana kränkningar. Den kränkte kan få skadestånd och rätt till beriktigande.
Nederländerna har ett undantag för datafiler som uteslutande används för att sprida offentlig information genom press, radio och TV. Syftet med bestämmelsen är att göra undantag för sådana regler i datalagen som kan innebära inskränkningar i yttrandefriheten, när behandlingen av personuppgifter alltid leder till resultat som blir offentliga. Att uppgifterna blir offentliga gör det möjligt för den enskilde att kräva rättelse av felaktiga uppgifter. Försummas detta kan det leda till påföljd för massmedieföretaget.
Den österrikiska datalagen är till största delen inte tillämplig på sådan behandling som utförs av medieföretag i syfte att stödja den publicistiska verksamheten. Vissa bestämmelser, t.ex. beträffande säkerhet, är dock til??lämpliga även på sådan behandling. Den österrikiska medialagen innehåller i gengäld bestämmelser till skydd för den personliga integriteten.
| 242 Förhållandet till yttrandefriheten | SOU 1997: 39 |
Bland övriga länder som undantar (eller har för avsikt att undanta) massmedier från datalagstiftningen kan nämnas Belgien och Schweiz. I Is- land, Irland och Luxemburg görs inget undantag från datalagens tillämpning för massmedier.
10.6Närmare om normkonflikten
10.6.1Allmänt
I datalagen görs inte något undantag för register som innehåller personuppgifter inom det massmediala området. Enligt ordalydelsen omfattar datalagens bestämmelser även sådan registrering. Datalagsutredningen fann emellertid att de föreskrifter i bl.a. datalagen som Datainspektionen har att tillämpa i sin verksamhet kan komma i strid med vissa föreskrifter i TF och YGL. Utredningen pekade bl.a. på att villkor som Datainspektionen kan meddela för förandet av ett visst personregister kan komma i konflikt med reglerna om förbud mot censur och andra hindrande åtgärder. Vidare kan enligt utredningen Datainspektionens tillsynsverksamhet inkräkta på rätten till anonymitetsskydd.190 Normkonflikten tycks inte har uppmärksammats i samband med tillkomsten av datalagen.
Datalagsutredningen tog även upp frågan om förhållandet mellan å ena sidan de aktuella bestämmelserna i TF och YGL och å andra sidan bestämmelsen i 2 kap. 3 § RF som ger varje medborgare – i den utsträckning som närmare anges i lag – skydd mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Utredningen anförde bl.a. följande. Bestämmelsen i 2 kap. 3 § RF skall visserligen ses mot den bakgrunden att integritetsfrågorna har en särskild vikt på ADB-området. Förmågan att skydda den personliga integriteten är nämligen av avgörande betydelse för utvecklingen på ADB- området. En grundförutsättning för att ADB-tekniken skall kunna utnyttjas är att människorna inte känner främlingskap och upplever tekniken som ett hot mot den personliga integriteten. Genom bestämmelsen i 2 kap. 3 § RF fick integritetsskyddet på dataområdet en fastare förankring än genom målsättningsstadgandet i 1 kap. 2 § RF. Det föreligger emellertid en principiell skillnad mellan föreskrifterna om förbud mot censur och andra
190 SOU 1993:10 s. 125.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 243 |
hindrande åtgärder i TF och YGL samt bestämmelsen i 2 kap. 3 § RF. Be- stämmelserna i TF och YGL riktar sig till myndigheter eller andra allmänna organ. Med det sistnämnda uttrycket avses även regeringen och riksdagen. TF och YGL förbjuder således Datainspektionen att vidta någon som helst åtgärd som kan verka hindrande på sätt som anges i TF och YGL. Det nya stadgandet i 2 kap. 3 § RF har emellertid lagstiftaren – alltså riksdagen – som adressat. Mot bakgrund av det sagda måste man utgå från att Datainspektionen, i såväl ett enskilt fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3 § RF.191
Datalagsutredningen fann således att TF och YGL vid normkonflikt tar över datalagen. Av avgörande betydelse för principfrågan var enligt utredningen att den grundlagsskyddade friheten att yttra sig i skrifter och andra medier inte bör begränsas, om det inte är nödvändigt med hänsyn till motstående intresse. Något så uttalat intresse att en begränsning bör ske fanns enligt utredningens mening inte. Utredningen beaktade i det sammanhanget även de pressetiska reglerna och den höga etiska standard som den svenska pressen i huvudsak håller. Man kunde enligt utredningen inte heller bortse från att de möjligheter som det här är fråga om för en myndighet att ingripa mot t.ex. tidningarna i förlängningen kan innebära ett hot mot den fria åsiktsbildningen. Någon saklig ändring skulle med andra ord inte göras i nuvarande ordning. Däremot borde vissa förtydliganden göras i datalagen för att ange vilka slag av datasamlingar som undantas från datalagens tillämpningsområde. Genom avgörande av regeringen på senare tid har utredningens slutsatser i detta sammanhang bekräftats.192
10.6.2Datalagsutredningens förslag och remissutfallet
För att klargöra vilka dataregister som skulle vara undantagna från datalagens tillämpningsområde, gjorde Datalagsutredningen en genomgång av vilka olika registreringar som kunde tänkas förekomma i massmediala sammanhang. Även inom massmedieföretagen förekommer registrering av personuppgifter för administrativa ändamål, kundregister, marknadsfö-
191SOU 1993:10 s. 136.
192Jämför regeringens beslut 1994-04-14, Dnr 93-3260, som finns omnämnt under avsnitt 10.6.3.
| 244 Förhållandet till yttrandefriheten | SOU 1997: 39 |
ringsregister m.m. Samma regler borde enligt utredningen gälla här som för andra företag.
Utredningen fann till en början att undantag borde göras för produktionsregister, dvs. register som används som ett direkt tekniskt hjälpmedel före eller vid framställningen av ett grundlagsskyddat yttrande. Exempel på detta är artiklar som utgör ett slags register över kända personers deklarerade inkomster, över framstående avlidna personer under ett år och över medlemmar i en förening. Även familjesidorna kan sägas vara exempel på sådana register.
Utredningen övervägde att låta sådana register omfattas av vissa bestämmelser i datalagen som inte kolliderar med förbudet mot hindrande åtgärder, t.ex. viss del av Datainspektionens tillsynsverksamhet och den persondataansvariges allmänna skyldigheter. Emellertid fann utredningen att en sådan tillämpning skulle vara av ringa värde och dessutom leda till gränsdragningsproblem. Slutsatsen blev därför att registren borde undantas helt.193
Ett undantag var enligt utredningen även nödvändigt för datasamlingar som innehåller uppgifter om personer som omfattas av anonymitetsskyddet i TF och YGL. Det finns annars risk, ansåg utredningen, för att sådana uppgifter kan komma fram t.ex. i samband med tillsyn av Datainspektionen.194
Vidare resonerade utredningen kring begreppet källregister. Med sådana avsågs register från vilka journalister och andra hämtar material till artiklar m.m. Sådana register kan t.ex. innehålla uppgifter om meddelare (tipsare), de kan utgöras av inkomna telegram, redan publicerat material eller andra utkast. Flera av de datasamlingar som förs hos Sveriges Radiokoncernen skulle också vara källregister i den ovan angivna meningen. En del av dessa datasamlingar skulle redan på grund av utredningens tidigare förslag vara undantagna från den nya datalagens tillämpningsområde, på grund av att de är register över meddelare eller på grund av att de samtidigt har karaktär av produktionsregister. Efter ytterligare resonemang förordade utredningen slutligen att något generellt undantag inte skulle göras i den kommande datalagen för källregister. Utredningen underströk att förslaget givetvis inte innebar att Datainspektionen skulle få utöva sin tillsynsverksamhet på sådant sätt att de aktuella bestämmelserna i TF och YGL skulle
193SOU 1993:10 s. 138.
194A. SOU s. 138 och 139.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 245 |
komma att överträdas. Däremot borde enligt utredningen undantag göras för sådana källregister som utgör register över anonymitetsskyddade personer.
Utredningen uppmärksammade särskilt problematiken kring klipparkiven, som utgör arkiv över artiklar som varit publicerade. Till den del klipparkiven används på tidningsredaktionerna för den journalistiska verksamheten borde de enligt utredningen undantas från datalagens tillämpningsområde. Skälet för detta var att klipparkiven i detta sammanhang har betydelse för utövandet av tryckfriheten.195 I den utsträckning som allmänheten kan utnyttja dem är arkiven dock något annat än källregister. I det sammanhanget påpekade utredningen att klipparkiven med tiden kommer att bestå av en stor mängd personuppgifter, varav inte så få av känslig natur. Uppgifterna kommer att kunna återsökas, bearbetas och sammanställas med stor lätthet. Uppgifterna kommer vidare att bevaras under lång tid. Som ett exempel på en integritetskänslig bearbetning kan nämnas att alla artiklar som rör en persons brottsliga förehavanden inhämtas. En sådan sammanställning kan i praktiken jämställas med ett kriminalregisterutdrag. Sammanställningen är emellertid betydligt känsligare bl.a. därför att uppgifter i kriminalregistret avförs efter en viss tid. Utredningen stannade ändå slutligen för en lösning som innebar att klipparkiven helt undantogs från datalagens tillämpningsområde. Det avgörande skälet för utredningens ställningstagande var att datasamlingarna endast innehåller ett återgivande av tryckta skrifter, som allmänheten rimligen bör ha rätt att ta del av. Det är svårt, menade utredningen, att tänka sig en ordning som innebär att det ytterst skall vara Datainspektionen som genom villkor kan bestämma vilken tillgång allmänheten skall ha till tryckta skrifter.
Utredningen var inte enig i sina ställningstaganden. Några reservanter ansåg att undantaget för klipparkiven i förslaget var alltför omfattande. Enligt reservanterna borde datalagen gälla för klipparkiven i den mån de används för andra ändamål än tidningarnas och programföretagens journalistiska verksamhet. En annan reservation avsåg källarkiven. Enligt reservanterna borde undantag göras även för sådant material som samlas in för att det skall ingå i eller ligga till grund för innehållet i en tryckt skrift eller för andra yttranden som omfattas av grundlagsskyddet.
Även från många remissinstanser framfördes kritik när det gällde klipp- och källarkiven. Riksdagens ombudsmän och Universitetet i Lund
195 A. SOU s. 142.
| 246 Förhållandet till yttrandefriheten | SOU 1997: 39 |
(Juridiska fakultetsstyrelsen) anslöt sig i huvudsak till båda de avvikande meningar som hade framförts av reservanterna. Justitiekanslern, Hovrätten över Skåne och Blekinge, Sveriges advokatsamfund m.fl. ansåg att undantaget för källarkiven borde göras mer omfattande. Kammarrätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholms län, Domstolsverket, Överåklagaren vid Regionåklagarmyndigheten i Malmö m.fl. ansåg att undantaget för klipparkiven borde inskränkas i enlighet med reservanternas mening. Från massmediehåll riktades i stort sett samfälld kritik mot att inte samtliga källregister hade undantagits. Dessa instanser påtalade också att praktiska svårigheter skulle uppstå att hålla isär sådana register som var underkastade datalagens tillämpningsområde och sådana som var grundlagsskyddade och därmed undantagna.
10.6.3Några regeringsavgöranden
Regeringen har under senare år fattat en del beslut som handlar om datalagens tillämpning på yttrandeområdet. Besluten, som har betydelse för vårt fortsatta resonemang, refereras i det följande.
Beslut 1994-04-14, Ju 93-3260. En journalist hade ansökt om tillstånd enligt datalagen att få inrätta och föra ett personregister i syfte att skriva en bok med hjälp av ett ord- och textbehandlingsprogram. I behandlingen skulle ingå sådana känsliga personuppgifter som det krävs synnerliga eller särskilda skäl för att få tillstånd till. Texten skulle sedan överlämnas till ett boktryckeri. Datainspektionen avslog tillståndsansökan. Regeringen konstaterade i sitt beslut att tillståndskravet i datalagen måste ställas mot det i 1 kap. 2 § TF uppställda förbudet mot hindrande åtgärder inför bl.a. tryckning av en skrift. Eftersom det aktuella registret skulle användas som ett direkt tekniskt hjälpmedel för att framställa en skrift, var det enligt regeringen utan tvekan så att förbudet i TF omfattade detta. Regeringen undanröjde därför Datainspektionens beslut och förklarade att registret inte var tillståndspliktigt enligt datalagen.
Beslut 1994-06-30, Ju 94-2310. Bildbasen i Kiruna ansökte hos Datainspektionen om tillstånd att inrätta och föra personregistret Bildbanken. Ändamålet med registret angavs vara att utgöra en ”marknadsplats” för handel med fotografiska bilder. Datainspektionen lämnade tillstånd för registret och meddelade även en del föreskrifter. Bolaget överklagade beslutet och hävdade bl.a. att registret inte omfattades av datalagens tillståndskrav eftersom det åtnjöt skydd av TF och YGL. Bilderna skulle nämligen i stor utsträckning användas i produktionen av tidningar, tidskrifter och
SOU 1997: 39
Förhållandet till yttrandefriheten 247
böcker. Regeringen konstaterade att datalagen var tillämplig på registret. I skälen för beslutet anförde regeringen bl.a. att bolaget inte avsåg att i egen produktion framställa tryckt skrift eller film och därvid använda sig av de lagrade bilderna. Endast det förhållandet att uppgifterna lagras för att vid senare tillfälle kunna ges ut i form av tryckt skrift innebar enligt regeringen inte att TF:s bestämmelser om censur och andra hindrande åtgärder skulle bli tillämpliga på behandlingen. Slutligen konstaterade regeringen att bolaget inte heller omfattades av skyddet i 1 kap. 9 § YGL.
Beslut 1994-09-15, Ju 94-140. Tidningarnas Telegrambyrå AB (TT) ansökte om tillstånd att föra personregistret ”TT Nyhetsbanken”. Ändamålet med registret var att lagra och återsöka TT-telegram. Uppgifter ur registret skulle lämnas ut bl.a. till vissa kunder. Datainspektionen meddelade tillstånd med en föreskrift om gallring. I samband med att TT begärde ändring av gallringsföreskriften prövade regeringen hur tillståndskravet i datalagen förhöll sig till bestämmelsen i 1 kap. 9 § YGL i det aktuella fallet. I sina skäl konstaterade regeringen att registret fick anses utgöra ett sådant register som avses i 1 kap. 9 § YGL, att tillståndskravet i datalagen stred mot förbudet mot hindrande åtgärder i 1 kap. 3 § YGL och att Datainspektionen därför inte borde ha meddelat något beslut om tillstånd. Följaktligen, konstaterade regeringen till sist, borde inte heller TT:s ansökan om ändring av föreskrifterna ha tagits upp till prövning.
10.7Överväganden
10.7.1Allmänt om konflikten mellan persondatalagstiftningen och yttrandefriheten
Som framgår av det förut anförda kan motsättningar uppstå mellan å ena sidan yttrandefriheten och å andra sidan skyddet för den personliga integriteten sådant detta kommer till uttryck i persondatalagstiftningen. Vi har i det föregående betecknat detta förhållande som en normkonflikt.
Den intressekollision som är upphov till normkonflikten kan beskrivas på följande sätt. Yttrandefriheten har i Sverige liksom i många andra länder ett starkt rättsligt skydd. Att fritt få framställa och sprida yttranden av olika slag utgör en av grundpelarna i ett demokratiskt samhälle. Yttrandefriheten är skyddad såväl i RF som i TF och YGL. Den personliga integriteten är på motsvarande sätt ett intresse som anses i hög grad skyddsvärt. I
| 248 Förhållandet till yttrandefriheten | SOU 1997: 39 |
Sverige är skyddet för den personliga integriteten i huvudsak uppbyggt kring regler som förbjuder vissa åtgärder eller handlingar som typiskt sett medför sådan kränkning. Datalagen är ett exempel härpå. Lagen innehåller mängder av regler om vad man får göra och inte göra med personuppgifter i den digitala miljön. Även bestämmelser utanför datalagen – särskilt straffrättsliga – har skyddet för den personliga integriteten som huvudsyfte.
I vissa andra länder finns regler som direkt tar sikte på skyddet för privatlivet. Dansk rätt innehåller t.ex. en bestämmelse som innebär att man kan straffas för att oberättigat ha avslöjat uppgifter om privata förhållanden om man kan kräva att de borde undanhållas offentligheten. Införandet av en sådan generell bestämmelse till skydd för privatlivet har varit och är föremål för diskussion både i Sverige196 och i andra länder.
Bestämmelsen i 2 kap. 3 § andra stycket RF – om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling – innebär visserligen ett åliggande för riksdagen att stifta och vidmakthålla en persondatalagstiftning.197 Be- stämmelsen i RF är emellertid allmänt hållen, till skillnad från de detaljerade reglerna i TF och YGL. Om avsteg skall göras från förbudet mot censur och andra hindrande åtgärder i syfte att hindra intrång i personlig integritet, måste detta ske i TF och YGL. Datalagen kan inte gärna tolkas så att riksdagen i den lagen skulle ha fört in bestämmelser som innebär avsteg från viktiga principer rörande yttrandefriheten. Den omständigheten att datalagen har stöd i RF innebär alltså inte att lagen tar över TF och YGL. Vi delar med andra ord den uppfattning som Datalagsutredningen därvidlag gav uttryck för och som har fått stöd av de flesta remissinstanser.
Konflikten mellan de två intresseområdena har accentuerats i och med användningen av den digitala tekniken. Stora informationsmängder kan hanteras sekundsnabbt och uppgifter om personer i sådan information kan med lätthet sökas och sammanställas med andra uppgifter till en fullständig kartläggning av den sökta personens liv och förhållanden. Om man för att skydda den personliga integriteten uppställer hinder för sådana förfaranden kan man å andra sidan göra intrång i yttrandefriheten. En effektiv persondatalagstiftning kan därför innebära hinder mot yttrandefriheten, fastän detta inte är alls är avsikten.
196Se t.ex. Ds 1994:51.
197Prop. 1987/88:57 s. 11.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 249 |
Datalagsutredningens förslag beträffande datalagens förhållande till massmedier har i sina detaljer fått vidkännas kritik i olika hänseenden, särskilt från massmediernas egna organ. Detta sammanhänger särskilt med utredningens användning av registerbegreppet. Detta begrepp härstammar från stordatortiden och är inaktuellt. Numera förekommer centrala klipparkiv som innehåller i stort sett allt publicerat material i fulltext; undantag kan göras för t.ex. smärre notiser. Varje journalist har en PC där allt vederbörandes material ligger samlat, ett material som är lätt att söka i och strukturera. Ett dokument i datorn behöver inte innehålla material för någon bestämd artikel. Uppgifter kan samlas in under ”grävande journalistik” utan att journalisten ännu vet hur de skall användas.
Att införa regler i persondatalagen utan att deras efterföljd kan kontrolleras av en myndighet som Datainspektionen skulle sätta tilltron till lagstiftningen i fara. Inspektioner av myndigheter som berör massmedierna är emellertid typiskt sett ägnade att påverka yttrandefriheten. Bestämmelser i persondatalagen som kan beröra anonymitetsskyddet inverkar också på meddelarskyddet. Detta utgör en central del i offentlighetsprincipen.
Normkonflikten har lösts på olika sätt i olika länder. Vissa har gjort undantag från persondatalagstiftningen för behandling av personuppgifter i massmediala sammanhang, medan andra – såsom Sverige – inte har gjort det. I formell mening kan den ena vägen innebära att man inkräktar på skyddet för den personliga integriteten och den andra att man inkräktar på skyddet för yttrandefriheten. Vid den diskussion i ämnet som var uppe i Europarådet 1991 (se avsnitt 10.5.3) framgick dock att detta hade vållat få problem i praktiken. Diskussionen resulterade inte i något klart uttalande om vilket intresse som borde äga företräde i lagstiftningen. Konklusionen blev i stället att vilken väg lagstiftaren än väljer, måste det intresse som så att säga har blivit förbigånget värnas på annat sätt.
Normkonflikten torde inte ha observerats vid datalagens tillkomst. Numera har emellertid grundlagarnas prioritet på området blivit erkänd i praxis. Av de beslut som har fattats av regeringen på senare tid kan man enligt vår mening dra den slutsatsen att redan enligt den gällande rätten datalagens bestämmelser skall vika i den mån de kolliderar med grundlagarna.
Principen bör gälla även i fortsättningen. Vi förordar alltså att bestämmelserna i persondatalagen utformas så att de inte kommer i konflikt med det grundlagsfästa skyddet för yttrandefriheten. Följderna härav bör dock inte överdrivas. Det är enligt vår mening möjligt att åstadkomma en
| 250 Förhållandet till yttrandefriheten | SOU 1997: 39 |
lagstiftning som med olika medel ger skydd åt den personliga integriteten utan att inskränkningar görs i den grundlagsfästa yttrandefriheten.
Självfallet ger även bestämmelserna i TF och YGL på olika sätt skydd för den personliga integriteten. Ett sådant skydd följer bl.a. av grundlagarnas regelsystem för fall där någon enskild har blivit kränkt i ett yttrande, särskilt reglerna om tryckfrihetsbrott. Även t.ex. bestämmelserna om att det alltid måste finnas någon som kan ställas till ansvar för otillåtna yttranden kan ses som ett skydd för den enskilde.
Det finns, som tidigare nämnts, ytterligare funktioner inom massmedieområdet till skydd för privatlivet. Massmediernas självsanerande verksamhet som innefattar rätt till beriktigande och genmäle träffar många yttranden som sprids i samhället, kanske huvuddelen av dem som innehåller personuppgifter. Den omständigheten att digital teknik har använts vid framställningen av en tidningsartikel som kanske innehåller en kränkande personuppgift minskar självfallet inte det nu nämnda skyddet. Granskningsnämnden för radio och TV övervakar att etermedierna i programverksamheten respekterar den enskildes privatliv.
Det skall dock inte förnekas att möjligheterna, både för myndigheter och enskilda, att ta del av och sammanställa personuppgifter ökar med bl.a. nya distributions- och lagringstekniker. Massmediernas självsanerande verksamhet omfattar inte heller alla yttranden som skyddas av TF och YGL, så t.ex. inte böcker och filmer.
Vi kan dock inte se att detta bör föranleda några ändringar i den nuvarande regleringen av yttrandefriheten i TF och YGL. Denna reglering torde vara fast förankrad både i det allmänna medvetandet och inom de politiska partierna. Praxis synes också ha anpassat sig till det nuvarande systemet utan att detta numera föranleder någon nämnvärd diskussion.
Att i detalj söka anpassa persondatalagen så att den överensstämmer med TF och YGL ter sig som ett ofruktbart arbete. Skulle anpassningen inte bli korrekt tar i alla fall grundlagens bestämmelser över. Det ter sig både enklast och mest hederligt att föreskriva undantag från tillämpningen av persondatalagen för behandling av yttranden som är skyddade i TF och YGL.
Frågor om vilka yttranden som omfattas av grundlagsskyddet och var gränsen går för skyddet är som tidigare nämnts föremål för Mediekommitténs överväganden.198 I direktiven till den utredningen pekas sär-
198 Dir 1994:104.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 251 |
skilt på behovet att klarlägga rättsläget beträffande yttranden som förmedlas elektroniskt. Utredningen skall i det sammanhanget överväga behovet av justeringar i grundlagsreglernas tillämpningsområde. Om nya medier blir grundlagsskyddade såsom t.ex. datordisketter och cd-romskivor kan detta visserligen medföra nya problem i förhållande till integritetsskyddet. Dessa problem måste emellertid beaktas vid ändring av grundlagarna. Det kan inte komma i fråga att inom persondatalagstiftningens ram göra skillnad mellan det ena och det andra grundlagsskyddade yttrandet. Principen om grundlagarnas överhöghet gäller generellt. Enligt vår mening bör därför en ändring av det grundlagsskyddade området inte medföra någon ändrad principiell inställning till förhållandet mellan grundlagsskyddet för yttrandefriheten och persondatalagstiftningen. En utvidgning av grundlagsskyddet bör med andra ord medföra en motsvarande inskränkning av til??lämpningen av persondatalagen.
Vi har alltså kommit fram till att bestämmelserna i persondatalagen måste utformas så att de inte kolliderar med bestämmelserna i TF och YGL och att de senare bestämmelserna inte bör ändras. Det är därför nödvändigt att göra undantag i persondatalagen för behandlingar av personuppgifter som skyddas av yttrandefriheten.
10.7.2Skall undantaget vara generellt?
Frågan är vad ett undantag i persondatalagen för behandlingar av personuppgifter som skyddas av yttrandefriheten bör omfatta. Inte alla bestämmelser i datalagen kolliderar med censurförbudet och anonymitetsskyddet. Datalagsutredningen fann emellertid att i den mån undantag gjordes från datalagstiftningen detta borde gälla hela lagen, bl.a. eftersom Da- tainspektionen ändå inte skulle kunna kontrollera efterlevnaden av ett fåtal tillämpliga regler.199
Enligt vår mening är det befogat att låta vissa av persondatalagens bestämmelser om skydd för personuppgifter i princip gälla även i fråga om den grundlagsskyddade yttrandefriheten. Det är angeläget att personuppgifter som förekommer inom massmediernas verksamhet skyddas från obehöriga intrång. Man kan utgå ifrån att de företag som agerar inom området, t.ex. radio- och TV-företag och tidningsproducenter, skyddar sitt data. Detta ligger ju i företagens eget intresse. Yttranden som skyddas av
199 SOU 1993:10 s. 135.
| 252 Förhållandet till yttrandefriheten | SOU 1997: 39 |
TF och YGL kan emellertid innefatta en mängd andra behandlingar, t.ex. uppgiftsinsamling som utförs av en privatperson i syfte att informationen skall lämnas vidare till en journalist. Om enskilda personer lider skada av att sådan databehandling har skett under former som inte har varit betryggande, t.ex. genom att någon person i illvilligt syfte har kommit över känsliga uppgifter, bör tillsynsmyndigheten i efterhand kunna föreskriva om skyddsåtgärder. Rätten att meddela säkerhetsföreskrifter är inte förenad med någon tillsyn men med möjlighet att förelägga vite. En sådan föreskriftsrätt kan inte sägas inkräkta på censurförbudet och meddelarskyddet enligt grundlagarna.
Tillsynsmyndigheten skall inte heller förhindras att i sin mer allmänna bevakning av uppgiftsbehandling i samhället påtala otillbörliga förfaranden på det massmediala området. Detta står väl i samklang med de uttalanden som har gjorts i EG-direktivet.200 Enligt dessa bör tillsynsmyndigheten nämligen utrustas bl.a. med en befogenhet att i efterhand offentliggöra en rapport angående sådan behandling. I dessa sammanhang kan eventuella missförhållanden påtalas. Även inom den självsanerande verksamhet som förekommer på området kan sådana brister påtalas.
Sammanfattningsvis anser vi att undantaget bör gälla alla materiella regler i lagen utom bestämmelserna om säkerhet. Detta innebär att reglerna om att personuppgifter skall skyddas t.ex. så att inte någon obehörig kan komma åt eller manipulera uppgifterna gäller även på yttrandeområdet. Undantaget förhindrar inte heller att tillsynsmyndigheten i sin mer allmänna bevakningsverksamhet påtalar eventuella missförhållanden inom det undantagna området.
10.7.3Hur skall undantaget utformas?
Framställning och spridning av yttranden kan äga rum i vitt skilda sammanhang och i olika syften. Medan verksamheten inom de traditionella massmedieföretagen är helt koncentrerad till produktion av yttranden, kan den i andra sammanhang förekomma mer som en bisyssla – t.ex. när ett företag trycker en kundkatalog. Massmedieföretagen är underkastade etiska regler som bl.a. värnar den personliga integriteten, men yttranden i andra sammanhang kan framställas och spridas utan sådana restriktioner.
200 Punkt 37 i ingressen.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 253 |
Den utformning av undantaget som Datalagsutredningen föreslog byggde på en uppdelning av olika uppgiftssammanställningar som kan förekomma i den massmediala verksamheten: produktions-, meddelar- och källregister samt klipparkiv. Kritikerna menade emellertid att en sådan avgränsningsmodell inte kan användas eftersom det i praktiken inte förekommer någon sådan uppdelning. Man utför inte behandlingar av uppgifter i olika avgränsbara ”register” (utom möjligen klipparkiven). En variant som tycks finnas i vissa andra länder är att undanta ”redaktionella” register. Den avgränsningen ger uppenbarligen utrymme för större undantag, men också den ger avgränsningsproblem.
En annan tänkbar lösning kunde vara att låta vissa subjekt, t.ex. massmedieföretag, omfattas av undantaget. En sådan lösning skulle emellertid leda till nya gränsdragningsproblem eftersom det inte finns någon definition att anknyta till – vad är ett massmedieföretag, vad är journalistisk verksamhet? Den skulle heller inte tillgodose syftet att förebygga konflikter mellan grundlagarna och persondatalagstiftningen eftersom TF och YGL skyddar även andra, som vill framställa yttranden, än journalister.
Ytterligare ett alternativ att överväga är att låta undantaget omfatta all behandling som över huvud taget har med framställning av yttranden att göra. Undantaget skulle med andra ord knyta direkt an till bestämmelsen i 2 kap. 1 § 1 p. RF som anger att varje medborgare gentemot det allmänna är tillförsäkrad yttrandefrihet. Ett så omfattande undantag skulle kunna vara till gagn för yttrandefriheten i vidsträckt bemärkelse och gälla även andra former av yttranden än de som skyddas av TF och YGL.
Att knyta an till målsättningsstadgandet i RF är emellertid enligt vår uppfattning inte ändamålsenligt. I praktiken skulle en sådan utformning innebära att persondatalagstiftningen blev verkningslös, eftersom det inte torde vara mycket av resultatet av en databehandling som inte kan karakteriseras som ett yttrande. Syftet med det undantag vi söker är att förebygga en konflikt mellan persondatalagstiftningen och TF:s och YGL:s detaljerade föreskrifter till skydd för yttrandefriheten. Någon motsvarande konflikt uppkommer inte i förhållande till RF:s principförklaring.
Det är endast vissa former av yttrandeframställning och -spridning som har fått konkret skydd i TF och YGL. Denna reglering innebär som tidigare nämnts även regler till skydd för den enskilde. Om även alla yttranden ”utanför” detta område undantas från persondatalagen kan det medföra risker för integritetsintrång som inte kan motverkas.
Sammanfattningsvis anser vi att man bör låta gränsen för undantaget i princip sammanfalla med den som finns i TF och YGL. Det betyder att så-
| 254 Förhållandet till yttrandefriheten | SOU 1997: 39 |
dan behandling som innebär en åtgärd som omfattas av dessa grundlagar undantas från persondatalagen.
10.7.4Vilka behandlingar omfattas av undantaget?
10.7.4.1Allmänt
De åtgärder som primärt skyddas av TF och YGL är att ”utgiva skrifter” respektive ”offentligen uttrycka tankar, åsikter och känslor och i övrigt lämna upplysningar i vilket ämne som helst”. Vi har tidigare kunnat konstatera att detta inte innebär att den som vill framföra ett yttrande är fri att vidta vilka åtgärder som helst, lagliga eller olagliga. Det centrala i sammanhanget är att myndigheter inte hindrar yttrandet på grund av dess innehåll eller försöker ta reda på varifrån innehållet har hämtats, även om det rör personuppgifter. Eventuella undantag från dessa huvudregler måste framgå i TF respektive YGL. Persondatalagen innehåller bestämmelser om just sådana myndighetsingripanden (i vart fall indirekt). Dessa bestämmelser kan inte tillämpas på grundlagsskyddade yttranden.
Det är enligt vår mening inte möjligt att uttömmande ange vilka behandlingar detta kan gälla. Administrativa register t.ex. kundförteckningar över tidningsprenumeranter eller löneregister för anställda omfattas inte av detta undantag, även om sådana behandlingar också utgör led i spridande av yttranden. Det är bara i de fall behandlingen har ett direkt samband med själva yttrandet som undantaget är tillämpligt. Nedan diskuteras några typiska sådana fall.
10.7.4.2Behandlingar som syftar till att framställa yttranden
Mot bakgrund bl.a. av det ovan nämnda beslutet av regeringen (1994-04-14, Ju 93-3260) kan vissa slutsatser dras beträffande grundlagsskyddets omfattning. Om behandlingen av personuppgifter utgör ett direkt tekniskt hjälpmedel för att åstadkomma ett grundlagsskyddat yttrande skall datalagen enligt avgörandet inte tillämpas. De behandlingar som i sådant syfte utförs av författare eller utgivare av yttranden faller därmed utanför persondatalagstiftningens tillämpning. Exakt hur långt processen för att få fram yttrandet har fortskridit saknar betydelse. Redan den första registreringen av uppgifter utgör enligt detta resonemang ett led i framställandet av ett yttrande. Det är inte nödvändigt att det faktiskt blev publicerat. Det avgörande är att syftet med behandlingen var att framställa ett yttrande
| SOU 1997: 39 | Förhållandet till yttrandefriheten 255 |
som skulle publiceras. Att yttrandet blir föremål för omarbetningar och redigeringar kan inte förändra saken. Dessa tankegångar har stöd i den praxis som har förekommit på senare tid. Datainspektionen har avvisat flera ansökningar med motiveringen att registret skall ingå som ett led i framställning av tryckt skrift och att det därför inte omfattas av tillståndskravet i datalagen.
Utkast t.ex. till artiklar eller böcker omfattas enligt detta resonemang av undantaget. Om behandlingen utgör ett direkt tekniskt led i framställningen är persondatalagen således inte tillämplig. En till synes negativ konsekvens kan bli att uppgifter finns registrerade länge utan att det har blivit något skyddat yttrande. Hur länge uppgifterna kan finnas lagrade utan att behandlingen därför anses falla utanför det grundlagsskyddade området får avgöras från fall till fall. När ändamålet inte längre enbart är att framställa ett yttrande, utan även tillgodose andra syften t.ex. försäljning av personuppgifter, har gränsen för undantagsbestämmelsen passerats. Persondatalagen blir då tillämplig på behandlingen.
Uppgifter som förekommer på en tidningsredaktion eller hos ett publicservice företag får som regel anses omfattade av undantaget. Stora samlingar av personuppgifter som inte har blivit bearbetade eller införda i textuellt sammanhang får i andra fall betraktas mer kritiskt.
I gränsfall måste det till viss del bero på sammanhanget om behandlingen är undantagen eller inte. En författare kan t.ex. med hjälp av digital teknik framställa en bok som också publiceras på Internet. Persondatalagen blir då til??lämplig på den senare utgåvan men inte på den tryckta. Problemet beror på att den ena spridningsformen åtnjuter grundlagsskydd men inte den andra. Omfattningen av grundlagsskyddet utreds för närvarande av Mediekommittén. Problemet kan därför komma att falla bort.
Hur sådana fall skall bedömas där behandlingen sker för flera skilda ändamål diskuteras under avsnitt 10.7.4.5.
Det skall med andra ord vara fråga om behandlingar som används för att överföra upphovsmannens uppgifter, tankar, åsikter, känslor osv. till en form som omfattas av grundlagsskyddet i TF och YGL. Alla former av yttrandespridning omfattas emellertid inte. Som har framgått tidigare (se ovan under avsnitt 10.2.3.) är det i viss mån den enskildes egna åtgärder som avgör om en tryckt skrift faller under TF eller inte.
Moderna former av yttrandespridning, t.ex. via elektroniska anslagstavlor, omfattas inte ännu av grundlagsskydd. IT-utredningen har föreslagit att sådana yttranden i viss utsträckning också skall undantas från persondata-
| 256 Förhållandet till yttrandefriheten | SOU 1997: 39 |
lagen. Dessa frågor bereds nu i annan ordning och vi tar inte ställning till dem.
Vidare överväger, som tidigare nämnts, Mediekommittén bl.a. om ytterligare former för yttrandespridning bör omfattas av grundlagsskydd. Behandlingar av personuppgifter som utförs för att framställa sådana ickeskyddade yttranden kommer i princip alltså att tills vidare och i avvaktan på en eventuell grundlagsändring att omfattas av persondatalagen, i den mån de inte undantas genom annan lagstiftning.
10.7.4.3Behandlingar som syftar till att anskaffa och meddela uppgifter
Sådana behandlingar som innebär att någon anskaffar och eventuellt överför uppgifter till någon annan utan att ha för avsikt att själv framställa ett yttrande, kan också omfattas av undantaget. Behandlingar som en meddelare utför i syfte att meddela uppgifter för offentliggörande får alltså utföras fritt. Vissa ytterligare krav finns dock för att sådana behandlingar skall vara undantagna. Anskaffarfriheten ensam åtnjuter inte något särskilt skydd i yttrandesammanhang. Det är bara om anskaffaren har för avsikt att själv framställa ett yttrande eller lämna uppgifterna till någon sådan person som sägs i 1 kap. 1 § tredje stycket TF respektive 1 kap. 2 § YGL (t.ex. författare eller nyhetsjournalister) som han omfattas av skyddet. Även sådana behandlingar som innebär att uppgifter samlas in t.ex. av en journalist för att göra ett TV-program eller en författare för att skriva en artikel skall enligt våra överväganden i det föregående inte omfattas av persondatalagen. Nyhetsbyråer bör med hänsyn till den ställning de getts i TF201 i förevarande sammanhang jämställas med tidningsredaktioner.
I den mån grundlagsskyddet i framtiden även kommer att omfatta t.ex. nyhetsjournalister i medier som inte nu är skyddade kommer skaran av meddelare som undantas från persondatalagen att utvidgas. Den krets till vilka meddelande får lämnas kan i framtiden komma att bli vidare än i dag.
De behandlingar som av Datalagsutredningen benämndes källregister kommer också att undantas om våra överväganden läggs till grund för lagstiftning. Även här kan emellertid gränsdragningsproblem uppkomma som framgår exempelvis av regeringens beslut (1994-06-30, Ju 94-2310) i vilket regeringen bl.a. prövade frågan vilket samband som måste finnas
201 Se t.ex. 3 kap. 3 § 1 st. TF.
| SOU 1997: 39 | Förhållandet till yttrandefriheten 257 |
mellan en behandling av personuppgifter och det grundlagsskyddade yttrandet.202
10.7.4.4Lagring och spridning av uppgifter
En annan typ av behandlingar inom det massmediala området är sådana som utgör led i själva spridandet av yttranden. Tanken bakom den nya bestämmelsen i 1 kap. 9 § YGL är att rätten att sprida yttranden skall vara oberoende av vilken teknik som används.203 Även i detta sammanhang tar grundlagsbestämmelserna över persondatalagen. Närmare var gränserna för grundlagsskyddet går eller bör gå i detta sammanhang är, som tidigare nämnts, föremål för utredning. Det är inte alla som (ännu i vart fall) har denna grundlagsskyddade rätt att sprida yttranden elektroniskt, t.ex. inte privatpersoner. Från integritetssynpunkt är det en fördel att de subjekt som kan utföra sådan skyddad elektronisk spridning måste ha en ansvarig utgivare för yttrandet. De är vidare underkastade massmediernas självsanerande verksamhet.
Grundlagsskyddet sträcker sig till och med spridningen av yttrandet. När det gäller fortsatt digital behandling av det redan spridda yttrandet uppkommer nya frågor. En vanlig tidning vållar naturligtvis inte några problem, den träffas inte av några särskilda bestämmelser. Hur förhåller det sig med en bok utgiven i elektronisk form (t.ex. på cd-rom), faller den under persondatalagen? Frågan är med andra ord om ”behandling” även innefattar ”ta del av”. Vi kan konstatera att ett undantag som inte omfattar även en möjlighet att fritt ta del av ett grundlagsskyddat yttrande skulle vara värdelöst. EG-direktivet måste vidare enligt vår mening tolkas så, att den som tar del av en icke-förändringsbar mängd data är inte att anse som persondataansvarig. Enligt direktivet är nämligen den persondataansvarig som bestämmer ändamålen eller medlen för behandlingen. En person som tar del av data som inte är förändringsbart kan därför inte anses vara persondataansvarig, och lagen omfattar därför inte en sådan person. Att bara ta del av resultatet av en behandling måste enligt vår mening således omfattas av undantaget. Detta bör gälla även om man använder tillgängliga funktioner för att söka i datat. Om man däremot bearbetar datat på något annat sätt, t.ex. sparar ner det på en egen hårddisk och behandlar det vidare, blir persondatalagen tillämplig på den behandlingen.
202Se vidare angående beslutet under avsnitt 10.6.3.
203Prop. 1990/91:64 s. 65 och 66.
| 258 Förhållandet till yttrandefriheten | SOU 1997: 39 |
Vad Datalagsutredningen benämnde klipparkiv ger möjlighet att elektroniskt bevara och sprida vidare redan publicerat material. Såsom flera remissinstanser har påpekat får teknikvalet konsekvenser som har betydelse ur integritetssynvinkel. Genom möjligheter att hantera och särskilt söka i stora mängder information på ett enkelt och effektivt sätt har förutsättningar skapats bl.a. för att göra sammanställningar som inkräktar på den personliga integriteten. Efterforskningar t.ex. beträffande en viss person som har omnämnts i pressen kan nu utföras snabbt, något som tidigare kanske var så omständligt att det inte lät sig göras. Vidare kan det förekomma uppgifter om t.ex. brottslighet, politisk eller religiös åskådning eller andra integritetskänsliga förhållanden om personer som omnämns i tidningsartiklar eller i radio och TV.
Att ny teknik används för att sprida redan grundlagsskyddade yttranden bör inte föranleda att materialet underkastas några andra regler inom persondatalagstiftningen än det ursprungliga materialet. Såvitt angår journalisternas användning av klipparkiven för att framställa nya yttranden finns det inte anledning att göra annan bedömning än som förut gjorts generellt beträffande uppgifter som journalisterna anskaffar ur olika källor. Vad angår allmänhetens tillgång till klipparkiven får det ur yttrandefrihetens och informationsfrihetens synvinkel hälsas med tillfredsställelse att yttrandena kan spridas även på dessa nya vägar. Allmänheten bör därför ha samma möjligheter att ta del av yttrandena elektroniskt som genom att bläddra i tidningslägg. Även klipparkiven bör sålunda enligt vår mening undantas från tillämpningen av persondatalagstiftningen.
Uppgifterna kan emellertid inte utnyttjas fritt enbart på grund av att de kan återfinnas i grundlagsskyddade yttranden. Om man inte bara söker och tar del av personuppgifter som kan förekomma i sådana yttranden, utan vidtar egna åtgärder med uppgifterna och t.ex. överför dem till en egen databas för vidare behandling, blir denna behandling på vanligt sätt underkastad persondatalagens begränsningar (för såvitt syftet inte är att på nytt framställa ett grundlagsskyddat yttrande).
10.7.4.5Behandling för flera ändamål
I de fall behandlingen har flera ändamål, varav ett är att framställa en skrift t.ex. en katalog och ett annat att utgöra ett kundregister, bör man kunna kräva att behandlingen delas upp av den ansvarige så att den behandling som inte faller under TF eller YGL kan bli föremål för åtgärder enligt persondatalagen. Denna till synes snäva gränsdragning stämmer överens med
| SOU 1997: 39 | Förhållandet till yttrandefriheten 259 |
EG-direktivets bestämmelser som tillåter att undantag görs för behandling som sker uteslutande för journalistiska m.fl. ändamål.204 Det kommer med andra ord an på den enskilde att göra avgränsningen. En sådan definition bör leda till att gränsdragningsproblemen blir mindre. En nackdel är att det kan uppstå extra kostnader och olägenheter för den som utför behandlingen. Rent praktiskt kan det gå till så att uppgifterna läggs i olika bibliotek eller kataloger i ordbehandlaren. När det gäller behandlingar som delvis utgör led i spridande av yttranden bör undantaget ges en generös til??lämpning.
Tillsynsmyndighetens åtgärder får givetvis inte medföra hinder för framställningen av yttrandet, utan dessa får inskränkas till de behandlingar som inte direkt ingår i den tekniska framställningen. Om behandlingar för flera ändamål förekommer bör Datainspektionen få utöva sina befogenheter enligt persondatalagen så långt det är möjligt t.ex. när det gäller administrativa register vid en tidning. Så fort man kommer in på det grundlagsskyddade området måste tillsynsverksamheten dock upphöra. I sammanhanget vill vi erinra om den möjlighet som finns att utse ett persondataombud enligt den föreslagna lagen. Ombudet kommer i första hand att svara för de behandlingar som omfattas av persondatalagen men kan också bevaka säkerheten vid undantagen behandling. Vid kontakter mellan den persondataansvarige och tillsynsmyndigheten kan ombudet biträda för att undvika att det sker intrång på det grundlagsskyddade området. Det får förutsättas att seriösa massmedieföretag håller de undantagna uppgifterna avskilda på ett sådant sätt att det i praktiken inte uppstår några problem.
10.7.4.6Överflödiga uppgifter
Behandling av uppgifter för framställande av ett grundlagsskyddat yttrande kan innehålla ”överflödigt” data. I viss omfattning måste givetvis sådant vara tillåtet. Det kan inte krävas att behandlingen uteslutande avser de uppgifter som senare skall ingå i det skyddade yttrandet. Den situation som man i första hand kanske tänker på är användningen av ord- och textbehandlingsprogram. Uppgifter som tillfälligt förekommer i texten men som
204Kammarrätten i Stockholm har på senare tid avgjort ett mål (1996-10-22, 3234-1996) som bl.a. berörde frågan om uppgiftsbehandling som bl.a. skulle resultera i en publicerad rapport omfattas av datalagen. Kammarrätten ansåg att behandlingen inte kunde antas ha ett sådant samband med utgivningen av tryckt skrift att den skulle undantas från datalagen.
| 260 Förhållandet till yttrandefriheten | SOU 1997: 39 |
sedan tas bort innan yttrandet har färdigställts kan inte särbehandlas. De uppgifter som är föremål för behandling skall emellertid kunna sägas utgöra ett naturligt led i framställandet av ett yttrande. Alltför mycket överflödig information kan medföra att behandlingen inte kan sägas utgöra ett led i framställningen av ett skyddat yttrande och därför leda till att behandlingen i stället blir underkastad persondatalagens tillämpningsområde.
I tveksamma fall bör man göra en samlad bedömning av behandlingens karaktär. Att låta behandlingen till viss del falla under persondatalagen och till en annan del vara grundlagsskyddad, t.ex. i den ovan angivna situationen, torde medföra svåra tillämpningsproblem.
10.7.4.7Falska invändningar om grundlagsskydd
Risken för att otillåten behandling av personuppgifter sker under sken av att ett skyddat yttrande skall framställas måste beaktas, dvs. risken att någon behandlar personuppgifter under en falsk förevändning att de skall ingå t.ex. i en tryckt skrift och därför inte faller under persondatalagens tillämpningsområde. I vissa fall kan kanske en invändning om att behandlingen utgör ett led i framställningen av ett grundlagsskyddat yttrande inte utan vidare godtas. Den ansvarige måste på något sätt göra troligt att behandlingen syftar till att åstadkomma ett skyddat yttrande. Vid en sådan bedömning kan det vara av intresse om yttrande tidigare har producerats av den ansvarige, om kontakt har tagits med tryckeri eller om behandlingen i övrigt framstår som ett naturligt led i framställningen av t.ex. en skrift. Om det av sådana kringliggande omständigheter framgår att behandlingen ingår i framställningen av ett yttrande bör detta vara tillräckligt.
10.7.4.8Prövning av undantagsregeln
Behandlingar som har lett till kränkande uppgifter i ett grundlagsskyddat yttrande kan således inte bli föremål för ingripanden av Datainspektionen. Endast yttrandet som sådant kan angripas och det måste ske i en process enligt TF eller YGL. Så länge uppgifterna inte har publicerats kan emellertid fråga uppkomma om behandlingen av dem omfattas av grundlagsskyddet eller inte. Behandlingen måste i det fallet ha blivit känd på annat sätt; uppgifter från behandlingen kan ha kommit ut av misstag eller varit föremål för dataintrång. Liksom Datalagsutredningen anser vi att det bör krävas en invändning av den som utför behandlingen om att den är grund-
SOU 1997: 39
Förhållandet till yttrandefriheten 261
lagsskyddad för att Datainspektionen skall vara förhindrad att utöva sina befogenheter enligt persondatalagen.205
Vid de kontakter som tas mellan inspektionen och den som utför behandlingen bör det ofta kunna klarläggas hur det förhåller sig. Ytterst får invändningen prövas av den domstol till vilken besvär riktas mot någon åtgärd som har vidtagits av Datainspektionen enligt persondatalagen. I det sammanhanget bör bestämmelserna i 1 kap. 4 § TF respektive 1 kap. 5 § YGL uppmärksammas. Bestämmelserna innebär bl.a. att principen om att hellre fria än fälla har extra tyngd på detta område.
10.7.5Förhållandet till EG-direktivet
EG-direktivet anger lika litet som gällande svensk rätt någon definitiv lösning på frågan om förhållandet mellan yttrandefrihet och skydd för personlig integritet i datasammanhang. För att skydda den personliga integriteten i digitala sammanhang anvisar EG-direktivet en viss lagstiftningsmodell, av oss kallad handlingsmodellen. Modellen innebär i stort sett att all behandling av personuppgifter skall vara reglerad. Om det inte vore så att direktivet medgav undantag bl.a. i fråga om behandling för journalistiska ändamål skulle direktivet strida mot TF:s och YGL:s principer om bl.a. censurförbud och anonymitetsskydd. Det finns nämligen andra bestämmelser i direktivet som handlar om underrättelseskyldighet när uppgifter samlas in, förbud mot behandling av känsliga personuppgifter och bestämmelser om tillsynsmyndighetens befogenheter.
EG-direktivet medger emellertid som framgår av det förut anförda att undantag görs från direktivets materiella bestämmelser för behandlingar av personuppgifter som utförs uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande om undantagen är nödvändiga för yttrandefriheten. Enligt art. 9 i direktivet skall sålunda medlemsstaterna med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i kapitlen med allmänna bestämmelser om när personuppgifter får behandlas, om överföring av personuppgifter till tredje land och om tillsynsmyndighet m.m. endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefrihet. I ingressen till direktivet, punkt 37, sägs bl.a. att för sådan be-
205 SOU 1991:21 s. 123.
| 262 Förhållandet till yttrandefriheten | SOU 1997: 39 |
handling av personuppgifter som sker för journalistiskt ändamål eller för litterärt eller konstnärligt skapande – särskilt på det audiovisuella området
– bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i direktivet så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i art. 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
Av hänvisningen till artikel 10 i Europarådskonventionen om de mänskliga rättigheterna framgår att syftet med direktivbestämmelsen är att värna yttrandefriheten som bl.a. innebär frihet att ta emot och sprida uppgifter och tankar utan inblandning av offentliga myndigheter dvs. samma tankegångar som ligger till grund för TF och YGL. Vid den intresseavvägning som enligt EG-direktivet skall ske mellan rätten till privatlivet och yttrandefriheten skall enligt en kommentar av kommissionen bl.a. beaktas möjligheten till rättslig prövning eller rätten till replik.
Vi har enligt det förut anförda inte funnit det befogat att föreslå grundlagsändringar för att förena bestämmelserna om skydd för den personliga integriteten i persondatalagstiftningen med bestämmelserna i grundlagarna om yttrandefriheten. Frågan är då om det är nödvändigt att göra sådana ändringar med hänsyn till direktivets bestämmelser.
Direktivet gör som framgått det möjligt att göra undantag för journalistisk, konstnärlig och litterär verksamhet. Vad som kan diskuteras är hur vidsträckta sådana undantag kan göras.
EG-direktivet anger inte närmare vilka behandlingar som skall omfattas av undantaget. De länder som har gjort undantag i sin datalag har utformat detta på olika sätt. Vissa har låtit det omfatta redaktionella register medan andra har låtit det omfatta endast vissa subjekt t.ex. vissa företag på det massmediala området. Det generella intrycket får ändå sägas vara att undantaget i många länder tar sikte på professionella former för framställning och spridning av yttranden.
I Maastricht-fördraget slås fast (art. F punkt 2) att Unionen skall som allmänna principer för gemenskapsrätten respektera de grundläggande rättigheterna, såsom de garanteras i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och såsom de följer av medlemsstaternas gemensamma konstitutionella traditioner. EG-domstolen har redan tidigare anslutit sig till Europakonventionens grundläggande rättigheter. Redan tidigare har EG-domstolen tillämpat
| SOU 1997: 39 | Förhållandet till yttrandefriheten 263 |
gemenskapsrätten på sådant sätt att de grundläggande rättigheterna respekterats.
I Europarådskonventionen om de mänskliga rättigheterna regleras rätt till skydd för privatlivet i artikel 8 och yttrandefriheten i artikel 10. Dessa båda fri- och rättigheter är jämställda i konventionen. Skyddet för privatlivet avser även dataområdet. Rätten till yttrandefrihet innefattar åsiktsfrihet samt frihet att mottaga och sprida uppgifter och tankar utan inblandning av offentlig myndighet och oberoende av territoriella gränser. De båda rättigheterna får begränsas inom vissa ramar enligt vad som är stadgat i lag och i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. andra personers fri- och rättigheter (artikel 8) respektive skyddandet av annans goda namn och rykte eller rättigheter eller förhindrandet av att förtroliga underrättelser sprids (artikel 10).
Som justitierådet Hans Danelius anfört i sin rättsfallsöversikt i Svensk Juristtidning 1994 (s. 373) har Europadomstolen i Strasbourg ofta understrukit den fundamentala betydelse som yttrandefriheten har i ett demokratiskt samhälle samt framhållit att den måste omfatta även information och idéer som kan framstå som stötande eller chockerande; särskilt vidsträckt måste yttrandefriheten vara när det gäller debatten om politiska frågor eller andra samhällsfrågor, och den som ägnar sig åt politisk eller annan offentlig verksamhet måste räkna med att kunna utsättas även för ganska häftiga angrepp. Europadomstolen har också i ett nyligen avgjort mål (Goodwin ./. Storbritannien, dom den 27 mars 1996, 16/1994/463/544) uttalat att skyddet för journalisternas källor är en av de viktigaste förutsättningarna för pressens frihet.
Med nu angivna utgångspunkter måste det ske en avvägning mellan intresset av yttrandefrihet och intresset av skydd för den personliga integriteten. Därvid måste stor vikt tillmätas de andra garantier som finns för skydd av det vid avvägningen närmast åsidosatta intresset. Som vi förut påvisat saknar naturligtvis inte TF och YGL bestämmelser till skydd för privatlivet. Tvärtom finns sådana i form av bl.a. bestämmelser om ansvar för förtal och förolämpning. Vidare finns ett skydd för privatlivet genom massmediernas självsanerande verksamhet och i fråga om etermedier, genom Granskningsnämnden för radio och TV.
Som förut nämnts hänvisar Maastricht-fördraget även till medlemsstaternas gemensamma konstitutionella traditioner. Yttrandefriheten är djupt rotad i europeisk tradition. Variationer mellan medlemsstaternas konstitutionella praxis måste naturligtvis finnas. Det får förutsättas att sådana variationer respekteras av EG-domstolen. Vad vi förordat i det föregående
| 264 Förhållandet till yttrandefriheten | SOU 1997: 39 |
innebär ej annat eller mera än att de grundläggande bestämmelserna i persondatalagen inte skall tillämpas på behandling av personuppgifter som uteslutande utförs som ett direkt led i sådan framställning och spridning av yttranden som är skyddade av TF och YGL. Vi kan inte se annat än att ett sådant undantag med direkt hänvisning till den svenska konstitutionen får anses förenligt med EG-direktivet och inte kan antas möta gensaga i EG- domstolen. Vad särskilt angår frågan om överföring av personuppgifter till tredje land vill vi erinra om att artikel 10 i Europarådskonventionen om de mänskliga rättigheterna särskilt omnämner rätten att sprida åsikter och tankar oberoende av territoriella gränser.
Artikel 9 i EG-direktivet medger undantag också från bestämmelserna i direktivet om säkerhet. EG-direktivet anvisar en väg där man låter vissa materiella bestämmelser om säkerhet gälla även på yttrandeområdet.206 Som framgår av det förut anförda anser vi emellertid att den svenska persondatalagens säkerhetsbestämmelser, som bl.a. syftar till att skydda personuppgifter så att ingen obehörig kommer åt dem, bör gälla även massmedier. Däremot medges inte undantag från bestämmelserna om rättslig prövning, ansvar och sanktioner. Dessa bestämmelser strider emellertid inte mot TF eller YGL.
Alla former av yttranden som innehåller personuppgifter omfattas som nyss sagts inte av skyddet i TF och YGL. Sådan journalistisk verksamhet som faller utanför grundlagsskyddet omfattas inte. Det kan t.ex. gälla en tidning som uteslutande sprids via Internet. Att framställa ett konstverk som innebär behandling av personuppgifter, t.ex. ett ”digitalt” porträtt, omfattas inte heller (om det inte skall ingå i en skrift eller i något annat skyddat yttrande). Vidare omfattas inte behandling av personuppgifter som skall framföras muntligt t.ex. vid ett offentligt framträdande i form av en teaterpjäs.
EG-direktivet anger att undantag skall göras generellt även för sådana behandlingar som sker för journalistiska ändamål eller konstnärligt eller litterärt skapande om det är nödvändigt för att förena rätten till privatlivet med reglerna om yttrandefriheten. Direktivets tillämpningsområde är med andra ord något vidare än grundlagsskyddet i TF och YGL i detta avseende (utan att för den skull omfatta alla former av yttranden). Det är enligt vår mening lämpligt att låta undantaget få den vidare utformning som följer av
206 Se ingressen p. 37.
SOU 1997: 39
Förhållandet till yttrandefriheten 265
EG-direktivet. Vi föreslår därför att undantaget i persondatalagen får omfatta även sådana verksamheter.
Vad det är för journalistisk verksamhet (utöver den som faller under TF) som undantas får avgöras mot bakgrund av EG-direktivets syften. Ut- gångspunkten måste vara att det handlar om vedertagen journalistik som bedrivs i den ordning som ställs upp i TF och YGL (med ansvarig utgivare osv.). När det gäller litterär verksamhet kan man utgå från att den i regel faller under TF, men precis som när det gäller journalistisk verksamhet bör sådant som för närvarande inte innefattas i grundlagsskyddet ändå omfattas av undantaget från persondatalagen. Även annan konstnärlig verksamhet undantas, t.ex. en revymakare som skriver manus i ett ordbehandlingsprogram.
| SOU 1997: 39 | 267 |
11 Forskning och statistik
Ett undantag från förbudet att behandla känsliga personuppgifter utan informerat samtycke bör göras för behandling som är nödvändig för forsknings- och statistikändamål. Förutsättningen är att samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära. Har projektet godkänts av en forskningsetisk kommitté, skall förutsättningarna anses uppfyllda. Andra projekt bör i förväg anmälas till Datainspektionen för förhandskontroll.
11.1Inledning
Behandling av personuppgifter används ofta för att framställa statistik inom forskningen eller någon annanstans eller på annat sätt för forskning. Det är inte så sällan känsliga personuppgifter som behandlas, och behandlingen torde i dag nästan uteslutande ske automatiskt. Behandling för forskning och statistik inom den offentliga sektorn sker regelmässigt under mycket sträng sekretess. Behandling för forskning har oftast på förhand granskats och godkänts av etisk expertis. Personuppgifterna används inte för att fatta beslut eller vidta åtgärder som berör enskilda, och de sprids inte till någon som skall använda uppgifterna för sådana ändamål. Ändamålet med behandlingen är i stället som regel att för samhällets bästa skaffa ny eller fördjupad kunskap om generella sammanhang. Avsikten är som utgångspunkt att resultatet av behandlingen skall i en eller annan form publiceras207 eller på annat sätt offentliggöras utan att de registrerades identitet röjs.
207Att resultatet av behandlingen av personuppgifter för forsknings- eller statistikändamål skall publiceras anses enligt praxis inte medföra att behandlingen skyddas av 2 kap. TF och därmed är undantagen från bl.a. tillståndskravet i data-
| 268 Forskning och statistik | SOU 1997: 39 |
Inom forskningsverksamhet och verksamhet för att framställa statistik förekommer givetvis behandling av personuppgifter också för andra ändamål än forskning och statistik, t.ex. för administration. I detta avsnitt berörs dock i första hand bara sådan behandling av personuppgifter för forskning och statistik där uppgifterna inte används för att fatta beslut eller vidta åtgärder som rör enskilda och där de registrerades identitet inte avslöjas vid presentationen av resultatet av behandlingen.
11.2Statistik
11.2.1Inledning
En vanlig definition av begreppet statistik är ”numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd”.208 Här kan den definitionen också användas, dock att här bara berörs sådan statistik som avser uppgifter (observationer) som kan hänföras till enskilda fysiska personer. Härtill kommer som nyss nämnts att syftet med sådan statistikbehandling som avses här inte får vara att vidta åtgärder mot enskilda och att enskildas identitet inte får avslöjas när resultatet av behandlingen redovisas.
På det statistiska området finns det vissa etiska regler.209
Det förekommer att den som för ett register med personuppgifter för att fatta beslut eller vidta åtgärder rörande enskilda personer själv använder uppgifterna i registret också för att framställa statistik, t.ex. för att följa upp eller styra sin verksamhet. Ibland har bland ändamålen för ett sådant register nämnts även framställning av statistik eller liknande. I praxis har man dock ansett att register för administrativa ändamål får användas för framställning av statistik hos den registeransvarige även om detta inte uttryckligen angetts som ett ändamål.210 Sådan verksamhetsstatistik som den registeransvarige tar fram ur ett befintligt administrativt register för att an-
lagen, se Kammarrättens i Stockholm dom den 22 oktober 1996 i mål nr 3234-1996.
208Se t.ex. senast SOU 1994:1 s. 23.
209Se om de etiska reglerna t.ex. SOU 1992:48 s. 31, SOU 1993:83 s. 36 och SOU 1994:65 s. 30 f.
210Se prop. 1994/95:200 s. 13. Jämför också regeringsbeslut 1993-10-28, dnr 92-3225, och 1988-04-14, dnr 87-2767.
SOU 1997: 39
Forskning och statistik 269
vända som ett led i sin huvudsakliga verksamhet berörs inte vidare i detta bakgrundsavsnitt. I övervägandeavsnittet återkommer vi till verksamhetsstatistiken.
11.2.2Den statliga statistiken
11.2.2.1Inledning
Den statliga statistiken har setts över noga under senare år.211 I stora delar kan här hänvisas till de utredningar som redan har gjorts.
Man brukar dela in den statliga statistiken i officiell statistik och s.k. övrig statistik. Övrig statistik är all sådan statlig statistik som inte är officiell.
11.2.2.2Officiell statistik
Det finns en lag och en förordning om den officiella statistiken.212 Officiell statistik är sådan statistik som en statlig myndighet under regeringen framställer, enligt föreskrifter som regeringen meddelar, för
N samhällsplanering, N forskning,
N allmän information och
N internationell rapportering.
Regeringen har i förordningen räknat upp vilken statistik som är officiell och angett vilken myndighet som ansvarar för statistiken. Ansvaret har på senare år i vissa fall flyttats från Statistiska centralbyrån till ett antal centrala förvaltningsmyndigheter.
Den officiella statistiken skall framställas och offentliggöras med beaktande av skyddet för enskilda. Statistiken skall hållas allmänt tillgänglig och offentliggöras i tryckt skrift (serien Sveriges officiella statistik). Uppgifter i den officiella statistiken får inte föras samman med andra uppgifter för att få reda på enskildas identitet.
211 Se – förutom Datalagsutredningens betänkanden – SOU 1990:43, prop. 1991/92:118, SOU 1992:48, prop. 1992/93:101, SOU 1994:1, prop. 1993/94:100 Bilaga 8, SOU 1993:83 och 1994:65 samt prop. 1994/95:200.
212 SFS 1992:889 och 1668.
| 270 Forskning och statistik | SOU 1997: 39 |
I fråga om uppgifter till den officiella statistiken kan det föreskrivas uppgiftsplikt, dvs. en lagstadgad och sanktionerad skyldighet för enskilda att lämna uppgifter. När en myndighet samlar in uppgifter till den officiella statistiken från enskilda – oftast näringsidkare – skall det lämnas information om
N ändamålet med uppgiftsinsamlandet,
N på vilka bestämmelser skyldigheten att lämna uppgifter grundas, N av vem eller på vems uppdrag insamlandet sker,
N huruvida samråd har skett med den organisation som företräder uppgiftslämnaren,
N vad som gäller om uppgiftsskydd,
N vad som gäller om uppgifternas bevarande,
N eventuella påföljder om uppgifterna inte lämnas,
N andra förhållanden som är av betydelse i sammanhanget och
N i förekommande fall upplysning om att uppgiftslämnandet är frivilligt.
År 1995 infördes det en särskild registerlag med anslutande förordning om vissa personregister för officiell statistik.213 Lagen gäller bara för sådana personregister som innehåller känsliga personuppgifter214. Ett sådant personregister får föras bara för framställning av statistik, och registret skall föras av den statistikansvariga myndigheten, som är registeransvarig enligt datalagen. Bara de uppgifter som behövs för att framställa statistiken får tas in i registret. Uppgifterna skall gallras när de inte längre behövs för sitt ändamål. Det är dock tillåtet att i vissa fall bestämma att uppgifterna skall bevaras under en längre tid, men då skall materialet lämnas över till en arkivmyndighet.
I en omfattande bilaga till förordningen om vissa personregister för officiell statistik anges det
N vilka register som får finnas,
N vilken myndighet som får föra registret, N vilket närmare ändamål registret skall ha, N vilka uppgifter registret får innehålla och
N i vilken mån uppgifter får hämtas in från andra register.
213SFS 1995:606 och 1060.
214Sådana uppgifter som avses i 4 § datalagen eller som utgör omdömen eller annan värderande upplysning om enskilda personer samt de flesta uppgifter som avser enskilda personers inkomst- eller förmögenhetsförhållanden.
SOU 1997: 39
Forskning och statistik 271
När en myndighet hämtar in personuppgifter från en annan myndighet till ett statistikregister med känsliga personuppgifter, skall det ses till att de som uppgifterna avser på lämpligt sätt informeras om registret.215 Också när uppgifterna hämtas in direkt till registret från personer som är eller avses bli registrerade, skall de upplysas om registreringen.216 När uppgifter om enskilda fysiska personer samlas in från t.ex. näringsidkare finns det däremot oftast inte någon skyldighet att informera de personer som uppgifterna avser.
Om det används personregister enligt datalagen i en statistikansvarig myndighets verksamhet för att framställa statistik, skall verksamheten organiseras så att den är avgränsad från myndighetens handläggning av övriga ärenden.217
11.2.2.3Övrig statistik
Övrig statistik är som sagt all statlig statistik som inte är officiell. Det är främst fråga om verksamhetsstatistik. Uppgifter som bara behövs för den övriga statistiken kan inte samlas in från enskilda med stöd av uppgiftsplikt. För övrig statistik, som inte är verksamhetsstatistik, måste uppgifterna således lämnas frivilligt eller hämtas in från något annat register. Framställningen av den övriga statistiken har oftast inte direkt författningsstöd. Det finns dock exempel på att framställning av särskilt känslig statistik har författningsreglerats.218
11.2.3Privat och kommunal statistik
Vad som nu sagts om den övriga statistiken på det statliga området gäller också i stor utsträckning den statistik som framställs i den kommunala och privata sektorn.
Beträffande register inom socialtjänsten, som bl.a. används för att framställa statistik, har det nyligen föreslagits en särskild lagreglering.219 Det
2157 § förordningen om den officiella statistiken, se prop. 1994/95:200 s. 27.
2165 § lagen om vissa personregister för officiell statistik.
21711 § förordningen om den officiella statistiken, se prop. 1994/95:200 s. 28 f.
218Se t.ex. förordningen (1994:1671) om tillfälligt statistikregister inom Riksrevisionsverket för kartläggning av vissa förmåner. Det planeras också ett särskilt statistikregister för kriminalvården, se Ds 1996:19 s. 35.
219Se SOU 1995:86.
| 272 Forskning och statistik | SOU 1997: 39 |
finns vidare en lag om ett receptregister hos Apoteksbolaget för bl.a. statistikändamål.220
Det finns privata företag som på uppdrag utför särskilda undersökningar – t.ex. marknads- eller opinionsundersökningar – för att framställa statistik.
11.2.4Tillämpningen av datalagen
Bland annat när känsliga personuppgifter skall behandlas och när uppgifterna rör personer som inte har någon naturlig anknytning till den som framställer statistiken krävs tillstånd enligt datalagen, om inte behandlingen omfattas av någon registerlag. Datainspektionen har meddelat föreskrifter som innebär att Statistiska centralbyrån i vissa fall kan använda sig av ett förenklat ansökningsförfarande (DIFS 1989:2). Det finns numera också föreskrifter som innebär att det inte krävs tillstånd för vissa statliga och landstingskommunala personregister för framställning av statistik i ett bestämt forskningssyfte (DIFS 1995:4), se närmare avsnitt 11.3.2.
Det förenklade ansökningsförfarandet för Statistiska centralbyrån kan för det första användas för register som grundar sig på informerat samtycke där uppgifterna helt eller delvis har hämtats in från de registrerade genom enkät eller intervju. Också när ett befintligt sådant register kompletteras med ytterligare uppgifter kan det förenklade förfarandet användas, om samtycke till den utvidgade registreringen hämtas in. Även beträffande andra register är det möjligt att använda det förenklade förfarandet för att – utan samtycke – komplettera registret med ett ringa antal icke känsliga uppgifter. För det andra kan det förenklade förfarandet användas när flera register skall samköras på ett sådant sätt att ett nytt, tillfälligt personregister bildas. Statistiska centralbyrån måste själv vara ansvarig för åtminstone ett av de register som skall ingå i samkörningen. Det tillfälliga personregistret får användas bara som underlag för kontroll och rättning av resultatet av samkörningen, dvs. det är bara ett led i framställningen av statistiska tabeller eller avidentifierade register. Det tillfälliga registret skall avidentifieras senast tre månader efter samkörningen. För dessa tillfälliga samkörningsregister krävs det inte att information lämnas eller att samtycke hämtas in. Det förenklade förfarandet kan slutligen användas när ett register, som Statistiska centralbyrån tidigare fört, skall lånas tillbaka från
220 Se prop. 1996/97:27 och SOU 1995:122 samt SFS 1996:1156.
| SOU 1997: 39 | Forskning och statistik 273 |
Riksarkivet för en tillfällig bearbetning. Registret får vara utlånat under längst sex månader. För samtliga fall föreskrivs uttryckligen att enskilda personers identitet inte får avslöjas i de statistiska redovisningarna.
Enligt vad vi har inhämtat från Datainspektionen kommer de allra flesta (icke förenklade) ansökningar om tillstånd till renodlade statistikregister från Statistiska centralbyrån. Byråns registerhantering tar i anspråk nästan en årsarbetskraft på inspektionen. Det är vanligt med ansökningar som avser komplettering av befintliga register med ytterligare (känsliga) uppgifter. En annan vanlig grupp av ärenden rör tillfälliga samkörningsregister, där byrån av någon anledning vill ha kvar det tillfälliga registret under längre tid än de tre månader som det förenklade ansökningsförfarandet förutsätter. I och med att ansvaret för den officiella statistiken har lagts ut på flera myndigheter, kommer det numera in en hel del ansökningar även från dessa myndigheter. Däremot är det inte så vanligt att enskilda ansöker om tillstånd till renodlade statistikregister, även om det förekommer ansökningar från t.ex. utredningsinstitut och fackföreningar.
Huvudprincipen vid handläggningen är att Datainspektionen kräver informerat samtycke för att ett statistikregister skall få föras. De statistikregister som enskilda för grundar sig regelmässigt på informerat samtycke. Det är i stället hos det allmänna som det förekommer register som inte grundar sig på informerat samtycke.
Undantag från informerat samtycke och information kan enligt inspektionens praxis göras för tillfälliga samkörningsregister som skall föras bara under en kortare tid, t.ex. 6–12 månader. Ibland kan det dock bli fråga om förlängning av den ursprungligen bestämda tiden, och då övervägs det numera om inspektionen – i efterhand – skall kräva t.ex. information om registret och en rätt för de registrerade att på begäran få bli strukna. Är det uppgifter om många personer som skall hämtas in från befintliga register, brukar inspektionen inte heller kräva informerat samtycke av var och en som skall registreras. I stället brukar det numera krävas att information lämnas genom t.ex. annonser och att den enskilde skall ha rätt att på begäran få bli struken. Regeringen har emellertid, efter överklagande av Statistiska centralbyrån, upphävt föreskrifter om strykningsrätt, se närmare avsnitt 11.3.2. I de fall där ett register grundar sig på informerat samtycke, brukar inspektionen inte meddela någon föreskrift om strykningsrätt för de som ångrar sig och tar tillbaka samtycket i efterhand.
| 274 Forskning och statistik | SOU 1997: 39 |
11.2.5Registerutdrag
Det är ganska många personer som begär registerutdrag enligt 10 § datalagen från Statistiska centralbyrån. Byrån uppskattar att varje begäran orsakar en kostnad om ungefär 100 kr. Antalet förfrågningar varierade under budgetåren 1984/85–1989/90 mellan 12 000 och 41 000 per budgetår.221 Under 1990-talet har antalet förfrågningar dock sjunkit kraftigt. Detta illustreras av följande diagram.
| 16 000 | 14 260 | |||||
| 14 000 | ||||||
| 12 626 | ||||||
| 12 000 | ||||||
| 10 000 | ||||||
| 8 000 | 5 563 | |||||
| 6 000 | 4 274 | |||||
| 3 807 | ||||||
| 4 000 | 2 744 | |||||
| 2 000 | ||||||
| 0 | ||||||
| 1990 | 1991 | 1992 | 1993 | 1994 | 1995 |
221 Uppgifter rörande 1970-talet finns i prop. 1980/81:20 s. 14 f.
| SOU 1997: 39 | Forskning och statistik 275 |
11.2.6Sekretess
I det allmännas verksamhet gäller vid framställning av statistik en särskilt sträng sekretess enligt 9 kap. 4 § sekretesslagen.222 I sådan särskild verksamhet hos en myndighet som avser framställning av statistik gäller s.k. absolut sekretess för uppgifter som avser enskildas personliga eller ekonomiska förhållanden. Uppgifterna i statistikverksamheten är således strikt sekretessbelagda även om de skulle vara offentliga i den statistikansvariga myndighetens övriga verksamhet eller hos den myndighet från vilken uppgifterna hämtats. Det är dock tillåtet att i vissa fall lämna ut uppgifter om det står klart att uppgifterna kan avslöjas utan att den som uppgifterna rör – eller någon som står honom eller henne nära – drabbas negativt (lider skada eller men). Dessa undantagsfall gäller
N uppgifter i företagsregister, N uppgifter som avser avlidna,
N uppgifter som behövs för forsknings- eller statistikändamål, N uppgifter som avser personal- eller lönestatistik och
N uppgifter som inte genom namn, annan identitetsbeteckning eller något därmed jämförbart förhållande är direkt hänförliga till enskilda.
Regeringen kan föreskriva att sekretessen enligt 9 kap. 4 § sekretesslagen skall gälla också för myndighetsundersökningar som är jämförbara med framställning av statistik. Så har skett genom 3 § sekretessförordningen (1980:657). Den bestämmelsen, som inte finns intagen i sin helhet i lagboken, har (den 1 januari 1997) följande lydelse.
Sekretess gäller, i den utsträckning som anges i denna paragraf, i följande av myndighet utförda undersökningar, för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Föreskrifterna i 9 kap. 4 § första stycket andra meningen och andra stycket sekretesslagen (1980:100) gäller, om inte en längre gående begränsning i sekretessen anges i det följande.
222 Statistiksekretessen behandlas mera utförligt i SOU 1993:83 s. 26 ff.
| 276 Forskning och statistik | SOU 1997: 39 |
| Myndigheter | Undersökning | Särskilda begräns- |
| ningar i sekretessen | ||
| 1. Socialberedningen | undersökningar rö- | sekretessen gäller en- |
| (S 1980:07) | rande missbrukare | dast uppgifter om |
| enskildas personliga | ||
| förhållanden | ||
| Utredningen | undersökningar rö- | sekretessen gäller en- |
| (Ju 1986:C) för | rande långtidsdömda | dast uppgifter om |
| översyn av reglerna | enskildas personliga | |
| för straffverkställig- | förhållanden | |
| het för långtids- | ||
| dömda | ||
| Utredningen | undersökningar om | |
| (Fi 1986:06) för | til??lämpningen av | |
| översyn av lagen | betalningssäkrings- | |
| (1978:880) om be- | institutet | |
| talningssäkring för | ||
| skatter, tullar och | ||
| avgifter | ||
| Praxisutredningen | undersökningar om | sekretessen gäller en- |
| (Ku 1993:08) | praxis i asylärenden | dast uppgifter om |
| enskildas personliga | ||
| förhållanden | ||
| Barnpornografiutred- | utredningens under- | sekretessen gäller en- |
| ningen (Ju 1994:14) | sökning om pedofili | dast uppgifter om |
| enskildas personliga | ||
| förhållanden | ||
| Utredningen | undersökningar röran- | sekretessen gäller en- |
| (A 1996:01) om | de utländska med- | dast uppgifter om |
| möjligheterna att i | borgare som sökt sig | enskildas personliga |
| s.k. anknytnings- | till Sverige och de- | förhållanden |
| ärenden använda | ras i Sverige bosatta | |
| belastningsuppgifter | s.k. anknytningsper- | |
| om i Sverige bosatta | soner | |
| personer | ||
| 2. sjukvårdsinrätt- | miljömedicinska, so- | sekretessen gäller en- |
| ningar, utbildnings- | cialmedicinska, | dast uppgifter om |
| anstalter och forsk- | psykiatriska eller | enskildas personliga |
| ningsinrättningar | andra medicinska | förhållanden |
| studier | ||
| 3. riksskatteverket | verkets undersökning | |
| av utfallet av | ||
| 1981 års allmänna | ||
| fastighetstaxering | ||
| 4. brottsförebyggande | kriminologiska under- | |
| rådet | sökningar |
SOU 1997: 39
Forskning och statistik 277
| Myndigheter | Undersökning | Särskilda begräns- |
| ningar i sekretessen | ||
| 5. utbildningsanstalter | sociologiska, psykolo- | sekretessen gäller en- |
| och forskningsin- | giska, pedagogiska | dast uppgifter om |
| rättningar | eller andra beteende- | enskildas personliga |
| vetenskapliga eller | förhållanden | |
| samhällsvetenskap- | ||
| liga studier | ||
| 6. Vägverket | haveriundersökningar | |
| 7. Riksrevisionsverket | kartläggning av om- | |
| fattningen av fusk | ||
| med förmåner och | ||
| bidrag av social ka- | ||
| raktär | ||
| kartläggning av dator- | ||
| relaterade brott och | ||
| datormissbruk |
När en myndighet på uppdrag av någon enskild utför en vetenskaplig eller statistisk undersökning, gäller sekretess för uppgifterna i undersökningen om det måste antas att uppdragsgivaren lämnat uppdraget under förutsättning att uppgifterna inte avslöjas (8 kap. 9 § sekretesslagen).
11.3Forskning
11.3.1Inledning
I samband med forskning används ofta personuppgifter för att framställa statistik.223 Personuppgifter kan dock också behandlas för andra ändamål inom forskningen, t.ex. när en statsvetare för ett register över vad olika politiker sagt eller när en psykolog registrerar hur ett fåtal enskilda individer beter sig när de arbetar i en grupp. Syftet med behandlingen av uppgifter om enskilda individer torde dock regelmässigt vara att få generell kunskap som kan – och skall – presenteras utan att enskildas identitet avslöjas. Vissa undantag finns dock, t.ex. inom litteraturvetenskapen och inom historisk forskning, där det kan vara nödvändigt att presentera uppgifter om enskilda individer.
223I SOU 1995:95 s. 132 ff. finns en beskrivning av hur epidemiologiskt forskningsarbete kan gå till i allmänhet.
| 278 Forskning och statistik | SOU 1997: 39 |
Det finns inte någon entydig definition av begreppet forskning. Som en vid definition av forskning brukar anges: ”ett systematiskt och metodiskt sökande efter ny kunskap och nya idéer”.224 Vi har inte funnit det nödvändigt att för detta bakgrundsavsnitt använda någon preciserad definition av begreppet forskning.
Uppgifter om enskildas personliga förhållanden i sådan forskning som det allmänna bedriver omfattas som regel av samma stränga sekretess som uppgifter som används för att framställa statistik, se närmare avsnitt 11.2.225
Det finns inte någon särskild registerlag för de personregister som används för forskning. Det har dock nyligen föreslagits en särskild lag om hälsodataregister för vissa register inom hälso- och sjukvården som används för forskning.226 Också lagstiftning om rättspsykiatriskt forskningsregister har nyligen föreslagits.227 Lagstiftning om ett receptregister för bl.a. forskning har nyligen beslutats.228
11.3.2Tillämpningen av datalagen
Eftersom det inte finns någon registerlag för forskningsregister, är huvudregeln alltså att datalagen gäller för sådana register; förslag att helt eller delvis ta undan forskningsregister från krav på tillstånd enligt datalagen har genom åren avvisats av statsmakterna.229 Detta innebär att det i princip krävs tillstånd av Datainspektionen för att få inrätta ett register för forskning. Först år 1990 blev det möjligt att i vissa fall använda ett förenklat ansökningsförfarande. Datainspektionen har emellertid nyligen utnyttjat sin nya möjlighet att meddela generella föreskrifter. Från den 1 mars 1996 gäller Datainspektionens föreskrifter för vissa personregister i statlig och landstingskommunal forskningsverksamhet (DIFS 1995:4). För sådana register som inrättas och förs i enlighet med föreskrifterna behövs inte något särskilt tillstånd.230
224Se t.ex. SOU 1989:74 s. 25.
225Se också Alf Bohlin, ”Offentlighet och sekretess i myndighets forskningsverksamhet” i Förvaltningsrättslig tidskrift 1996 s. 183 ff.
226Se SOU 1995:95.
227Se SOU 1996:72.
228Se prop. 1996/97:27 och SOU 1995:122 samt SFS 1996:1156.
229Se närmare avsnitt 11.3.4.
2302 a § första stycket 2 datalagen.
| SOU 1997: 39 | Forskning och statistik 279 |
Föreskrifterna gäller bara när personregistreringen grundar sig på informerat samtycke; när uppgifter i stället skall – utan skriftligt sådant samtycke – hämtas in från befintliga register, måste således det normala ansökningsförfarandet användas. Skall registret användas för annat ändamål än framställning av statistik i ett bestämt forskningssyfte (och utskick till registrerade samt kontroll och rättning av uppgifter), måste också det normala förfarandet användas.
Föreskrifterna gäller bara personregister som omfattas av statistiksekretess enligt 9 kap. 4 § sekretesslagen hos statliga forskningsinrättningar, universitet, högskolor och nämnder med ansvar för landstingens sjukvårdsinrättningar. De enskildas identitet får inte avslöjas i de statistiska redovisningarna, och det finns vissa föreskrifter om ADB-säkerhet som måste följas.
Forskningsregistret måste, som nämnts, grunda sig på samtycke. Skall registret bara innehålla uppgifter som har hämtats från annat håll än den registrerade själv, måste samtycket vara skriftligt. Skall barn under femton år registreras, måste vårdnadshavaren lämna sitt samtycke. Är barnet mellan femton och arton år, måste såväl barnet som vårdnadshavaren lämna sitt samtycke. Barn som är tolv år eller äldre skall själva få skriftlig information rörande den tilltänkta registreringen, och sådan information skall också lämnas till vårdnadshavaren i alla fall där barnet är omyndigt, dvs. under arton år.
Skriftlig information skall, innan uppgifterna hämtas in, lämnas om N den registeransvariga myndighetens namn och adress,
N registrets ändamål och innehåll,
N vilka uppgifter som skall bearbetas med hjälp av automatisk databehandling,
N vilka uppgifter som skall hämtas in från andra källor än den registrerade och vilka dessa källor är,
N hur länge myndigheten planerar att föra registret, N innebörden och omfattningen av sekretesskyddet, N rätten att få utdrag ur registret,
N att registreringen är frivillig och
N i vad mån registret kan komma att bevaras hos arkivmyndighet.
| 280 Forskning och statistik | SOU 1997: 39 |
När tillstånd krävs, avstår Datainspektionen – enligt fast praxis och med visst stöd av förarbetena till datalagen231 – från att pröva om personregistret verkligen behövs för det uppgivna forskningsändamålet. Inspektionen koncentrerar sig i stället på att förebygga otillbörligt intrång i de registrerades personliga integritet genom att uppställa olika föreskrifter för att registret skall få föras. Datainspektionen tillmäter därvid frågan om information till de registrerade och deras frivilliga medverkan central betydelse; den enskilde skall kunna avböja medverkan, om han eller hon vill.
Inspektionens principiella inställning är att information alltid skall lämnas till dem som skall registreras, även när forskarna annars inte skulle ta kontakt med de berörda för att få uppgifter t.ex. genom intervju eller enkät. Att det är praktiskt olägligt eller kostar mycket att informera alla som forskarna skall hämta in registeruppgifter om, bryr sig inspektionen normalt inte om. I vissa undantagsfall är inspektionen dock beredd att diskutera metoden för att lämna information. Det gäller bl.a. när
N hälsotillståndet hos dem som skall registreras gör det svårt att informera på vanligt sätt,
N det finns etiska betänkligheter mot att ta kontakt med dem som skall registreras (t.ex. misstänkt cancersjuka åldringar som skulle kunna oroas av information232),
N informationen skulle förrycka undersökningens resultat,
N det står klart att de som skall registreras kan förväntas vara positiva till registreringen (i vart fall om information lämnas t.ex. genom anslag eller annonser) och
N det är många som skall registreras.
En särskild fråga är om den enskilde skall ha rätt att få bli struken ur ett register för forskning och statistik, om han eller hon begär det. Datainspektionen har på senare år meddelat sådana föreskrifter i vissa fall. I de fall där forsknings- eller statistikändamålet med registret bedömts som viktigt och där en strykningsrätt skulle minska användbarheten av registret har regeringen emellertid – efter överklagande av Statistiska centralbyrån – ansett att det inte borde finnas någon strykningsrätt; det samhälleliga intresset av att statistikregistret grundas på ett tillförlitligt underlag har ansetts väga tyngre än den enskildes intresse av att kunna få uppgifter strukna ur
231Prop. 1973:33 s. 122.
232Se Datainspektionens årsbok 1987/88 s. 111.
| SOU 1997: 39 | Forskning och statistik 281 |
registret. Däremot har föreskrifter om information om registret meddelats.233
Hälsodatakommittén har nyligen särskilt övervägt om det borde finnas någon strykningsrätt beträffande de centrala register inom hälso- och sjukvården som kommitténs lagförslag omfattar. Kommittén kom emellertid fram till att det samhälleliga intresset av att aktuella register grundas på ett tillförlitligt underlag väger över den enskildes intresse av att kunna få uppgifter strukna och föreslog inte någon strykningsrätt.234
Enligt vad vi har inhämtat från Datainspektionen är det sällsynt att enskilda ansöker om tillstånd att föra register för forskning. Sådan registerföring förekommer alltså främst inom den allmänna sektorn. Det är i dag fråga om sammanlagt högst ett 90-tal ärenden per år, där det begärs att ett register för forskning skall få inrättas utan informerat samtycke.
11.3.3Granskning av forskningsetiska kommittéer
För den behandling av personuppgifter som sker vid sådan forskning som får sina pengar från de större forskningsfinansiärerna finns det i dag i praktiken ett dubbelt system av granskning och uppställande av villkor för att hindra otillbörligt intrång i enskildas personliga integritet. Personregistreringen granskas dels av Datainspektionen i samband med tillståndsprövningen enligt datalagen, dels av det forskningsetiska organ som är knutet till den instans som ger pengar för forskningen.235
Humanistisk-samhällsvetenskapliga forskningsrådet har en kommitté för forskningsetiska frågor, som granskar sådan forskning som får anslag från rådet och från vissa andra instanser, t.ex. Riksbankens jubileumsfond och Forskningsrådsnämnden. Kommittén har utarbetat forskningsetiska
233Se regeringsbeslut 1993-10-28, dnr 93-1779 (register för vägtrafikolycksfallsstatistik), och 1996-03-14, dnr Ju 95-1963 (bakgrundsregister avseende folkhälsan) och dnr Ju 95-2100 (register om arbetslöshet bland ungdomar). Jämför regeringsbeslut 1986-06-26, dnr 85-3142 (dåvarande Arbetslivscentrums företagsägarregister).
234Se SOU 1995:95 s. 175 ff.
235I SOU 1989:74 s. 127 ff. och SOU 1989:75 finns en beskrivning av den forskningsetiska granskningen. Se också SOU 1996:72 s. 43 f.
| 282 Forskning och statistik | SOU 1997: 39 |
principer för humaniora och samhällsvetenskap236, vilka fått stor anslutning. Principerna innehåller bl.a. följande.
De forskningsetiska principerna i det följande har till syfte att ge normer för förhållandet mellan forskare och undersökningsdeltagare/uppgiftslämnare så att vid konflikt en god avvägning kan ske mellan forskningskravet och individskyddskravet. Principerna utgör riktlinjer för etikkommitténs granskning av forskningsprojekt i HSFR. De är också avsedda att vägleda den enskilde forskaren vid planeringen av projekt.
Principerna gör inte anspråk på fullständighet. Eftersom problemen kan variera avsevärt från fall till fall, har principerna medvetet mer givits karaktär av vägvisare än av detaljreglerande föreskrifter. De är inte avsedda att ersätta forskarnas egen bedömning och egna ansvar.
Konflikter kan naturligtvis uppstå mellan å ena sidan individskyddskravet och å andra sidan vetenskapliga metodkrav eller andra, rent praktiska förhållanden. Då en sådan vägning mellan stridande principer är aktuell inom ett projekt skall detta redovisas i ansökan. I tveksamma fall bedöms den forskningsetiska konflikten i forskningsrådets kommitté för forskningsetiska frågor.
FYRA HUVUDKRAV
Det grundläggande individskyddskravet kan konkretiseras i fyra allmänna huvudkrav på forskningen. Dessa krav skall i det följande kallas informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Vart och ett av dessa krav kan sedan specificeras ytterligare i ett antal regler, av vilka några skall redovisas i det följande. Vid sidan av dessa huvudregler kan det vara lämpligt att uppställa ett antal råd eller rekommendationer.
INFORMATIONSKRAVET
Forskaren skall informera de av forskningen berörda om den aktuella forskningsuppgiftens syfte.
Detta allmänna krav kan konkretiseras i följande regel:
Regel 1
Forskaren bör informera uppgiftslämnare och undersökningsdeltagare om deras uppgift i projektet och vilka villkor som gäller för deras deltagande. De bör därvid upplysas om att deltagandet är frivilligt och om att de har rätt att avbryta sin medverkan. Informationen bör omfatta alla de inslag i den aktuella undersökningen som rimligen kan tänkas påverka deras villighet att delta.
Den information som ges kan vara mer eller mindre detaljerad. I förhandsinformationen skall ingå den projektansvariges namn och institutionsanknytning för att underlätta kontakten med ansvarig forskare. Undersökningens syfte bör anges och en beskrivning ges av hur undersökningen i stora drag genomförs. Forskaren skall givetvis betona de vins-
236De nuvarande principerna antogs av rådet i mars 1990. En reviderad version gavs ut i början av 1996. Jämför bilaga 4 till SOU 1989:74. Se också t.ex. Bo Petersson, Forskning och etiska koder, 1994, särskilt s. 195 ff.
| SOU 1997: 39 | Forskning och statistik 283 |
ter i fråga om ny kunskap etc. som forskningen i fråga kan komma att bidra till för att motivera till deltagande.
Viktigt är att eventuella risker för obehag och skada redovisas. Det skall dessutom tydligt framgå att deltagandet är frivilligt och att de uppgifter som insamlas inte kommer att användas för något annat syfte än för forskning. Önskvärt är också att uppgift lämnas om hur och var forskningsresultaten kommer att offentliggöras samt om vem som finansierar projektet. Sådan information skall ges muntligt eller skriftligt. Den skall ges senast i samband med att enkät skickas ut, respektive innan försök, testningar, intervjuer, etc. påbörjas.
Det är viktigt i detta sammanhang att skilja mellan tre typer av undersökningar, vilka skiljer sig åt med avseende på om undersökningsdeltagarnas medverkan huvudsakligen är aktiv eller passiv:
1)Undersökningsdeltagarna studeras från något perspektiv; han/hon intervjuas, fyller i en enkät, deltar i ett experiment etc. I dessa fall fordras i princip förhandsinformation. I vissa fall där förhandsinformationen skulle äventyra undersökningens syfte (t.ex. vid deltagande observation eller vid vissa psykologiska experiment) kan dock alternativ till individuell förhandsinformation övervägas. I sådana fall bör så snart som möjligt information lämnas i efterhand.
2)Undersökningsdeltagarna medverkar ej aktivt och uppgifter om dem som är intressanta för ett forskningsprojekt hämtas från redan existerande myndighetsregister. Om och hur information då skall lämnas får bedömas från fall till fall. Hänsyn bör därvid tas framförallt till den faktiska olägenhet utebliven eller indirekt information (t.ex. via massmedia) kan medföra för de berörda. Även faktorer som projektets storlek, typ av variabler och andra praktiska omständigheter kan här vägas in.
Fall som dessa förutsätter naturligtvis respektive myndighets och eventuellt datainspektionens tillstånd. I tveksamma fall inhämtas yttrande från forskningsrådets etikkommitté.
3)Den tredje varianten innebär en kombination av de två första, s.k. blandade undersökningar. Forskaren hämtar då på olika sätt in uppgifter genom deltagarnas aktiva insats i olika former enligt 1) ovan men har eller kommer också att få tillgång till uppgifter ur myndighetsregister om samma personer enligt 2) ovan. I den del som gäller undersökningsdeltagarnas aktiva insats måste självfallet en så fullständig information som möjligt ges. Normalt bör information ges även om annan, planerad datainsamling, t.ex. ur register. Om detta av skilda skäl inte går eller är olämpligt eller oetiskt med tanke på problemställningen bör frågan inte avgöras av forskaren själv utan alltid hänskjutas till forskningsetisk kommitté för bedömning.
SAMTYCKESKRAVET
Deltagare i en undersökning har rätt att själva bestämma över sin medverkan.
Detta krav kan konkretiseras i följande regler:
Regel 2
Forskaren bör inhämta uppgiftslämnares och undersökningsdeltagares samtycke. I vissa fall bör samtycke dessutom inhämtas från förälder/vårdnadshavare (t.ex. om de undersökta är under 15 år och undersökningen är av etiskt känslig karaktär).
| 284 Forskning och statistik | SOU 1997: 39 |
Denna regel är liksom regel 1 beroende av undersökningens karaktär med avseende på undersökningsdeltagarnas aktivitet. I undersökningar med aktiv insats av deltagarna skall samtycke alltid inhämtas. I de fall uppgifter om deltagarna tas från existerande myndighetsregister och information inte lämnats eller lämnas t.ex. via massmedia behöver samtycke ej efterfrågas. Undersökningar av typ 3) enligt ovan, s.k. blandade undersökningar, skall alltid underställas forskningsetisk kommitté för prövning.
Då uppgifter om stora grupper insamlas genom postenkät krävs ej samtycke i förhand. Förutsatt att utförlig information medföljer enkätformuläret enligt vad som anges i kommentarerna till regel 1, kan det individuella samtycket anses ha lämnats när enkäten returneras ifylld.
I vissa fall, då undersökningen inte innefattar frågor av privat eller etiskt känslig natur, kan samtycke inhämtas via företrädare för uppgiftslämnare och undersökningsdeltagare (t.ex. skolledning, lärare, arbetsgivare, fackförening eller motsvarande) och eventuellt berörd tredje part. En förutsättning är då också att undersökningen i förekommande fall sker inom ramen för ordinarie arbetsuppgifter och på vanlig arbetstid.
Formerna för och omständigheterna kring inhämtandet av samtycke bör övervägas noga i de fall det finns skäl att anta att inhämtande av samtycke kan motverka individskyddskravet (t.ex. om förfrågan återuppväcker en till synes överstånden personlig kris, uppdagar för den tillfrågade okända negativa uppgifter om hans/hennes närmaste, aktualiserar tidigare kriminalitet eller sjukdom som den tillfrågade inte vill få bekantgjord, eller liknande). Under dessa omständigheter kan man alltså överväga att företa studien utan att inhämta samtycke. I tveksamma fall bör rådets etikkommitté avgöra frågan.
Särskild försiktighet bör iakttagas då det gäller omyndiga eller sådana personer som själva ej kan tillgodogöra sig given information. Så långt möjligt bör kravet på samtycke tillämpas. Där så inte är möjligt bör förmyndare eller närstående personer ges detta ansvar. I tveksamma fall rekommenderas samråd med kolleger och/eller forskningsrådets etikkommitté.
Regel 3
De som medverkar i en undersökning skall ha rätt att självständigt bestämma om, hur länge och på vilka villkor de skall delta. De skall kunna avbryta sin medverkan t.ex. mitt i en intervju utan att detta medför negativa följder för dem.
Vid forskning då deltagarna är aktiva är denna regel tämligen oproblematisk. Om en deltagare vill avbryta sin medverkan t.ex. mitt i en intervju står det honom/henne fritt att göra detta.
Denna rätt för undersökningsdeltagare att avbryta sin medverkan innebär inte automatiskt att forskaren måste förstöra tidigare insamlade data från den aktuella personen. Huruvida så skall ske beror bl.a. på hur den initiala informationen till deltagarna utformats. Forskaren har rätt att söka motivera de medverkande att kvarstå i forskningsprojektet. Denna påverkan får dock ej ta sig sådana former att de berörda inte längre självständigt kan fatta beslut om avbrytande.
Om en individ begär att få strykas ur ett forskningsmaterial bör detta tillgodoses så långt som möjligt. Formerna för utträde ur ett forskningsmaterial kan variera och är i första hand, som ovan sagts, avhängiga de överenskommelser som gjorts i samband med förhandsinformation. Då sådana överenskommelser inte finns bör en vägning ske mellan den reella skada ett forskningsmaterial kan åsamkas på lång och kort sikt av en begärd, total strykning ur materialet av en eller flera ingående individer och den faktiska olägen-
| SOU 1997: 39 | Forskning och statistik 285 |
het det kan innebära för dessa individer att mot sin vilja kvarstå i materialet. En vanlig form för utträde är s.k. anonymisering vilket innebär att data står kvar men att alla möjligheter till identifikation undanröjs.
Om det skulle visa sig att kunskapstillskottet inte står i rimlig proportion till de olägenheter som kan förorsakas de medverkande eller andra berörda bör forskaren själv avbryta undersökningen.
Regel 4
I sitt beslut att delta eller avbryta sin medverkan får inte undersökningsdeltagarna utsättas för otillbörlig påtryckning eller påverkan. Beroendeförhållanden bör heller inte föreligga mellan forskaren och tilltänkta undersökningsdeltagare eller uppgiftslämnare.
I vissa fall kan, med hänvisning till det övergripande forskningskravet, beroendeförhållanden inte helt undvikas. Då bör undersökningen läggas upp så att det är omöjligt för forskaren att identifiera vem som lämnat de insamlade uppgifterna. Är en sådan uppläggning praktiskt omöjlig att genomföra eller skulle den i övrigt äventyra undersökningens syfte så bör personer erbjudas att medverka först efter noggrann vägning av det förväntade kunskapstillskottet mot tänkbara negativa konsekvenser på kort och lång sikt för de personer som befinner sig i beroendeställning. Härvid är det viktigt att den tillfrågade inte får uppfattningen att vägran att delta eller att fullfölja kan medföra nackdelar i form av t.ex. sämre vård eller behandling.
KONFIDENTIALITETSKRAVET
Uppgifter om alla i en undersökning ingående personer skall ges största möjliga konfidentialitet och personuppgifterna skall förvaras på ett sådant sätt att obehöriga inte kan ta del av dem.
Frågan om konfidentialitet har ett nära samband med frågan om offentlighet och sekretess. Forskaren bör observera att lagstiftningen på området är svårtolkad och föremål för reformer.
Detta allmänna krav kan konkretiseras i följande regler:
Regel 5
All personal i forskningsprojekt som omfattar användning av etiskt känsliga uppgifter om enskilda, identifierbara personer bör underteckna en förbindelse om tystnadsplikt beträffande sådana uppgifter.
Vad som anses vara etiskt känsligt kan naturligtvis variera från samhälle till samhälle och från en tid till en annan. Utgångspunkten bör vara vad man kan anta att de berörda (således ej forskaren) och deras efterlevande kan uppfatta som obehagligt eller kränkande. I tveksamma fall beträffande vad som skall omfattas av tystnadsplikt rekommenderas samråd med kolleger eller med forskningsrådets etikkommitté.
Regel 6
Alla uppgifter om identifierbara personer skall antecknas, lagras och avrapporteras på ett sådant sätt att enskilda människor ej kan identifieras av utomstående. I synnerhet gäller detta uppgifter som kan uppfattas vara etiskt känsliga. Detta innebär att det skall vara praktiskt omöjligt för utomstående att komma åt uppgifterna.
| 286 Forskning och statistik | SOU 1997: 39 |
Med avrapportering avses här både skriftligt offentliggörande (publicering) och muntlig redogörelse för andra än projektpersonal. Regel 6 innebär således att personuppgifter inte får lämnas ut till utomstående och att avrapportering skall ske i former som omöjliggör identifiering av enskilda. Denna regel gäller dock givetvis ej generellt. Vid exempelvis personhistoriska studier kan uppgifter av privat natur ingå i levnadsbeskrivningar. I sådana fall bör om möjligt samråd ske med direkt och indirekt berörda personer före publicering. I särskilt känsliga fall kan det vara befogat att uppskjuta eller avstå från publicering av vissa uppgifter.
Forskaren bör vara medveten om att även om personuppgifter publiceras utan att enskilda nämns vid namn, kan det, om data är tillräckligt detaljerade, vara möjligt för åtminstone vissa läsare att identifiera någon individ. Åtgärder bör då vidtas för att försvåra för utomstående att identifiera enskilda individer eller grupper av individer. Detta är särskilt viktigt då det gäller människor som i ett eller annat avseende kan anses svaga och utsatta och/eller har typiska, lätt igenkännliga särdrag.
Risken för att individer oavsiktligt kan identifieras bör beaktas vid vägningen av värdet av det förväntade kunskapstillskottet mot eventuella negativa konsekvenser för de berörda.
NYTTJANDEKRAVET
Uppgifter insamlade om enskilda personer får endast användas för forskningsändamål.
Detta allmänna krav kan konkretiseras i följande regler:
Regel 7
Uppgifter om enskilda, insamlade för forskningsändamål, får inte användas eller utlånas för kommersiellt bruk eller andra icke-vetenskapliga syften.
Generellt gäller att personuppgifter insamlade för forskningsändamål endast bör doneras eller utlånas till andra forskare som ikläder sig de förpliktelser mot uppgiftslämnare och försökspersoner som de forskare som ursprungligen insamlade materialet utlovat.
Regeln innebär t.ex. att forskare som sysslar med att kartlägga människors fritidsaktiviteter inte får sälja eller låna ut uppgifter om enskilda människor till exempelvis företag som tillverkar produkter för fritidsaktiviteter (att användas i deras marknadsföring).
Regel 8
Personuppgifter insamlade för forskningsändamål får inte användas för beslut eller åtgärder som direkt påverkar den enskilde (vård, tvångsintagning, etc.) utom efter särskilt medgivande av den berörda.
Den som deltagit i en undersökning som uppgiftslämnare eller försöksperson bör få åberopa forskningsresultat i samband med egen begäran om hjälp eller vård från t.ex. sociala myndigheter. Däremot får alltså inte forskningsresultatet användas av exempelvis sociala myndigheter för att mot undersökningsdeltagarnas vilja bereda dem vård, utsätta dem för tvångsintagning eller dylikt.
Vid planering av forskning bör projektledaren/forskaren överväga riskerna för att resultaten utnyttjas felaktigt på det sätt som omnämns i reglerna 7 och 8 och i tillämpliga fall vidta adekvata motåtgärder. I tveksamma fall rekommenderas samråd med kolleger eller med forskningsrådets etikkommitté.
| SOU 1997: 39 | Forskning och statistik 287 |
I Humanistisk-samhällsvetenskapliga forskningsrådets forskningsetiska kommitté ingår omkring 10 ledamöter, varav en representerar det allmänna och de övriga forskarsamhället. Sekreteraren i kommittén går igenom i princip alla ansökningar som kommer in till rådet. Omkring 35– 50 ansökningar per år prövas av kommittén i sin helhet.
Även Socialvetenskapliga forskningsrådet har en särskild kommitté för forskningsetiska frågor, som granskar den forskning som rådet betalar. I etikkommittén ingår tre företrädare för det allmänna och tre företrädare för forskarsamhället. En av företrädarna för det allmänna är ordförande i kommittén. Det brukar inte förekomma skiljaktiga meningar i kommittén. Kommittén använder sig av de principer som tidigare redogjorts för. Kommittén har under år 1996 prövat omkring 34 forskningsprojekt.
Inom den medicinska forskningen finns en väl utvecklad och nästan heltäckande forskningsetisk granskning. Forskningsetiska kommittéer finns vid de medicinska fakulteterna, och på central nivå finns Nämnden för forskningsetik. Det finns även regionala forskningsetiska kommittéer. För att få anslag från Medicinska forskningsrådet och vissa andra finansiärer, t.ex. Riksföreningen mot cancer och landstingen, måste forskningen ha etikgranskats. För att en seriös facktidskrift skall publicera forskningsresultaten krävs vidare i praktiken att forskningsprojektet har granskats forskningsetiskt. En kommitté kan ha omkring 400 ärenden att behandla per år. I kommittéerna ingår alltid lekmän, som är politiskt tillsatta, jämte representanterna för forskarsamhället. Andelen lekmän varierar något i de olika kommittéerna. Som exempel kan nämnas att en kommitté i Stockholm har två lekmän och åtta sakkunniga forskare.
I alla nämnda kommittéer ingår således lekmän som kan sägas representera det allmänna. Kommittéerna för ofta en dialog med de forskare som söker pengar. På detta sätt kan utformningen av forskningsprojekten anpassas så att den personliga integriteten värnas. Kommittéernas utlåtanden är formellt rådgivande, men det torde i praktiken inte förekomma att en forskare får pengar till sådan forskning som kommittén har avstyrkt från etisk synpunkt.
Enligt vad vi har inhämtat är det, åtminstone under senare år, sällsynt att Datainspektionen uppställer strängare krav för att skydda den personliga integriteten än vad den granskande forskningsetiska kommittén uppställt; däremot är det omvända förhållandet – dvs. att kommittén ställer strängare krav än inspektionen – mera vanligt.
| 288 Forskning och statistik | SOU 1997: 39 |
För att belysa vilka känsliga bedömningar det kan vara fråga om i de undantagsfall där inspektionen gör en strängare bedömning kan det finnas anledning att kort redogöra för ett exempel.
Viss forskning från senare år har gett en antydan om att det skulle kunna finnas ett samband mellan tillförsel av hormoner, t.ex. i form av P-piller, och bröstcancer. För att få nya och säkrare kunskaper i den frågan ville en grupp forskare undersöka långa flickor som i tonåren hade fått stora doser hormoner för att motverka att de blev ännu längre. Uppgifter om cirka 500 svenska flickor som kunde ha fått en sådan behandling skulle hämtas in från deras journaler. Dessa kvinnor skulle följas upp under minst ett tiotal år genom att forskarna varje år samkörde sitt register med bl.a. Cancerregistret och Dödsfallsregistret för att se vilka som fick cancer eller dog av det.
Forskarna ville inte informera de kvinnor som skulle registreras. De ansåg att informationen skulle kunna väcka stark oro samtidigt som det i dagsläget inte finns någon säker kunskap om den behandling som kvinnorna genomgått verkligen ökar risken för cancer; svaret på den frågan kan sannolikt inte ges förrän om drygt tio år. Det finns inte heller i dag någon möjlighet att förebygga eller tidigt upptäcka sådan cancer som behandlingen kanske skulle kunna ge.
De berörda forskningsetiska kommittéerna godkände forskningsprojektet utan något krav på information, och forskarna ansökte om Datainspektionens tillstånd att få föra registret. Under det dryga halvår som ansökan handlades hos inspektionen kom uppgifter om projektet ut i massmedia. In- spektionens styrelse pekade på detta faktum och ansåg att det inte fanns skäl att göra undantag från huvudprincipen om informerat samtycke. Det ansågs i stället vara ytterst angeläget att genom information om alla kända fakta stilla den oro som publiceringen kunde ha förorsakat de berörda kvinnorna. In- spektionen krävde alltså informerat samtycke som villkor för att få föra registret.
Forskarna har överklagat beslutet till regeringen, och det ärendet är inte avgjort ännu.
11.3.4Forskningsetiska utredningen
Forskningsetiska utredningen berör i betänkandet Forskningsetisk prövning – Organisation, information och utbildning (SOU 1989:74) frågor som rör användningen av personuppgifter inom forskningen.
Utredningen menade att man inte kan komma ifrån att forskningen ofta måste baseras på känsliga uppgifter om individer för att få fram viktig kunskap och att det viktiga från integritetssynpunkt därför är att se till att uppgifterna hanteras på rätt sätt av forskarna. Det är i första hand forskarsamhället som måste ta ansvar för att forskningsetiska regler formuleras och följs. Det föreslogs att den forskningsetiska granskningen inom hög-
SOU 1997: 39
Forskning och statistik 289
skolan skulle byggas ut och att det skulle förekomma mera utbildning och information om forskningsetiska frågor.
Utredningen lämnade vidare förslag som innebar att personregister som förs av vissa myndigheter237 och som uteslutande används för forskning och där resultaten redovisas utan att enskilda individers identitet avslöjas skulle tas undan från kravet på tillstånd av Datainspektionen. Undantaget skulle dock gälla bara under förutsättning antingen
N att informerat samtycke hade hämtats in från de registrerade eller N att registreringen hade godkänts av en forskningsetisk kommitté.
Det skulle inte vara obligatoriskt att informera de registrerade när det fanns ett godkännande av en forskningsetisk kommitté; frågan om information t.ex. via massmedier skulle lämnas eller inte fick avgöras från fall till fall och kunde lämpligen diskuteras i kommittén.238
Den registeransvarige skulle som tidigare ha en förteckning över de register som fördes som vem som helst fick ta del av. Däremot skulle en enskild inte längre ha rätt till ett utdrag med sina egna uppgifter från ett forskningsregister om detta skulle kunna föra med sig ett sänkt integritetsskydd. Många forskningsregister är nämligen avidentifierade eller består av svårtolkade koder när de används i det dagliga arbetet, och en skyldighet att plocka fram uppgifter för ett registerutdrag på individnivå skulle därför kunna föra med sig att det integritetsskydd som t.ex. kodning eller kryptering innebär försvagades.
Utredningens förslag fick vid remissbehandlingen ett starkt stöd från den övervägande delen av forskarsamhället, medan bl.a. Datainspektionen och Riksdagens ombudsmän motsatte sig sådana ändringar i datalagen.239 Regeringens grundinställning var att de rättsliga och andra regler som gäller för samhällelig verksamhet i övrigt också skall gälla för forskningen. Regeringen ansåg att datalagen borde gälla generellt. Också upprättandet, utnyttjandet och skötseln av register för forskningsändamål borde prövas i den ordning som gäller för sådana dataregister som utnyttjas för andra ändamål. Genom att Datainspektionen som en fristående myndighet granskar
237Statliga högskoleenheter, statliga forskningsinstitut, Statistiska centralbyrån och myndigheter inom hälso- och sjukvården.
238SOU 1989:74 s. 118.
239Se prop. 1989/90:90 s. 212 och SOU 1991:21 s. 51 ff. Se också Datainspektionens årsbok 1989/90 s. 200 ff.
| 290 Forskning och statistik | SOU 1997: 39 |
forskningsprojekten med utgångspunkt i datalagen och därvid lägger integritetsaspekter på verksamheten finns insyn från ett från forskarvärlden fristående organ och en garanti för att den individuella integriteten skyddas. Utredningens förslag och remissynpunkterna lämnades över till Datalagsutredningen för att bedömas i samband med mer allmänna överväganden om datalagens utformning240, se beträffande Datalagsutredningens förslag avsnitt 11.5.
Här kan också nämnas att regeringen redan tidigare hade avvisat liknande förslag från Statistikutredningen.241 Då anfördes att det var synnerligen angeläget att den enskildes integritets- och sekretesskydd beaktas i samband med inrättande av personregister. Sådana register för forsknings- och statistikändamål borde i linje med den inställningen bevakas från integritetssynpunkt med stöd av datalagen.242
Vad gäller forskningsregister har regeringen redovisat motsvarande inställning även på senare år i samband med att statsmaktsregister inrättats.243
Av vad som anförs i den senaste forskningspolitiska propositionen framgår att regeringen avser att ge forskningsetiska problem och forskarnas ansvar i dessa frågor en ökad uppmärksamhet. I den propositionen anförs bl.a.244
Forskarna måste […] upprätthålla av samhället godtagbara etiska principer för metoder i forskningsprocessen, t.ex. vad gäller experiment på människor eller djur eller registrering av data om privatpersoner, för att respekten för forskarnas frihet skall kunna försvaras i samhället.
Diskussionen om forskarnas ansvar har lett till att särskilda regler och nämnder för hantering av forskningsetiska problem har upprättats. Forskningsetiska frågor behandlades av en statlig utredning år 1989 (SOU 1989:74 och 75) och därefter av riksdagen (prop. 1989/90:90, bet. 1989/90:UbU25, rskr. 328). Riksdagen ansåg att forskarna själva måste ta ansvaret för den etiska kvaliteten likaväl som för den vetenskapliga. Etisk prövning av forskningsprojekt är således en naturlig del av verksamheten.
240Se prop. 1989/90:90 s. 212 f. och regeringsbeslut 1990-07-12, dnr 3317/89.
241Se SOU 1983:74, särskilt s. 185 f., och, beträffande remissvaren över det betänkandet, DsC 1984:11, särskilt s. 27 ff. En sammanfattning av utredningsläget år 1987 finns i SOU 1987:31 s. 35 ff.
242Se prop. 1984/85:133 s. 16.
243Se prop. 1992/93:193 s. 21 f. (sjukförsäkringsregister hos de allmänna försäkringskassorna) och 1993/94:235 s. 19 (arbetsförmedlingsregister).
244Prop. 1996/97:5 s. 40 f.
| SOU 1997: 39 | Forskning och statistik 291 |
Riksdagen framhöll bl.a. vikten av utbildning i forskningsetiska frågor på alla stadier, men särskilt inom forskarutbildningen.
I ett samhälle med ett starkt och ökande beroende av vetenskap och teknologi är forskningsetiska frågor i vidare mening av stort allmänt intresse. Hur forskningen inriktas, vilka projekt som prioriteras, vilka metoder som används och hur man förhindrar fusk eller vilseledande resultatredovisning samt hur resultaten kan tänkas påverka samhället i stort har därmed också politisk räckvidd. Frågorna har också samband med respekten för forskningen och forskarnas integritet. Enligt regeringens bedömning är det lämpligt att nu – icke minst med tanke på den snabba utvecklingen inom vetenskapen och strävan efter en närmare samverkan mellan forskning och samhälle – göra en ny analys av de forskningsetiska frågorna i vid mening och därvid bland annat pröva hur systemet i dag fungerar i dessa avseenden. En genomgång av vad forskarsamhället och andra har gjort och gör för att hantera de etiska frågorna är därvid viktig, liksom frågor om i vilken omfattning forskningsetiska frågor verkligen belyses i utbildningen. Regeringen avser att tillsätta en utredning med parlamentarisk förankring för att allsidigt belysa dessa och andra forskningsetiska frågor.
I utbildningsutskottets betänkande över propositionen utgick utskottet från att den planerade utredningens uppdrag skulle omfatta frågor om en genomgång och utvärdering av användningen av de databaser för longitudinell forskning som redan existerar och en penetrering av de etiska frågorna.245
11.4Internationella regler
11.4.1Europarådets rekommendation på området
Europarådets rekommendation nr R (83) 10 om skydd för personuppgifter som används för vetenskaplig forskning och statistik jämte kommentarer (”Explanatory Memorandum”) finns som bilaga 3.2.2 till Datalagsutredningens slutbetänkande. Rekommendationen presenterades i det betänkandet (avsnitt 4.3.2) på följande sätt.
Rekommendationen antogs av Europarådet år 1983. Sverige har utan reservation godtagit rekommendationen. […]
Syftet med rekommendationen är enligt uttalanden i dess inledning att tillgodose såväl forskningens behov som skyddet för den enskildes integritet.
245 UbU 1996/97:3 s. 34 f.
| 292 Forskning och statistik | SOU 1997: 39 |
Rekommendationen är tillämplig på användningen av personuppgifter för vetenskaplig forskning och statistik, såväl inom den allmänna som inom den enskilda sektorn och oberoende av om uppgifterna förs med hjälp av ADB eller manuellt. Medlemsstaterna har möjlighet att tillämpa rekommendationen på föreningar, bolag och andra sammanslutningar som direkt eller indirekt består av individer.
Enligt rekommendationen skall respekten för den personliga integriteten garanteras i varje forskningsprojekt som använder personuppgifter. Så ofta det är möjligt skall undersökningarna utföras med anonyma uppgifter.
Varje person som lämnar uppgifter om sig själv skall informeras om projektets natur, dess mål och namnet på den person eller den organisation för vars räkning forskningen genomförs. Om den person från vilken uppgifter skall inhämtas inte är skyldig att lämna uppgifter, skall han informeras om att han har frihet att välja om han vill samarbeta. Skyldigheten att medverka kan följa av lag eller avtal. Han har också rätt att när som helst avbryta sin medverkan utan att ange något skäl. Om inte, på grund av syftet med forskningen, information om projektets natur m.m. kan avslöjas innan uppgifterna samlas in skall personen informeras efter det att insamlingen är färdig och vara fri att fortsätta eller avbryta sin medverkan. Om han då vill avbryta sin medverkan skall han ha rätt att få uppgifterna strukna ur registret. Särskilda säkerhetsåtgärder skall vidtas i samband med insamling av uppgifter från personer som inte har möjlighet att ta till vara sina egna intressen eller som inte har möjlighet att fritt lämna sitt samtycke.
Personuppgifter som erhållits för forskning får inte användas för något annat ändamål än forskning. I synnerhet får de inte användas för beslutsfattande som direkt påverkar personen ifråga, såvida det inte ligger inom ramen för forskningen eller sker med den berörda personens uttryckliga samtycke.
Personuppgifter som med den enskildes samtycke samlats in för ett särskilt forskningsprojekt får inte utan den enskildes samtycke användas i samband med något annat forskningsprojekt som till sin natur eller syfte på ett väsentligt sätt skiljer sig från det första projektet. I de fall det skulle vara ohanterligt att inhämta sådant samtycke på grund av tidsåtgången eller på grund av det stora antal personer som berörs kan emellertid de insamlade personuppgifterna få användas, under förutsättning att det sker i överensstämmelse med andra skyddsbestämmelser som uppställs i inhemsk lag.
Både allmänna och privata organ skall ha rätt att för egen forskning använda personuppgifter som de innehar för administrativa ändamål. Om personuppgifter i samband med sådan forskning förs in i befintliga register hos det administrativa organet eller om befintliga register ändras, får dessa register inte göras tillgängliga för administrativ personal som sysslar med individuella fall, såvitt det inte sker med den enskildes samtycke.
Personuppgifter får lämnas ut av allmänna eller privata organ för forskningsändamål om det sker med den enskildes samtycke eller om det sker i enlighet med andra i inhemsk lag angivna skyddsbestämmelser.
Forskares tillgång till allmänna befolkningsregister skall underlättas, så att de kan få underlag för urvalsundersökningar. Om annat inte beslutas av inhemska myndigheter i enskilda fall, bör sådana uppgifter få innehålla namn, adress, födelsedatum, kön och yrke. I förarbetena till denna bestämmelse anförs bl.a. att forskningen i ökad utsträckning är beroende av uppgifter som redan finns hos olika statliga institutioner och att bestämmelsen tillkommit för att inte forskningen ensidigt skall vara beroende av dessa institutioners skönsmässiga bedömning i fråga om utlämnande av uppgifter. I anslutning härtill görs också hänvisning till den lagstiftning om tillgång till allmänna handlingar (”laws of freedom of information”) som finns i många länder. Det understryks att de personuppgifter som nämns är den minimi-information som under alla förhållanden
| SOU 1997: 39 | Forskning och statistik 293 |
måste göras tillgänglig och att det undantag som kan vara föreskrivet i inhemsk lag kan ta sikte på sådana grupper av uppgifter som t.ex. adress- och yrkesuppgifter, om det är av särskild vikt för den enskilde att dessa uppgifter inte lämnas ut.
Den enskildes rätt att ta del av uppgifter om sig själv och få dessa rättade får lov att begränsas i de fall uppgifterna är insamlade och bevaras endast för statistik- eller forskningsändamål och resultatet av statistiken eller forskningen inte utan svårighet identifierar individen och det vidtagits tillfredsställande åtgärder för att säkerställa skyddet för den enskildes privatliv vid varje stadium av undersökningen, även beträffande uppgifter som bevaras för framtida användning. Bestämmelsen gäller emellertid inte i de fall den enskilde på grund av forskningens beskaffenhet kan visa sig ha ett särskilt intresse som förtjänar att skyddas.
Personuppgifter som används för forskning får inte publiceras i identifierbar form, såvida inte de berörda lämnat sitt samtycke och det sker i enlighet med särskilda skyddsbestämmelser i inhemsk lag.
I varje forskningsprojekt skall det anges, så långt det är möjligt, om personuppgifter skall förstöras, avidentifieras eller bevaras när projektet är avslutat och i det senare fallet under vilka villkor som uppgifterna skall bevaras. När den berördes samtycke att delta i ett forskningsprojekt behövs, skall samtycket också omfatta möjligheten av att uppgifterna bevaras efter projektets avslutande. Om det inte varit möjligt att infordra samtycke för att bevara uppgifterna, får dessa bevaras under det villkoret att lagringen görs i enlighet med skyddsbestämmelser som fastställts i lag.
Innan beslut fattas om att förstöra personuppgifter som förs av offentliga myndigheter, skall den möjliga framtida användningen av sådan data undersökas i samråd med arkivmyndigheterna.
Inom Europarådet pågår arbete med att ta fram en ny rekommendation.246
11.4.2EG-direktivet
Enligt EG-direktivet får personuppgifter inte behandlas på ett sätt som är oförenligt med de ändamål som angavs när uppgifterna samlades in. Under förutsättning att medlemsstaterna beslutar om lämpliga skyddsåtgärder skall dock senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål inte anses oförenlig med de ursprungliga ändamålen. (Artikel 6.1 b.)
När personuppgifter inte samlas in från den registrerade, skall det vid registreringen av uppgifterna lämnas viss information till den registrerade (artikel 11.1). Information behöver dock inte lämnas, om utlämnandet föreskrivs i författning eller om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information. I sådana
246 Se prop. 1994/95:200 s. 14 och SOU 1995:95 s. 68 f.
| 294 Forskning och statistik | SOU 1997: 39 |
fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. (Artikel 11.2.)
Personuppgifter i allmänhet får behandlas efter samtycke från den enskilde eller om behandlingen är nödvändig bl.a. för att utföra en arbetsuppgift av allmänt intresse. En behandling av personuppgifter kan också vara tillåten efter en intresseavvägning. (Se närmare artikel 7 och avsnitt 3.5.) Det är i princip förbjudet att behandla vissa känsliga personuppgifter (artikel 8.1). Under förutsättning av lämpliga skyddsåtgärder får medlemsstaterna dock besluta om undantag från detta förbud av hänsyn till ett viktigt allmänt intresse. Undantagen kan anges direkt i den nationella lagstiftningen eller genom beslut av tillsynsmyndigheten. (Artikel 8.4.)
Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras bara under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de avvikelser som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder (artikel 8.5).
Den registrerade har rätt att få information om behandlade uppgifter och rättelse (artikel 12). I sådana fall där det uppenbarligen inte finns någon risk för att den berörda personens privatliv kränks får medlemsstaterna
– under förutsättning av lämpliga rättsliga garantier – begränsa dessa rättigheter. Det gäller när uppgifterna bara behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna bara lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik. (Artikel 13.2.)
Om den nationella lagstiftningen inte föreskriver något annat, skall den registrerade i åtminstone vissa fall ha rätt att när som helst av avgörande och berättigade skäl som rör hans eller hennes personliga situation motsätta sig behandling av personuppgifter (artikel 14 1 st. a).
Uppgifter får lagras i sådan form att enskilda kan identifieras bara så länge det är nödvändigt för de ändamål för vilka uppgifterna behandlas. För personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål skall medlemsstaterna vidta lämpliga skyddsåtgärder. (Artikel 6.1 e.)
SOU 1997: 39
Forskning och statistik 295
11.5Datalagsutredningen
11.5.1Förslagen
Enligt Datalagsutredningen skulle behandling för forsknings- och statistikändamål av icke känsliga personuppgifter följa de allmänna reglerna i den föreslagna datalagen.247 För behandling av känsliga personuppgifter för sådana ändamål skulle det däremot föras in särskilda bestämmelser. Hu- vudregeln skulle vara att de enskilda skulle lämna ett skriftligt, informerat samtycke till behandlingen; skulle lämnade uppgifter användas för ett forsknings- eller statistikändamål som inte var förenligt med de ändamål som bestämts vid insamlingen, skulle ett nytt, skriftligt samtycke krävas. De särskilda bestämmelser som föreslogs reglerade de fall där behandling skulle vara tillåten trots att sådant samtycke inte hämtats in.
Behandling utan samtycke skulle bara vara tillåten om det fanns särskilda skäl med hänsyn till
N forsknings- eller statistikprojektets vikt, N behovet av personuppgifter,
N säkerheten vid behandlingen av uppgifterna, och N den tid som uppgifterna skall behandlas.
Ytterligare skulle krävas
a)att det skulle vara synnerligen kostsamt eller tidsödande att hämta in samtycke,
b)att den enskildes hälsotillstånd eller forsknings- eller statistikändamålet var sådant att en begäran om samtycke kunde antas skada den enskilde, eller
c)att en kontakt med den enskilde skulle förrycka undersökningens resultat.
Den enskilde skulle vidare ha rätt att anmäla att han eller hon inte ville delta i projektet. Efter en sådan anmälan skulle uppgifter om anmälaren inte få behandlas i projektet, och om uppgifterna redan var föremål för behandling skulle de utplånas.
I de fall där det var synnerligen kostsamt eller tidsödande att hämta in samtycke eller där den enskilde skulle kunna skadas om man begärde hans
247 Se avsnitt 10 i SOU 1993:10 (s. 175 ff.).
| 296 Forskning och statistik | SOU 1997: 39 |
eller hennes samtycke (punkt a och b ovan) skulle information om behandlingen i stället lämnas i tidningar eller på något liknande sätt. När en kontakt på förhand med den enskilde skulle förrycka undersökningsresultatet (punkt c ovan) skulle information lämnas till den enskilde efter insamlingen av uppgifterna; innan så skett skulle uppgifterna inte få behandlas.
11.5.2Remissutfallet
Remissutfallet får betecknas som övervägande negativt. Flera remissinstanser påpekade att ändamålen med en behandling ofta kan ändras flera gånger under den tid ett forskningsprojekt pågår och att det skulle vara onödigt besvärligt att hämta in nytt samtycke varje gång. Många vände sig vidare mot att samtycket måste vara skriftligt; detta förutsågs bl.a. skapa problem när uppgifter hämtas in vid telefonintervjuer. Flera remissinstanser som representerar forskarsamhället ansåg att det borde finnas ett större utrymme för att bedriva registerforskning utan samtycke än vad utredningen föreslagit. Den obligatoriska rätten för enskilda att få undantas från ett projekt ansågs kunna skapa besvärliga bortfallsproblem.
11.6Överväganden
11.6.1Inledning
Vi tar här upp sådan behandling av personuppgifter för forskning och statistik som inte är reglerad i särskilda författningar och där det inte i särskild ordning övervägs regler om användning av register för forskning och statistik. Sådana regler övervägs för närvarande inom bl.a. hälso- och sjukvården248 – inklusive läkemedelsanvändningen249 – och rättspsykiatrin.250
Det är onekligen ett viktigt samhällsintresse att det finns en fri och allsidig vetenskaplig forskning, som kan generera ny eller fördjupad kunskap om förhållanden och samband, och att sådan statistik framställs som be-
248Se särskilt avsnitt 6.4 i SOU 1995:95 (s. 107 ff.).
249Se prop. 1996/97:27 och SOU 1995:122.
250Se SOU 1996:72.
| SOU 1997: 39 | Forskning och statistik 297 |
hövs för att överblicka och styra verksamheter. Detta torde inte behöva utvecklas närmare.
Vi har inte fått några uppgifter om att det skulle förekomma att sådana personuppgifter som behandlas för forskning och statistik på ett otillbörligt sätt används för andra ändamål, t.ex. avslöjas för obehöriga eller används för att vidta åtgärder mot enskilda. Någon konkret misstanke om att personuppgifter för forskning och statistik skulle missbrukas finns således inte.
Ändå är de flesta människor negativa till att känsliga personuppgifter används för forskning och statistik utan att de tillfrågas först eller åtminstone har möjlighet att förhindra användningen. Det är nog användningen i sig utan möjlighet till inflytande för den enskilde som upplevs som ett besvärande intrång i den personliga integriteten, även om behandlingen sker under sträng sekretess och annars betryggande former.
Det är givetvis viktigt att man vid all forskning och framställning av statistik iakttar en hög etisk standard såväl i fråga om behandlingen av personuppgifter som i övrigt. Genom att den aktuella verksamheten håller en genomgående hög etisk standard, kan allmänhetens förtroende behållas. När människor känner förtroende för en viss verksamhet, kan man i allmänhet lita på att de är villiga att lämna sanningsenliga personliga uppgifter. Har människor inte det förtroendet ökar å andra sidan risken för att de lämnar medvetet felaktiga uppgifter eller undandrar sig medverkan eller på något annat sätt försvårar verksamheten.
11.6.2Huvudprincipen bör vara samtycke vid behandling av känsliga personuppgifter
Allmänhetens inställning talar starkt för att huvudprincipen liksom hittills skall vara att behandling av känsliga personuppgifter251 för forskning och statistik skall ske med samtycke; innebörden av begreppet samtycke berörs i avsnitt 12.2.9. Den huvudprincipen har också accepterats och används i forskarsamhället. Det står samtidigt klart att huvudprincipen inte kan upprätthållas utan undantag. Viss forskning och statistik är så viktig att den inte kan få vara beroende av att varje berörd enskild har informerats och lämnat sitt samtycke. Ibland måste samhällsintresset få ta över intresset av att skydda enskildas personliga integritet. Att ett rättvisande cancerregister
251 Se avsnitt 12.5.3.2 beträffande definitionen av känsliga personuppgifter.
| 298 Forskning och statistik | SOU 1997: 39 |
kan föras är t.ex. ett så viktigt samhällsintresse att man inte kan ta hänsyn till att drygt 10 procent av befolkningen anser att patientuppgifter inte skall få föras över dit.
Sådan behandling av känsliga personuppgifter för forskning och statistik som sker med samtycke är egentligen inte problematisk; har den enskilde frivilligt gått med på att personuppgifterna får användas, bör samhället inte därutöver ställa upp restriktioner för t.ex. forskningen.
11.6.3Behandling av känsliga personuppgifter utan samtycke
11.6.3.1Det måste ske en avvägning i varje enskilt fall
Den svåra huvudfrågan när det gäller behandling av känsliga personuppgifter för forskning och statistik är i stället att avgöra när sådan behandling bör få ske utan samtycke. Enligt vår mening måste det här alltid till en avvägning i varje enskilt fall.
Det bör här erinras om att det redan finns särskilda registerförfattningar för den allra viktigaste statistiken – den som är officiell – och att våra överväganden inte rör det som redan är särreglerat. Övervägandena i det följande avser således främst forskningen, där det inte finns någon generell registerförfattning, och de undantagsfall där känsliga personuppgifter behandlas utan samtycke för att framställa statistik utan att det regleras av de särskilda registerförfattningarna om den officiella statistiken.
Principen om en fri forskning gör att det finns många olikartade forsknings- och statistikprojekt och dessa pågår bara under en begränsad tid, även om vissa projekt kan vara avsedda att – om det finns pengar – hålla på länge. Den splittrade bilden medför att det framstår som ogörligt att annat än på vissa särskilda områden ha regler som på förhand anger vilka behandlingar av känsliga personuppgifter för forskning och statistik som skall vara tillåtna utan samtycke. Också vikten av att värna om forskningens frihet talar emot att annat än undantagsvis ha av riksdag eller regering på förhand beslutade regler om vilken forskning som får bedrivas. Beträffande den officiella statistiken finns det numera en reglering av vilka register med känsliga personuppgifter som är tillåtna252, och beträffande vissa register för forskning och statistik inom hälso- och sjukvårdsområdet
252Se lagen och förordningen om vissa personregister för officiell statistik, SFS 1995:606 och 1060.
| SOU 1997: 39 | Forskning och statistik 299 |
har en liknande reglering föreslagits.253 Men det är belysande att det ännu inte finns någon registerlag för forskningen, trots att det är fråga om ett viktigt samhällsområde där behandling av mycket känsliga personuppgifter ofta är nödvändig. Också det förhållandet att inte ens användningen för forskning av vissa administrativa statsmaktsregister har ansetts kunna regleras generellt i aktuella registerlagar visar på svårigheterna med generella regler på förhand.254 Man bör här även nämna den omständigheten att det dröjde så länge innan ens ett förenklat ansökningsförfarande för tillstånd till sådana forskningsregister som bygger på samtycke kunde antas.255
Vår slutsats är alltså att det inte är möjligt att i en ny datalag ha generella regler som skulle motsvara en särskild registerlag för forskning och sådan statistik som inte redan regleras genom särskild registerförfattning, utan att det måste bli fråga om en avvägning i varje enskilt fall. Vid en sådan avvägning måste, som vi ser det, olika faktorer kring forskningsprojektet vägas mot intrånget i den enskildes personliga integritet. Det bör t.ex. göras en bedömning av hur pass viktig den kunskap är som forskningsprojektet kan ge och om den kunskapen kan fås på något annat sätt än genom att behandla personuppgifter eller om intrånget i den personliga integriteten annars kan begränsas genom en annan uppläggning av projektet. Det är t.ex. viktigt att möjligheterna att bedriva forskningen eller framställa statistiken utan att använda personanknutna uppgifter alltid undersöks.
11.6.3.2Vem bör göra avvägningen
Den nuvarande datalagen bygger på att det är Datainspektionen som i samband med sin tillståndsgivning bestämmer om det skall krävas samtycke eller inte. Inspektionen anser sig dock inte ha kompetens att bedöma forskningsprojektet som sådant. Redan av den anledningen är det enligt vår mening inte lämpligt att inspektionen gör den nödvändiga avvägningen i varje enskilt fall. Härtill kommer att en ny datalag inte bör bygga på ett system med tillstånd av Datainspektionen, se avsnitt 12.12. Det är därför
253Se t.ex. SOU 1995:95.
254Se prop. 1992/93:193 s. 21 f. (sjukförsäkringsregister hos de allmänna försäkringskassorna) och 1993/94:235 s. 19 (arbetsförmedlingsregister).
255Jämför t.ex. DsJu 1981:15 s. 166 f., där det – redan år 1981 – föreslås att Datainspektionen skall utforma ett förenklat ansökningsförfarande för vetenskapliga register.
| 300 Forskning och statistik | SOU 1997: 39 |
inte heller en framkomlig väg att inspektionen på ett eller annat sätt tillförs nödvändig kunskap för att göra avvägningen.256
Datalagsutredningens förslag innebär i praktiken att en s.k. avvägningsnorm tas in i lagtexten. En sådan regel (norm) ger uttryck för att det skall ske en avvägning mellan olika intressen och kan också mer eller mindre precist ange vilka faktorer som kan beaktas i samband med intresseavvägningen. De faktorer som utredningen angav skulle beaktas – se avsnitt 11.5.1 – kan vi i huvudsak ställa oss bakom. Utredningens förslag innebär vidare i praktiken att den enskilde forskaren skulle göra avvägningen med risk för att vid en (oaktsam) felbedömning drabbas av sanktioner, t.ex. sättas i fängelse.
Enligt vår mening är den avvägning som måste ske så känslig och så svår att göra att den som huvudregel inte bör överlåtas åt varje enskild forskare vid varje enskilt forskningsprojekt; det krävs större vana och kunskap för att göra den avvägning som behövs. Det framstår också som mindre lämpligt att den forskare som anser det lönt att använda ett par år av sitt liv för att genomföra ett visst forskningsprojekt själv skall göra en bedömning av vikten av det egna projektet och det integritetsintrång som han eller hon kan förorsaka enskilda.
Våra överväganden hittills har lett oss fram till slutsatsen att det krävs att avvägningen i de enskilda fallen som regel görs av någon oberoende instans som har kunskap och vana att göra bedömningar av såväl risken för otillbörliga integritetsintrång som forskningsprojektet som sådant. Vi har inte lyckats finna någon annan lämplig sådan instans än de forskningsetiska kommittéer som finns; att tillskapa en helt ny instans för att pröva nu aktuella frågor har vi inte funnit lämpligt eller nödvändigt.
11.6.3.3De forskningsetiska kommittéerna
Som framgår av avsnitt 11.3.3 finns på de humanistisk-samhällsveten- skapliga, socialvetenskapliga och medicinska forskningsområdena forskningsetiska kommittéer med hög kompetens och med företrädare även för det allmänna.
Att en forskningsetisk kommitté har godkänt ett forskningsprojekt utgör en presumtion för att projektet är upplagt på ett godtagbart sätt och att det är så viktigt att ett visst intrång i den enskildes personliga integritet bör tillåtas av hänsyn till samhällsintresset av att projektet kan genomföras.
256 Jämför SOU 1978:54 s. 188 f. och 190 samt därtill prop. 1978/79:109 s. 13.
| SOU 1997: 39 | Forskning och statistik 301 |
Såvitt vi har kunnat finna utgör den forskningsetiska granskningen en tillräcklig garanti för att behandling av känsliga personuppgifter för forskning och statistik används utan samtycke bara i de undantagsfall där det är verkligen befogat med hänsyn till samhällsintresset att forskningen kommer till stånd. Också frågan om i vad mån och hur information skall lämnas i de sällsynta fall där samtycke inte krävs verkar hanteras på ett omdömesgillt sätt av de forskningsetiska kommittéerna.
De forskningsetiska kommittéernas verksamhet är inte författningsreglerad.257 Kommittéerna skulle – om det i lagstiftningen angavs att personuppgifter för forskning fick användas utan samtycke om kommittén godkänt projektet – visserligen inte åläggas någon utövning av offentlig makt. Men kommittéernas inställning är givetvis ändå av största betydelse.
Våra kontakter med de forskningsetiska kommittéerna har visat att de genomgående är positiva till ett sådant system som nu skisserats. Kommittéerna verkar vidare ha möjlighet att praktiskt ta hand om den ökade mängd granskningsärenden som kan förväntas med ett nytt system.
Det finns dock en inneboende motsättning som man bör vara uppmärksam på och som bör nämnas i sammanhanget. De forskningsetiska kommittéerna är nämligen knutna till de forskningsråd som ger pengar till forskningsprojekten. Och ju mer information osv. som kommittéerna kräver, desto mindre forskning blir det för rådets pengar. Risken för att kommittéerna på ett otillbörligt sätt av ekonomiska skäl skulle ge avkall på kravet på samtycke får dock inte överdrivas. Såvitt framkommit har kommittéerna den självständighet och integritet som krävs. Även de jävsproblem som alltid uppkommer när yrkeskollegor skall bedöma varandras projekt bör uppmärksammas. I bland annat detta hänseende kan det allmännas medverkan och inflytande i kommittéerna ha stor betydelse.
Ytterligare en fördel med ett system med godkännande av en forskningsetisk kommitté är att det för dessa fall inte torde finnas något behov av en definition av vad som är forskning eller vilka som är forskare. Det får nämligen förutsättas att kommittén bara godkänner sådan forskning som bedrivs vetenskapligt och som är väsentlig.
Vi har alltså kommit fram till att behandling utan samtycke av känsliga personuppgifter för forskning och statistik bör tillåtas när en forskningsetisk kommitté har granskat och godkänt projektet; vad kommittén kan ha
257I rättsfallet RÅ 1979 2:11 ansågs en etisk kommitté vid Södersjukhuset i Stockholm utgöra en myndighet i tryckfrihetsförordningens mening.
| 302 Forskning och statistik | SOU 1997: 39 |
kommit fram till i fråga om t.ex. information till de enskilda skall givetvis följas för att behandlingen skall anses tillåten. Den persondataansvarige skall alltså inte kunna drabbas av sanktioner – främst skadestånd – för att han eller hon behandlar känsliga personuppgifter för forsknings- eller statistikändamål, om han eller hon följer vad den forskningsetiska kommittén har bestämt.
Att de forskningsetiska kommittéerna ges inflytande över om samtycke skall krävas innebär inte att Datainspektionen skulle vara avskuren från att utöva effektiv tillsyn över aktuella forskningsprojekt. Det bör visserligen inte vara Datainspektionens uppgift att meddela tillstånd till registerforskning utan samtycke. En sådan uppgift skulle innebära en dubbelkontroll och strida mot våra strävanden att föra bort så mycket av den byråkratiska prövningen som möjligt. Som förut anförts bedömer Datainspektionen inte heller forskningsprojekten som sådana. Däremot skall de allmänna reglerna om säkerhet vid behandlingen (se avsnitt 12.10) och om inspektionens tillsyn och befogenheter i övrigt (se avsnitt 12.14.1.3) givetvis gälla. Genom att material kring nu aktuella behandlingar finns samlade hos ett fåtal forskningsetiska kommittéer, kan inspektionen enkelt få en överblick.
Det får vidare förutsättas att inspektionen och de forskningsetiska kommittéerna regelbundet samråder med varandra på lämpligt sätt, t.ex. genom återkommande konferenser eller seminarier i fråga om persondataskyddet och att samråd vid behov även sker med andra berörda myndigheter, t.ex. Riksarkivet. Inspektionen bör givetvis noga följa utvecklingen på detta område och, om det visar sig nödvändigt, ta initiativ till de författningsändringar som de ytterligare erfarenheterna av kommittéernas hantering av dessa frågor kan föranleda.
Det skall, som sagts, också tillsättas en parlamentarisk utredning för att göra en översyn av den forskningsetiska verksamheten. Frågorna kommer således att inom den närmaste framtiden få en ordentlig genomlysning. Det är möjligt att resultatet av översynen kommer att bidra till att ge den forskningsetiska granskningen ytterligare stadga och att den viktiga frågan om det allmännas medverkan och inflytande uppmärksammas. I vart fall kommer översynen att kunna ge ett underlag för förnyade överväganden om de forskningsetiska kommittéernas medverkan vid prövningen av forskningsprojekt som innefattar behandling av personuppgifter.
Med en forskningsetisk kommitté avses i vårt förslag en sådan kommitté eller liknande som motsvarar de kommittéer som nämnts i avsnitt 11.3.3. Det bör emellertid inte föreligga något hinder att prövning av andra forskningsetiska kommittéer, anslutna exempelvis till privata stiftelser,
| SOU 1997: 39 | Forskning och statistik 303 |
som finansierar forskning i betydande omfattning, tillmäts samma betydelse. En förutsättning bör vara att det i en sådan kommitté sitter företrädare för både det allmänna och forskarsamhället. Hur sådana kommittéer skall utses bör inte utan särskild utredning regleras i lag, eftersom det är fråga om frivilligt upprättade organ och förhållandena kan vara skiftande. Det kommer också att inom kort inledas en översyn av den forskningsetiska verksamheten. Om den här förordade lösningen i dagsläget framstår som alltför löslig, bör övervägas att kräva ett godkännande av Datainspektionen för att en kommittés prövning skall tillmätas den betydelse som här föreslås. Detta kan vara ett alternativ till att annars kräva förhandsgranskning av Datainspektionen av registerforskning utan samtycke när prövning inte gjorts av någon av de etablerade forskningsetiska kommittéerna.
Det finns inte i dag någon definition av forskningsetisk kommitté i lagstiftningen. I 14 c § läkemedelsförordningen (1962:701) nämns dock yttrande från en regional forskningsetisk kommitté som en förutsättning för att klinisk läkemedelsprövning skall få påbörjas.258 Vi anser att det är värdefullt att i lagtexten ta in en definition. En ändamålsenlig definition av de forskningsetiska kommittéer som avses torde vara: Ett sådant särskilt organ för prövning av forskningsetiska frågor som har företrädare för såväl det allmänna som forskningen och som är knutet till ett universitet eller en högskola eller till någon annan instans som i mera betydande omfattning finansierar forskning.
11.6.3.4En avvägningsnorm i lagtexten
Enligt vår mening är det inte tillräckligt med en regel om godkännande av en forskningsetisk kommitté. Det finns nämligen inte någon garanti för att all vetenskaplig forskning där det kan vara befogat att behandla känsliga personuppgifter utan samtycke kan prövas av någon forskningsetisk kommitté, och på det renodlat statistiska området kan det vara befogat att – utanför området för den särskilt lagreglerade officiella statistiken – på detta sätt behandla känsliga personuppgifter.
Beträffande vetenskaplig forskning bör det röra sig om ett förhållandevis begränsat antal projekt som av en eller annan anledning inte kan prövas av en forskningsetisk kommitté. Beträffande den medicinska forskningen verkar de flesta bedömare ense om att systemet med forskningsetisk
258Jämför 3 kap. 13 § högskoleförordningen (1993:100) angående högskolans möjligheter att ta betalt för den forskningsetiska prövningen.
| 304 Forskning och statistik | SOU 1997: 39 |
granskning är i det närmaste heltäckande. Vi har beträffande övrig forskning försökt ta reda på hur stor andel av forskningen med personuppgifter som i dag kan tänkas bedrivas utan möjlighet till forskningsetisk prövning. Det har emellertid visat sig vara omöjligt att få fram uppgifter om det. De uppskattningar som olika bedömare gjort är osäkra och varierar en del. Egentliga registerforskningsprojekt, där många uppgifter hämtas in från befintliga register, torde dock så gott som undantagslöst ha granskats av forskningsetisk kommitté. Mindre register, som forskaren själv upprättar t.ex. över ett begränsat antal undersökningspersoner under forskningsprojektets gång, kan emellertid förekomma utan att ha granskats forskningsetiskt.
Någon alternativ prövningsinstans för de projekt som i dag inte har tillgång till granskning av forskningsetiska kommittéer har vi inte lyckats finna.
Med vetenskaplig forskning avses här i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor eller privata, väletablerade forskningsinstitut.259 Släktforskning faller utanför, liksom annan forskning av mera privat natur260; det måste finnas ett samhällsintresse av att forskningen bedrivs och den måste vara vetenskaplig i någon mening.
När det gäller det renodlat statistiska området, täcks registerhanteringen beträffande den allra mest väsentliga statistiken redan av särskild lagstiftning. Det kan emellertid finnas ett så starkt samhällsintresse att även annan statistik framställs att man bör tillåta det intrång i den enskildes personliga integritet som behandling av känsliga personuppgifter utan samtycke utgör. Den framställning av statistik som det kan vara fråga om torde så gott som uteslutande utföras av myndigheter, kanske främst Statistiska centralbyrån. Den behandling av känsliga personuppgifter för framställning av statistik som privata företag utför, t.ex. för opinions- eller marknadsundersökningar, bör liksom i dag som regel grundas på samtycke.
259Se SOU 1993:10 s. 198 för en något mera utförlig beskrivning av vilka verksamheter som kan avses. – Också den forskning som en pensionerad professor kan bedriva får som regel betraktas som en sådan etablerad verksamhet, även om professorn inte längre är knuten till någon institution.
260Jämför beträffande privat undersökningsverksamhet som inte ansetts som forskning t.ex. RÅ 1994 ref. 75 (frilansjournalist som skulle skriva bok om nazister) och regeringsbeslut 1988-03-17, dnr 88-573 (nazistregister som skulle användas vid föreläsningar m.m.).
SOU 1997: 39
Forskning och statistik 305
Det nu sagda leder fram till slutsatsen att lagtexten också bör innehålla en avvägningsnorm enligt vilken behandling utan samtycke av känsliga personuppgifter för forskning och statistik är tillåten om samhällsintresset av behandlingen klart väger över det integritetsintrång som behandlingen kan innebära. Avvägningen får här i första hand göras av den myndighet eller annan som är ansvarig för behandlingen med risk för att vid en felbedömning drabbas av sanktioner, främst skadestånd. Vi har nämligen inte lyckats finna någon lämplig, fristående instans som skulle kunna göra avvägningen i de enskilda fallen. De myndigheter som på statistikområdet kan ha att göra avvägningen, främst Statistiska centralbyrån, får förutsättas ha ett nära samråd med Datainspektionen. Inspektionen skall givetvis också ha att utöva tillsyn över nu avsedda behandlingar. Såsom berörs vidare i det följande föreslår vi också att det införs en obligatorisk skyldighet att i förväg anmäla alla nu aktuella behandlingar till Datainspektionen.
De faktorer som Datalagsutredningen angav skulle beaktas ställer vi oss som sagt i huvudsak bakom. Man bör således vid den helhetsbedömning som skall göras vid intresseavvägningen beakta bl.a. forsknings- eller statistikprojektets vikt, behovet av personuppgifter, säkerheten vid behandlingen, hur pass kostsamt eller tidsödande det skulle vara att hämta in samtycke, i vad mån den enskilde skulle kunna skadas om man begärde samtycke och om en kontakt med den enskilde skulle kunna förrycka undersökningsresultatet. Vid intresseavvägningen skall också beaktas om information i någon form lämnas till de berörda, t.ex. via anslag eller annonser. I de allra flesta fall bör åtminstone sådan information kunna lämnas. Av vad som anförs i avsnitt 11.6.6 framgår att även frågan i vad mån den som begär det skall ha rätt att bli struken skall beaktas vid intresseavvägningen.
Det är enligt vår mening inte nödvändigt att ha så utförliga regler i lagtexten som Datalagsutredningen föreslog. Det räcker som vi ser det med en grundläggande regel i lagen som på ett kortfattat men adekvat sätt ger uttryck för den intresseavvägning som skall ske. Avvägningsnormen i lagen bör sedan kunna preciseras genom föreskrifter på särskilda områden som meddelas av regeringen eller, efter delegation, av Datainspektionen. Härigenom får de som har att göra avvägningen i de enskilda fallen ytterligare vägledning. Den restriktiva tillämpning som vi avser framgår med erforderlig tydlighet av en regel i lagen om att känsliga personuppgifter får behandlas för forsknings- och statistikändamål utan samtycke bara om behandlingen är nödvändig och samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära. Med projekt avser vi då även sådan
| 306 Forskning och statistik | SOU 1997: 39 |
statistikframställning som sker återkommande, t.ex. årligen, dvs. vad som brukar kallas en statistikprodukt.
I enlighet med vad som anförs i avsnitt 12.12.1 anser vi i och för sig att skyldigheten att i förväg anmäla behandlingar till Datainspektionen för förhandskontroll bör begränsas till ett minimum. Vår uppfattning är emellertid att det är så viktigt att Datainspektionen får kännedom om och kan kontrollera alla de forsknings- och statistikprojekt där känsliga personuppgifter skall behandlas utan samtycke och utan att projektet har godkänts av en forskningsetisk kommitté, att dessa behandlingar alltid bör anmälas i förväg till Datainspektionen för förhandskontroll. Såsom anförs i avsnitt 12.12.2.5 innebär vårt förslag att det i persondatalagen tas in ett bemyndigande för regeringen att besluta om sådan anmälningsskyldighet; i själva lagförslaget tas alltså inte in några bestämmelser om vilka behandlingar som skall omfattas av skyldigheten. Vi föreslår att regeringen genom förordning inför en anmälningsskyldighet av nämnd innebörd för nu avsedda fall. Anmälningsskyldigheten bör omfatta såväl automatiska som icke automatiska behandlingar.
11.6.3.5Förhållandet till internationella regler
Den föreslagna lagregeln utgör ett sådant tillåtet undantag från det principiella förbudet mot behandling av känsliga personuppgifter för ett viktigt allmänt intresse som anges i artikel 8.4 i EG-direktivet; undantaget måste dock, enligt artikel 8.6, anmälas till kommissionen. Undantag får göras bara under förutsättning av lämpliga skyddsåtgärder. Bland annat de stränga sekretessregler som regelmässigt gäller vid behandling för forskning och statistik får anses utgöra sådana lämpliga skyddsåtgärder som avses.
Behandling för forskning och statistik av sådana personuppgifter rörande brott som avses i artikel 8.5 får, enligt vårt förslag (se avsnitt 12.5.3.4), utföras bara av en myndighet, t.ex. Brottsförebyggande rådet. Anses det nödvändigt med behandling av sådana uppgifter i privat verksamhet, kan regeringen eller Datainspektionen, också enligt vårt förslag, dock genom föreskrifter tillåta behandlingen. Sådana föreskrifter torde behöva anmälas till kommissionen enligt artikel 8.6.
Enligt artikel 11.2 i EG-direktivet behöver information inte lämnas när uppgifter hämtas in från annat håll än de registrerade, om utlämnandet av uppgifterna uttryckligen föreskrivs i författning. Enligt punkt 4.4 i Europarådets rekommendation bör det inte krävas samtycke när uppgifter lämnas
| SOU 1997: 39 | Forskning och statistik 307 |
ut från ett privat eller offentligt organ för forskningsändamål i enlighet med lagstiftning. I båda nu nämnda fall krävs att det finns lämpliga skyddsåtgärder.
Det bör enligt vår mening – med hänsyn till de internationella reglerna
– i persondatalagen tas in en uttrycklig regel om att personuppgifter får lämnas ut för att användas i sådana forsknings- och statistikprojekt som är så viktiga att behandling av känsliga personuppgifter är tillåten utan samtycke. Regeln medför att den forskare eller statistiker som i enlighet med regeln hämtar in personuppgifter från något annat håll än de registrerade inte automatiskt behöver informera de registrerade om sin behandling; däremot kan den forskningsetiska granskningen eller en til??lämpning av avvägningsnormen i lagtexten i enlighet med vad som tidigare sagts leda till att information måste lämnas. Det är däremot inte fråga om någon ny uppgiftsskyldighet för enskilda. Ett privat företag kan således själv bestämma om personuppgifter skall lämnas ut för forskning eller statistik. Regeln bör dock inte gälla för det allmänna i den mån något annat följer av sekretesslagen. Bland annat de stränga sekretessbestämmelser som regelmässigt gäller inom forsknings- och statistikverksamhet får anses utgöra sådana lämpliga skyddsåtgärder som krävs enligt de internationella reglerna.
11.6.4Behandling av icke känsliga personuppgifter
Enligt vår mening bör behandling av icke känsliga personuppgifter för forskning och statistik regleras av de allmänna bestämmelserna i den föreslagna persondatalagen. Det är nämligen inte rimligt att behandling för forskning och statistik, som kan ha ett stort samhällsintresse och som regelmässigt sker under mycket sträng sekretess, skall vara underkastad strängare regler än vad som gäller för t.ex. privata företags behandling av icke känsliga personuppgifter.
Enligt EG-direktivet får personuppgifter behandlas utan samtycke om behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vetenskaplig forskning får som regel anses utgöra ett sådant allmänt intresse, liksom den statistik som framställs av myndigheter.
Ibland kan även privata företags behandling av personuppgifter för att framställa statistik vara en sådan arbetsuppgift av allmänt intresse. De opinionsundersökningar avseende aktuella samhällsfrågor som utförs av sådana företag är ett exempel, liksom arbetsmarknadsorganisationernas framställning av bl.a. lönestatistik. I vissa fall kan privata företags be-
| 308 Forskning och statistik | SOU 1997: 39 |
handling av personuppgifter för att framställa statistik också anses vara tillåten efter en sådan intresseavvägning som EG-direktivet föreskriver. Huvuddelen av den framställning av statistik som de privata undersökningsföretagen ägnar sig åt torde dock ske efter samtycke, t.ex. genom att den enskilde får information och sedan frivilligt besvarar en enkät eller en telefonförfrågan.
Även när avsikten är att behandlingen av personuppgifter för forskning och statistik skall ske med samtycke kan det bli aktuellt att inledningsvis utnyttja möjligheterna att behandla icke känsliga personuppgifter utan samtycke. För att kunna hämta in samtycke från de personer som skall undersökas är det nämligen ofta nödvändigt att för utskick eller telefonförfrågningar upprätta ett personregister som innehåller de berörda personernas namn, adress och telefonnummer. Det bör betonas att ett sådant ”förregister” inte får byggas upp på ett sådant sätt att känsliga uppgifter kan hänföras till de registrerade. I vissa fall kan rubriken på ett register avslöja känsliga uppgifter om dem som är upptagna där, även om uppgifterna bara innefattar namn och adress. De personer som avböjer medverkan måste naturligtvis strykas omgående ur registret, medan uppgifter om sådana personer som samtycker till att medverka kan föras över till ett särskilt forsknings- eller statistikregister där ytterligare uppgifter kan registreras. En eventuell bortfallsanalys får inte göras på det sättet att uppgifter om de personer som avböjt medverkan eller inte kunnat nås registeras i ett manuellt register eller med hjälp av automatisk databehandling.
11.6.5Betydelsen av det ändamål för vilket uppgifterna samlats in
11.6.5.1Inledning
För den som skall forska eller framställa statistik kan det ofta vara rationellt och förhållandevis billigt att använda redan insamlade personuppgifter för forskningen eller statistiken. Uppgifterna kan ha samlats in för t.ex. administrativa ändamål eller för något annat forsknings- eller statistikprojekt. Man kan här skilja mellan tre huvudfall:
N Personuppgifter som har samlats in för administrativa ändamål skall användas av den persondataansvarige själv för forskning och statistik, t.ex. för att följa upp verksamheten.
| SOU 1997: 39 | Forskning och statistik 309 |
N Personuppgifter som har samlats in för administrativa ändamål skall lämnas ut till någon annan för att hos denne användas för forskning och statistik.
N Personuppgifter som har samlats in för ett forsknings- eller statistikändamål skall användas för ett annat sådant ändamål.
I samtliga nu angivna fall skall personuppgifterna alltså användas för något annat ändamål än det för vilket de ursprungligen samlades in. Det bör påpekas att uppgifter givetvis kan samlas in för flera ändamål samtidigt, och våra överväganden i detta avsnitt avser inte det oproblematiska fallet att de registrerade har samtyckt till ett sådant förfaringssätt. I det följande behandlas de tre angivna fallen under skilda rubriker.
Först finns det emellertid anledning att kort beröra ett annat fall där personuppgifter används för ett annat ändamål än det för vilket uppgifterna samlats in. Det gäller det fallet att personuppgifter som samlats in för forskning och statistik används för något annat ändamål än forskning och statistik, t.ex. för att vidta åtgärder som berör enskilda.
11.6.5.2Personuppgifter för forskning och statistik används för att vidta åtgärder beträffande enskilda
Personuppgifter som har samlats in för forskning och statistik får som regel inte användas för andra ändamål än forskning och statistik, eftersom en sådan användning är klart oförenlig med det forsknings- eller statistikändamål för vilket uppgifterna ursprungligen samlades in; en annan sak är att den kunskap som forskningen eller statistiken ger kan användas för att vidta åtgärder i samhället och beträffande enskilda. I vissa fall kan emellertid personuppgifter som har samlats in eller används för forskning och statistik användas för att vidta åtgärder beträffande de registrerade.
Ibland kan ett forskningsprojekt vara upplagt så att personuppgifterna skall användas för att vidta åtgärder rörande enskilda. Ett sådant projekt får emellertid genomföras bara om de enskilda som lämnat uppgifter har samtyckt till det.261 Det bör alltså inte vara tillåtet att forskare utan samtycke hämtar in registeruppgifter för att sedan använda dessa för att – i forskningssyfte eller eljest – vidta åtgärder beträffande de registrerade.
261Jämför punkt 4.1 andra stycket i Europarådets rekommendation och punkt 30 i förklaringarna därtill.
| 310 Forskning och statistik | SOU 1997: 39 |
I vissa undantagsfall kan det dock vara befogat att använda personuppgifter som har samlats in eller används för forskning och statistik för att varna de registrerade. Ett exempel är det fallet att en forskare som undersöker ett misstänkt samband mellan intag av en medicin och någon allvarlig sjukdom upptäcker att det faktiskt finns ett sådant samband och därför använder registeruppgifter för att varna de registrerade som har fått sådan medicin så att de kan låta undersöka sig och få behandling.262 Ett annat exempel är när ett statistikregister används för att varna de som har köpt en apparat som visar sig ha ett allvarligt fel. En sådan behandling kan inte rimligen anses oförenlig med de forsknings- eller statistikändamål för vilka uppgifterna ursprungligen samlades in. Här finns det också anledning att peka på att behandling även av känsliga personuppgifter är tillåten enligt EG-direktivet om behandlingen är nödvändig för att skydda vitala intressen hos den registrerade.
Såsom framgår av vad som anförs i avsnitt 12.4.6.3 föreslår vi att det i persondatalagen tas in en bestämmelse om att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder beträffande den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades eller någon annans vitala intressen.
11.6.5.3Verksamhetsstatistik
Om en persondataansvarig på laglig grund redan behandlar personuppgifter för t.ex. administrativa ändamål, bör han eller hon utan vidare kunna få använda uppgifterna också för att själv framställa statistik eller själv bedriva vetenskaplig forskning. Att någon använder uppgifter, som han eller hon redan har rätt att använda för att t.ex. vidta åtgärder som berör en enskild, också för att t.ex. framställa siffertabeller kan inte anses innebära något (ytterligare) intrång i den personliga integriteten. Den persondataansvarige bör ha den rätten enligt Europarådets rekommendation (punkt 4.3), och enligt EG-direktivet skall en behandling av personuppgifter för statistiska eller vetenskapliga ändamål inte anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (artikel 6.1 b). En sådan til??lämpning stämmer också överens med nuvarande praxis.263
262Se också det fall som nämns i SOU 1989:74 s. 119 f.
263Se t.ex. prop. 1994/95:200 s. 13.
| SOU 1997: 39 | Forskning och statistik 311 |
11.6.5.4Personuppgifter för administrativa ändamål lämnas ut för forskning och statistik
För att reglera uppgiftsbehandling för forskning och statistik kan man principiellt sett gå två vägar. Man kan reglera antingen tillgången till personuppgifter, dvs. i vilka fall uppgifter får lämnas ut för forskning och statistik (från någon annan än den registrerade själv), eller i vilka fall själva behandlingen av uppgifterna för forskning och statistik är tillåten. Reglerna riktar sig i det första fallet till den som skall tillhandahålla uppgifterna och i det andra till de som skall utföra den behandling man avser att reglera, dvs. till de persondataansvariga forskarna och statistikerna. Som har framgått av vad som sagts i det föregående har vi valt den senare vägen, dvs. reglerat när behandling för forskning och statistik av uppgifter som forskare eller statistiker på något sätt har fått tag på över huvud taget är tillåten. Det torde för övrigt vara den enda framkomliga vägen. Forskare och statistiker kan ju komma åt personuppgifter även från sådana källor som inte omfattas av en persondatalag, t.ex. hämta dem från tidningsartiklar eller myndighetsarkiv.
EG-direktivet anger också som nämnts att en senare behandling av personuppgifter för vetenskapliga eller statistiska ändamål inte skall anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in. Att tillåta att en persondataansvarig lämnar ut personuppgifter till någon annan att användas av denne för forskning och statistik, får således anses förenligt med EG-direktivet; en annan sak är att den senare behandlingen hos forskaren eller statistikern bara är tillåten i enlighet med de materiella reglerna i direktivet, inbegripet reglerna om information.
Vår slutsats är alltså att det – när väl själva behandlingen av uppgifterna för forskning och statistik har reglerats – inte behövs någon särskild reglering av utlämnandet för forskning och statistik av uppgifter som har samlats in för andra ändamål, t.ex. administrativa ändamål; av vad som anförts i avsnitt 11.6.3.5 framgår att vi, av hänsyn till internationella regler, föreslår en uttrycklig regel om att personuppgifter får lämnas ut för att användas i viktigare forsknings- och statistikprojekt, om inte något annat följer av sekretesslagen.
11.6.5.5Personuppgifter för forskning och statistik återanvänds i ett annat projekt
EG-direktivet innebär som nämnts att en behandling för vetenskapliga eller statistiska ändamål bör anses tillåten även om personuppgifterna ur-
| 312 Forskning och statistik | SOU 1997: 39 |
sprungligen samlats in för andra ändamål. Direktivet verkar således tillåta att personuppgifter som samlats in för ett visst forsknings- eller statistikprojekt senare används i ett annat sådant projekt.
I Europarådets rekommendation finns det också en regel för detta fall, som gäller när de registrerade har samtyckt till en behandling (punkt 4.2). Om de registrerade har samtyckt till en viss behandling inom ett projekt, får personuppgifterna utan vidare användas i ett annat projekt bara det inte väsentligt skiljer sig från det första såvitt gäller natur och syfte. Är det – på grund av den tid som förflutit eller det stora antalet registrerade – inte möjligt (”impracticable”) att hämta in nytt samtycke, får de lämnade personuppgifterna ändå användas i det nya projektet i enlighet med skyddsåtgärder i nationell lagstiftning. Av förklaringarna (punkt 32) framgår att reglerna inte gäller när de registrerade före samtycket har informerats om att uppgifterna kan användas också för andra ändamål och att avvägningen i fråga om under vilka villkor återanvändning av uppgifter är tillåten kan överlåtas t.ex. åt något specialorgan inom forskarsamhället.
Som framgått av närmast föregående avsnitt har vi valt att direkt reglera i vilka fall behandling för forskning och statistik är tillåten. Regleringen garanterar bl.a. att känsliga personuppgifter kommer att behandlas utan samtycke bara i de fall där det finns ett starkt samhällsintresse av behandlingen som väger över intrånget i den personliga integriteten. Det problematiska fallet är här det som Europarådets rekommendation berör.
När den enskilde frivilligt har samtyckt till att uppgifter används (bara) i ett visst forsknings- eller statistikprojekt, är det givetvis som regel oacceptabelt att det förtroende som den enskilde har visat forskaren eller statistikern kränks genom att uppgifterna används för ett helt annat projekt med väsentligt annorlunda inriktning och syften. Detta kan med fog uppfattas som ett betydligt värre intrång i den personliga integriteten än när uppgifter som lämnats för administrativa ändamål, dvs. med vetskap om att de kommer att användas för att vidta åtgärder beträffande uppgiftslämnaren, används för att under mycket sträng sekretess framställa t.ex. anonyma siffertabeller.
Enligt vår mening är den reglering som vi har föreslagit för behandling utan samtycke av känsliga personuppgifter tillräcklig även i dessa fall. Bara när det – av de skäl som anges i Europarådets rekommendation – är omöjligt att hämta in ett nytt samtycke kan det över huvud taget övervägas att tillåta behandlingen enligt den avvägningsnorm som vi har föreslagit. Och med hänsyn till det grova intrång i den personliga integriteten som en kränkning av ett en gång lämnat samtycke skulle innebära är det svårt att
| SOU 1997: 39 | Forskning och statistik 313 |
tänka sig fall där avvägningen skulle kunna utfalla till förmån för en återanvändning av uppgifterna. Det kan emellertid inte helt uteslutas att det kan finnas extrema undantagsfall där samhällsintresset av att projektet genomförs ändå kan väga över. Något absolut förbud mot återanvändning i dessa fall bör därför inte införas. De forskningsetiska kommittéerna, vilka bl.a. värnar om allmänhetens attityd gentemot forskningen, har, såvitt vi erfarit, samma – eller till och med ännu strängare – inställning i dessa frågor.
Det bör tilläggas att det riktiga förfaringssättet i nu avsedda fall givetvis är att de enskilda i samband med att samtycke hämtas in för ett visst projekt tillfrågas om uppgifterna också får användas för andra projekt och informeras om vad detta kan innebära. Det kan förutsättas att så kommer att ske i ökad utsträckning i fortsättningen i de fall där det går att förutse att uppgifterna kan komma att återanvändas, vilket gör att problemen i praktiken kommer att bli mindre med tiden.
11.6.6Strykningsrätt
I de fall där behandlingen för forskning och statistik grundar sig på samtycke, bör den registrerade givetvis – utan att behöva ange något skäl – kunna återta samtycket och t.ex. vägra lämna ytterligare uppgifter. I sådant fall bör ytterligare uppgifter om den registrerade inte få behandlas. Den registrerade skall för övrigt enligt Europarådets rekommendation ha en sådan rätt att när som helst och utan att behöva ange några skäl avböja fortsatt medverkan (punkt 3.2). De uppgifter som redan har registrerats med stöd av samtycket bör enligt vår mening även fortsättningsvis få behandlas. Lika väl som den registrerade bör kunna lita på besked och information från den persondataansvarige, bör denne kunna förlita sig på ett samtycke som den registrerade har lämnat frivilligt. Det är önskvärt att behandling av personuppgifter för forskning och statistik i största möjliga utsträckning bygger på samtycke, och en rätt för den enskilde att med ”retroaktiv verkan” kunna ta tillbaka ett en gång lämnat samtycke skulle bara på ett olyckligt och svåröverskådligt sätt drabba de forskare och statistiker som planlagt ett projekt utifrån frivilligt lämnade uppgifter; däremot får de projektansvariga räkna med att uppgifter som de ännu inte har fått tillgång till kan komma att utebli på grund av återtaget samtycke (eller andra oförutsedda händelser). Det förekommer, såvitt upplysts, inte heller i dag att Datainspektionen föreskriver att uppgifter som har hämtats in efter
| 314 Forskning och statistik | SOU 1997: 39 |
samtycke skall strykas om den registrerade i efterhand ångrar sig och tar tillbaka samtycket.
Den svåra frågan är här i vad mån de registrerade skall ha rätt att på begäran få bli strukna i de fall där behandlingen är tillåten utan samtycke. En sådan rätt krävs inte enligt EG-direktivet; i den nationella lagstiftningen kan det nämligen föreskrivas att det inte finns någon strykningsrätt.
Vid behandling av icke känsliga personuppgifter för forskning och statistik bör de allmänna reglerna för uppgiftsbehandling kunna tillämpas även i detta hänseende. Det är nämligen, som sagt, inte rimligt att för forskning och statistik föreskriva strängare regler än för den behandling som får ske t.ex. för att tjäna pengar inom det privata näringslivet. I fortsättningen berörs därför bara frågan om strykningsrätt vid behandling utan samtycke för forskning och statistik av känsliga personuppgifter.
Datainspektionen har på senare år börjat föreskriva en sådan strykningsrätt för de registrerade i vissa fall.264 Det gäller när ett forsknings- eller statistikregister inte grundar sig på samtycke, men där inspektionen föreskriver att information ändå skall lämnas, t.ex. i tidningar. Regeringen har dock i de fall som överprövats upphävt föreskriften om strykningsrätt med hänvisning till att det samhälleliga intresset av att statistiken bygger på ett tillförlitligt underlag har vägt tyngre än den enskildes intresse av att kunna få uppgifter strukna.265
När behandling av känsliga personuppgifter för forskning och statistik skall vara tillåten utan samtycke enligt vårt förslag, finns det ett starkt samhällsintresse av att personregistreringen kommer till stånd. Det torde då också oftast vara så viktigt att registreringen är tillräckligt fullständig att någon generell strykningsrätt inte kan införas. En ovillkorlig strykningsrätt kan göra att forsknings- eller statistikunderlaget blir så otillförlitligt att resultaten inte kan användas. Blir detta fallet, har den personregistrering som skett varit förgäves och således inneburit ett onödigt intrång i den personliga integriteten.
I vad mån en strykningsrätt kan tillåtas måste av naturliga skäl bedömas med utgångspunkt i varje enskilt projekt. Det är svårt att ge några generella
264I regeringsbeslut 1986-06-26, dnr 85-3142, diskuterade regeringen frågan om en sådan strykningsrätt borde föreskrivas i stället för informerat samtycke, men fann att även en sådan föreskrift skulle minska registrets användbarhet på ett otillfredsställande sätt.
265Se regeringsbeslut 1993-10-28, dnr 93-1779, och 1996-03-14, dnr Ju 95-1963 och Ju 95-2100.
| SOU 1997: 39 | Forskning och statistik 315 |
riktlinjer för bedömningen. Risken för att projektet äventyras måste i varje enskilt fall vägas mot det intrång i den personliga integriteten som det innebär att känsliga personuppgifter om någon behandlas mot dennes uttalade vilja. En utgångspunkt måste vara att den enskilde inte har rätt att få bli struken om detta skulle kunna äventyra ett forsknings- eller statistikprojekt som har ansetts så viktigt att behandling av känsliga personuppgifter tillåtits utan samtycke.
Det får förutsättas att den som ansvarar för ett forsknings- eller statistikregister frivilligt tillgodoser en begäran om att få bli struken i de fall där detta kan ske utan risk för projektet. Bekvämlighetsskäl och tekniska svårigheter bör inte kunna få åberopas för en vägran att stryka, bara förhållanden som har att göra med risken för att uppgiftsbehandlingen inte kommer att kunna ge tillförlitliga resultat.
Vi har särskilt övervägt om det är lämpligt att införa ett system där frågan om en viss registrerad skall ha rätt att få bli struken kan prövas av någon myndighet, t.ex. Datainspektionen, eller vid domstol. Eftersom det inte torde förekomma särskilt många fall där en sådan prövning behövs och då det kan vara aktuellt att väga vilka skäl den enskilde har för att få bli struken mot de skäl som talar emot, kan en sådan ordning i och för sig vara ändamålsenlig. En ordning med särskild prövning av varje fall där en registrerads begäran att få bli struken inte har tillgodosetts framstår emellertid som ganska krånglig och kostsam för samhället och de enskilda. Enligt vår mening bör därför en sådan ordning inte införas om det inte är absolut nödvändigt. Vi har med hänsyn till de regler som vi föreslår om när en behandling utan samtycke av känsliga personuppgifter för forskning och statistik över huvud taget skall vara tillåten funnit att det inte är nödvändigt att införa en sådan ordning.
I samband med den forskningsetiska granskningen bör frågan om i vad mån en strykningsrätt skall finnas beträffande ett visst projekt kunna tas upp. Då kan de konkreta riskerna för projektets genomförande med en strykningsrätt få en allsidig belysning. De villkor som den forskningsetiska kommittén har ställt upp, t.ex. i fråga om strykningsrätt, skall som sagt följas för att behandlingen utan samtycke skall anses tillåten. Frågan om strykningsrätt bör vidare, som vi ser det, alltid beaktas vid den intresseavvägning som bör ske i de fall där avvägningsnormen i lagtexten måste til??lämpas. Samhällsintresset av forskningen eller statistiken måste vara betydande för att man skall kunna tillåta det ganska allvarliga intrång i den personliga integriteten som det innebär att känsliga personuppgifter behandlas trots att den registrerade klart motsätter sig detta.
| 316 Forskning och statistik | SOU 1997: 39 |
Vi har sammanfattningsvis kommit fram till att det inte är nödvändigt att ha någon särreglering beträffande strykningsrätt utan att den rätten kan beaktas inom ramen för de föreslagna reglerna om när behandling av känsliga personuppgifter utan samtycke över huvud taget skall vara tillåten.
11.6.7Registerutdrag och rättelse
Såväl Europarådets rekommendation (punkt 6.1–2) som EG-direktivet (artikel 13.2) medger att det i fråga om forskning och statistik görs inskränkningar i de registrerades rätt att på begäran få information om behandlade uppgifter och rättelse av t.ex. ofullständiga eller felaktiga uppgifter. I andra länder har det gjorts sådana inskränkningar.266 Forskningsetiska utredningen föreslog att det också i Sverige skulle införas inskränkningar i rätten att få registerutdrag från forskningsregister (se avsnitt 11.3.4).
Bestämmelsen om rätt till registerutdrag i datalagen har ansetts som en av de viktigaste i lagen. Genom den rätten får den enskilde möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade uppgifterna är riktiga.267 Rätten till insyn är vidare en förutsättning för att den enskilde i praktiken skall kunna få felaktiga uppgifter rättade.
De argument som har förts fram emot rätten till registerutdrag har gått ut på dels att det är dyrt för den persondataansvarige att lämna utdrag, dels att skyldigheten att lämna utdrag på individnivå i sig kan försämra integritetsskyddet.
I början på 1980-talet gjordes vissa ändringar i 10 § datalagen i syfte att få ned kostnaderna för de registeransvariga inom främst det allmänna. Det infördes då ett krav på att begäran om utdrag skall vara skriftlig och undertecknas av den registrerade själv.268 Bakgrunden var att det ansågs att rättigheten utnyttjades alltför flitigt; det fanns på den tiden särskilda företag som mot betalning agerade ombud och hjälpte många människor att utnyttja sin rätt gentemot de mest betydande registerförarna. Det finns även andra exempel på att antalet registerutdrag – och myndigheternas
266Inskränkningar har t.ex. gjorts i Norge och Finland. Se vidare SOU 1989:74 s. 122 med not 23.
267Se senast prop. 1990/91:60 s. 56.
268Se prop. 1980/81:20 Bilaga 1 s. 13 ff.
SOU 1997: 39
Forskning och statistik 317
kostnader – ökat kraftigt när allmänheten på annat sätt fått hjälp att utnyttja sin rätt.269
När det gäller kostnadsaspekten, bör det också nämnas att var och en med stöd av offentlighetsprincipen har rätt att gratis få ta del av uppgifter om sig själv som myndigheter har registrerat. Det finns dock skillnader mellan rätten till registerutdrag och rätten till insyn med stöd av offentlighetsprincipen. Skriftligt registerutdrag270 är t.ex. enligt huvudregeln gratis en gång per år, medan den registrerade ibland måste betala en avgift om han eller hon med stöd av offentlighetsprincipen vill ha sina uppgifter på papper.271
Enligt vår mening är rätten för den enskilde att – gratis – få tillgång till sina uppgifter så viktig att kostnadskonsekvenserna för de persondataansvariga inte ensamma gör det befogat med undantag för forskning och statistik. Kostnaden för att på begäran lämna information till de registrerade (registerutdrag) får betraktas som en nödvändig kostnad som vidhäftar varje behandling av personuppgifter, och detta bör gälla även för forskning och statistik.
Synpunkten att skyldigheten att lämna registerutdrag kan föra med sig en försämring av integritetsskyddet kan däremot tyckas ha större fog för sig. Skyldigheten har i dag ansetts tvinga de persondataansvariga att införa rutiner som gör det möjligt att söka fram alla uppgifter som finns om en individ, något som kanske annars inte skulle ha behövts272, särskilt vid sådan registerforskning och framställning av statistik där enskilda individer inte är intressanta. Kryptering och andra skyddsåtgärder måste vidare ibland sättas åsido för att få fram uppgifterna inom rimlig tid.
Enligt vår mening måste ett absolut krav på de persondataansvariga i och för sig vara att de kan klara av att hantera personuppgifter i klartext på ett säkert sätt. Klarar de inte detta, bör de inte alls få hålla på med behandling av personuppgifter. Att uppgifter som annars används krypterade eller i avidentifierad form ibland måste göras läsbara på ett sådant sätt att upp-
269Se exemplet i SOU 1989:74 s. 99 (Statistiska centralbyråns kostnader för registerutdrag mer än tiodubblades när en kvällstidning publicerade en talong för begäran om utdrag).
270Registerutdrag måste vara skriftligt, se prop. 1973:33 s. 138 f. och DIFS 1982:2.
2712 kap. 13 § TF.
272Jämför t.ex. prop. 1990/91:126 s. 52 och 81 (uppgiften om gäldenärens arbetsgivare i utsökningsregister gjordes sökbar bl.a. för att myndigheten skall kunna lämna utdrag till arbetsgivare).
| 318 Forskning och statistik | SOU 1997: 39 |
gifter om enskilda individer avslöjas, kan givetvis innebära nya risker. Men lösningen på detta problem är, som vi ser det, snarare att de persondataansvariga möter riskerna med bättre säkerhetsåtgärder än att begränsa grundläggande rättigheter för de registrerade.
En annan sak är att de praktiska svårigheter som kryptering eller liknande innebär för framställandet av registerutdrag kan behöva beaktas. Da- talagsutredningen föreslog t.ex. en lagregel som innebar att registerutdrag beträffande krypterade personuppgifter skulle behöva framställas bara var fjärde månad (i stället för månadsvis, vilket skulle krävas enligt den huvudregel som föreslogs).273 Vi anser för egen del att en sådan regel på ett rimligt sätt beaktar såväl den registrerades intresse av att få sitt utdrag snabbt som de praktiska svårigheter att få fram utdragen som en hög säkerhetsnivå hos en persondataansvarig forsknings- eller statistikinstans kan innebära.
I avsnitt 12.7.3 redogör vi närmare för vår syn på rätten för den registrerade att på begäran få information (registerutdrag). Där framgår att vi anser att den persondataansvarige bara bör vara skyldig att använda de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rättsligt har tillgång till för att lämna information till de registrerade som begär det; några nya sök- och sammanställningsmöjligheter – vilka i sig kan innebära hot mot den personliga integriteten – behöver således inte införas med vårt förslag. Har den persondataansvarige möjlighet att göra krypterade eller annars tillfälligt avidentifierade uppgifter läsbara på individnivå, måste han eller hon således göra det och på det läsbara materialet använda tillgängliga sök- och sammanställningsmöjligheter.
Vi har alltså sammanfattningsvis funnit att det inte finns tillräckliga skäl för att ha några särregler för forskning och statistik när det gäller de registrerades rätt att på begäran få information (registerutdrag). Inte heller möjligheten för den enskilde att få uppgifter rättade bör inskränkas beträffande forskning och statistik; det måste givetvis vara ett intresse för alla berörda att forskningen och statistiken bygger på ett riktigt grundmaterial. Vi redogör för våra förslag i fråga om rättelse i avsnitt 12.8.
273 SOU 1993:10 s. 427 ff.
| SOU 1997: 39 | 319 |
12Innehållet i den nya persondatalagen
12.1Lagstiftningstekniken
Lagen bör utgöra en nära avbildning av EG-direktivets text i de delar där använda uttryck kan antas ha en EG-gemensam innebörd, om inte särskilda skäl talar för annat. Lagstiftningskommentarerna koncentreras till principiellt viktiga frågor och de delar där EG-direktivet ger ett visst spelrum vid genomförandet. Generella regler och principer bör tas in i lagtexten, medan det bör överlåtas åt regeringen och Datainspektionen att utforma detaljreglering för t.ex. särskilda områden.
12.1.1Allmänt
I enlighet med vad som anförs i avsnitt 6 anser vi att den nya persondatalagen i stort bör följa den struktur som EG-direktivet anvisar och att avvikelser bör göras bara när det finns särskilda skäl till det. I flera fall är det inte heller någon större mening med att försöka göra omskrivningar av direktivets text, eftersom svenska domstolar vid tillämpning av lagtext som införts till genomförande av ett EG-direktiv har att tolka lagen i överensstämmelse med direktivets rätta innebörd och vid behov fråga EG-domsto- len om den rätta innebörden.274 Omskrivningar av direktivets text i de delar där det kan antas att avsikten varit att använda uttryck skall ha en ge-
274För att bl.a. detta skall uppmärksammas skall det i anslutning till lagtexten finnas en hänvisning till direktivet, se artikel 32.1 andra stycket i direktivet och 18 a § författningssamlingsförordningen (1976:725) samt Statsrådsberedningens PM 1996:4 s. 22 ff.
| 320 Innehållet i den nya persondatalagen | SOU 1997: 39 |
mensam innebörd inom EG275 – med EG-domstolen som auktoritativ uttolkare – bör därför göras bara när det finns särskilda skäl för det, t.ex. när den officiella svenska översättningen av direktivet inte är helt rättvisande.276
EG-direktiv saknar i motsats till traditionell svensk lagstiftning förarbeten i egentlig mening. Så är också fallet med direktivet om personuppgifter. Ledning får främst sökas i det inledande avsnittet i direktivet och i vissa protokollsanteckningar.
En konsekvens av vad som sagts om att den svenska lagstiftningen skall tolkas i överensstämmelse med EG-direktivet är att vad som anförs i de svenska förarbetena inte kan tjäna till ledning för rättstillämpningen på samma sätt som när det gäller rent inhemsk lagstiftning. En auktoritativ tolkning av det underliggande direktivet kan endast erhållas från EG-dom- stolen, t.ex. efter det att en svensk domstol begärt ett s.k. förhandsavgörande enligt artikel 177 i EG-fördraget.277
Detta talar för att vi i vårt betänkande bör uppehålla oss främst vid för Sverige viktiga principiella frågor och sådana delar av EG-direktivet där det finns ett visst spelrum för medlemsstaterna vid genomförandet. I de fall där det finns ett spelrum bör vi givetvis redovisa motiven för den lösning som valts och på sedvanligt sätt utarbeta en författningskommentar till den rent inhemska reglering som förordas inom ramen för vad EG-direktivet til??låter. Däremot finns det anledning för oss att vara mera restriktiva med författningskommentarer till de delar av den föreslagna lagstiftningen som ganska troget återger EG-direktivet. Anledningen härtill är givetvis risken för att EG-domstolen kan komma att tolka direktivets bestämmelser på annat sätt än vad vi har gett uttryck för i kommentarerna till den föreslagna svenska lagstiftningen.
Men det är samtidigt uppenbart att det – till dess EG-domstolen har hunnit utveckla sin praxis – kan finnas ett stort behov av vägledning för tillämpningen av de svenska genomförandebestämmelserna. Också regleringsekonomiska skäl kan tala för att viss vägledning bör ges från svenska utgångspunkter. Utan vägledning i svenska förarbeten eller av en expertmyndighet (Datainspektionen) kan det nämligen antas att snart sagt varje persondataansvarig blir tvingad att lägga ned kostnader på att göra en
275I det följande använder vi det kortare uttrycket EG-gemensam innebörd.
276I avsnitt 3.1.2 finns en allmän redogörelse för hur EG-direktiv skall införas.
277Jämför härtill och för det följande prop. 1994/95:19 Del 1 s. 528 f.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 321 |
egen analys och tolkning av de ganska vaga bestämmelserna. Ges det däremot viss vägledning från officiellt håll om vilka förfaringssätt som bör kunna användas, kan det antas att flertalet persondataansvariga väljer att följa råden utan att behöva lägga ned kostnader på en egen analys. Och samhällsekonomiskt sett kan den kostnadsbesparing som kan uppnås genom att analysarbetet utförs bara en gång – av de instanser som är ansvariga för genomförandet – överstiga de kostnader som skulle kunna uppkomma om det i efterhand visar sig att analysen på någon punkt var felaktig. Härtill kommer att til??lämpningen i Sverige i praktiken blir mera enhetlig om vägledning ges från officiellt håll, och en enhetlig svensk tillämpning har ett värde i sig.
I vad mån vi skall försöka oss på att ge vägledning för tillämpningen av de föreslagna bestämmelser som ganska troget återger EG-direktivet är således en avvägningsfråga; att det är en viktig uppgift för Datainspektionen att ge råd och vägledning står däremot klart. I de fall där vi ger uttryck för en tolkning av en föreslagen bestämmelse som hämtats från EG-direktivet har vi försökt att tydligt markera detta.
Vi har försökt att utforma den föreslagna lagstiftningen efter följande riktlinjer.
N Följ i stort EG-direktivets struktur, om inte särskilda skäl talar för något annat.
N Gör en nära efterbildning av direktivets text när använda uttryck kan antas ha en EG-gemensam innebörd, om inte särskilda skäl talar för något annat.
N Koncentrera redovisningen av motiv och författningskommentarer till för Sverige principiellt viktiga frågor och sådana delar där EG-direktivet lämnar ett visst spelrum vid genomförandet.
N Markera tydligt när uttalanden görs om innebörden av en bestämmelse som kan antas ha en EG-gemensam innebörd.
12.1.2Regeringen eller Datainspektionen kan precisera lagreglerna
Som tidigare nämnts innehåller EG-direktivet ett antal huvudregler som måste införas. Exempelvis är behandling av personuppgifter bara tillåten om någon av sex förutsättningar är uppfyllda (artikel 7). De flesta av dessa förutsättningar är mycket allmänt hållna. På motsvarande sätt förhåller det sig med andra huvudregler och principer som måste införas, t.ex. när det
| 322 Innehållet i den nya persondatalagen | SOU 1997: 39 |
gäller allmänna krav på uppgiftsbehandlingen, behandling av känsliga personuppgifter och anmälningsskyldighet.
Direktivet innehåller således generella regler som behöver preciseras och konkretiseras för att ge vägledning för de persondataansvariga och andra som har att tillämpa reglerna. Det kan gälla överväganden om t.ex. i vilka konkreta fall
N viktiga allmänna intressen gör det befogat att känsliga personuppgifter behandlas trots det generella förbudet mot behandling av sådana uppgifter (artikel 8.4) och
N den intresseavvägning som kan ske enligt artikel 7 f utfaller till förmån för att uppgiftsbehandling skall tillåtas.
Såsom närmare utvecklas i avsnitt 12.12 anser vi att det inte är lämpligt att behålla ett omfattande och byråkratiskt tillståndssystem, där Datainspektionen i varje enskilt fall beslutar om en behandling skall tillåtas och vilka villkor som skall gälla för den.
Att de generella huvudreglerna och principerna samt de likaledes ofta generellt utformade undantagsmöjligheterna införs i den nya persondatalagen är enligt vår mening både naturligt och nödvändigt. Däremot är det som vi ser det inte lämpligt att tynga lagtexten med den nödvändiga detaljregleringen och konkretiseringen. Den korta utredningstiden om drygt ett år har vidare gjort det omöjligt för oss att identifiera t.ex. alla områden där det kan vara befogat att behandla känsliga personuppgifter. Det kan också nämnas att Datainspektionen, trots sin mångåriga erfarenhet av tillämpningen av den nuvarande datalagen, inte har förmått utfärda förenklade regler för mer än ett mindre antal områden, och att Datalagsutredningen, som arbetade i omkring fyra år, inte heller lämnade förslag till särskilt konkreta regler. Härtill kommer att den avvägning och konkretisering som kan göras i dag naturligen måste omprövas i takt med samhällsutvecklingen och när nya typer av behandlingar uppträder. En ordning som innebär att varje liten justering i regelverket kräver en sedvanlig lagstiftningsprocess via regering och riksdag framstår därför som onödigt omständlig och ohanterlig. Den persondatalag som vi föreslår innehåller för övrigt fler materiella regler än den nuvarande datalagen, vilken utgår från att Datainspektionen mer eller mindre självständigt skall bestämma för vilka ändamål personregistrering är tillåten och vilka villkor som skall gälla för registreringen.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 323 |
Vår slutsats är att det inte finns någon annan möjlighet än att lita till att regeringen och Datainspektionen inom den ram som den föreslagna persondatalagen drar upp preciserar och konkretiserar regleringen.
Svenska bestämmelser som inför EG-direktivet måste träda i kraft senast den 24 oktober 1998, men det är beträffande behandlingar som redan pågår då möjligt att vänta i ytterligare tre år med att tillämpa de nya reglerna, se närmare avsnitt 12.15. Detta ger regeringen och Datainspektionen en viss respit för att utarbeta en kompletterande reglering. För behandlingar som påbörjas efter ikraftträdandet måste emellertid de nya reglerna tillämpas genast. Problem beträffande sådana behandlingar bör dock kunna lösas genom att Datainspektionen i förekommande fall och med tillräcklig skyndsamhet utfärdar nödvändiga föreskrifter avsedda att gälla bara till dess en mera heltäckande reglering kunnat utarbetas.
Författningstekniska aspekter
I detta sammanhang bör en del författningstekniska aspekter beröras. Bakgrunden är följande.
Bestämmelserna i EG-direktivet är till stor del offentligrättsliga till sin karaktär. De innebär att medlemsstaterna skall införa föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller åligganden för enskilda, t.ex. persondataansvariga inom den privata sektorn. Emellertid innehåller EG-direktivet också bestämmelser som är privaträttsliga till sin karaktär och avser att reglera personliga och ekonomiska förhållanden mellan enskilda. Medlemsstaterna skall sålunda föreskriva att den som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet har rätt till ersättning av den persondataansvarige (artikel 23.1). Medlemsstaterna skall också föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling (artikel 22).
I 8 kap. regeringsformen finns bestämmelser om hur lagar och andra föreskrifter skall beslutas, vilka i huvudsak innebär att privaträttsliga föreskrifter alltid måste beslutas av riksdagen genom lag medan riksdagen har vissa möjligheter att delegera föreskriftsrätten i fråga om offentligrättsliga regler; regeringen har dock alltid rätt att besluta föreskrifter om verkställighet av lag. Vad som nu sagts gör det befogat att närmare analysera hur det tilltänkta systemet med grundläggande regler i persondatalagen och
| 324 Innehållet i den nya persondatalagen | SOU 1997: 39 |
preciseringar i regeringsförordningar eller myndighetsföreskrifter förhåller sig till regeringsformen (och EG-direktivet).
2 kap. 3 § andra stycket regeringsformen
I 8 kap. 1 § regeringsformen finns en erinran om att det av bestämmelserna i 2 kap. regeringsformen följer att föreskrifter av visst slag får meddelas endast genom lag. I 2 kap. 3 § andra stycket finns som nämnts en bestämmelse om att varje medborgare skall i den utsträckning som närmare anges i lag skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. Av förarbetena framgår emellertid att lydelsen av grundlagsregeln har utformats så att det skall stå klart att regeln inte hindrar regeringen, andra myndigheter eller kommuner att meddela dataskyddsbestämmelser.278 Efter införandet av regeln i 2 kap. 3 § andra stycket har i regeringsformen också införts en möjlighet för riksdagen att till regeringen (eller den myndighet som regeringen bestämmer) delegera rätten att meddela föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra stycket inte ansetts hindra sådan delegation.279 Däremot innebär regeln i 2 kap. 3 § andra stycket enligt förarbetena att riksdagen måste vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning som utgör en verklig och allvarligt menad skyddslagstiftning.280
Vår slutsats är att reglerna i 2 kap. 3 § andra stycket och 8 kap. 1 § regeringsformen inte hindrar att regeringen och Datainspektionen ges behörighet att närmare precisera och konkretisera regleringen i persondatalagen, som bör uppta de grundläggande huvudreglerna och principerna.
Föreskrifter om enskildas personliga ställning
Enligt 8 kap. 2 § regeringsformen skall föreskrifter om enskildas personliga ställning samt om deras personliga och ekonomiska förhållande inbördes meddelas genom lag. Sådana privaträttsliga föreskrifter tillhör det obligatoriska lagområdet, och riksdagen får inte delegera föreskriftsrätten inom detta område.
278Se prop. 1987/88:57 s. 11.
279Se prop. 1993/94:116 s. 15.
280Se prop. 1987/88:57 s. 11.
SOU 1997: 39
Innehållet i den nya persondatalagen 325
Av det förhållandet att en delegationsmöjlighet faktiskt har införts – och utnyttjats – beträffande föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling kan enligt vår mening den slutsatsen dras att föreskrifter om skydd för personlig integritet vid behandling av personuppgifter inte kan anses röra ”enskildas personliga ställning” i den mening som avses i 8 kap. 2 §.
Privaträttsliga föreskrifter
Gränsdragningen mellan privaträttsliga föreskrifter (där lagformen är obligatorisk) och offentligrättsliga föreskrifter (där riksdagen i vissa fall kan delegera föreskriftsrätten) har nyligen analyserats i ett lagstiftningsärende om genomförande av EG-direktiv på finansmarknadsområdet.281 Den slutsats som godtogs i det ärendet får i korthet anses innebära att gränsdragningen bör kunna ske efter vem som kan åberopa föreskrifterna och vilka sanktioner som är omedelbart förknippade med ett brott mot dem. Föreskrifter som enskilda kan (med framgång) direkt åberopa mot andra enskilda i domstol och som kan leda till att någon enskild förpliktas betala pengar – t.ex. skadestånd – till någon annan enskild torde med det synsättet vara att anse som privaträttsliga. Det torde vara just sådana – privaträttsliga
– föreskrifter som avses i artikel 22 och 23.1 i EG-direktivet.
Verkställighetsföreskrifter
Enligt 8 kap. 13 § regeringsformen kan regeringen – eller den myndighet till vilken regeringen överlåter uppgiften – besluta föreskrifter om verkställighet av lag i fråga om såväl privaträttsliga som offentligrättsliga lagregler. Departementschefen anförde i förarbetena rörande verkställighetsföreskrifter282:
Med föreskrifter om verkställighet av lag bör enligt min mening i första hand förstås tillämpningsföreskrifter av rent administrativ karaktär. I viss utsträckning torde det emellertid vara ofrånkomligt att tillåta, att regeringen med stöd av sin behörighet att besluta verkställighetsföreskrifter i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsättning för att regeringen skall
281Se prop. 1994/95:50 s. 283 ff. och 602 ff. och numera också SOU 1996:157 s. 139 ff. Jämför Hans Cappelen-Smith, ”Behöver lagstiftningen om emissionsprospekt reformeras?” i SvJT 1996 s. 205 ff.
282Prop. 1973:90 s. 211.
| 326 Innehållet i den nya persondatalagen | SOU 1997: 39 |
få göra detta måste emellertid vara, att den lagbestämmelse som skall kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av regeringen beslutade föreskriften. I verkställighetsföreskriftens form får således inte beslutas om något som kan upplevas som ett nytt åliggande för enskilda eller om något som kan betraktas som ett tidigare ej föreliggande ingrepp i enskildas personliga eller ekonomiska förhållanden.
Behörigheten att meddela verkställighetsföreskrifter har nyligen analyserats av Anders Hultqvist i en doktorsavhandling rörande legalitetsprincipen vid inkomstbeskattning.283 Av den analysen framgår att den ganska sparsamma rättspraxis som förekommer inte uppvisar någon klar bild och att meningarna i den juridiska litteraturen är delade när det gäller krav på hur detaljerad lagregeln måste vara och hur långtgående precisering som kan tillåtas genom verkställighetsföreskrifter. Enligt Anders Hultqvist förefaller det rimligast att göra bedömningen rättsområde för rättsområde och att till och med skilja på olika reglers karaktär inom ett visst rättsområde.
Redovisningskommittén har också nyligen berört frågan.284 Kommittén konstaterar att det inte framgår klart av regeringsformen eller dess förarbeten hur långt regeringens rätt att meddela verkställighetsföreskrifter som fyller ut en lag sträcker sig. Det framstår som i viss mån osäkert vilken grad av precision hos lagregeln som bör krävas. Enligt kommittén torde en rimlig tolkning kunna vara att den lagregel som skall kompletteras anger någon princip som skall vara vägledande vid utformningen av verkställighetsföreskriften.285
Offentligrättsliga föreskrifter och föreskrifter rörande kommuner
Enligt 8 kap. 3 § regeringsformen skall (offentligrättsliga) föreskrifter om förhållandet mellan enskilda och det allmänna, som gäller åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden, meddelas genom lag. I lag skall också – enligt 8 kap. 5 § regeringsformen – meddelas föreskrifter om kommunernas åligganden.
283Anders Hultqvist, Legalitetsprincipen vid inkomstbeskattningen, 1995, s. 129 ff. I avhandlingen finns en grundlig genomgång av förarbeten, praxis och doktrin, till vilken genomgång kan hänvisas för en utförligare bakgrundsbeskrivning. Se också Håkan Strömberg, Normgivningsmakten enligt 1974 års regeringsform, Andra upplagan, 1989, särskilt s. 131 ff. och 186 ff.
284SOU 1994:17 Del I s. 112 f. och SOU 1996:157 s. 143 f.
285Samma resonemang för Håkan Strömberg, se Normgivningsmakten enligt 1974 års regeringsform, Andra upplagan, 1989, s. 153.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 327 |
På dessa områden kan riksdagen genom lag bemyndiga regeringen att meddela föreskrifter i vissa ämnen som räknas upp i 8 kap. 7 § regeringsformen, och riksdagen kan i samband med bemyndigandet också gå med på att regeringen överlåter åt någon förvaltningsmyndighet att meddela bestämmelser i ämnet (8 kap. 11 §). Ett ämne beträffande vilket riksdagen kan delegera sin föreskriftsrätt är ”skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling”.
Föreskrifter för statsförvaltningen
För fullständighets skull bör också nämnas att regeringen enligt 8 kap. 13 § regeringsformen får besluta föreskrifter som inte enligt grundlag skall meddelas av riksdagen och att regeringen därvid också får överlåta åt någon myndighet under regeringen att meddela föreskrifter i ämnet. Det kan t.ex. gälla föreskrifter om de dataregister som en statlig myndighet skall föra. I den mån riksdagen har meddelat oavviklig lag i ämnet gäller dock lagen framför regeringsförordningar och myndighetsföreskrifter. Detta följer om inte annat av den formella lagkraftens princip.
Vår bedömning
Enligt EG-direktivet skall en åtgärd som är oförenlig med de svenska bestämmelser som har antagits till följd av direktivet kunna grunda skadeståndsskyldighet mellan enskilda (artikel 23.1), vilket enskilda skall kunna föra talan om mot varandra inför domstol (artikel 22). Av regeringsformen följer att (privaträttsliga) föreskrifter om skadeståndsskyldighet mellan enskilda ovillkorligen skall ges i lag. I vårt förslag till persondatalag har därför upptagits en bestämmelse om ersättningsskyldighet för skada som en behandling av personuppgifter i strid med lagen eller föreskrifter som meddelats med stöd av lagen fört med sig. Enligt vår mening får en sådan bestämmelse anses uppfylla såväl EG-direktivets krav på sanktioner mellan enskilda som regeringsformens krav på att sådana skadeståndsbestämmelser skall ha lagform.
Avsikten är att persondatalagen skall innehålla alla grundläggande regler, principer och undantagsmöjligheter och att regeringen och Datainspektionen inom den ramen – och vad EG-direktivet tillåter och kräver – skall närmare precisera regleringen. Detta kan till viss del ske genom verkställighetsföreskrifter. De principer som skall vara vägledande vid utformningen av verkställighetsföreskrifterna har ju slagits fast i lagen; de bindande principerna finns för övrigt redan i EG-direktivet. Enligt vår
| 328 Innehållet i den nya persondatalagen | SOU 1997: 39 |
mening bör vidare utrymmet för verkställighetsföreskrifter vara något större än normalt på sådana rättsområden där det finns förhållandevis detaljerade EG-direktiv som lämpligen bör införlivas genom en lag kompletterad med författningar av lägre valör. Regleringen på arbetsmiljöområdet torde vara ett exempel på detta. Det sagda torde gälla särskilt i fråga om EG-direktiv som inte är av minimikaraktär; EG-direktivet fastställer då exakta ramar för lagen och författningarna av lägre valör, varför det inte verkar finnas någon beaktansvärd risk för att verkställighetsföreskrifterna går utöver lagen. Härtill kommer att det på nu berörda områden finns ett stort behov av verkställighetsföreskrifter för att kunna behålla den svenska lagstiftningstraditionen med förhållandevis kortfattad lagtext samtidigt som skyldigheterna gentemot EU uppfylls.
Här bör tilläggas att EG-direktivet inte bara innehåller generella regler som kan behöva konkretiseras. Det innehåller också regler med mycket hög konkretion, t.ex. bestämmelser om vad en anmälan till tillsynsmyndigheten skall innehålla och vilken information som skall lämnas till den registrerade. Sådana detaljregler av närmast administrativ karaktär brukar i Sverige normalt finnas inte i lag utan i verkställighetsföreskrifter i en anslutande förordning eller i någon myndighetsföreskrift. Vi anser att den metoden bör användas även på detta område och att lagtexten således inte bör tyngas med alla de detaljregler som finns i direktivet.
I vissa fall förordar vi en behörighet för regeringen och Datainspektionen som går längre än till att meddela verkställighetsföreskrifter. Regeringen bör exempelvis under vissa angivna förutsättningar kunna föreskriva undantag från förbudet mot att behandla känsliga personuppgifter och skyldigheten att anmäla alla automatiska behandlingar till Datainspektionen. Det krävs alltså att föreskriftsrätten delegeras. I fråga om offentligrättsliga föreskrifter och föreskrifter om kommunernas åligganden är det möjligt för riksdagen att delegera föreskriftsrätten i de ämnen som anges i 8 kap. 7 § regeringsformen. Ett av dessa ämnen är ”skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling”. Det är emellertid nödvändigt att delegationen kan omfatta all behandling som den föreslagna persondatalagen skall reglera, också t.ex. manuell behandling av personregister. Vi föreslår därför att bestämmelsen i regeringsformen samordnas med tillämpningsområdet för den föreslagna persondatalagen på det sättet att det blir möjligt att delegera föreskriftsrätt i
| SOU 1997: 39 | Innehållet i den nya persondatalagen 329 |
fråga om ”skydd för personlig integritet vid behandling av personuppgifter”.286
Det bör tilläggas att regeringen och Datainspektionen vid sin precisering och konkretisering av lagregleringen givetvis har att hålla sig inom den ram som EG-direktivet ställer upp. Av 27 § verksförordningen (1995:1322) följer vidare bl.a. att Datainspektionen i samband med att föreskrifter beslutas måste lämna de som berörs tillfälle att yttra sig.287 Nå- got motsvarande gäller för regeringen enligt 7 kap. 2 § regeringsformen; av vad som anförs i avsnitt 8.2.3 framgår att regeringen bör höra Datainspektionen när förordningar om skydd för personlig integritet vid behandling av personuppgifter utarbetas.
I den mån regeringen eller Datainspektionen inte meddelat detaljföreskrifter har t.ex. persondataansvariga att hålla sig till den generellt utformade lagtexten. Persondataansvariga och andra får således i första hand själva göra den nödvändiga avvägningen innan detaljföreskrifter har hunnit utfärdas. Datainspektionen bör ha ett särskilt ansvar för att ge råd och stöd för tillämpningen av lagen, och vad lagen har för innebörd kan alltid slutligen avgöras i domstol.
12.2Begrepp som används
I inledningen av persondatalagen bör det tas in definitioner av vissa grundläggande begrepp som används i lagen, t.ex. personuppgift och persondataansvarig. Avsikten är att de begrepp som används i den föreslagna svenska lagen skall ha samma innebörd som begreppen i EG-direktivet.
12.2.1Inledning
I EG-direktivet definieras inledningsvis (artikel 2) vissa använda begrepp som är av grundläggande betydelse för förståelsen av direktivets be-
286Datalagsutredningen lämnade samma förslag till ändring av regeringsformen.
287Dessa bestämmelser i verksförordningen har nyligen berörts i en doktorsavhandling, se Robert Påhlsson, Riksskatteverkets rekommendationer – Allmänna råd och andra uttalanden på skatteområdet, 1995, särskilt avsnitt 4.3.4, 5.2.1 och 5.3.4.
| 330 Innehållet i den nya persondatalagen | SOU 1997: 39 |
stämmelser. Definitionerna kan också sägas i viss mån bestämma direktivets tillämpningsområde.
Det förefaller lämpligt att inleda även persondatalagen med definitioner av använda begrepp. På det sättet slipper man bl.a. tyngande omskrivningar i de följande paragraferna.
De begrepp som används i EG-direktivet har som vi ser det i de flesta fall en EG-gemensam innebörd. Av den anledningen bör definitionerna i persondatalagen nära knyta an till texten i EG-direktivet. Avsikten är att definitionerna i den föreslagna lagen skall ha exakt samma innebörd som enligt direktivet. För att så långt möjligt klä den föreslagna lagtexten i en språkdräkt som är i överensstämmelse med svensk lagstiftningstradition har vi dock valt att i en del fall använda ett något förkortat uttryckssätt utan att någon saklig skillnad är avsedd.
I den officiella svenska översättningen av EG-direktivet används beteckningen registeransvarig för den som bestämmer över behandlingen av personuppgifter. Vi har valt att i den föreslagna lagen i stället använda beteckningen persondataansvarig, eftersom denna beteckning bättre beskriver vad det är fråga om, nämligen någon som är ansvarig för behandling av personuppgifter (”persondata”) oavsett om de (automatiskt) behandlade uppgifterna ingår i ett register.
I den officiella svenska översättningen av direktivet används vidare beteckningen registerförare för den som för den persondataansvariges räkning behandlar personuppgifter. Vi har här valt att i stället använda beteckningen persondatabiträde, eftersom biträdet (”föraren”) kan hjälpa till att (automatiskt) behandla även personuppgifter som inte ingår i ett register.
SOU 1997: 39
Innehållet i den nya persondatalagen 331
I följande uppställning framgår hur de uttryckssätt som vi har valt i den föreslagna persondatalagen förhåller sig till EG-direktivets ordalydelse.
| Begrepp | Persondatalagen | EG-direktivet | |||||||||||
| Behandling | (av | person- | Varje åtgärd som vidtas be- | Varje åtgärd eller serie av | |||||||||
| uppgifter) | träffande personuppgifter. | åtgärder som vidtas be- | |||||||||||
| träffande | personuppgifter, | ||||||||||||
| vare sig det sker på automa- | |||||||||||||
| tisk väg eller inte, till exem- | |||||||||||||
| pel | insamling, | registrering, | |||||||||||
| organisering, lagring, | bear- | ||||||||||||
| betning eller ändring, åter- | |||||||||||||
| vinning, | inhämtande, | an- | |||||||||||
| vändning, | utlämnande ge- | ||||||||||||
| nom | översändande, | sprid- | |||||||||||
| ning eller annat tillhanda- | |||||||||||||
| hållande | av | uppgifter, | |||||||||||
| sammanställning eller | sam- | ||||||||||||
| körning, | blockering, | utplå- | |||||||||||
| Blockering | (av | person- | ning eller förstöring. | ||||||||||
| Varje åtgärd som kan vidtas | – | ||||||||||||
| uppgifter) | för | att personuppgifterna i | |||||||||||
| alla sammanhang skall vara | |||||||||||||
| förknippade med tydlig in- | |||||||||||||
| formation om att de är | |||||||||||||
| spärrade och anledningen till | |||||||||||||
| spärren och för att person- | |||||||||||||
| uppgifterna inte skall lämnas | |||||||||||||
| ut till tredje man annat än | |||||||||||||
| med stöd av 2 kap. tryckfri- | |||||||||||||
| Den registrerade | hetsförordningen. | Se Personuppgifter. | |||||||||||
| Den | som | en personuppgift | |||||||||||
| Känsliga personuppgifter | avser. | ||||||||||||
| Personuppgifter | som avslö- | Personuppgifter | som | avslö- | |||||||||
| jar ras eller etniskt ursprung, | jar ras eller etniskt ursprung, | ||||||||||||
| politiska | åsikter, | religiös | politiska | åsikter, | religiös | ||||||||
| eller | filosofisk | övertygelse | eller | filosofisk | övertygelse, | ||||||||
| eller medlemskap i fack- | medlemskap i | fackförening | |||||||||||
| förening samt sådana per- | samt uppgifter som rör hälsa | ||||||||||||
| sonuppgifter som | rör hälsa | eller sexualliv. | |||||||||||
| eller sexualliv. | |||||||||||||
| 332 Innehållet i den nya persondatalagen | SOU 1997: 39 |
| Begrepp | Persondatalagen | EG-direktivet | |||||
| Mottagare | Den till vilken personuppgif- | Den fysiska eller juridiska | |||||
| ter lämnas ut. När person- | person, den myndighet, den | ||||||
| uppgifter lämnas ut för att en | institution | eller | det | andra | |||
| myndighet skall kunna ut- | organ till | vilket | uppgifterna | ||||
| föra | sådan tillsyn, | kontroll | utlämnas, vare sig det är en | ||||
| eller | revision som | åligger | tredje man eller inte. Myn- | ||||
| den, anses dock inte myn- | digheter som kan komma att | ||||||
| digheten som mottagare. | motta uppgifter inom ramen | ||||||
| för ett särskilt uppdrag skall | |||||||
| dock inte betraktas som mot- | |||||||
| Persondataansvarig | tagare. | ||||||
| Den som ensam eller till- | Den fysiska eller juridiska | ||||||
| (registeransvarig) | sammans med andra be- | person, den myndighet, den | |||||
| stämmer ändamålen med och | institution | eller | det | andra | |||
| medlen för behandlingen av | organ som ensamt eller till- | ||||||
| personuppgifter. | sammans med andra be- | ||||||
| stämmer | ändamålen | och | |||||
| medlen för behandlingen av | |||||||
| personuppgifter. | När | ända- | |||||
| målen och medlen för be- | |||||||
| handlingen bestäms av na- | |||||||
| tionella lagar och andra för- | |||||||
| fattningar eller av gemen- | |||||||
| skapsrätten kan den regis- | |||||||
| teransvarige eller de sär- | |||||||
| skilda kriterierna för att utse | |||||||
| honom anges i nationell rätt | |||||||
| Persondatabiträde | eller i gemenskapsrätten. | ||||||
| Den som behandlar person- | Den fysiska eller juridiska | ||||||
| (registerförare) | uppgifter för den personda- | person, den myndighet, den | |||||
| taansvariges räkning. | institution | eller | det | andra | |||
| organ som behandlar per- | |||||||
| sonuppgifter för den regis- | |||||||
| teransvariges räkning. | |||||||
| SOU 1997: 39 | Innehållet i den nya persondatalagen 333 |
| Begrepp | Persondatalagen | EG-direktivet | ||||||||||||||
| Personuppgifter | All slags information | som | Varje upplysning som avser | |||||||||||||
| direkt eller indirekt kan hän- | en identifierad eller identi- | |||||||||||||||
| föras till en fysisk person | fierbar | fysisk | person | (den | ||||||||||||
| som är i livet. | registrerade). En identifier- | |||||||||||||||
| bar person är en person som | ||||||||||||||||
| kan | identifieras, | direkt | eller | |||||||||||||
| indirekt, framför allt genom | ||||||||||||||||
| hänvisning till ett identifika- | ||||||||||||||||
| tionsnummer | eller | till | en | |||||||||||||
| eller flera faktorer som är | ||||||||||||||||
| specifika | för | hans | fysiska, | |||||||||||||
| fysiologiska, | psykiska, | eko- | ||||||||||||||
| nomiska, | kulturella | eller | ||||||||||||||
| Register (med person- | sociala identitet. | |||||||||||||||
| Varje strukturerad | samling | Varje | strukturerad | samling | ||||||||||||
| uppgifter) | av personuppgifter | vilka | är | av personuppgifter | som är | |||||||||||
| tillgängliga för sökning eller | tillgänglig | enligt | särskilda | |||||||||||||
| sammanställning | enligt | sär- | kriterier, oavsett om sam- | |||||||||||||
| skilda kriterier. | lingen är centraliserad, de- | |||||||||||||||
| centraliserad | eller | spridd på | ||||||||||||||
| grundval | av | funktionella | ||||||||||||||
| eller | geografiska | förhållan- | ||||||||||||||
| Samtycke | den. | |||||||||||||||
| Varje slag av frivillig, sär- | Varje slag av frivillig, sär- | |||||||||||||||
| skild och informerad vilje- | skild och informerad vilje- | |||||||||||||||
| yttring | genom | vilken | den | yttring | genom | vilken | den | |||||||||
| registrerade godtar | behand- | registrerade | godtar | behand- | ||||||||||||
| ling av personuppgifter som | ling av personuppgifter som | |||||||||||||||
| Tillsynsmyndigheten | rör honom eller henne. | rör honom. | ||||||||||||||
| Den myndighet som rege- | En | eller | flera | (utsedda) | ||||||||||||
| ringen utser. | myndigheter | som | har | till | ||||||||||||
| uppgift att inom en med- | ||||||||||||||||
| lemsstats | territorium över- | |||||||||||||||
| vaka tillämpningen av de be- | ||||||||||||||||
| stämmelser | som | medlems- | ||||||||||||||
| staterna antar till följd av | ||||||||||||||||
| direktivet. Dessa myndighe- | ||||||||||||||||
| ter skall fullständigt obero- | ||||||||||||||||
| ende utöva de uppgifter som | ||||||||||||||||
| Tredje land | åläggs dem. | |||||||||||||||
| En stat som inte ingår i Eu- | – | |||||||||||||||
| ropeiska | unionen | eller | är | |||||||||||||
| ansluten till Europeiska eko- | ||||||||||||||||
| nomiska samarbetsområdet. | ||||||||||||||||
| 334 Innehållet i den nya persondatalagen | SOU 1997: 39 |
| Begrepp | Persondatalagen | EG-direktivet | ||||
| Tredje man | Någon annan än den regist- | Den fysiska eller juridiska | ||||
| rerade, den persondataansva- | person, den myndighet, den | |||||
| rige, | persondatabiträdet och | institution | eller | det | andra | |
| sådana personer som under | organ än | den | registrerade, | |||
| den | persondataansvariges | den registeransvarige, | regis- | |||
| eller | persondatabiträdets di- | terföraren | och | de personer | ||
| rekta ansvar har befogenhet | som under den registeran- | |||||
| att behandla personuppgifter. | svariges | eller | registerföra- | |||
| Ett sådant persondataombud | rens direkta ansvar har befo- | |||||
| som avses i 41 § anses inte | genhet att behandla uppgif- | |||||
| som tredje man. | terna. | |||||
I den föreslagna lagen används också begreppet persondataombud för att beteckna en av den persondataansvarige utsedd person med vissa befogenheter. Bestämmelserna om sådana ombud berörs närmare i avsnitt 12.12.2.4.
Eftersom de använda begreppen verkar ha en EG-gemensam innebörd som ytterst bestäms av EG-domstolen, bör vi vara återhållsamma med kommentarer. Något bör dock sägas.
12.2.2Behandling av personuppgifter
Begreppet behandling av personuppgifter omfattar som synes alla åtgärder som vidtas beträffande sådana uppgifter. Så snart personuppgifter på något sätt hanteras är det som vi ser det fråga om en behandling som faller under den föreslagna lagen och direktivet, om behandlingen är automatisk eller avser ett manuellt personregister.
Begreppet behandling är således inte särskiljande i den meningen att det kan användas för att skilja ut vissa hanteringsformer som inte omfattas av den föreslagna lagen eller direktivet; alla former av hantering omfattas.
12.2.3Blockering
I själva direktivet finns det inte någon definition av begreppet blockering. Definitionen i den föreslagna lagen har i stället utformats mot bakgrund av vad kommissionen anfört i sina förklaringar till direktivförslaget, se avsnitt 3.10.3. Frågan om blockering berörs också i avsnitt 12.8.2.6.
I avsnitt 9.3 har frågan om hur blockering förhåller sig till offentlighetsprincipen berörts.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 335 |
12.2.4Känsliga personuppgifter
Definitionen av känsliga personuppgifter i den föreslagna persondatalagen anknyter nära till EG-direktivet. Definitionen av känsliga personuppgifter berörs närmare i avsnitt 12.5.3.2.
12.2.5Mottagare och tredje man
Begreppet mottagare omfattar i princip samtliga till vilka personuppgifter lämnas ut, även om den som tar emot uppgifterna inte skulle vara tredje man. Även den registrerade, persondatabiträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter verkar således kunna betraktas som mottagare.
I förhållande till EG-direktivet har i den föreslagna lagtexten gjorts den preciseringen beträffande begreppet tredje man att det inte omfattar ett av den persondataansvarige utsett persondataombud.
Begreppet tredje man används i EG-direktivet, och det får anses vedertaget inom juridiken. Olika omskrivningar av detta begrepp – såsom ”tredje person” eller ”utomstående” – kan lätt leda tanken fel. Vi har därför valt att i den föreslagna persondatalagen använda begreppet tredje man, trots att det inte är så könsneutralt som man kunde önska.
När det gäller begreppet mottagare bör noteras att myndigheter som får del av personuppgifter för att kunna utföra vissa uppdrag inte anses som mottagare. Detta innebär bl.a. att den persondataansvarige inte behöver lämna de registrerade information om att uppgifterna har lämnats ut eller kan komma att lämnas ut till myndigheter för sådana uppdrag (artikel 10– 12). Därmed kan revision och kontroll utföras effektivt och utan de registrerades vetskap. En myndighet som på detta sätt tar emot uppgifter är dock att anse som tredje man. Den persondataansvarige måste därför enligt artikel 12 c underrätta myndigheten om utlämnade uppgifter rättas, utplånas eller blockeras till följd av att det visar sig att uppgifterna är felaktiga, missvisande eller ofullständiga eller på något annat sätt inte har behandlats enligt lagen och direktivet (se avsnitt 12.8.3).
En annan fråga som bör anmärkas i detta sammanhang är om den myndighet som i samband med tillsyn, kontroll eller revision eller av annan anledning beordrar behandling av personuppgifter hos en persondataansvarig – eller själv behandlar mottagna (eller beslagtagna) personupp-
| 336 Innehållet i den nya persondatalagen | SOU 1997: 39 |
gifter i sådant syfte – blir att anse som persondataansvarig. Det beror på en tolkning av begreppet persondataansvarig.
12.2.6Persondataansvarig och persondatabiträde
Enligt EG-direktivet är den persondataansvarig som själv eller tillsammans med annan bestämmer ändamålen med och medlen för behandlingen. När exempelvis en tillsynsmyndighet beordrar en viss behandling av personuppgifter hos t.ex. ett persondataansvarigt företag, kan det företaget inte gärna anses bestämma ändamålen med och medlen för behandlingen. Det gör i stället myndigheten. Detsamma gäller när en myndighet på ett eller annat sätt har tagit om hand behandlade personuppgifter, t.ex. vid beslag av ett personregister. Det sagda talar för att myndigheten som regel bör anses som persondataansvarig för de behandlingar som beordras.
Emellertid tillåter EG-direktivet att det i nationell lagstiftning anges vem som är persondataansvarig när ändamålen med och medlen för behandlingen bestäms av den nationella lagstiftningen. Detta innebär enligt vår mening att det är tillåtet att i den särskilda lagstiftning som bemyndigar myndigheten att företa tillsyn, kontroll, revision eller andra relevanta åtgärder också peka ut vem som är persondataansvarig för den behandling som sker inom ramen för tillsynen, kontrollen, revisionen och så vidare – myndigheten eller den persondataansvarige hos vilken åtgärden vidtas.288 Enligt vår mening är det den vägen man bör lösa frågan, dvs. genom en uttrycklig bestämmelse i den särskilda lagstiftning som reglerar den aktuella åtgärden. Det är nämligen svårt att hitta en regel som fungerar i alla de olika sammanhang som en kontrollåtgärd eller liknande kan bli aktuell. Av vad som tidigare sagts framgår att mycket talar för att den myndighet som t.ex. beordrar en behandling kommer att anses som persondataansvarig, om inte annat anges i den lagstiftning som reglerar åtgärden.
En annan fråga som berör begreppet persondataansvarig är om den som inte har rättslig eller faktisk möjlighet att ändra de uppgifter som ingår i en persondatasamling som han eller hon innehar eller annars kommer åt kan
288En myndighets behandling för kontrolländamål eller liknande av personuppgifter hos någon annan torde för övrigt ofta vara oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (artikel 6 b) och därför under alla förhållanden kräva undantagsregler i särskild lagstiftning (se artikel 13 som tillåter sådana undantag i vissa fall). Härtill kommer givetvis att den maktutövning gentemot enskilda som här avses alltid torde behöva ha författningsstöd.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 337 |
anses som persondataansvarig. Det kan t.ex. gälla den som söker uppgifter i en databas över ett nätverk eller den som köper en diskett eller cd-rom- skiva med personuppgifter. Innehavare av telefonkatalogen eller statskalendern är andra exempel. Det karakteristiska är här att någon har rätt att komma åt uppgifterna och t.ex. söka bland dem, men inte självständigt ändra, komplettera eller radera uppgifterna. Enligt vår mening talar mycket för att den som bara har sådan begränsad tillgång till uppgifterna inte kan anses ha sådan bestämmanderätt över ändamålen med och medlen för behandlingen att han eller hon kan anses som persondataansvarig. Om den aktuella personen – med eller utan rättslig befogenhet – faktiskt börjar bestämma över ändamålen med och medlen för behandlingen, t.ex. genom att ändra, komplettera eller radera bland uppgifterna, får han eller hon däremot anses som persondataansvarig. Av vad som sägs i avsnitt 7.2.4 framgår att rent privat användning av personuppgifter dock faller utanför den föreslagna lagen.
I punkt 47 i ingressen till EG-direktivet berörs frågan vem som är persondataansvarig för personuppgifter i ett meddelande som förmedlas av någon som sysslar med telekommunikation eller elektronisk post (se avsnitt 3.2.2.5). Av vad som sägs där framgår att det normalt är avsändaren av meddelandet och inte förmedlaren som är att anse som persondataansvarig. Däremot blir förmedlaren normalt att anse som persondataansvarig för de personuppgifter som han eller hon lägger till för att kunna förmedla meddelandet.
Av EG-direktivet följer att det för en och samma uppgiftsbehandling kan finnas två eller flera persondataansvariga. För att någon skall anses som persondataansvarig räcker nämligen att han eller hon tillsammans med andra kan bestämma ändamålen med och medlen för behandlingen. I EG- direktivet finns inga egentliga riktlinjer för bedömningen av när en respektive flera skall anses vara persondataansvariga för en och samma behandling.289 Frågan är därför svårbedömd.
289Jämför vad som refereras i avsnitt 3.2.2.7 från kommissionens förklaring till direktivförslaget.
| 338 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Flera personer, företag, myndigheter och filialer kan samarbeta i någon mer eller mindre sammanhållen organisation som sysslar med behandling av personuppgifter:
N Dörrförsäljare, försäkringsmäklare eller andra fristående företagare kan samla in uppgifter för vidareförmedling till en huvudman, t.ex. en symaskinstillverkare eller ett försäkringsbolag.
N En radiohandlare kan med hjälp av ett försäkringsbolag i eget namn erbjuda försäkring avseende sålda varor, varvid radiohandlaren samlar in uppgifter från kunderna för vidareförmedling till försäkringsbolaget.
N En resebyrå samlar in personuppgifter för vidareförmedling till olika transportföretag, hotell etc.
N En bank eller ett försäkringsbolag har flera filialer runt om i landet som samlar in personuppgifter.
N Dotterbolag i en koncern kan behöva föra insamlade personuppgifter vidare till moderbolaget, t.ex. rörande anställda eller kunder.
I dessa – och andra – fall kan man fråga sig vem eller vilka som är persondataansvariga respektive, med EG-direktivets terminologi, registerförare (persondatabiträde), tredje man eller mottagare. I direktivet talas också om personer som under den persondataansvariges respektive registerförarens (persondatabiträdets) direkta ansvar har befogenhet att behandla personuppgifter (artikel 2 f, jämför artikel 16); sådana personer kallas i det följande för ”medhjälpare”. Något entydigt svar kan inte utläsas av EG- direktivet.
Enligt vår mening är det möjligt att resonera på följande sätt.
När en juridisk person eller en myndighet bedriver en viss uppgiftsbehandling, bör den juridiska personen eller myndigheten anses som persondataansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. Som huvudregel bör bara fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige kunna betraktas som persondataansvariga, inte några andra ”organ” (som saknar rättskapacitet). Ett undantag måste kanske göras för det fallet att ett organ, som är en gren av en utländsk juridisk person, skall anses ”etablerad” i Sverige. Det territoriella tillämpningsområdet för den föreslagna lagen berörs närmare i avsnitt 12.3; där framgår vidare att vad som sägs i den föreslagna lagen om den persondataansvarige skall tillämpas också på den företrädare som en utländsk persondataansvarig har utsett.
Den som är anställd och inom ramen för arbetsgivarens verksamhet behandlar personuppgifter bör inte kunna anses som persondataansvarig; ar-
SOU 1997: 39
Innehållet i den nya persondatalagen 339
betsgivaren är då den persondataansvarige och den anställde en medhjälpare.
Frågan om någon – en fysisk person som är självständig företagare, en juridisk person eller en myndighet – som inte är anställd hos den persondataansvarige kan betraktas som medhjälpare är svår att besvara.
Medhjälpare är sådana personer som behandlar personuppgifter under den persondataansvariges ”direkta ansvar” (artikel 2 f), och persondatabiträden är sådana personer som behandlar personuppgifter ”för den persondataansvariges räkning” (artikel 2 e). Men den persondataansvarige torde ha t.ex. skadeståndsansvar gentemot den registrerade även för vad ett persondatabiträde kan företa sig (artikel 23). När det gäller medhjälpare talas det bara om ”personer”, medan det beträffande persondatabiträde framgår att såväl fysiska som juridiska personer avses. Såväl medhjälpare som persondatabiträden får (som huvudregel) bara behandla personuppgifter enligt instruktion från den persondataansvarige (artikel 16). Mellan den persondataansvarige och persondatabiträdet skall det finnas ett skriftligt avtal med visst innehåll (artikel 17.3–4), och det finns vissa regler om den persondataansvariges val av persondatabiträde (artikel 17.2). Några motsvarande regler finns inte beträffande medhjälpare.
Enligt vår mening finns det en hel del som talar för att som huvudregel bara fysiska personer enligt direktivet kan betraktas som medhjälpare och att dessa personer måste ha en sådan osjälvständig ställning som i Sverige utmärker arbetstagare. Om en persondataansvarig anlitar en självständig företagare, en juridisk person eller en myndighet för att utföra behandling av personuppgifter, framstår det således inte som osannolikt att den anlitade kommer att betraktas antingen som persondatabiträde eller som persondataansvarig (tillsammans med den som lämnade uppdraget). Huruvida den anlitade blir att betrakta som persondatabiträde eller persondataansvarig verkar närmast hänga samman med om han eller hon har befogenhet att självständigt eller tillsammans med den som lämnade uppdraget bestämma över hur uppgiftsbehandlingen skall ske, t.ex. söka bland uppgifterna.
Den behandling som sker inom ramen för en koncern kan möjligen utgöra ett undantag från vad som nu sagts. Av vad som sägs i punkt 19 i ingressen verkar nämligen framgå att en enda persondataansvarig kan bedriva verksamhet genom självständiga juridiska personer, t.ex. dotterbolag, i flera olika stater.
| 340 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.2.7Personuppgifter och den registrerade
Med personuppgift avses enligt EG-direktivet varje upplysning som avser en fysisk person som är identifierad eller som kan identifieras. Av de uttalanden som tagits till rådets protokoll i samband med att den gemensamma ståndpunkten beträffande direktivet antogs framgår att medlemsstaterna kan bestämma om uppgifter om avlidna personer skall omfattas av den nationella lagstiftningen (se avsnitt 3.2.2.2).
Vi anser att möjligheten att begränsa tillämpningen av lagen till att avse bara uppgifter om personer som är i livet bör utnyttjas.290 Reglerna i den föreslagna lagen är nämligen så långtgående att de bör reserveras för de fall där behovet av skydd för personlig integritet beträffande behandling av uppgifter om den berörde är mest uttalat, nämligen när det gäller den som är levande och som själv kan ha ett eget anspråk på personlig integritet i detta hänseende. De regler som förutsätter att den registrerade har lämnat sitt samtycke eller som innebär att den registrerade skall informeras skulle vidare i vissa fall bli svåra att tillämpa beträffande den som inte lever. Det skulle enligt vår mening krävas flera särregler i lagstiftningen beträffande uppgifter om den som inte lever. Behovet av skydd beträffande uppgifter om icke levande är som vi ser det inte så uttalat att sådana särregler bör införas. 291
Uppgifter om den som enligt svensk rätt skall betraktas som avliden292 eller som ännu icke levande (född) omfattas således inte av den föreslagna lagen. Däremot omfattas givetvis uppgifter om vem som är släkt med den som är avliden eller om vem som kommer att bli förälder när ett foster föds levande, allt under förutsättning att de aktuella släktingarna är i livet.
Det kan tilläggas att en uppgift beträffande en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer, eftersom denna uppgift i kombination med andra uppgifter med dagens teknik kan ge upplysningar om t.ex. den personens föräldrar och avkomma.
290Också den brittiska regeringen avser att begränsa tillämpningsområdet för den lagstiftning som inför direktivet till levande individer, se punkt 2.2 i det brittiska diskussionsunderlaget.
291När det gäller visst spridande av uppgifter om döda finns det för övrigt redan ett begränsat skydd genom reglerna om förtal av avliden i 5 kap. 4 § brottsbalken.
292Se lagen (1987:269) om kriterier för bestämmande av människans död och bestämmelserna om dödförklaring i 25 kap. ärvdabalken.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 341 |
Uppgifter om juridiska personer omfattas inte, även om den juridiska personen skulle råka ägas av en eller ett fåtal fysiska personer eller ha en benämning (firma) som innefattar ett personnamn. Däremot omfattas uppgifter om en enskild firma, eftersom innehavaren av en sådan firma alltid är en enda fysisk person.
Krypterade uppgifter omfattas av den föreslagna lagen så länge någon kan göra uppgifterna läsbara och därmed identifiera individer. Också sådana i sig anonyma uppgifter som gör det möjligt med s.k. bakvägsidentifikation av en fysisk person omfattas. Det krävs såvitt vi kan förstå enligt direktivet bara att en fysisk person kan identifieras med hjälp av uppgifterna, inte att den persondataansvarige själv skall förfoga över samtliga uppgifter som gör identifieringen möjlig. Ett trafikföretag kan t.ex. registrera när ett personligt och numrerat s.k. månadskort används vid resor. Även om trafikföretaget inte registrerat vem som innehar månadskortet, kan det ändå vara fråga om en personuppgift eftersom den uppgiften kan finnas registrerad på något annat håll, t.ex. hos den skola eller socialförvaltning som delat ut kortet. Motsvarande resonemang kan för övrigt föras beträffande s.k. nätnodsadresser och liknande ”elektroniska identiteter” som den som driver en elektronisk tjänst på t.ex. Internet samlar in. Sådana uppgifter om användarna kan nämligen ofta hänföras till en individ med hjälp av uppgifter som användarens Internetleverantör har tillgång till. Det bör även påpekas att i vissa fall kan uppgifter direkt hänföras till en så begränsad grupp personer, t.ex. en handfull personer med tillgång till en och samma dator eller nätanslutning, att en enskild individ med hjälp av andra uppgifter enkelt kan identifieras och att uppgifterna då får betraktas som personuppgifter.
Det framgår inte av direktivet att kostnaden eller tidsåtgången för identifiering skulle ha någon betydelse.
Vi har valt att formulera definitionen av personuppgifter något annorlunda än i EG-direktivet. Enligt vår mening är vår formulering av definitionen – ”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet” – mera lättbegriplig och beskrivande. Någon saklig skillnad är inte avsedd.
12.2.8Register
Begreppet register har bara betydelse när personuppgifter behandlas manuellt. Automatisk behandling av personuppgifter omfattas nämligen av direktivet och den föreslagna lagen oavsett om uppgifterna finns i ett regis-
| 342 Innehållet i den nya persondatalagen | SOU 1997: 39 |
ter. Däremot omfattas manuell behandling av personuppgifter bara om uppgifterna ingår i – eller är avsedda att ingå i – ett register.
Ett register är en samling av personuppgifter. Det måste som vi ser det finnas uppgifter samlade om fler än en person för att det skall kunna vara fråga om ett register; en omfattande samling uppgifter om en enda person, t.ex. den som själv samlat in uppgifterna, är således inte något register. För att något skall kunna sägas vara en samling krävs vidare enligt vår mening en viss beständighet. En hög med lösa papper, t.ex. studentuppsatser, på ett skrivbord omfattas således inte, även om papperena tillfälligtvis råkar vara sorterade i bokstavsordning efter (studenternas) efternamn. Däremot krävs inte i och för sig att alla handlingar eller akter i ett register finns på ett och samma ställe. Om personuppgifter i handlingar eller akter som är utspridda, t.ex. på olika håll i landet eller inom ett företag, är tillgängliga exempelvis med hjälp av ett centralt index, kan det ändå vara fråga om ett enda register. Ett företag kan t.ex. ha ett kortregister som innehåller kundernas namn och en hänvisning till det ställe, t.ex. en filial, där kundens akt (med ytterligare personuppgifter) finns.
Uppgiftssamlingen måste vidare vara strukturerad. Därmed avses enligt vår mening att uppgifterna måste vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det skall vara fråga om ett register. Av punkt 27 i ingressen framgår att kriterierna skall avse enskilda personer. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift (namn, personnummer etc.) omfattas således inte av den föreslagna lagen. Det kan t.ex. vara fråga om akter som har ordnats efter löpnummer utan möjlighet att – med hjälp av löpnumret eller eljest – söka fram uppgifter om enskilda personer. Av det förhållandet att det i den svenska, engelska, franska och tyska texten talas om kriterier i pluralis kan den slutsatsen dras att registret måste vara sökbart på mer än ett kriterium. En förteckning i bokstavsordning över personer, t.ex. hushållsdelen i telefonkatalogen, skulle således inte vara ett register, om namnet är den enda sökingången. Huruvida alla kriterier eller bara ett kriterium måste avse personuppgifter framstår som mera oklart.
I avsnitt 12.2.6 har vi berört hur man kan betrakta t.ex. innehavare av en tryckt telefonkatalog eller statskalendern.
Det kan tilläggas att begreppet register förefaller förhållandevis ändamålsenligt när det gäller att avgränsa vilka manuella behandlingar som omfattas av direktivet och den föreslagna lagen; när personuppgifter har
| SOU 1997: 39 | Innehållet i den nya persondatalagen 343 |
fästs på papper är det ganska enkelt att avgöra om papperena har strukturerats och om de papper som innehåller uppgifter om en viss person enkelt kan göras tillgängliga. I fråga om automatiskt behandlade uppgifter som finns i datorformat förefaller begreppet register däremot i dag mestadels skapa tillämpningsproblem; uppgifterna är i detta fall inte fästa vid något fysiskt, som har struktureras, och dagens teknik gör att vilka uppgifter som helst enkelt kan göras tillgängliga mer eller mindre oberoende av var de finns. Det nu sagda hindrar givetvis inte att det som faktiskt är ett regelrätt datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör ju just upprättandet och förandet av traditionella register, och registerformen har därvid ofta valts medvetet för att skapa förutsebarhet och säkerhet beträffande de uppgifter som behandlas; uppgifterna skall läggas in i ett på visst sätt strukturerat register och får tas fram bara med hjälp av vissa angivna sökkriterier.
12.2.9Samtycke
I EG-direktivet finns inledningsvis en grundläggande definition av samtycke (artikel 2 h). Definitionen har förts över till den föreslagna persondatalagen.
I de materiella reglerna i direktivet talas det sedan om ”otvetydigt” samtycke (artikel 7 a och 26.1 a) respektive ”uttryckligt” samtycke (artikel 8.2 a). Det förefaller oklart vad förstärkningsorden ”otvetydigt” och ”uttryckligt” har för materiell betydelse vid sidan av den grundläggande definitionen. Antingen har den registrerade samtyckt till behandlingen eller så har han eller hon inte gjort det; något mellanläge finns inte. I den meningen måste samtycket givetvis alltid vara ”otvetydigt”. Samtycket måste vidare alltid vara en viljeyttring från den registrerade, och den viljeyttringen måste alltid i någon mening vara ”uttrycklig”. Mot bakgrund av det sagda har vi valt att i de materiella bestämmelserna i den föreslagna persondatalagen bara tala om samtycke. Någon saklig skillnad i förhållande till EG-direktivet är inte avsedd.
Av definitionen framgår att samtycket skall vara
N frivilligt,
N särskilt och
N informerat.
Samtycket skall också vara en
N viljeyttring.
| 344 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Det krävs inte att samtycket är skriftligt.
Det måste vidare vara den registrerade293 som genom viljeyttringen godtar behandlingen av personuppgifter. Det är alltså inte tillräckligt att en organisation – t.ex. en fackförening – som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar; samtycket måste i den meningen vara individuellt.
Frågan om samtycket i alla lägen måste avges personligen, dvs. av den registrerade själv, är svår att besvara i avsaknad av ledning från direktivtexten. Det verkar klart att ett ombud, en ställföreträdare eller en god man kan framföra den registrerades frivilliga, särskilda och informerade viljeyttring till den persondataansvarige (eller dennes ombud). Men kan ett ombud, som fått information, genast lämna samtycke för en registrerad som inte (ännu) blivit informerad om behandlingen? Kan ett ombud eller en ställföreträdare med stöd av en generell behörighet att företräda den registrerade lämna ett ”särskilt” samtycke? Enligt vår mening bör ett ombud eller en ställföreträdare kunna lämna samtycke på den registrerades vägnar.
Av artikel 8.2 c verkar framgå att den registrerade kan vara ”rättsligt förhindrad” att lämna sitt samtycke. Detta tyder på att medlemsstaterna själva kan bestämma vilka rättsliga förutsättningar som skall finnas för att ett samtycke skall ha rättslig giltighet. Enligt vår mening bör man inte ställa upp några särskilda, rättsliga krav för att någon skall få avge ett samtycke. Ett samtycke måste, som framgått av det tidigare sagda, vara en informerad viljeyttring från den registrerade. Den som faktiskt kan tillgodogöra sig information om vad en behandling innebär och som faktiskt kan avge en frivillig viljeyttring som innebär att han eller hon godtar behandlingen bör kunna lämna ett rättsligt giltigt samtycke. Den viljeyttring som samtycket utgör är en rättshandling, men den rättshandlingen kan vidtas av vem som helst som förstår vad den innebär. Det är som vi ser det naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv.
Enligt vår mening bör föräldrar och andra ställföreträdare kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring i saken.
293Här – och i den föreslagna lagtexten – avses i detta sammanhang med ”den registrerade” såväl en person om vilken en uppgift har registrerats som den person om vilken uppgifter avses bli registrerade (om samtycke lämnas); det har inte ansetts nödvändigt att införa någon särskild beteckning för den som avses bli registrerad.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 345 |
Avsaknaden av vägledning i direktivet gör det svårt att precisera den närmare innebörden av kravet på frivillighet. Av artikel 10 c andra strecksatsen verkar framgå att det är förutsett att ett uteblivet samtycke från den registrerade kan få följder för denne; den registrerade skall dock informeras om följderna. Man kan tänka sig den situationen att samtycke till viss uppgiftsbehandling uppställs som en förutsättning för att den registrerade skall få något som han eller hon önskar eller behöver, t.ex. ett telefonabonnemang, en semesterresa, en livsnödvändig sjukvårdsbehandling, anställning, bostadsbidrag etc. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”; möjligen får här göras ett undantag för det fallet att det kan visas att den registrerade skulle ha lämnat samtycket även utan ”tvånget”. Också det förhållandet att en registrerad allmänt sett kan ha en underordnad eller beroende ställning i förhållande till den persondataansvarige, såsom när en arbetsgivare begär samtycke till registrering av uppgifter om arbetstagare eller arbetssökande, bör beaktas vid bedömningen av om ett samtycke har lämnats frivilligt på det sätt som EG-direktivet kräver.
Kravet på att samtycket skall vara särskilt innebär – språkligt sett – att ett generellt samtycke till uppgiftsbehandling inte godtas. Det förefaller rimligt att koppla samman kraven på information och särskilt samtycke. Den registrerade skall informeras om en eller flera tilltänkta behandlingar, och det är dessa – och inga andra – behandlingar som (det särskilda) samtycket avser.
Definitionen i direktivet av begreppet samtycke innebär att ett s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen (hypotesen) om den registrerades inställning till behandlingen än är.
I avsnitt 12.5.2.2 berörs den situationen att den registrerade tar tillbaka ett lämnat samtycke.
12.2.10Tillsynsmyndigheten
Enligt vårt förslag är det regeringen som utser tillsynsmyndigheten. Regeringen har redan beslutat att utse Datainspektionen till tillsynsmyndighet enligt artikel 28 i direktivet.294 Det förefaller lämpligt att ta in en bestämmelse om att Datainspektionen är tillsynsmyndighet i en till persondatalagen anslutande förordning eller i instruktionen för Datainspektionen.
294 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.
| 346 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Namnet Datainspektionen förefaller för övrigt enligt vår mening ändamålsenligt för den tillsynsmyndighet som avses i den föreslagna persondatalagen.
12.2.11Tredje land
Den föreslagna lagen och direktivet innehåller regler om överföring av personuppgifter till tredje land. Direktivet innehåller inte någon uttrycklig definition av begreppet tredje land. Vi har emellertid funnit att en uttrycklig definition i lagtexten är att föredra.
Det framgår av direktivet att med tredje land avses en stat som inte ingår i EU. Vi har erfarit att det pågår förhandlingar inom ramen för EES- avtalet om en utvidgning av direktivets tillämpningsområde till att avse även EES-staterna. En sådan utvidgning är, såvitt vi erfarit, att vänta inom kort. Vi har därför valt att lämna förslag till en lagtext som utformats som om utvidgningen redan skett; skulle någon utvidgning mot förmodan inte komma till stånd innan en lag antas, måste givetvis en justering av den föreslagna lagtexten göras.
12.2.12Automatisk respektive icke automatisk behandling
I EG-direktivet finns inte någon definition av vad som är automatisk respektive icke automatisk behandling av personuppgifter. Dessa begrepp, som är grundläggande för tillämpningen av direktivet, har en EG-gemen- sam innebörd.
Det står klart att behandling i datorer av personuppgifter som finns i datorformat (binär form) – inklusive överföringen av uppgifter till sådant format – som regel bör anses som automatisk behandling i direktivets mening.295 Däremot är det mera osäkert om och i vilken utsträckning direktivets regler om automatisk behandling skall tillämpas på behandling av personuppgifter som inte finns i datorformat, t.ex. bilder och ljud som lagrats i något analogt format (exempelvis på ett negativ eller ett vanligt ljud- eller
295Jämför dock SOU 1996:88 s. 179 där det ges uttryck för den uppfattningen att sådan kameraövervakning, som bygger på digital teknik och där bild och ljud inte bevaras utan bara visas på en monitor, inte kan sägas ske med hjälp av automatisk behandling i direktivets mening.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 347 |
videoband). Det står klart att ljud- och bilduppgifter avseende människor omfattas av direktivets bestämmelser.296
Själva överföringen av en människas utseende eller röst till ett vanligt (analogt) ljud- eller videoband kan i någon mening sägas ske ”automatiskt”, men det är som vi ser det inte tillräckligt för att direktivets bestämmelser om automatisk behandling skall tillämpas. Den analoga upptagningen av en människas utseende och röst kan emellertid också ske ”automatiskt” i den meningen att upptagningen påbörjas och avslutas utan att någon operatör är direkt inblandad eller närvarande, såsom vid vissa former av videoövervakning och telefonavlyssning; det är datorer eller annan apparatur som utan direkt mänsklig inblandning styr upptagningen. Det förefaller tveksamt om direktivets bestämmelser om automatisk behandling skall tillämpas på sådan behandling. Detsamma kan sägas gälla beträffande t.ex. mekaniska stämpelklockor och kassaregister som registrerar en anställds ankomst och försäljning.
Det är över huvud taget osäkert vad som avses med automatisk behandling av personuppgifter enligt EG-direktivet. Därför har vi inte tagit in någon definition av det begreppet i den föreslagna lagen. Denna osäkerhet och bristen på upplysande uttalanden i t.ex. ingressen till direktivet medför också att vi inte anser oss ha någon egentlig grund för att lämna ytterligare vägledning för tillämpningen. Den som vill vara på den säkra sidan bör enligt vår mening kunna tillämpa den föreslagna lagens bestämmelser om automatisk behandling på all behandling av personuppgifter i datorformat och sådana personuppgifter som registeras i annan form utan någon direkt mänsklig inblandning. Direktivets och den föreslagna lagens bestämmelser om automatisk behandling skall til??lämpas även om behandlingen bara delvis är automatisk.
Att det kan uppkomma särskilda svårigheter att tillämpa direktivets och den föreslagna lagens bestämmelser på ljud- och bilduppgifter står klart. Hur skall t.ex. bestämmelserna om information till den registrerade tillämpas beträffande digitala bilder som lagras i samband med butiksövervakning. Kommissionen skall särskilt undersöka tillämpningssvårigheterna och komma med lämpliga förslag (artikel 33 2 st.). Man kan hoppas att den undersökningen kommer att kasta ljus över hur direktivet skall tillämpas.
Även behandling av personuppgifter som bara delvis är automatisk omfattas av reglerna i den föreslagna persondatalagen och EG-direktivet. Om
296 Se artikel 33 andra stycket och punkt 14–17 i ingressen.
| 348 Innehållet i den nya persondatalagen | SOU 1997: 39 |
det till en samling av akter eller andra pappershandlingar med personuppgifter finns ett datoriserat index med hänvisningar till akterna eller handlingarna, uppkommer frågan om hur uppgifterna i pappershandlingarna skall betraktas.
Som vi ser saken krävs det att den automatiska delen av behandlingen – i exemplet det datoriserade indexet – omfattar personuppgifter för att det över huvud taget skulle kunna bli aktuellt att tillämpa den föreslagna persondatalagens regler om automatisk behandling. Kan man inte med hjälp av automatisk behandling söka fram uppgifter om individer i pappersmaterialet, kan det rimligen inte vara fråga om en sådan delvis automatisk behandling av personuppgifter som omfattas av den föreslagna persondatalagen och EG-direktivet.
I normalfallet torde dock det datoriserade indexet, t.ex. ett diarium eller någon annan förteckning över ärenden, vara sökbart på personuppgifter, exempelvis namnet på den som ärendet rör. Myndigheter, företag och andra organisationer har ofta – i enlighet med vedertagen administrativ praxis – delat in sin verksamhet i olika ärenden och åsatt varje ärende en unik beteckning samt antecknat den beteckningen på varje handling som hör till ett ärende. Med en vidsträckt tolkning av EG-direktivet skulle de allra flesta papper – alla papper som åsatts en ärendebeteckning – i en sådan organisation med en datoriserad ärendeförteckning, som är sökbar på personuppgifter, kunna anses omfattade av direktivets bestämmelser. En- ligt vår mening är en sådan tolkning orimlig. Som vi ser saken bör den automatiska behandlingen anses hänförlig enbart till det datoriserade indexet. De akter eller andra pappershandlingar som finns bör i förekommande fall bedömas enligt direktivets regler om manuellt förda register.
12.2.13Skriftligen respektive undertecknad
Den föreslagna lagen innehåller på vissa punkter bestämmelser om att olika åtgärder skall företas ”skriftligen”. I vissa sammanhang anges dessutom att en ansökan eller liknande bör vara ”undertecknad”.
Avsikten är att kravet på att något skall ske ”skriftligen” skall förstås så att åtgärden skall kunna företas genom såväl text på papper som text i elektroniskt format. När vi anger att den persondataansvarige skall lämna information skriftligen till den registrerade går det således bra att lämna informationen t.ex. via e-post, om den registrerade har tillgång till det.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 349 |
Den nu beskrivna synen på skriftlighetskrav i lagstiftningen stämmer överens med den inställning som IT-utredningen gett uttryck för när det gäller elektronisk dokumenthantering i förvaltningen.297
IT-utredningens slutsats är vidare att när det – på förvaltningsområdet – finns en författningsföreskrift om att något skall ”undertecknas” innefattas inte elektroniska rutiner.298 Utredningen föreslår dock att riksdagen genom en särskild lagbestämmelse skall ge regeringen makt att – såvitt avser handläggning av förvaltningsärenden – föreskriva att bestämmelser som riksdagen har beslutat i lag om undertecknande inte hindrar att digitala dokument eller elektroniska handlingar används.299 För åtgärder som vidtas utanför förvaltningsområdet, t.ex. mellan enskilda, föreslås inte någon motsvarande bestämmelse om att elektroniska åtgärder kan ersätta ett undertecknande för hand på papper.
Vid utarbetandet av lagtextförslaget har vi tagit ställning till i vilka fall en åtgärd bör vara förenad med sådan säkerhet som normalt är förknippad med ett krav på egenhändigt undertecknande. För dessa fall har vi angett att det bör krävas undertecknande. På det sättet har de allra flesta författningar skrivits hittills, och vi har inte sett det som vår uppgift att – innan IT-utredningens utarbetade förslag ens behandlats klart – överväga under vilka förutsättningar elektroniska åtgärder bör kunna ersätta undertecknande. När vi anger att det bör krävas att något skall undertecknas, krävs det alltså tills vidare att en namnteckning skrivs för hand på ett papper.
12.3Det territoriella tillämpningsområdet
Persondatalagen bör tillämpas på sådana persondataansvariga som är etablerade i Sverige. Även när en persondataansvarig från tredje land för behandling av personuppgifter använder utrustning som finns i Sverige bör som huvudregel den svenska lagen tillämpas.
I artikel 4 i EG-direktivet finns det bestämmelser om det territoriella tillämpningsområdet för de nationella regler som inför direktivet (se av-
297Se SOU 1996:40 s. 91 ff.
298Se SOU 1996:40 s. 95.
299Utredningens förslag till ny 7 a § förvaltningslagen.
| 350 Innehållet i den nya persondatalagen | SOU 1997: 39 |
snitt 3.2.5 och punkt 18–21 i ingressen). Bestämmelserna är inte lätta att tolka. De har en EG-gemensam innebörd och bör således tillämpas på samma sätt i alla medlemsstater; annars skulle det i direktivet avsedda systemet inte kunna fungera utan luckor och överlappningar.
Mot bakgrund av det sagda – att bestämmelserna är svåra att tolka och att de bör tillämpas likartat av alla medlemsstater – har vi valt att i den föreslagna, svenska lagtexten bara ta in kortfattade regler, vilka är avsedda att tillämpas i enlighet med vad som kan framkomma genom EG-domsto- lens praxis eller andra åtgärder inom gemenskapen som syftar till att åstadkomma en enhetlig tillämpning. Avsikten är att inte gå längre än vad direktivet kräver när det gäller tillämpning av persondatalagen på verksamhet som utförs utanför Sverige.
Som huvudregel anges i vårt förslag kortfattat att persondatalagen skall tillämpas på varje persondataansvarig som är etablerad i Sverige. Be- greppet etablerad har en EG-gemensam innebörd och viss ledning för tolkningen kan hämtas från punkt 19 i ingressen.
En enda persondataansvarig kan vara etablerad i flera medlemsstater, och för detta fall innebär EG-direktivets bestämmelser förmodligen att den svenska lagen bara skall tillämpas på den verksamhet som bedrivs i Sverige.300 Är en persondataansvarig att anse som etablerad inom EU (och EES) bara i Sverige, innebär direktivet troligen att den svenska lagen skall tillämpas på all verksamhet som den persondataansvarige bedriver inom EU (och EES); däremot kräver direktivet förmodligen inte att verksamhet utanför EU (och EES) skall omfattas av lagstiftningen. Det är mera osäkert vad som skall gälla när en persondataansvarig är etablerad i två medlemsstater, men bedriver verksamhet också i en tredje medlemsstat där etablering inte föreligger. Skall exempelvis svensk, dansk eller tysk rätt tillämpas på den verksamhet som en persondataansvarig som är etablerad (bara) i Sverige och Danmark bedriver i Tyskland.
För det fallet att den persondataansvarige inte är etablerad någonstans inom EU (eller EES) utan i tredje land finns en specialregel. Använder den persondataansvarige för behandlingen av personuppgifter utrustning som finns i Sverige, skall den svenska lagen tillämpas. Förmodligen skall i detta fall den svenska lagen bara tillämpas på den verksamhet som bedrivs i Sverige.
300I lagen (1992:160) om utländska filialer m.m. finns bestämmelser om bl.a. formerna för sådan näringsverksamhet som utlänningar bedriver i Sverige.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 351 |
Specialregeln blir inte tillämplig om utrustningen bara används för att låta personuppgifter passera genom gemenskapen. I sådant fall skall den svenska lagen inte tillämpas.
Är specialregeln tillämplig, måste den utlänning som är persondataansvarig utse en företrädare för sig. Företrädaren skall vara etablerad i Sverige. Företrädaren kan vara en fysisk eller juridisk person eller en svensk myndighet.
I syfte att skapa ordning och reda har vi i vårt förslag tagit med bestämmelser om att den persondataansvarige – innan utrustningen tas i drift
– skall anmäla till Datainspektionen vem han eller hon har utsett till företrädare för sig. Anmälan skall göras skriftligen och vara åtföljd av ett skriftligt medgivande från den utsedde företrädaren. Medgivandet behöver inte nödvändigtvis vara undertecknat, men Datainspektionen skall på ett eller annat sätt – t.ex. genom en digital signatur på ett elektroniskt meddelande – kunna förvissa sig om att det härrör från företrädaren. Sådana ordningsföreskrifter som nu nämnts kan inte anses oförenliga med direktivet.
Det som sägs i den föreslagna persondatalagen om den persondataansvarige skall gälla också för den utsedde företrädaren.
I kommissionens förklaring till direktivförslaget har som exempel på utrustning angetts terminaler och frågeformulär. Det måste således tydligen vara fråga om fysiska saker, och dessa saker skall finnas inom Sveriges gränser.
Det skall vidare vara den persondataansvarige som använder utrustningen i Sverige. Specialregeln blir därför inte tillämplig bara för att svenskar med egen utrustning här kan komma åt och söka bland uppgifter i databaser i utlandet, t.ex. via Internet. Detta gäller enligt vår mening även när det finns ett avtal mellan svensken och utlänningen om tillgång till uppgifterna. Om däremot utrustningen i Sverige ägs av den persondataansvarige utlänningen eller används på hans eller hennes uppdrag, kan specialregeln vara tillämplig.
| 352 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.4Grundläggande krav på all behandling av personuppgifter
I den föreslagna persondatalagen slås fast vissa grundläggande krav på behandlingen av personuppgifter som den persondataansvarige alltid måste följa. För behandling för historiska, statistiska och vetenskapliga ändamål
– t.ex. arkivering – föreslås vissa lättnader. Regleringen i den föreslagna persondatalagen ansluter nära till EG-direktivets text.
12.4.1Inledning
I artikel 6 i EG-direktivet räknas det upp en rad krav på behandlingen av personuppgifter som den persondataansvarige måste uppfylla; artikeln har berörts i avsnitt 3.4. Uppfylls inte kraven är behandlingen olaglig. I artikel 17 finns det vidare regler rörande säkerheten vid behandling av personuppgifter som den persondataansvarige också måste uppfylla (se avsnitt 12.10).
För att en viss behandling skall vara tillåten krävs inte bara att behandlingen utförs i enlighet med de grundläggande kraven i artikel 6. Behandlingen måste också kunna hänföras till något av de fall som anges i artikel 7; bara i de fall som anges i den bestämmelsen är det över huvud taget til??låtet att behandla personuppgifter, se avsnitt 12.5.1. Avser behandlingen känsliga personuppgifter, måste behandlingen dessutom kunna godtas enligt bestämmelserna i artikel 8, se avsnitt 12.5.3.3.
Vi har i den föreslagna persondatalagen tagit in en bestämmelse vars text nära ansluter till artikel 6 i EG-direktivet. Vi har dock lagt till en erinran om det viktiga kravet att den persondataansvarige skall se till att samtycke hämtas in när så krävs.
Regeringen – eller Datainspektionen – kan närmare precisera de generella principer för uppgiftsbehandling som bestämmelsen innehåller.
12.4.2Korrekt och laglig behandling
I EG-direktivet finns en bestämmelse om att personuppgifter alltid skall behandlas på ett korrekt och lagligt sätt.
SOU 1997: 39
Innehållet i den nya persondatalagen 353
När en behandling är laglig framgår av den föreslagna persondatalagen och anknytande lagstiftning. Av dessa rättskällor framgår också vad som är ett korrekt sätt att behandla personuppgifter.
Det förefaller osäkert om den uttryckliga bestämmelsen i EG-direktivet om att personuppgifter skall behandlas på ett korrekt och lagligt sätt har någon självständig betydelse. Vi har emellertid för säkerhets och fullständighets skull valt att i den föreslagna persondatalagen ta med en sådan bestämmelse och därvid erinra om det viktiga kravet att den persondataansvarige skall hämta in samtycke när så krävs.
12.4.3Ändamålet med behandlingen
I EG-direktivet finns en bestämmelse om att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Den bestämmelsen kompletteras av den viktiga regeln att efter insamlingen får behandling av uppgifterna inte ske på ett sätt som är oförenligt med de ursprungliga ändamålen.
Dessa bestämmelser har förts över mer eller mindre ordagrant till den föreslagna persondatalagen.
Bestämmelserna innebär att ändamålen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in. Ändamålen måste då anges uttryckligen. Det finns inte något krav på att ändamålsangivelsen skall nedtecknas.
Att ändamålen skall vara särskilda, innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Hur pass detaljerad ändamålsangivelsen skall vara för att uppfylla den föreslagna lagens och direktivets krav på att vara särskild får avgöras i praxis. Regeringen och Datainspektionen kan också utfärda mer preciserade regler, t.ex. för olika typsituationer.
Det är möjligt att ange flera ändamål när uppgifterna samlas in.
I EG-direktivet anges att de ändamål för vilka uppgifterna samlas in skall vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av den föreslagna persondatalagen och anknytande lagstiftning. Det förefaller osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse. Vi har ändå valt att för säkerhets och fullständighets skull ta med den bestämmelsen i den föreslagna persondatalagen.
De insamlade personuppgifterna får behandlas för andra ändamål än de för vilka uppgifterna samlades in bara om de nya ändamålen – och de nya sätten att behandla uppgifterna – inte är oförenliga med de ursprungliga
| 354 Innehållet i den nya persondatalagen | SOU 1997: 39 |
ändamålen. Vad som är oförenligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda. I vad mån uppgifter som inte har samlats in för ändamål som har med direkt marknadsföring att göra ändå kan användas eller lämnas ut för sådana ändamål får t.ex. bestämmas på detta sätt.
Behandlingen för nya ändamål måste givetvis, liksom behandlingen för de ursprungliga ändamålen, kunna hänföras under något av de tillåtna fall av behandling som anges i artikel 7 och, om känsliga personuppgifter skall behandlas, kunna tillåtas i enlighet med artikel 8.
Det bör betonas att även ett utlämnande till annan av uppgifterna måste vara förenligt med de ursprungliga ändamålen. Det bör därför inte vara möjligt att kringgå reglerna genom att en persondataansvarig lämnar ut uppgifterna till en annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga.
Senare behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål tas upp i det följande i ett särskilt avsnitt. Betydelsen av ändamålet med behandlingen har vidare berörts särskilt såvitt avser forskning och statistik i avsnitt 11.6.5.
12.4.4Personuppgifternas kvalitet och omfattning
I EG-direktivet finns bestämmelser om att personuppgifterna skall vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka uppgifterna behandlas. Där finns vidare bestämmelser om att uppgifterna skall vara riktiga och, om det är nödvändigt, aktuella; uppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka uppgifterna behandlas accepteras inte, och den persondataansvarige måste vidta alla rimliga åtgärder för att utplåna eller rätta sådana uppgifter.
Dessa bestämmelser har så gott som ordagrant förts över till den föreslagna persondatalagen. I lagtextförslaget har dock blockering angetts som ett alternativ till utplånande och rättelse av felaktiga, missvisande eller ofullständiga uppgifter. Skälen till detta framgår av vad som anförs i avsnitt 12.8. I det avsnittet redogörs också för ytterligare bestämmelser om rättelse m.m. För att förtydliga har vi i detta sammanhang i lagtextförslaget vidare nämnt, förutom felaktiga och ofullständiga uppgifter, även missvisande uppgifter.
Det bör i sammanhanget understrykas vikten av att de behandlade uppgifterna håller en hög kvalitet. Användningen av felaktiga, missvisande eller ofullständiga uppgifter kan förorsaka registrerade och andra stora
SOU 1997: 39
Innehållet i den nya persondatalagen 355
skador och stor förtret i övrigt. Sådana olägenheter kan förebyggas genom en sund källkritik parad med nödvändig noggrannhet och genom att det dokumenteras varifrån olika uppgifter har hämtats.
Här kan avslutningsvis finnas anledning att återge ett utdrag ur ett färskt beslut av Justitiekanslern i ett ärende om skadestånd där slutsatsen blev att 23 § datalagen inte var tillämplig (beslut 1996-12-12, dnr 1645-96-21).
Den utredning som föreligger i ärendet visar att [X] i den särskilda självdeklarationen vid 1995 års taxering fyllt i uppgift om folkpension i ruta 1 a istället för i ruta 3 a; han har sålunda tagit upp folkpensionen som lön. När han därefter ansökte om förtida återbetalning beträffande den av honom beräknade överskjutande skatten observerade skatteförvaltningen inte denna förväxling beträffande lön och pension. [X] kom därmed att tillgodoräknas ett för högt grundavdrag vilket i sin tur ledde till att ett för stort belopp återbetalades till honom. Vid taxeringen upptäcktes förväxlingen mellan folkpension och lön vilket ledde till att [X] påfördes kvarstående skatt motsvarande vad han tidigare erhållit för mycket jämte kvarskatteavgift.
[X:s] uppgifter i den särskilda självdeklarationen registrerades i det centrala skatteregistret. Till följd härav kom registret att innehålla en uppgift som visserligen överensstämde med den särskilda självdeklarationen men som inte var i överensstämmelse med verkliga förhållanden. Sedermera registrerades också beslutet om förtida återbetalning. Även härigenom kom det centrala skatteregistret att innehålla en uppgift som inte var korrekt i förhållande till vad som borde ha blivit registrerat om den föreliggande bristen i deklarationen hade upptäckts. Frågan uppkommer då huruvida bestämmelsen i 23 § datalagen om skadestånd vid oriktig eller missvisande uppgift i personregister kan vara tillämplig.
[…]
I förevarande fall har skatteregistret kommit att innehålla en uppgift om [X:s] inkomstförhållanden som överensstämt med den av honom avlämnade självdeklarationen men som senare vid taxeringsarbetet visat sig vara felaktig. Som Riksskatteverket framhållit borde skatteförvaltningen i samband med prövningen av ansökningen om förtida återbetalning av skatt ha upptäckt denna felaktighet. Denna försummelse ledde till att beslutet om förtida återbetalning av skatt blev oriktigt.
Skatteregistrets syfte är […] att bl.a. vara till hjälp vid taxering och uppbörd. I registret registreras bl.a. uppgifter från självdeklarationen och de beslut som meddelas i samband härmed. Skatteregistret får således förutsättas korrekt återge de uppgifter den skattskyldige lämnar i sin självdeklaration, oavsett om dessa är riktiga eller inte. Det fortsatta gransknings- och taxeringsarbetet går bl.a. ut på att korrigera sådana felaktigheter i självdeklarationen. I registret registreras också de beslut som meddelas under taxerings- och uppbördsarbetet.
Mot bakgrund av det anförda kan uppgiften om [X:s] inkomstförhållanden inte anses innefatta en sådan felaktig eller missvisande uppgift som avses i datalagen. Inte heller kan registreringen av det visserligen materiellt oriktiga men formellt korrekta beslutet om återbetalning medföra att registret tillfogats en felaktig eller missvisande uppgift. Den skada som kan ha tillfogats [X] har heller inte orsakats av registreringen som sådan utan föranletts av skattemyndighetens felaktiga handläggning av ärendet om återbetalning av skatt.
| 356 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.4.5Personuppgifterna får inte sparas längre än nödvändigt
Enligt EG-direktivet får personuppgifter – dvs. upplysningar i sådan form att enskilda kan identifieras – lagras bara så länge det är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste personuppgifterna alltså avidentifieras eller förstöras.
Även denna bestämmelse om gallring har förts över till den föreslagna persondatalagen.
Lagring av personuppgifter under längre tid för historiska, statistiska och vetenskapliga ändamål tas upp i nästa avsnitt.
12.4.6Behandling för historiska, statistiska och vetenskapliga ändamål
12.4.6.1Inledning
Enligt EG-direktivet är lagring och annan behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål särskilt gynnad. Se- nare behandling för sådana ändamål skall inte anses oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in, och det är också til??låtet att för sådana ändamål spara personuppgifter under längre tid. Det nu sagda gäller under förutsättning att staten beslutar om eller vidtar lämpliga skyddsåtgärder.
I avsnitt 11 berörs behandling för forskning och statistik.
12.4.6.2Särskilt om arkiv
När det gäller behandling för historiska ändamål, är det i första hand bevarandet av arkiv som kommer i blickfånget. Det kan visserligen inte uteslutas att bevarandet för framtiden av en enstaka personuppgift någon gång skulle kunna ske för sådana historiska ändamål som avses. Men huvudfallet är nog ändå det bevarande av uppgiftssamlingar för framtiden som myndigheter och enskilda kan ägna sig åt.
Myndigheternas arkiv
Myndigheternas arkiv har tagits upp i avsnitt 9.4. Av vad som anförs där framgår att vi föreslår en uttrycklig bestämmelse i persondatalagen om att lagen inte hindrar en myndighet att bevara allmänna uppgifter eller att ar-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 357 |
kivmaterial tas om hand av en arkivmyndighet. Vår bedömning är, i enlighet med vad som anförs i det berörda avsnittet, att det bevarande av allmänna uppgifter som myndigheterna utför är förenlig med EG-direktivet.
Vi har vidare när det gäller myndigheternas bevarande av uppgifter inte funnit anledning att i vårt förslag till persondatalag införa en generell regel om i vad mån myndigheters uppgifter i register eller handlingar skall förstöras (gallras) av integritetsskäl efter en viss tid.301 Någon sådan generell regel finns inte i dag och behöver inte heller införas på grund av EG-di- rektivet. Enligt vår mening står sig den bedömning som departementschefen gjorde i samband med antagandet av 1990 års arkivlag, nämligen att regler om gallring av integritetsskäl bör tas in i de särskilda lagar som reglerar integritetskänsliga akter och register, eftersom reglerna därmed bäst kan anpassas efter vad det speciella materialet kräver.302 Utvecklingen har nu nått dithän att det stora flertalet känsliga myndighetsregister regleras av särskilda registerförfattningar, vilka innehåller nödvändiga särregler om gallring.
Det sagda innebär sammanfattningsvis att den föreslagna persondatalagen inte hindrar att myndigheterna bevarar allmänna uppgifter och att lagen inte heller innehåller någon reglering som innebär att allmänna uppgifter måste förstöras (gallras) efter en viss tid. I vad mån myndigheterna är skyldiga att spara allmänna uppgifter eller förstöra dem framgår av annan lagstiftning.
Enskildas arkiv
Det återstår att ta upp det bevarande av uppgifter som enskilda ägnar sig åt. Med bevarande avses i detta sammanhang att uppgifter läggs till ett arkiv för att sparas under längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna i övrigt behandlas. Om t.ex. personuppgifter samlas in för att användas för fakturerings- och redovisningsändamål, är enligt vår mening det sparande av uppgifterna som måste ske under viss tid på grund av skatte- och bokföringslagstiftning nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen. Bara om uppgifterna sparas under längre tid än så, blir det alltså fråga om bevarande
i den mening vi avser här.
301Datalagsutredningens slutbetänkande innehåller i avsnitt 15 en beskrivning av gällande ordning och överväganden rörande gallring.
302Prop. 1989/90:72 s. 32, jämför KrU 1989/90:29 s. 12 f.
| 358 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Liksom när det gäller myndigheternas bevarande av uppgifter bör man uppställa ett krav på att enskildas bevarande av uppgifter skall ske planmässigt. Finns det inte någon plan för vilka uppgifter som skall bevaras för framtiden och hur bevarandet skall gå till, är det svårt att med fog hävda att bevarandet sker för sådana historiska ändamål som avses i EG-direktivet. Planen måste också vara av viss kvalitet och gå ut på att uppgifterna bevaras för överskådlig framtid. En plan som går ut på bara att alla uppgifter som finns på en hårddisk skall sparas så länge hårddisken håller uppfyller uppenbarligen inte detta kvalitetskrav. Bevarandet av en mängd uppgifter får däremot anses i sin helhet ske för historiska ändamål även om planen går ut på att vissa uppgifter skall förstöras efter en viss tid medan andra uppgifter skall bevaras under längre tid.
Det ligger i sakens natur att en plan för hur uppgifter skall bevaras under en längre tid måste ha nedtecknats.
Att enskildas bevarande av uppgifter uppfyller de grundläggande kraven i artikel 6 är inte i sig tillräckligt för att bevarandet skall få äga rum. Den behandling som bevarandet innebär måste också kunna hänföras till något av de til??låtna fallen av uppgiftsbehandling som anges i artikel 7. I vissa fall kan bevarandet betraktas som en arbetsuppgift av allmänt intresse (artikel 7 e). Det kan t.ex. finnas ett sådant allmänt intresse av att uppgifter om föreningslivets, t.ex. arbetarrörelsens, och näringslivets verksamhet bevaras för framtiden. Ibland kan bevarandet också anses tillåtet efter en intresseavvägning (artikel 7 f).
I vilka fall uppgiftsbehandling är tillåten berörs närmare i avsnitt 12.5. Där framgår att avsikten är att regeringen eller Datainspektionen närmare skall precisera i vilka fall uppgiftsbehandling kan tillåtas. Enskilda subjekts arkiv förefaller vara ett sådant område där det är önskvärt med mera preciserade regler som fastslår tillåtligheten av från allmän synpunkt viktig privat arkivverksamhet. Vid utformningen av sådana regler bör givetvis Riksarkivets särskilda kompetens på området utnyttjas.
Skall känsliga personuppgifter bevaras, måste vidare behandlingen kunna tillåtas i enlighet med artikel 8. Under vissa förutsättningar kan således politiska, filosofiska, religiösa och fackliga organisationer behandla känsliga personuppgifter om sina medlemmar (artikel 8.2 d). I vissa fall kan bevarandet dessutom anses utgöra ett sådant viktigt allmänt intresse att ett undantag kan göras från det principiella förbudet mot behandling av känsliga personuppgifter (artikel 8.4). Avsikten är att regeringen och Datainspektionen skall kunna föreskriva sådana undantag (se avsnitt 12.5.3.3).
| SOU 1997: 39 | Innehållet i den nya persondatalagen 359 |
Även om enskildas bevarande av känsliga uppgifter inte skulle kunna tillåtas i enlighet med vad som nyss sagts, finns möjlighet att lämna över materialet till en arkivmyndighet (se avsnitt 9.4). Att uppgifter som enskilda har samlat in lämnas över till en arkivmyndighet för bevarande kan inte anses oförenligt med de ändamål för vilka uppgifterna ursprungligen samlades in.
Vi har, slutligen, inte heller beträffande enskildas bevarande av uppgifter funnit anledning att föreslå någon generell regel om gallring av integritetsskäl i persondatalagen. För att känsliga personuppgifter över huvud taget skall få bevaras av enskilda krävs att bevarandet kan tillåtas i enlighet med de stränga reglerna i artikel 8.
Det sagda innebär sammanfattningsvis att enskildas bevarande av personuppgifter som sker seriöst och planmässigt inte hindras av den föreslagna persondatalagen under förutsättning att den behandling som bevarandet innebär är tillåten enligt de allmänna reglerna i lagen om när behandling kan tillåtas. Det finns inte någon reglering i den föreslagna persondatalagen som innebär att personuppgifter som på detta sätt bevaras skall förstöras efter en viss tid.
12.4.6.3Lämpliga skyddsåtgärder
När det gäller behandling för historiska, statistiska eller vetenskapliga ändamål, skall staten besluta om eller vidta lämpliga skyddsåtgärder. I fråga om säkerheten vid behandlingen kan regeringen eller Datainspektionen besluta om generella föreskrifter, och Datainspektionen kan också besluta om vilka åtgärder som skall vidtas i det enskilda fallet (se avsnitt 12.10.3).
Härutöver bör det – såsom en lämplig skyddsåtgärd – i själva persondatalagen tas in regler som garanterar att personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål inte används för att fatta beslut om eller annars vidta åtgärder beträffande de registrerade. Undantag bör bara medges när den registrerade har lämnat sitt samtycke till att åtgärder vidtas, vilket förekommer vid viss forskningsverksamhet, eller när några vitala intressen står på spel, exempelvis då det vid behandling av medicinska personuppgifter för vetenskapliga ändamål upptäcks att vissa registrerade lider av en allvarlig sjukdom som kräver behandling. Frågan har såvitt avser forskning och statistik berörts i avsnitt 11.6.5.2.
Beträffande personuppgifter i en myndighets arkiv finns det, såsom nämnts i avsnitt 9.4, redan bestämmelser om lämpliga skyddsåtgärder, t.ex. regler om sekretess och skydd för arkiv. Den nu berörda regeln i den före-
| 360 Innehållet i den nya persondatalagen | SOU 1997: 39 |
slagna persondatalagen bör bl.a. därför inte gälla för sådana personuppgifter som finns i en myndighets arkiv.
De personuppgifter som behandlas för t.ex. ändamål som har med en viss verksamhet att göra får givetvis behandlas för att i enlighet med dessa ändamål vidta åtgärder beträffande de registrerade, även om samma uppgifter samtidigt behandlas för att t.ex. framställa verksamhetsstatistik.
12.5När behandling av personuppgifter skall vara tillåten
I persondatalagen bör tas in en uppräkning av i vilka fall behandling av personuppgifter är tillåten. Det bör vidare införas ett principiellt förbud mot att behandla känsliga personuppgifter om t.ex. politiska åsikter och hälsa. Från förbudet bör i lagen göras ett antal undantag, och regeringen och Datainspektionen bör ges befogenhet att för viktiga allmänna intressen föreskriva ytterligare undantag. Den föreslagna regleringen ansluter nära till EG-direktivet.
12.5.1Allmänna förutsättningar för när personuppgifter får behandlas
12.5.1.1Inledning
I artikel 7 i EG-direktivet räknas det upp i vilka fall behandling av personuppgifter är tillåten. Personuppgifter får inte behandlas i några andra fall. Är det känsliga personuppgifter som skall behandlas, måste behandlingen också kunna godtas i enlighet med bestämmelserna i artikel 8, se avsnitt 12.5.3.3.
Bestämmelserna i artikel 7, som finns under rubriken Principer som gör att uppgiftsbehandling kan tillåtas, har redovisats i avsnitt 3.5. Bestämmelserna har förts över till den föreslagna persondatalagen. I vissa fall har vissa språkliga förenklingar gjorts utan att någon ändring i sak är avsedd.
Vi föreslår således att persondatalagen skall innehålla en bestämmelse om att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig
a) för att fullgöra ett avtal med den registrerade,
| SOU 1997: 39 | Innehållet i den nya persondatalagen 361 |
b)för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c)för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet,
d)för att skydda vitala intressen för den registrerade,
e)för att utföra en arbetsuppgift av allmänt intresse,
f)för att den persondataansvarige, eller en tredje man till vilken personuppgifter lämnas ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
g)för ändamål som rör berättigade intressen hos den persondataansvarige, eller sådana tredje män till vilka personuppgifter lämnas ut, när detta intresse väger tyngre än den registrerades intresse.
Avsikten är att regeringen eller Datainspektionen inom ramen för dessa allmänna bestämmelser skall närmare precisera i vilka fall behandling av personuppgifter är tillåten. De särskilda registerförfattningarna kan vidare ses såsom närmare preciseringar av i vilka fall och under vilka former behandling av personuppgifter är tillåten. Huruvida en viss behandling kan anses tillåten enligt denna bestämmelse får ytterst avgöras i svensk domstol, som i förekommande fall kan begära ett s.k. förhandsavgörande av EG-domstolen.
12.5.1.2Samtycke
Den först angivna omständigheten som medför att behandling av personuppgifter är tillåten är att den registrerade har lämnat sitt samtycke till behandlingen. Innebörden av begreppet samtycke har redogjorts för i avsnitt 12.2.9.
Det får anses ligga i sakens natur att samtycke måste finnas från alla registrerade vilkas personuppgifter berörs av en behandling; samtycke från en registrerad verkar inte kunna berättiga behandling av uppgifter om någon annan än just denne.
I avsnitt 12.5.2.2 berörs den situationen att den registrerade tar tillbaka ett lämnat samtycke.
12.5.1.3Nödvändighetskravet
De andra fallen – förutom samtycke – där det är tillåtet att behandla personuppgifter förutsätter samtliga att behandlingen är nödvändig för olika uppgifter.
| 362 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Vad nödvändighetskravet närmare innebär är inte helt klart. De flesta uppgifter kan rent faktiskt utföras manuellt utan personregister även om det kostar mycket mer och tar betydligt längre tid än att behandla personuppgifterna automatiskt.
Som vi ser det kan nödvändighetskravet inte rimligen innebära att det skall vara faktiskt omöjligt att utföra en uppgift utan sådan behandling av personuppgifter som omfattas av EG-direktivet och den föreslagna lagen. Kan en uppgift däremot utföras nästan lika enkelt och billigt utan att personuppgifter behandlas, kan det inte anses nödvändigt att behandla personuppgifterna; det kanske går nästan lika bra att använda anonyma uppgifter.
12.5.1.4I samband med avtal
Behandling av personuppgifter kan vara tillåten i samband med avtal, när det krävs för att fullgöra ett avtal med den registrerade eller när det behövs för att på dennes begäran vidta åtgärder innan ett avtal träffas.
När det gäller fullgörelse av ett avtal krävs det att den registrerade själv är avtalspart. Ett avtal mellan en persondataansvarig och en juridisk person kan således inte enligt denna bestämmelse rättfärdiga behandling av personuppgifter, t.ex. uppgifter om de som är anställda hos den juridiska personen.
I fråga om åtgärder som vidtas innan ett avtal träffas krävs det att den registrerade har begärt att de åtgärder som gör det nödvändigt att behandla personuppgifter skall vidtas. Det verkar inte krävas att avsikten skall vara att den registrerade skall bli part i det tilltänkta avtalet; den småföretagare som äger alla aktier i sitt bolag kan således begära att åtgärder vidtas innan bolaget träffar ett avtal.
I vissa fall kan fullgörandet av ett avtal med en registrerad göra det nödvändigt att behandla uppgifter om någon annan person. Ett försäkringsbolag kan behöva registrera uppgifter om den försäkrades förmånstagare, en blomsteraffär kan behöva registrera till vem beställda blommor skall levereras osv. I dessa fall torde behandlingen i och för sig vara tillåten med stöd av bestämmelsen om en intresseavvägning (se avsnitt 12.5.1.8), men frågan är om ett avtal i här avsedda fall kan ge stöd för behandlingen utan att en avvägning av de inblandades intressen behöver göras.
Det kan inte anses klart om ett avtal med en registrerad kan berättiga en persondataansvarig att behandla uppgifter om andra än avtalsparten. Ordalydelsen av direktivet utesluter inte att behandling av uppgifter om (vilka)
| SOU 1997: 39 | Innehållet i den nya persondatalagen 363 |
personer (som helst) kan tillåtas under förutsättning att ”behandlingen” är nödvändig för att fullgöra ett avtal med ”den registrerade”, men användningen av begreppet ”den registrerade” leder onekligen tanken till att det är bara denne som får ”registreras” på grund av avtalet. Det är vidare inte antagligt att avsikten med denna bestämmelse om avtal är att ett avtal mellan en ”registrerad” och en persondataansvarig om direkt marknadsföring i sig skall berättiga den persondataansvarige att behandla uppgifter om tusentals personer för att fullgöra avtalet och sända ut reklamen. Vi anser oss inte ha något egentligt underlag för ytterligare uttalanden om bestämmelsens innebörd på denna punkt.
12.5.1.5Rättslig skyldighet
Personuppgifter får behandlas om behandlingen är nödvändig för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet (förpliktelse) som åvilar honom eller henne. Den rättsliga skyldigheten måste åvila den persondataansvarige och inte någon annan.
Begreppet rättslig skyldighet (förpliktelse) torde i och för sig ha en EG- gemensam innebörd, men olika rättsliga skyldigheter kan givetvis åvila persondataansvariga i skilda medlemsstater. De nationella rättsordningarna bestämmer vilka rättsliga skyldigheter som åvilar persondataansvariga, och ibland kan EG-rätten direkt eller indirekt också innebära sådana skyldigheter som är aktuella i detta sammanhang.303
Inte bara författningsbestämmelser som i Sverige betraktas som offentligrättsliga kan enligt vår mening grunda sådana rättsliga skyldigheter som avses. De – civilrättsliga – turordningsbestämmelser som gäller vid uppsägning av arbetstagare på grund av arbetsbrist kan t.ex. sägas innebära en rättslig skyldighet för arbetsgivare att upprätta listor över sina anställda.
Huruvida författningsbestämmelser om myndigheters verksamhet, t.ex. myndighetens instruktion, kan anses grunda sådana rättsliga skyldigheter för myndigheten som avses i detta sammanhang är osäkert; behandling av personuppgifter i samband med myndighetsutövning omfattas av en annan bestämmelse.
Det står som vi ser det klart att lagar och förordningar och författningar av lägre valör kan grunda sådana rättsliga skyldigheter som avses i detta
303 Se t.ex. beträffande s.k. expositionsregister på arbetsmiljöområdet prop. 1991/92:170 Bilaga 9 s. 12 f.
| 364 Innehållet i den nya persondatalagen | SOU 1997: 39 |
sammanhang. Även förpliktelser som har ålagts genom myndighetsbeslut i enskilda fall kan innebära sådana rättsliga skyldigheter som avses.
Det förefaller däremot oklart om en förpliktelse som någon har åtagit sig genom avtal med annan kan vara en sådan rättslig skyldighet som avses i detta sammanhang; behandling av personuppgifter för att fullgöra ett avtal med den registrerade omfattas av en annan bestämmelse.
12.5.1.6För att skydda vitala intressen
I den svenska översättningen av EG-direktivet talas det om att personuppgifter får behandlas om behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade. I andra språkversioner av direktivet används i stället uttryck som vitala eller livsviktiga intressen. Det är därför oklart om bestämmelsen i direktivet syftar bara på det som är livsviktigt (gäller liv eller död) eller om även sådant som är ”bara” av grundläggande betydelse avses, se närmare avsnitt 3.5.5. På grund härav har vi valt att i den föreslagna svenska lagtexten använda uttrycket vitala intressen, som även i svenskan kan ha såväl en snävare som en bredare innebörd.
12.5.1.7Myndighetsutövning eller allmänt intresse
Personuppgifter får behandlas om det är nödvändigt för att utföra en arbetsuppgift av allmänt intresse. Sådan behandling får också ske om den är nödvändig för att utföra en arbetsuppgift i samband med myndighetsutövning. Myndighetsutövningen skall då utföras av den persondataansvarige själv eller av en tredje man till vilken uppgifterna har lämnats ut.
Som exempel på arbetsuppgifter som kan vara av allmänt intresse kan nämnas arkivering, forskning och framställning av statistik. Ett annat exempel kan vara etablerade idrottsorganisationers registrering av vilka personer som har vunnit svenska mästerskap eller innehar svenskt rekord i erkända sportgrenar. Också den registrering som sker av personer som har fått allmänt erkända utmärkelser, t.ex. Nobelpris, kan vara en arbetsuppgift av allmänt intresse.
Arbetsuppgiften kan utföras av en myndighet eller något enskilt subjekt. Att någon själv kan tjäna pengar på att utföra arbetsuppgiften utesluter inte att den ändå kan vara av allmänt intresse, såsom när uppgifter som tidigare skötts av det allmänna läggs ut på privata företag som drivs i vinstsyfte.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 365 |
Begreppet myndighetsutövning har som vi ser det en EG-gemensam innebörd, men till dess annat framkommer genom EG-domstolens praxis eller eljest bör man kunna utgå från att det som i Sverige brukar anses som myndighetsutövning faller under begreppet. Myndighetsutövningen kan utövas av en myndighet eller vara anförtrodd något enskilt subjekt.
12.5.1.8Efter en intresseavvägning
Personuppgifter får behandlas om en intresseavvägning ger vid handen att den persondataansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse. Med den persondataansvarige jämställs härvid sådana tredje män till vilka uppgifterna lämnas ut.
Det ligger i sakens natur att behandlingen bara får avse uppgifter om sådana registrerade vars intresse inte väger lika tungt som den persondataansvariges. Om en registrerad meddelar den persondataansvarige att han eller hon inte vill att behandlingen fortsätter, får den registrerades intresse av att slippa fortsatt behandling som regel anses väga över den persondataansvariges intresse av fortsatt behandling; bara i synnerliga undantagsfall bör den persondataansvariges intresse av behandlingen anses väga över intresset hos en registrerad som uttryckligen motsatt sig behandlingen. Finns inte längre förutsättningar för att behandla personuppgifter efter en intresseavvägning – och kan behandlingen inte tillåtas enligt någon annan bestämmelse – måste de behandlade uppgifterna förstöras eller avidentifieras; även lagring av personuppgifter anses nämligen som en form av behandling.
Vissa företag vill ofta utnyttja personuppgifter för att kunna tjäna pengar. Det kan t.ex. gälla företag som sysslar med direkt marknadsföring eller som upprättar och säljer listor och förteckningar av olika slag. I vilka fall dessa företags kommersiella intressen väger över de registrerades ideella intresse av att få ha sina personuppgifter i fred får avgöras efter en helhetsbedömning. När det särskilt gäller direkt marknadsföring bör vid intresseavvägningen kunna beaktas den registrerades ovillkorliga rätt att motsätta sig behandlingen (se avsnitt 12.5.2.3); intresset hos de registrerade som inte har motsatt sig behandling av personuppgifter för direkt marknadsföring kan ofta antas väga ganska lätt i jämförelse med den persondataansvariges kommersiella intressen.
När t.ex. kommersiella intressen skall vägas mot enskildas intresse av att få ha sina uppgifter i fred, bör det i allmänhet krävas att de kommersiella intressena på ett tydligt sätt överväger.
| 366 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Det kan också ligga ideella motiv bakom utnyttjandet av personuppgifter. Politiska rörelser eller organisationer kan t.ex. vilja utnyttja personuppgifter för att skapa opinion eller sprida politisk propaganda eller för att på något annat sätt främja vissa ideella syften. Föreningar kan exempelvis behöva registrera vilka som deltar i föreningsaktiviteter.
I detta sammanhang bör nämnas Europarådets rekommendation om skydd för personuppgifter som används för ändamål som har med direkt marknadsföring att göra. Rekommendationen finns intagen som bilaga 3.2.3 till Datalagsutredningens slutbetänkande (SOU 1993:10), och dess innehåll finns presenterat i avsnitt 4.3.3 i det betänkandet.
Datainspektionen bör ha ett särskilt ansvar för att ge persondataansvariga råd och vägledning i fråga om intresseavvägningen; avsikten är som sagt också att regeringen och inspektionen skall utfärda närmare föreskrifter om i vilka fall behandling av personuppgifter kan anses tillåten efter en intresseavvägning.
12.5.2När den registrerade motsätter sig behandling av personuppgifter
12.5.2.1Inledning
I artikel 14 i EG-direktivet finns bestämmelser om den registrerades rätt att göra invändningar mot behandling av personuppgifter. Bestämmelserna har redovisats närmare i avsnitt 3.7.
Bestämmelserna i direktivet innebär att det beträffande behandling för direkt marknadsföring skall finnas en rätt för den registrerade att motsätta sig behandlingen, men att medlemsstaterna i övrigt fritt kan genom lagstiftning bestämma i vad mån en registrerad skall ha rätt att motsätta sig en behandling som är laglig och tillåten enligt direktivet.
Enligt datalagen finns inte någon generell rätt för den registrerade att motsätta sig en behandling som är laglig.
Datalagsutredningen föreslog inte att det skulle införas någon generell rätt att motsätta sig en behandling som var befogad enligt de regler som utredningen föreslog. Inte heller vi har funnit tillräckliga skäl för att föreslå att en sådan rätt skall införas. På grund av utformningen av EG-direkti- vet måste det dock genom den föreslagna lagen slås fast i vad mån den registrerade har rätt att motsätta sig behandling av personuppgifter.
Av vad som anförts i avsnitt 12.5.1.8 framgår att den registrerade i de fall där en behandling bara är tillåten efter en intresseavvägning i praktiken
SOU 1997: 39
Innehållet i den nya persondatalagen 367
i de flesta fall kan få behandlingen att upphöra genom att meddela den persondataansvarige att han eller hon motsätter sig behandlingen.
Ett fall som bör tas upp här är den situationen att en registrerad som en gång har lämnat samtycke till en behandling tar tillbaka sitt samtycke. Den situationen tas upp i nästa avsnitt. Därefter redogörs för hur rätten att motsätta sig behandling beträffande direkt marknadsföring bör utformas.
12.5.2.2Samtycke återkallas
I de fall där en viss behandling är tillåten bara under förutsättning att den registrerade har lämnat sitt samtycke uppkommer frågan vad som skall gälla om den registrerade tar tillbaka ett lämnat samtycke. Svaret på den frågan kan inte direkt utläsas av EG-direktivet, vilket enligt vår mening innebär att medlemsstaterna själva får välja en lösning.
Man kan här tänka sig åtminstone tre olika lösningar:
a)Samtycket är oåterkalleligt. Den som en gång har gått med på att en viss behandling av personuppgifter sker skulle alltså få finna sig i att behandlingen genomförs som planerat.
b)Samtycket kan fritt återkallas med verkan att behandlingen inte längre anses laglig, vilket skulle innebära att de insamlade uppgifterna genast måste förstöras eller avidentifieras.
c)Samtycket kan i och för sig återkallas, men det påverkar inte behandlingen av de uppgifter som redan har hunnit samlas in med stöd av samtycket. Ytterligare uppgifter får däremot inte samlas in eller i övrigt behandlas.
Vi har kommit fram till att det sista alternativet (c) innebär en lämplig avvägning mellan den registrerades och den persondataansvariges intressen. Lösningen innebär att den registrerades självbestämmanderätt beträffande vilka uppgifter som får samlas in respekteras samtidigt som den persondataansvariges befogade anspråk på att få behandla färdigt de uppgifter som han eller hon kommit över med stöd av ett frivilligt lämnat samtycke kan tillgodoses.
Sedan den persondataansvarige på något sätt fått kännedom om att ett lämnat samtycke inte längre gäller, får några nya uppgifter om den berörde inte samlas in eller annars behandlas. Däremot får behandlingen av redan insamlade uppgifter fortsätta som planerat.
I avsnitt 11.6.6 har särskilt berörts frågan om strykningsrätt vid behandling av personuppgifter för forskning och statistik.
| 368 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.5.2.3Direkt marknadsföring
Bestämmelsen i artikel 14 första stycket b om den registrerades rätt att motsätta sig behandling av personuppgifter för direkt marknadsföring har berörts i avsnitt 3.7.3. Bestämmelsen är inte otvetydig, varför det finns anledning att här återge den:
Den registrerade skall ha rätt
att efter anmodan och utan kostnader motsätta sig behandling av sådana personuppgifter som rör honom eller henne och som den persondataansvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring,
eller
att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring,
och
att uttryckligen få ett erbjudande om att utan kostnad motsätta sig ett sådant utlämnande eller sådan användning.
Medlemsstaterna verkar således ha två alternativ för att genomföra rätten att motsätta sig behandling. Vi anser att det första alternativet bör väljas, eftersom det är det minst komplicerade samtidigt som det ger den registrerade fullgoda möjligheter att förhindra oönskad behandling för direkt marknadsföring.
Vi föreslår således att det införs en bestämmelse om att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring sedan den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Enligt vår mening kan det vara lämpligt – för att underlätta hanteringen för de persondataansvariga och främja ordning och reda – att föreskriva att den registrerades skriftliga anmälan skall vara undertecknad av den registrerade själv. Sådana ordningsföreskrifter, vilka inte kan anses otillåtna enligt EG-direktivet, kan lämpligen ges inte i lag utan i av regeringen utfärdad förordning.
Begreppet direkt marknadsföring har förmodligen en EG-gemensam innebörd. Huruvida de riktade marknadsföringsaktiviteterna sker via vanlig post, e-post, telefon eller telefax saknar betydelse.
Förandet av ett register eller liknande över dem som har lämnat in en anmälan i syfte att utesluta dessa personer från planerade marknadsföringsaktiviteter kan uppenbarligen inte anses vara en sådan behandling
| SOU 1997: 39 | Innehållet i den nya persondatalagen 369 |
”för ändamål som rör direkt marknadsföring” som förbjuds genom bestämmelsen.
Enligt artikel 14 andra stycket skall medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till den nu aktuella rätten att motsätta sig behandling av personuppgifter för direkt marknadsföring. Det får ankomma på Datainspektionen att vidta de informationsåtgärder som behövs i detta hänseende.
I detta sammanhang bör avslutningsvis nämnas Europarådets rekommendation om skydd för personuppgifter som används för ändamål som har med direkt marknadsföring att göra. Rekommendationen finns intagen som bilaga 3.2.3 till Datalagsutredningens slutbetänkande (SOU 1993:10), och dess innehåll finns presenterat i avsnitt 4.3.3 i det betänkandet.
Vad som är direkt marknadsföring kan inom den ram den föreslagna lagen och direktivet ger preciseras genom föreskrifter av t.ex. Datainspektionen.
12.5.3Ett principiellt förbud mot behandling av känsliga personuppgifter
12.5.3.1Inledning
Enligt datalagen gäller särskilda regler för personregister som innehåller uppgifter om
N andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning till denne,
N att någon misstänks eller dömts för brott,
N att någon avtjänat straff eller undergått annan påföljd för brott,
N att någon varit föremål för tvångsingripande enligt viss lagstiftning, N att någon fått ekonomisk hjälp eller vård inom socialtjänsten,
N att någon varit föremål för åtgärd enligt utlänningslagen, N någons sjukdom, hälsotillstånd eller sexualliv,
N någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt och
N någon som utgör omdöme eller annan värderande upplysning.
Enligt artikel 8 i EG-direktivet skall medlemsstaterna införa ett principiellt förbud mot behandling av sådana uppgifter som enligt direktivet är att anse som känsliga personuppgifter. Detta förbud skall dock inte gälla i de fall som särskilt räknas upp i artikeln. Beträffande uppgifter om lagöverträdel-
| 370 Innehållet i den nya persondatalagen | SOU 1997: 39 |
ser m.m. finns det särskilda regler i artikeln. Bestämmelserna i artikel 8 har redovisats i avsnitt 3.6.
Bestämmelserna i artikel 8 har som vi ser det till största delen en EG- gemensam innebörd. Vårt förslag innebär att de materiella bestämmelserna i artikel 8 bör föras över mer eller mindre ordagrant till persondatalagen. Avsikten är att de begrepp som används skall ha samma innebörd som enligt EG-direktivet.
En del av det som i dag omfattas av särskilda regler enligt datalagen kommer med vårt förslag, som bygger på EG-direktivet, inte att omfattas av bestämmelserna om känsliga personuppgifter. Det skulle som vi ser det vara oförenligt med direktivet att utvidga tillämpningsområdet för direktivets bestämmelser om känsliga uppgifter till att omfatta allt det som regleras av särskilda regler enligt datalagen, dvs. uppgifter som ibland är helt artskilda i förhållande till de som i direktivet definieras som känsliga; att göra så skulle onekligen hindra det fria flödet av sådana uppgifter inom EG. Emellertid innebär de regler vi föreslår om när behandling av personuppgifter över huvud taget kan tillåtas t.ex. att enskilda som regel inte får behandla uppgifter om att någon fått socialhjälp eller varit intagen ens om enskilda med hänsyn till de sekretessbestämmelser som gäller kan få tag på sådana uppgifter.
Det bör i detta sammanhang också nämnas att det i 2 kap. 3 § första stycket regeringsformen finns en bestämmelse om att anteckning om medborgare i allmänt register inte utan samtycke från den berörda medborgaren får grundas enbart på hans eller hennes politiska åskådning. Det kan inte anses otillåtet enligt EG-direktivet att ha kvar den grundlagsbestämmelsen.
I det följande berörs först den definition av känsliga personuppgifter som avses i direktivet och som måste införas i svensk rätt. Därefter redogörs för vilka undantag från förbudet mot behandling av känsliga personuppgifter som bör gälla. Avslutningsvis kommenteras frågan om direktivets särregler om uppgifter om lagöverträdelser m.m.
SOU 1997: 39
Innehållet i den nya persondatalagen 371
12.5.3.2Definitionen av känsliga personuppgifter
Direktivet innebär att det måste införas ett förbud mot att behandla personuppgifter som avslöjar
N ras,
N etniskt ursprung, N politiska åsikter,
N religiös övertygelse,
N filosofisk övertygelse eller N medlemskap i fackförening eller som rör
N hälsa eller N sexualliv.
Enligt kommissionens förklaring till direktivförslaget skulle vidare en uppgift om att en person inte alls har någon religiös övertygelse vara en sådan känslig personuppgift som avses.
Huruvida en bild på en persons ansikte kan anses avslöja den personens ras eller etniska ursprung i den mening som avses i direktivet får anses osäkert. Det får också anses osäkert om en bild på den som är fysiskt handikappad eller ser sjuk (eller frisk) ut innefattar uppgifter som rör den personens hälsa. Enligt vår mening förefaller det dock rimligt att anse att bilder på människor i mera ”normala” sammanhang inte på avsett sätt avslöjar några känsliga personuppgifter.
En isolerad uppgift om vilket kön en person har kan inte anses vara en uppgift som rör dennes sexualliv. Däremot är förmodligen en uppgift om att någon har bytt kön en uppgift som kan anses röra den personens hälsa eller sexualliv.
Inte heller en uppgift om civilstånd kan enligt vår mening i sig anses vara en sådan uppgift som rör den registrerades sexualliv.
| 372 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.5.3.3Undantag från förbudet
I artikel 8.2 räknas upp ett antal undantag från förbudet mot att behandla känsliga personuppgifter. Undantagen gäller
N samtycke från den registrerade,
N offentliggörande av den registrerade,
N inom arbetsrätten,
N inom ideella organisationer,
N beträffande rättsliga anspråk och N skydd för vitala intressen.
I artikel 8.3 finns ytterligare ett undantag beträffande hälso- och sjukvård. Enligt artikel 8.4 kan medlemsstaterna vidare föreskriva ytterligare undantag av hänsyn till viktiga allmänna intressen.
För att känsliga personuppgifter skall få behandlas trots förbudet krävs inte bara att behandlingen faller under något undantag i artikel 8. Behandlingen måste också vara tillåten enligt artikel 7 (se avsnitt 12.5).
I vissa fall gäller enligt artikel 8 att en behandling måste vara nödvändig för vissa ändamål för att kunna godtas. Ett sådant nödvändighetskrav finns beträffande behandling inom arbetsrätten, inom hälso- och sjukvård, för att skydda vitala intressen och beträffande rättsliga anspråk. Nödvändighetskravet har berörts i avsnitt 12.5.1.3. Eftersom det – förutom vid samtycke – krävs att behandlingen är nödvändig för att den över huvud taget skall kunna tillåtas enligt artikel 7, är det oklart vad det har för betydelse att det beträffande en del undantag enligt artikel 8 saknas ett uttryckligt nödvändighetskrav.
Regeringen eller Datainspektionen kan beträffande de undantag som anges i den föreslagna persondatalagen genom föreskrifter närmare precisera i vilka fall behandling av personuppgifter är tillåten. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i persondatalagen har berörts i avsnitt 12.1.2.
I det följande berörs under skilda rubriker de olika undantagen i den föreslagna lagen från förbudet mot att behandla känsliga personuppgifter.
Samtycke
Förbudet mot att behandla känsliga personuppgifter gäller inte om den registrerade har lämnat sitt samtycke till behandlingen. En medlemsstat kan dock i sin lagstiftning bestämma att förbudet inte kan upphävas ens med den registrerades samtycke.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 373 |
Vi anser att möjligheten att lagstifta bort verkan av den registrerades samtycke inte bör användas i persondatalagen. I detta avseende bör den enskilde, vars personliga integritet skall skyddas, få bestämma helt själv. Den registrerade vet själv bäst vad han eller hon anser vara en känslig personuppgift och vilka behandlingar han eller hon vill att en sådan uppgift skall utsättas för.
Begreppet samtycke berörs i avsnitt 12.2.9. I avsnitt 12.5.2.2 kommenteras den situationen att den registrerade tar tillbaka ett lämnat samtycke.
Offentliggörande
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen rör uppgifter som den registrerade har offentliggjort på ett tydligt sätt.
Det måste således vara fråga om uppgifter som den registrerade själv har offentliggjort. Uppgifter som någon annan har avslöjat för offentligheten omfattas inte, om inte den registrerade själv offentligt bekräftar uppgifterna.
Det förekommer att vissa personer tillåts eller till och med uppmuntras att ”tala ut” i massmedier om sitt sexualliv eller sin hälsa. Uppgifter som offentliggjorts av den registrerade själv på detta sätt omfattas således inte av förbudet mot att behandla känsliga personuppgifter. Inte heller omfattas t.ex. uppgift om partitillhörighet hos den som ställer upp i ett val som genomförs offentligt eller hos den som offentligt företräder ett politiskt parti.
Inom arbetsrätten
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den persondataansvarige inom arbetsrätten. Detta gäller dock bara i den mån behandlingen är tillåten enligt nationell lagstiftning som föreskriver lämpliga skyddsåtgärder.
I vårt förslag till persondatalag har vi, utan att någon saklig skillnad är avsedd, använt ett något förkortat uttryckssätt; behandlingen är tillåten om den är nödvändig för att den persondataansvarige inom arbetsrätten skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter.
I detta sammanhang bör också nämnas Europarådets rekommendation om skydd för personuppgifter som används för anställningsändamål. Re- kommendationen finns intagen som bilaga 3.2.1 till Datalagsutredningens slutbetänkande (SOU 1993:10), och dess innehåll finns presenterat i av-
| 374 Innehållet i den nya persondatalagen | SOU 1997: 39 |
snitt 4.3.1 i det betänkandet.304 En bakgrundsbeskrivning och Datalagsutredningens överväganden rörande behandling av känsliga personuppgifter för anställningsändamål finns i avsnitt 11 i det nyss nämnda betänkandet.305
De avsedda skyldigheterna och rättigheterna inom arbetsrätten måste åligga eller tillkomma den persondataansvarige och inte någon annan.
Det förefaller något oklart vad som menas med skyldigheter och rättigheter ”inom arbetsrätten”. Rättsområdet arbetsrätten har – liksom de flesta andra rättsområden – i Sverige inte någon klar eller en gång för alla given gräns. Ett exempel är att utbetalningen i vissa fall av pengar till sjuka arbetstagare för några år sedan lades över från det allmänna till arbetsgivare. Den gräns runt arbetsrätten som kan finnas i en rättsordning behöver vidare inte sammanfalla med den gräns som finns i en annan rättsordning. Det bör också noteras att i den engelska versionen av direktivet används uttrycket ”employment law”, vilket är betydligt snävare än det svenska uttrycket ”arbetsrätt”.
Enligt vår mening bör dock uttrycket ”inom arbetsrätten” inte ges en alltför snäv betydelse. I stort sett alla skyldigheter och rättigheter för arbetsgivare beträffande de anställda och deras organisationer bör som vi ser det kunna i detta sammanhang innefattas i uttrycket ”inom arbetsrätten”. Även skyldigheter och rättigheter för fackliga organisationer i förhållande till arbetsgivare och deras organisationer bör kunna innefattas.
Vi har övervägt att i stället för uttrycket ”inom arbetsrätten” använda något motsvarande uttryck, t.ex. ”på arbetslivets område”, men stannat för att i detta hänseende hålla oss till det uttryck som används i den svenska översättningen av direktivet.
304Även på det internationella planet har arbetstagarnas behov av integritet nyligen uppmärksammats, se den ”Code of practice on the protection of worker’s personal data” som ILO:s styrelse antog i november 1996.
305Frågor om den personliga integriteten på arbetslivets område har för svensk del berörts – förutom i Datalagsutredningens betänkanden – i Ds 1989:24 och i Reinhold Fahlbeck, ”Employee Privacy in Sweden” i Comparative Labor Law Journal, volym 17, nr 1, 1995, s. 139 ff. – jämför densamme i JT 1991–92 s. 41 ff.
– samt, beträffande medicinska undersökningar i arbetslivet, i SOU 1996:63. EG- direktivet och arbetsmarknaden har för dansk rätts del berörts i Peter Blume, ”Arbejdsmarked og persondatabeskyttelse” i UfR B 1996 s. 427 ff. Se beträffande Finland Antti Suviranta, ”Workers Privacy in Finland” i Comparative Labor Law Journal, volym 17, nr 1, 1995, s. 45 ff. och Anders von Koskull, ”Personvärn och personalrekrytering, eller transformation och skygglappar” i FJFT 1996 s. 391 ff.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 375 |
Behandling får ske bara om den är tillåten enligt nationell lagstiftning. Den bestämmelse om att känsliga personuppgifter får behandlas när behandlingen är nödvändig för att den persondataansvarige inom arbetsrätten skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter som vi föreslår skall tas in i persondatalagen utgör en sådan nationell bestämmelse som tillåter behandling. Det krävs alltså inte att behandlingen är tillåten enligt någon bestämmelse i lagstiftningen ”inom arbetsrätten”. I många fall följer det dock av lagstiftningen inom arbetsrätten att vissa uppgifter måste behandlas för att lagstadgade skyldigheter skall kunna fullgöras, t.ex. i samband med sjuklön eller rehabilitering av arbetstagare eller fullgörande av förhandlingsskyldighet. Men också skyldigheter och rättigheter inom arbetsrätten som följer av avtal – kollektivavtal eller andra avtal – eller myndighetsbeslut i enskilda fall avses med den föreslagna bestämmelsen i persondatalagen. Har en arbetsgivare genom avtal t.ex. åtagit sig att göra avdrag på lön för fackföreningsavgift, får således uppgifter om fackföreningsmedlemskap behandlas för att arbetsgivaren skall kunna fullgöra sin avdragsskyldighet.
Enligt direktivet räcker det emellertid inte att behandlingen är tillåten enligt den nationella lagstiftningen. Den nationella lagstiftningen måste också föreskriva ”lämpliga skyddsåtgärder”. Vad som är lämpliga skyddsåtgärder bör enligt vår mening i första hand bedömas mot bakgrund av förhållandena i respektive medlemsstat.
Vi anser att det är tillräckligt att såsom en lämplig skyddsåtgärd i den föreslagna persondatalagen föreskriva att de behandlade uppgifterna får lämnas ut till tredje man bara om det inom arbetsrätten finns en uttrycklig skyldighet för den persondataansvarige att göra det eller den registrerade har samtyckt till utlämnandet. Genom denna föreskrift om att skyldigheten inom arbetsrätten att lämna ut uppgifterna skall anges uttryckligen garanteras att den känsliga frågan om spridningen av uppgifterna får särskild uppmärksamhet vid utformningen av kollektivavtal och lagstiftning.306 En arbetsgivare får t.ex. inte utan vidare lämna ut uppgifter om en tidigare anställds sjukfrånvaro till en annan arbetsgivare. Av vad som anförts i avsnitt 9.2 framgår att bestämmelserna i den föreslagna persondatalagen inte
306En uttrycklig skyldighet för den persondataansvarige att lämna ut vissa uppgifter som finns i ett avtal med den registrerade, t.ex. ett enskilt anställningsavtal, omfattas i och för sig också, men i detta fall är det kanske mera naturligt att tala om ett uttryckligt samtycke som den registrerade har lämnat frivilligt.
| 376 Innehållet i den nya persondatalagen | SOU 1997: 39 |
inskränker myndigheternas skyldigheter att lämna ut personuppgifter enligt 2 kap. TF.
Det bör nämnas att det i annan lagstiftning än den föreslagna persondatalagen givetvis också finns bestämmelser om sådant som kan betraktas som lämpliga skyddsåtgärder. De sekretessregler som gäller för det allmänna och i vissa fall för enskilda utgör ett exempel. Också t.ex. reglerna om föreningsrätt i 7–9 §§ medbestämmandelagen307 kan anses föreskriva lämpliga skyddsåtgärder mot missbruk av uppgifter om fackföreningsmedlemskap.
Ett särskilt problem som bör beröras i detta sammanhang är att en uppgift om fackföreningsmedlemskap enligt EG-direktivet skall betraktas som en sådan känslig uppgift att behandling av den i princip är förbjuden. I Sverige – och inom Norden i övrigt – betraktas i dag en sådan uppgift inte som särskilt känslig. De allra flesta arbetstagare tillhör någon av det fåtal fackliga huvudorganisationer som finns.308 När uppgifter om fackföreningsmedlemskap behandlas utanför arbetsrättens område krävs alltså efter genomförandet av direktivet särskild eftertanke. I många fall kan förmodligen undantaget beträffande rättsliga anspråk användas (se nedan). Ett exempel kan vara den behandling som skedde inom skatterätten när det fanns möjlighet att göra avdrag vid inkomstbeskattningen för fackföreningsavgift. Ett annat exempel kan vara när, inom socialrätten, ersättning i form av socialbidrag ges för sådan avgift för att en skälig levnadsnivå skall uppnås. Ytterligare exempel är den registrering av medlemskap som t.ex. privata företag kan ägna sig åt till följd av att fackliga organisationer avtalar om individuella eller kollektiva förmåner eller tjänster för sina medlemmar, t.ex. gruppförsäkring.
Ideella organisationer
Förbudet mot att behandla känsliga personuppgifter gäller inte när behandlingen utförs inom ramen för berättigad verksamhet hos ett icke vinstdrivande organ som har ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får dock bara avse uppgifter om sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta. De behandlade uppgifterna får inte heller lämnas ut till tredje man utan den registrerades samtycke.
307Lagen (1976:580) om medbestämmande i arbetslivet.
308Över 85 procent av arbetskraften är fackligt organiserad.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 377 |
Den svenska översättningen av direktivet kan tolkas så att en icke vinstdrivande organisation med angivet syfte skulle kunna få behandla uppgifter om medlemmar i en annan sådan organisation som också har ett syfte av angiven art. En jämförelse med de engelska, franska och tyska språkversionerna ger dock vid handen att en sådan tolkning inte är avsedd; en organisation får bara behandla uppgifter om sina egna medlemmar (och om personer som på grund av organisationens ändamål har regelbunden kontakt med denna).
Däremot får organisationen i fråga om medlemmarna och sådana personer som på grund av organisationens ändamål har regelbunden kontakt med denna i princip behandla uppgifter av vilket slag som helst oavsett om personuppgifterna har någon anknytning till organisationens syfte; de bestämmelser som uppställer grundläggande krav på all behandling av personuppgifter och de som anger när sådan behandling över huvud taget skall vara tillåten torde dock som regel innebära att behandling av helt ovidkommande uppgifter inte tillåts, t.ex. en fackförenings behandling av uppgifter om medlemmarnas sexuella läggning.
Frågan om en person är medlem i en organisation eller inte får avgöras enligt vanliga regler med ledning av bl.a. innehållet i organisationens stadgar. En organisation får inte på grund av nu aktuellt undantag behandla känsliga uppgifter om en person som – t.ex. efter utträde eller uteslutning – inte längre är medlem (och inte heller på grund av organisationens ändamål har regelbunden kontakt med denna).
Kravet att behandlingen skall ske inom ramen för en berättigad verksamhet innebär enligt vår mening att verksamheten inte får vara olaglig eller klart oförenlig med goda seder. I övrigt får det vara upp till organisationen själv att bestämma vilken verksamhet som får bedrivas.
Det krävs alltså i princip individuellt samtycke av de registrerade för att känsliga personuppgifter – t.ex. uppgift om medlemskap i en facklig eller politisk organisation – skall få lämnas ut till tredje man av organisationen. Organisationen får således inte lämna ut sitt medlemsregister för att t.ex. ett privat företag skall kunna rikta erbjudanden till medlemmarna. Är utlämnandet däremot tillåtet enligt någon annan bestämmelse i artikel 8 kan uppgifterna givetvis lämnas ut. Träffar organisationen avtal med annan om kollektiva förmåner för sina medlemmar – t.ex. en gruppförsäkring eller en kollektiv anslutning till annan organisation – kan således medlemsregistret lämnas ut om det är nödvändigt för att de rättsliga anspråk som avtalet ger medlemmarna skall kunna fastslås eller göras gällande (se nedan). Krävs det en uppgift om någon är eller inte är medlem i en fackförening för att
| 378 Innehållet i den nya persondatalagen | SOU 1997: 39 |
fastställa vid vilken instans talan skall väckas eller föras309, bör organisationen kunna lämna ut uppgiften, eftersom den på avsett sätt är nödvändig för att kunna fastslå om någon har rätt att föra talan vid en viss instans.
I sammansatta organisationsstrukturer med flera juridiska personer, t.ex. fristående regionala organisationer och en centralorganisation, kan man fråga sig om varje juridisk person skall ses som tredje man eller om det är möjligt att tillämpa ett annat synsätt. Den frågan berörs i avsnitt 12.2.6.
Den ideella organisationen måste som nämnts ha ett politiskt, filosofiskt, religiöst eller fackligt syfte för att få behandla känsliga personuppgifter om sina medlemmar. Enligt vår mening bör man när det gäller organisationens syfte kunna göra en ganska vidsträckt tolkning. Om en organisation på något sätt vill påverka samhället, bör organisationen som vi ser det i detta sammanhang kunna anses ha ett sådant politiskt syfte som avses i bestämmelsen. Med en sådan tolkning bör i flertalet fall ideella sammanslutningar av t.ex. utlänningar, invandrare eller personer med viss sexuell läggning eller viss sjukdom kunna behandla (känsliga) personuppgifter om sina medlemmars egenskaper.
De arbetslöshetskassor som är nära knutna till de fackliga organisationerna får i Sverige anses ha ett sådant fackligt syfte som avses i direktivet.
Rättsliga anspråk
Förbudet mot att behandla känsliga personuppgifter gäller inte om behandlingen rör uppgifter som är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
Att en person har en sådan egenskap som avses med definitionen av känsliga personuppgifter kan vara en förutsättning för att denne skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. I sådana fall får uppgifter om den rättsligt relevanta egenskapen behandlas.
Att någon är sjuk kan t.ex. ha betydelse för rätten att få försäkringsersättning. Och det förhållandet att någon är medlem i svenska kyrkan har betydelse för vilken skatt den registrerade är skyldig att betala in till skattemyndigheten. I vissa försäkringssammanhang är det vidare en förutsättning för att få teckna viss försäkring att uppgifter om hälsa lämnas eller
309 Se t.ex. 2 kap. lagen (1974:371) om rättegången i arbetstvister.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 379 |
inhämtas. Också i detta fall får registreringen som regel anses nödvändig för rättsliga anspråk på det sätt som direktivet kräver.
För att skydda vitala intressen
Förbudet mot att behandla känsliga personuppgifter gäller inte när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen är nödvändig för att skydda den registrerades eller någon annans vitala intressen.
I den svenska översättningen av direktivet talas det om ”grundläggande intressen”. Anledningen till att vi valt att i den föreslagna lagtexten i stället använda uttrycket ”vitala intressen” och möjliga tolkningar har redogjorts för i avsnitt 12.5.1.6.
Frågan om när den registrerade skall anses rättsligt förhindrad att lämna samtycke har berörts i avsnitt 12.2.9.
Det bör noteras att behandling kan ske också för att skydda vitala intressen hos någon annan än den registrerade. Ett exempel kan vara när hälsouppgifter om en medvetslös och svårt skadad potentiell organdonator behandlas för att hitta en lämplig mottagare för organet.
Hälso- och sjukvård
Förbudet mot att behandla känsliga personuppgifter gäller inte när behandlingen är nödvändig med hänsyn till
N förebyggande hälso- och sjukvård, N medicinska diagnoser,
N vård eller behandling eller
N administration av hälso- och sjukvård.
Förbudet gäller inte heller när uppgifterna behandlas av någon som är N yrkesmässigt verksam inom hälso- och sjukvårdsområdet och
N underkastad tystnadsplikt enligt nationell lagstiftning eller bestämmelser som har antagits av behöriga nationella organ.
De nu nämnda bestämmelserna i EG-direktivet har förts över nästan ordagrant till den föreslagna persondatalagen. Bestämmelserna verkar täcka all den behandling av känsliga personuppgifter som sker inom hälso- och sjukvårdsområdet, även t.ex. den tillsyn som sker över hälso- och sjukvården och dess personal.
| 380 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får således alltid behandla känsliga personuppgifter. Bestämmelser om tystnadsplikt inom hälso- och sjukvård finns i Sverige bl.a. i sekretesslagen och lagen (1994:953) om åligganden för personal inom hälso- och sjukvården samt lagen (1996:786) om tillsyn över hälso- och sjukvården.310
Bestämmelsen om att vissa personer med tystnadsplikt får behandla känsliga personuppgifter innebär inte nödvändigtvis att den personen blir att betrakta som persondataansvarig. Personen kan t.ex. behandla uppgifterna inom ramen för sin anställning hos den persondataansvarige. Be- stämmelsen medför vidare att en persondataansvarig för vilken något annat undantag i artikel 8 inte gäller kan anlita en sådan person som avses i bestämmelsen för att behandla känsliga personuppgifter. Den anlitade kan då sägas vara en sådan person som under den persondataansvariges direkta ansvar har befogenhet att behandla personuppgifter, dvs. vad vi i det föregående kallat för medhjälpare (se avsnitt 12.2.6).
Slutligen finns i den nu aktuella artikeln i EG-direktivet (artikel 8.3) en bestämmelse om att förbudet mot att behandla känsliga personuppgifter inte heller skulle gälla om uppgifterna behandlas av ”en annan person som är ålagd en liknande tystnadsplikt”. Språkligt sett innebär bestämmelsen att känsliga personuppgifter skulle få behandlas av den som
N inte är yrkesmässigt verksam inom hälso- och sjukvårdsområdet,
N men ändå är underkastad en tystnadsplikt som liknar den som gäller enligt nationell lagstiftning, eller bestämmelser som har antagits av behöriga nationella organ, för personer som är yrkesmässigt verksamma inom hälso- och sjukvårdsområdet.
Vi har inte ansett det lämpligt eller nödvändigt att i den föreslagna persondatalagen ta in en så generell bestämmelse vars närmare tillämpningsområde framstår som ganska oklart.
Forskning och statistik
Av vad som anförs i avsnitt 11 framgår att vi föreslår att det beträffande behandling av känsliga personuppgifter för forskning och statistik skall redan i den föreslagna persondatalagen införas ett sådant undantag för vik-
310 Se senast prop. 1995/96:176 s. 94 f.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 381 |
tiga allmänna intressen som direktivet tillåter. Beträffande utformningen av det undantaget får hänvisas till det nämnda avsnittet.
Ytterligare undantag för viktiga allmänna intressen
Enligt artikel 8.4 i EG-direktivet får medlemsstaterna av hänsyn till ett viktigt allmänt intresse göra ytterligare undantag från förbudet mot att behandla känsliga personuppgifter. Detta kan ske antingen i nationell lagstiftning eller genom beslut av den nationella tillsynsmyndigheten. En förutsättning för att ytterligare undantag skall få göras är dock att det finns lämpliga skyddsåtgärder. De undantag som görs skall – enligt artikel 8.6 – anmälas till kommissionen. Enskildas rent kommersiella intressen torde i allmänhet inte ensamma kunna anses som sådana viktiga allmänna intressen att undantag får göras.
I den föreslagna persondatalagen har vi därför tagit in ett bemyndigande för regeringen – eller den myndighet regeringen bestämmer – att föreskriva sådana undantag. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i den föreslagna persondatalagen har berörts i avsnitt 12.1.2.
12.5.3.4Uppgifter om brott
I artikel 8.5 i EG-direktivet finns det bestämmelser om behandling av personuppgifter om
N lagöverträdelser,
N brottmålsdomar och N säkerhetsåtgärder.
Sådana uppgifter omfattas inte av definitionen av känsliga personuppgifter, men det finns alltså ändå särregler i direktivet för dessa uppgifter. Hu- vudregeln är att sådana uppgifter får behandlas endast under kontroll av en myndighet. Därutöver finns en något svårtolkad regel som verkar innebära att sådana uppgifter får behandlas utan myndighetskontroll under förutsättning att det är tillåtet enligt nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock under inga omständigheter föras annat än under kontroll av en myndighet.
Det är slutligen enligt direktivet tillåtet för medlemsstaterna att föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
| 382 Innehållet i den nya persondatalagen | SOU 1997: 39 |
De nationella bestämmelser som medlemsstaterna beslutar enligt artikel 8.5 torde – enligt artikel 8.6 – behöva anmälas till kommissionen.
Vi anser att möjligheten att ha regler om myndighetskontroll för behandling av uppgifter om administrativa sanktioner och domar i tvistemål inte bör utnyttjas genom att särregler tas in i den föreslagna persondatalagen. Den viktigaste och känsligaste formen för behandling av sådana uppgifter – kreditupplysning – regleras i dag i en särskild lag som för närvarande håller på att ses över.311
När det sedan gäller uppgifter om lagöverträdelser, brottmålsdomar och säkerhetsåtgärder är det som vi ser det rimligt med särregler. Sådana uppgifter är otvivelaktigt av så känslig natur att vem som helst inte bör få hantera uppgifterna hur som helst. Å andra sidan står det klart att myndigheter mycket ofta behöver hantera just sådana uppgifter för att kunna fullgöra de samhällsuppdrag som lagts på dem. I vad mån myndigheter får hantera sådana uppgifter framgår av de föreskrifter som reglerar respektive myndighets verksamhet.
Det sagda leder oss till slutsatsen att det i den föreslagna persondatalagen bör tas in en grundläggande bestämmelse om att det är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser och domar och säkerhetsåtgärder i brottmål. Eftersom det kan finnas fall där det är befogat att enskilda behandlar sådana uppgifter, bör bestämmelsen kompletteras med ett bemyndigande för regeringen och Datainspektionen att föreskriva undantag från förbudet. Det får förutsättas att undantag föreskrivs på det sätt som krävs enligt EG-direktivet när enskilda har ett befogat intresse av behandlingen och den står under tillfredsställande kontroll av en myndighet.
Som exempel på fall där det kan vara befogat att regeringen eller Datainspektionen föreskriver undantag kan nämnas den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt. Också för försäkringsbolagens kravhantering kan det enligt vår mening vara befogat med undantag. Det är ofta försäkringsbolagen som i första hand får betala för de ekonomiska skador som kriminaliteten vållar, och när försäkringsbolaget väl har betalat den skadade, tar bolaget regelmässigt över kravet mot brottslingen. Eftersom det är viktigt att den som på ett kriminellt sätt har skadat någon annan också får svara fullt ut för vad han
311 Se SOU 1993:110 och prop. 1996/97:65.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 383 |
eller hon ställt till med, kan det vara befogat att försäkringsbolagen får registrera sådana uppgifter om brottsligheten att krav kan framställas på ett effektivt sätt mot den som bör få betala.
De begrepp som används i bestämmelsen – lagöverträdelser, brottmålsdomar och säkerhetsåtgärder – har som vi ser det en EG-gemensam innebörd.
Med lagöverträdelser avses förmodligen bara överträdelse av straffsanktionerade bestämmelser. På motsvarande sätt får det anses att bara säkerhetsåtgärder i brottmålsförfaranden avses, t.ex. häktning, beslag eller kvarstad.
En uppgift om att någon har eller kan ha begått stöld utgör otvivelaktigt en uppgift om lagöverträdelse även om det inte finns någon dom beträffande brottet; uppgiften har kvalificerats till att avse något visst brott. Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser, t.ex. en uppgift om att någon använt narkotika, en uppgift om att någon kört bil mellan två orter med viss (för hög) genomsnittlig hastighet, en uppgift om att någon som arbetar med att tömma parkeringsautomater har privat växlat in stora mängder mynt i bank osv. Elektronisk övervakningsutrustning, t.ex. kameror, installeras vidare ofta i privat verksamhet just i det befogade syftet att förr eller senare registrera lagöverträdelser, och det skulle givetvis innebära olägenheter om registreringen blev olaglig och skadeståndsgrundande i samma ögonblick som syftet med den uppnåtts, dvs. när genomförandet av t.ex. ett rån registrerats. Detta talar starkt för att uppgifter om faktiska iakttagelser om en persons handlande inte rimligen kan anses som uppgifter om lagöverträdelser i alla de fall handlandet kan innebära en lagöverträdelse. Var gränsen går får avgöras i praxis eller genom de närmare föreskrifter som kan utfärdas.
| 384 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.6Användning av personnummer
Reglerna om användning av personnummer i datalagen bör föras över till den nya persondatalagen. Detta innebär att uppgifter om personnummer får behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
Enligt artikel 8.7 i EG-direktivet skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
Bestämmelsen berör för svensk del bara personnummer; något annat vedertaget sätt för identifiering finns inte i Sverige som vi ser det. Be- stämmelsen innebär bara att Sverige måste ha regler för när personnummer får behandlas. Däremot får Sverige och de andra medlemsstaterna fritt bestämma det materiella innehållet i reglerna.
Det finns redan en reglering av användningen av personnummer i datalagen. Enligt 7 § andra stycket får registrering av personnummer ske bara när det klart är motiverat med hänsyn till registrets ändamål, vikten av en säker identifiering eller av något annat beaktansvärt skäl. Vidare gäller att personnummer får återges på datautskrifter bara när det finns särskilda skäl.
Frågan om en reglering av användningen av personnummer utreddes av den parlamentariskt sammansatta Data- och offentlighetskommittén som år 1987 lämnade två alternativa förslag till reglering.312 Några år senare – i slutet av 1990 – kunde regeringen, sedan utredningsförslagen fått ett blandat mottagande av remissinstanserna, presentera sitt förslag som byggde på ett av utredningsförslagen.313 Konstitutionsutskottet begärde därefter att lagrådet skulle yttra sig över det andra utredningsförslaget. Utskottets majoritet förordade emellertid regeringens förslag, men gjorde en viss omformulering av lagtexten.314 Det omformulerade förslaget antogs av riksdagen.
312Se SOU 1987:31.
313Se prop. 1990/91:60 s. 60 ff.
314Se KU 1990/91:11.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 385 |
I februari 1993 beslutade den dåvarande regeringen att en särskild utredare skulle tillkallas med uppdrag att utreda frågan om en begränsad användning av personnummer.315 I maj 1994 överlämnade Personnummerutredningen ett omfattande betänkande med förslag till en särskild lag om användning av personnummer.316 Förslaget har inte lett till lagstiftning, och den regering som tillträdde på hösten 1994 har uttalat att det inte är aktuellt att införa någon lagstiftning om användningen av personnummer.317
I våra utredningsdirektiv omnämns inte särskilt frågan om användning av personnummer.
Vi finner mot den nu redovisade bakgrunden att det inte kan anses ankomma på oss att göra en ny utredning om användningen av personnummer annat än vad vårt uppdrag att lämna förslag till genomförande av EG-direktivet föranleder.
EG-direktivet kräver att det finns en reglering av användningen av personnummer som omfattar den behandling av personuppgifter som avses i direktivet. Den reglering av användningen av personnummer som i dag finns i datalagen bör därför föras över till den föreslagna persondatalagen, som skall ha ett tillämpningsområdet som i enlighet med vad som anförs i avsnitt 7 har anpassats till direktivets. Eftersom den uttryckliga regeln om att personnummer får återges på datautskrifter bara om det finns särskilda skäl passar dåligt in i en generell lag som i viss mån omfattar även manuell behandling av personuppgifter (på papper), har vi emellertid valt att inte ta med den regeln i vårt förslag till ny lag. Detta är dock inte avsett att innebära någon ändring i sak. För att en uppgift om personnummer över huvud taget skall få behandlas – t.ex. genom att fästas på en datautskrift – krävs ju med den föreslagna lagen att behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl.
315Se dir. 1993:7.
316Se SOU 1994:63.
317Se prop. 1994/95:100 Bilaga 3 s. 14.
| 386 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.7Information till den registrerade
Den persondataansvarig som hämtar in personuppgifter bör självmant lämna de registrerade viss information rörande behandlingen. Undantag från informationsskyldigheten bör gälla när de registrerade redan känner till informationen, när det finns författningsreglering och när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att informera. Den registrerade bör vidare ha rätt att en gång per kalenderår på begäran gratis få information om de uppgifter som behandlas. Informationen skall lämnas skriftligen inom en månad efter ansökan. De regler om sekretess och tystnadsplikt som finns gäller alltid framför rätten till information enligt den föreslagna persondatalagen.
12.7.1Inledning
I artikel 10–12 i EG-direktivet finns bestämmelser om att information skall lämnas till den registrerade dels självmant när en persondataansvarig samlar in personuppgifter, dels när den registrerade begär att få ta del av de uppgifter som en persondataansvarig har registrerat. Bestämmelserna har berörts i avsnitt 3.9 och 3.10. I det följande tas dessa två situationer upp under skilda rubriker. Avslutningsvis berörs, under en särskild rubrik, frågan hur reglerna i direktivet och den föreslagna persondatalagen förhåller sig till bestämmelser om sekretess och tystnadsplikt.
12.7.2När uppgifterna samlas in
12.7.2.1Inledning
I artikel 10–11 i EG-direktivet finns bestämmelser om den information som en persondataansvarig skall lämna självmant till den registrerade i samband med att han eller hon samlar in personuppgifter.
Artikel 10 rör den situationen att uppgifterna samlas in från den registrerade själv, medan artikel 11 gäller när uppgifterna hämtas in från något annat håll. I båda fallen skall den persondataansvarige lämna informationen självmant. Det krävs alltså inte att den registrerade begär att få information. Något annat som är gemensamt för de båda fallen är att den per-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 387 |
sondataansvarige aldrig är skyldig att lämna information om sådant som den registrerade redan känner till.
I avsnitt 9.2 har vi berört hur man kan se på informationsskyldigheten för myndigheter med hänsyn till skyldigheten att enligt offentlighetsprincipen lämna ut uppgifter till den som begär det.
12.7.2.2När skall informationen lämnas
Samlas personuppgifterna in från den registrerade själv skall, såsom vi har uppfattat direktivet, informationen alltid lämnas i samband därmed; samlar den persondataansvarige in uppgifter från de registrerade utan att då berätta vad uppgifterna skall användas till, kan behandlingen av personuppgifterna inte anses ha gått korrekt till.
När personuppgifterna hämtas in från något annat håll, skall informationen enligt direktivet lämnas ”vid registreringen”. Kan det vid detta tillfälle förutses att uppgifterna kommer att lämnas ut till tredje man, är det dock tillåtet att vänta med informationen ända till dess att uppgifterna lämnas ut för första gången.
Dessa bestämmelser bör föras över till den föreslagna persondatalagen. Det finns som vi ser det inte någon skyldighet för en persondataansvarig att lämna sådan information som nu avses mer än en gång beträffande de personuppgifter som samlas in vid ett tillfälle. De insamlade uppgifterna kan således under den tid det är nödvändigt behandlas för de ändamål som angetts vid insamlingen och för alla andra ändamål som inte är oförenliga med de ursprungliga ändamålen utan att de registrerade behöver informeras på nytt. Ny information behöver vidare inte lämnas varje gång uppgifter lämnas ut till tredje man (under förutsättning att information om åtminstone de aktuella kategorierna av mottagare har lämnats). Lämnas uppgifterna ut till tredje man för vidare behandling, måste givetvis denne informera de registrerade om sin behandling av uppgifterna i den mån de registrerade inte redan känner till informationen (genom den information
de fått från den förste persondataansvarige eller eljest).
I en del fall är avsikten dock att den persondataansvarige fortlöpande skall samla in uppgifter om en och samma person. Det kan t.ex. vara fråga om en bank som regelbundet för kontoredovisning m.m. hämtar in uppgifter om vilka betalningstransaktioner den registrerade har gjort i olika affärer eller i andra banker. I sådana fall bör det, som vi ser saken, vara möjligt att lämna information bara en gång – innan uppgifter registreras första gången – under förutsättning att den registrerade då får information om
| 388 Innehållet i den nya persondatalagen | SOU 1997: 39 |
bl.a. vilka kategorier av uppgifter som kommer att hämtas in och behandlas; genom den information som lämnas innan den första registreringen sker får den registrerade kännedom om de behandlingar som kommer att utföras fortlöpande och vilka kategorier av uppgifter dessa kommer att avse, och den persondataansvarige är som sagt aldrig skyldig att lämna information om sådant som den registrerade redan känner till.
När det gäller insamling av personuppgifter i samband med användningen av Internet, BBS:er eller liknande elektroniska tjänster, t.ex. i form av s.k. loggar, är det viktigt att de personer som utnyttjar tjänsterna informeras om utnyttjandet av de s.k. elektroniska spår som de omedvetet kan ha lämnat. Eftersom de elektroniska tjänsterna i allmänhet går ut på att förmedla information i ett eller annat avseende, borde det inte innebära några särskilda problem att lämna information även i detta hänseende. IT-utred- ningen har för övrigt redan föreslagit att den som tillhandahåller en tjänst för elektronisk förmedling av meddelanden skall informera användarna bl.a. om vem som tillhandahåller tjänsten och i vilken utsträckning inkomna meddelanden blir tillgängliga för andra användare.318 Det kan – särskilt mot bakgrund av att IT-utredningen också i viss utsträckning föreslagit undantag från datalagen för elektroniska förmedlingstjänster – enligt vår mening finnas anledning att överväga om inte utredningens förslag borde kompletteras med en skyldighet att lämna information även i de hänseenden som avses i EG-direktivet.
12.7.2.3Vilken information skall lämnas
Av EG-direktivet följer att information skall lämnas om
a)den persondataansvariges – och dennes eventuella företrädares – identitet,
b)ändamålen med den behandling för vilka uppgifterna är avsedda, och
c)all ytterligare information i den utsträckning informationen – med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
Med att information skall lämnas om den persondataansvariges identitet avses förmodligen att uppgift skall lämnas om namn och adress beträffande den fysiska eller juridiska person som är persondataansvarig.
318Se 4 § i den av utredningen föreslagna lagen om elektroniska förmedlingstjänster och SOU 1996:40 s. 186 ff.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 389 |
I direktivet finns vidare en exemplifiering av information enligt punkt c. Beträffande det fallet att uppgifterna samlas in från den registrerade själv anges som exempel
N mottagarna eller de kategorier som mottar uppgifterna,
N huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara och
N förekomsten av rättigheter att få tillgång till och att få rättelse av uppgifter.
För det fallet att uppgifterna hämtas in på något annat sätt anges som exempel
N de kategorier av uppgifter som behandlingen gäller,
N mottagarna eller de kategorier som mottar uppgifterna och
N förekomsten av rättigheter att få tillgång till och att få rättelse av uppgifter.
Vi har i den föreslagna persondatalagen mer eller mindre ordagrant tagit in de grundläggande bestämmelserna om den information som skall lämnas (punkt a–c ovan); beträffande punkten c har vi dock – för att förtydliga – valt att tala om all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information. Avsikten är att de mer preciserade anvisningar om informationslämnandet som kan behövas skall tas in i föreskrifter som utfärdas av regeringen eller Datainspektionen. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i den föreslagna persondatalagen har berörts i avsnitt 12.1.2.
Det finns inte något krav på att informationen skall lämnas skriftligen. Det är dock den persondataansvarige som har att visa att varje registrerad har fått den information som krävs om det blir tvist om den saken, vilket kan antas medföra att de flesta väljer att om möjligt lämna informationen skriftligen och på en framträdande plats.
12.7.2.4Undantag från informationsskyldigheten
Vi har tidigare nämnt att den persondataansvarige inte i något fall är skyldig att lämna information om sådant som den registrerade redan känner till. Av vad som anförs i avsnitt 12.7.4 framgår dessutom att bestämmelser om tystnadsplikt och sekretess gäller framför den föreslagna persondatalagen.
| 390 Innehållet i den nya persondatalagen | SOU 1997: 39 |
För det fallet att personuppgifterna hämtas in från något annat håll än den registrerade själv finns det vidare i artikel 11.2 undantag från skyldigheten att informera. Undantagen gäller
a)när det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträngning att lämna information och
b)när registreringen eller utlämnandet uttryckligen föreskrivs i författning
För dessa undantagsfall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
De två undantagen bör föras över till den föreslagna persondatalagen. Vi har dock – utan att någon saklig skillnad är avsedd – valt att i lagtextförslaget tala om arbetsinsats i stället för ansträngning.
I punkt 40 i ingressen till direktivet finns det vissa riktlinjer för bedömningen av när det kan innebära en oproportionerligt stor ansträngning att lämna information (se avsnitt 3.9). Vår avsikt är att regeringen eller Datainspektionen skall kunna närmare precisera när det kan anses att informationslämnandet innebär en oproportionerligt stor arbetsinsats eller vad som krävs för att det skall anses visat att det är omöjligt att lämna information.
I många författningar finns det föreskrifter om att uppgifter skall eller får registreras av t.ex. någon myndighet eller att vissa uppgifter skall eller får lämnas ut till vissa personer eller myndigheter. Den som enligt en sådan föreskrift har rätt eller skyldighet att registrera vissa uppgifter behöver inte lämna information när uppgifterna hämtas in (från annat håll än den registrerade själv). Inte heller den som enligt en sådan föreskrift har rätt att få ut vissa uppgifter behöver informera om sin (efterföljande) behandling av uppgifterna; däremot kan givetvis den som lämnar ut uppgifterna ha varit skyldig att lämna information i samband med att han eller hon samlade in uppgifterna (om inte något undantag gällde beträffande den insamlingen).
Registreringen eller utlämnandet måste vara uttryckligen föreskrivet i författning. Offentlighetsprincipen innebär att vem som helst har rätt att få ut uppgifter från myndigheter. Enligt vår mening är de föreskrifter som utgör offentlighetsprincipen inte så preciserade i fråga om till vilka personer uppgifterna skall lämnas ut eller vilka uppgifter som skall lämnas ut att de kan anses uppfylla kraven på en sådan uttrycklig föreskrift som avses i EG-direktivet. Den som hämtar in personuppgifter med stöd av offentlighetsprincipen måste således informera de registrerade om sin vidare behandling av uppgifterna (om inte något annat undantag är tillämpligt).
Däremot är enligt vår mening de bestämmelser som finns om arkivmyndigheternas omhändertagande av arkivmaterial tillräckligt preciserade. När
SOU 1997: 39
Innehållet i den nya persondatalagen 391
en arkivmyndighet med stöd av författningsbestämmelser tar emot arkivmaterial från myndigheter eller enskilda, behöver arkivmyndigheten således inte informera de registrerade.
För de fall där någon av de två undantagsreglerna är tillämplig skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
När det finns bestämmelser om registreringen eller utlämnandet i en författning torde det finnas mekanismer eller föreskrifter i den aktuella författningen som förhindrar missbruk och som får anses vara tillräckliga för att uppfylla direktivets krav på lämpliga skyddsåtgärder. Det är vidare enligt vår mening i alla fall bättre att i förekommande fall ta in regler om lämpliga skyddsåtgärder i den aktuella författningen än att försöka utforma en generell lösning i den föreslagna persondatalagen för alla de olika fall där det finns särskild författningsreglering.
När det sedan gäller det fallet att det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att lämna information verkar det vara nödvändigt att i den föreslagna persondatalagen – eller anslutande författningar – ta in bestämmelser om sådana lämpliga skyddsåtgärder som krävs enligt EG-direktivet. Enligt vår mening är det i detta hänseende tillräckligt att i den föreslagna persondatalagen föreskriva att information alltid skall lämnas senast i samband med att de aktuella uppgifterna används för att vidta åtgärder beträffande de registrerade. Därmed finns det en garanti för att den registrerade inte utsätts för en åtgärd utan att få reda på vilken uppgiftsbehandling som ligger bakom den. Om en persondataansvarig för utskick för direkt marknadsföring hämtat in uppgifter om så många personer att det skulle innebära en oproportionerligt stor arbetsinsats att informera dem alla redan när uppgifterna registreras, måste således information lämnas (senast) i de handlingar som sänds ut.
12.7.3På ansökan av den registrerade
Enligt artikel 12 a skall medlemsstaterna säkerställa att varje registrerad har rätt att från den persondataansvarige få viss information. Informationen behöver – såsom direktivet måste tolkas – lämnas bara efter begäran från den registrerade. Informationen skall då lämnas
N utan hinder,
N med rimliga intervall,
N utan större tidsutdräkt och N utan större kostnader.
| 392 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Den registrerade har för det första rätt att få bekräftelse på om uppgifter som rör honom eller henne behandlas eller inte. I övrigt – naturligen bara för det fallet att uppgifter om den registrerade behandlas – skall information lämnas om åtminstone
N ändamålen med behandlingen, N de berörda uppgiftskategorierna,
N mottagarna eller till vilka kategorier av mottagare som uppgifterna lämnas ut,
N vilka uppgifter som behandlas och N varifrån uppgifterna kommer.
Informationen om vilka uppgifter som behandlas skall vara begriplig för den registrerade. När det gäller information om varifrån uppgifterna kommer, behöver den persondataansvarige bara lämna all den information som finns tillgänglig för honom eller henne; den persondataansvarige behöver således inte hålla reda på varifrån uppgifterna har hämtats, men vet han eller hon det (fortfarande) när den registrerade begär information skall det uppges.
Dessa bestämmelser har i princip förts över till den föreslagna persondatalagen. I samband därmed har vissa preciseringar gjorts, vilket får anses tillåtet enligt EG-direktivet.
Vi föreslår således att det – i enlighet med vad som gäller i dag beträffande registerutdrag enligt 10 § datalagen – skall föreskrivas att den registrerades ansökan om information skall göras skriftligen hos den persondataansvarige och vara undertecknad av den registrerade själv. De föreslagna reglerna syftar till att skapa ordning och reda och garantera att det är den registrerade och inte någon annan som får tillgång till informationen. De ytterligare bestämmelser som kan behövas beträffande ansökan, t.ex. att den skall innehålla uppgift om den registrerades namn och adress kan lämpligen ges av regeringen genom förordning. Sådana bestämmelser underlättar för den persondataansvarige att ta fram och distribuera informationen.
Vi föreslår vidare att den registrerade skall ha rätt att få information en gång per kalenderår och att informationen skall lämnas ut gratis. Om uppgifter om den registrerade behandlas, skall informationen lämnas skriftligen. Informationen skall vidare som huvudregel lämnas inom en månad från det att ansökan gjordes. Det skall dock enligt vårt förslag vara tillåtet att lämna information bara vid tre över året jämnt fördelade tillfällen, om det finns särskilda skäl för det. Sådana särskilda skäl kan vara att person-
SOU 1997: 39
Innehållet i den nya persondatalagen 393
uppgifterna är krypterade, att sökmöjligheterna annars är begränsade eller att den persondataansvarige har många personuppgifter uppdelade på olika register eller andra datasamlingar.
När det gäller personuppgifter i löpande text som inte har fått sin slutliga utformning, t.ex. i ett ordbehandlingsdokument under arbete, och personuppgifter i löpande text som utgör minnesanteckning eller liknande finns det anledning att ha särskilda regler.
Regleringen i 2 kap. TF – i såväl gällande som den lydelse vi föreslår – innebär att en myndighet inte är skyldig att på grund av offentlighetsprincipen lämna ut t.ex. utkast under arbete och minnesanteckningar eller liknande som inte skall bevaras för framtiden. Det är tydligt att en ordning som innebär att ofärdiga alster och minnesanteckningar eller liknande inte behöver lämnas ut har goda skäl för sig på såväl den offentliga som den privata sidan.
Vi föreslår därför för det första att information inte skall behöva lämnas beträffande personuppgifter i löpande text som när ansökan om information gjordes inte har fått sin slutliga utformning. Har uppgifterna i den löpande texten behandlats under så lång tid som ett år utan att texten färdigställts, får dock den registrerades intresse av att få ta del av sina uppgifter anses väga tyngre än den persondataansvariges intresse av att utan insyn få ytterligare fördröja färdigställandet av texten. Personuppgifter i löpande text som, när ansökan gjordes, har behandlats under längre tid än ett år utan att texten har fått sin slutliga utformning bör därför lämnas ut, om inte den persondataansvarige väljer att i stället utplåna personuppgifterna i den ofärdiga texten. Den registrerade bör också ha rätt att få reda på uppgifterna, om den persondataansvarige har spritt dem till utomstående. Information bör således lämnas om uppgifterna i den ofärdiga löpande texten redan har lämnats ut till tredje man när ansökan om information gjordes; har den persondataansvarige när ansökan görs inte längre kvar de utlämnade uppgifterna, kan information givetvis inte lämnas.
Vi föreslår för det andra att information inte skall behöva lämnas beträffande personuppgifter i löpande text som utgör minnesanteckning eller liknande, t.ex. en föredragningspromemoria, under förutsättning att personuppgifterna, när ansökan gjordes, inte har lämnats ut till tredje man. De minnesanteckningar eller liknande som det finns goda skäl för att undanta från den registrerades insyn är sådana som används för att förbereda ett ärende eller liknande för avgörande. Sparas sådana handläggningshjälpmedel sedan ärendet har avgjorts eller annars slutbehandlats, bör den registrerade få ta del av uppgifterna på motsvarande sätt som allmänheten har rätt
| 394 Innehållet i den nya persondatalagen | SOU 1997: 39 |
att ta del av uppgifter i myndigheters minnesanteckningar eller liknande vilka tagits om hand för arkivering. Information bör således lämnas beträffande personuppgifter i minnesanteckningar eller liknande som, när ansökan gjordes, bara behandlas för historiska, statistiska eller vetenskapliga ändamål.
Vi har inte ansett det nödvändigt med någon definition i den föreslagna persondatalagen av begreppet löpande text. Med detta begrepp avses detsamma som enligt den av IT-utredningen nyligen föreslagna lagen om elektroniska förmedlingstjänster, dvs. information som inte har strukturerats så att sökning av personuppgifter underlättas.319
Det bör påpekas att våra förslag innebär att en registrerad i vissa fall kan ha rätt att med stöd av den föreslagna persondatalagen få ta del av uppgifter om sig själv som allmänheten inte har rätt att få ta del av med stöd av offentlighetsprincipen enligt 2 kap. TF; den registrerade har i viss utsträckning rätt att få del av uppgifter som inte är allmänna. Men när handlingen med informationen om uppgifterna har expedierats till den registrerade, blir uppgifterna å andra sidan genast allmänna och tillgängliga för var och en i den utsträckning sekretess inte gäller. Det kan vidare inte anses obefogat att den som uppgifterna rör i vissa fall har rätt att få ta del av dessa tidigare än allmänheten. Härtill kommer att vi med hänsyn till EG-direktivet inte har ansett oss kunna gå ännu längre när det gäller att begränsa den registrerades grundläggande rätt att få ta del av sina uppgifter även om dessa finns i löpande text.
Avsikten är att regeringen eller Datainspektionen skall kunna meddela de närmare föreskrifter som kan behövas rörande informationslämnandet. Frågan om regeringens och Datainspektionens möjligheter att komplettera regleringen i den föreslagna persondatalagen har berörts i avsnitt 12.1.2.
I vissa fall har en persondataansvarig så många olika samlingar av personuppgifter och så dåliga sökmöjligheter att det i praktiken är omöjligt att få fram alla uppgifter om den registrerade som behandlas. Arkivmyndigheterna, som tar emot samlingar av uppgifter med olikartad struktur från många håll, kan vara ett exempel.
För t.ex. en persondataansvarig myndighet kan vidare enligt särskild registerförfattning gälla sökbegränsningar. Även om det vore tekniskt möjligt, får myndigheten inte i dessa fall utföra vissa sökningar.
319 Se SOU 1996:40 särskilt s. 165 ff.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 395 |
EG-direktivet kan inte anses kräva att en persondataansvarig ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Ett införande eller tillåtande av sådana sök- och sammanställningsmöjligheter, som inte behövs av något annat skäl, skulle i själva verket kunna hota den personliga integriteten; det skulle då bli enkelt att kartlägga en person.
Enligt vår mening är det inte rimligt att utforma informationsskyldigheten på ett sådant sätt att den tvingar fram förfaranden som i själva verket kan hota den personliga integriteten. Den persondataansvarige bör, som vi ser det, bara vara skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rättsligt har tillgång till för att få fram information att lämna till den registrerade. Därmed garanteras att den registrerade får tillgång till all information som den persondataansvarige faktiskt kan få fram om den registrerade, vilket måste anses tillräckligt; inte ens EG-rätten kan tvinga någon att göra det som i praktiken är omöjligt.
Den som har en stor mängd ordbehandlingsdokument och som bara har en funktion för att söka i öppnade dokument kan exempelvis i praktiken inte få fram alla uppgifter om en person som kan finnas i dokumenten. En persondataansvarig med hundratals anställda med persondatorer vilka kan sökas igenom en och en kan inte heller i praktiken söka fram de personuppgifter som kan finnas i alla datorerna, om det inte finns några mera centraliserade sökmöjligheter. Möjligheterna att söka bland datorlagrade uppgifter utvecklas dock ständigt, och det finns redan i dag i standardprogram funktioner för att snabbt söka igenom alla dokument på en hårddisk eller via nät efter viss text, t.ex. ett namn eller personnummer. Med den föreslagna ordningen kommer den registrerades rätt att få information att utvidgas i precis samma takt som de persondataansvarigas möjligheter att göra integritetskänsliga sökningar och sammanställningar utvecklas. Det finns inte anledning att driva på utvecklingen och användningen av möjligheterna att göra känsliga sammanställningar.
En persondataansvarig som behandlar många personuppgifter i olika konstellationer, exempelvis Statistiska centralbyrån, kan med den föreslagna ordningen ändå behöva göra stora ansträngningar för att pröva alla sök- och sammanställningsmöjligheter som faktiskt finns. Men den som samlar på sig stora mängder personuppgifter får som regel finna sig i att också behöva göra stora ansträngningar för att kunna tillgodose de registrerades grundläggande rättigheter.
| 396 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Ett särskilt problem i integritetshänseende utgör emellertid det mer eller mindre unika svenska systemet med särskilda arkivmyndigheter, där otroliga mängder personuppgifter samlas på ett ställe. Riksarkivet har exempelvis tagit emot ungefär 5 000 statistikregister från Statistiska centralbyrån och dessutom tusentals dataregister från andra myndigheter, t.ex. skattemyndigheterna och universiteten; härtill kommer allt pappersmaterial med personuppgifter som har strukturerats på ett sådant sätt att det utgör register i den föreslagna persondatalagens mening. Hos Riksarkivet förvaras registren oftast i ett särskilt format, och det tar från en halvtimme till en hel arbetsdag att göra ett enda register läsbart; härtill kommer en hanteringstid om ungefär en timme för att plocka fram och sätta tillbaka datamedierna. Att söka igenom bara alla de datoriserade personregister som samlats hos Riksarkivet skulle förmodligen ta mer än ett år, även om all arkivpersonal hjälpte till.
Skyldigheten att i dag lämna registerutdrag enligt 10 § datalagen gäller inte för uppgifter i personregister som har tagits emot för förvaring av en arkivmyndighet (10 § 3 st. datalagen). Undantaget har motiverats just av att en tillämpning av 10 § datalagen skulle få betydande negativa konsekvenser för arkivmyndigheternas verksamhet samtidigt som enskilda med stöd av offentlighetsprincipen kan få del av sina uppgifter (om de kan precisera sin begäran).320
Det kan inte anses ligga inom ramen för vårt uppdrag att av integritetshänsyn lämna förslag till en uppsplittring av de omfattande persondatamängder som har samlats hos arkivmyndigheterna. Vi måste därför hitta en annan lösning på problemet att arkivmyndigheterna inte en gång per år kan på begäran lämna information till registrerade, eftersom det förmodligen tar mer än ett år att ta fram informationen.
En användbar lösning är att föreskriva att den registrerade i sin ansökan till en arkivmyndighet måste uppge vilken arkivbildare (dvs. i praktiken oftast ursprungsmyndigheten) och vilket register eller liknande ansökan avser. En ansökan som inte preciserats på detta sätt skulle arkivmyndigheten inte vara skyldig att efterkomma. Denna lösning tillgodoser på ett bättre sätt än det rena undantag som finns i dag såväl de registrerades som arkivmyndigheternas intressen. Den föreslagna regleringen innebär i praktiken inte heller i fråga om arbete för en arkivmyndighet mera än vad de registrerade redan i dag (och även med vårt förslag beträffande offentlig-
320 Se prop. 1981/82:189 s. 35 ff.
SOU 1997: 39
Innehållet i den nya persondatalagen 397
hetsprincipen i IT-samhället) kan kräva av myndigheten med stöd av offentlighetsprincipen.
Det nu sagda bör givetvis gälla bara beträffande arkivmaterial som arkivmyndigheten har tagit emot för förvaring; arkivmyndigheterna bör således vara skyldiga att, liksom varje annan persondataansvarig, på begäran lämna information om den behandling av personuppgifter som så att säga sker för arkivmyndighetens egen räkning, t.ex. avseende register över myndighetens personal. När annan än arkivmyndighet använder arkivmaterialet på sådant sätt att denne blir persondataansvarig, t.ex. när Statistiska centralbyrån lånar tillbaka ett statistikregister, gäller de vanliga reglerna för honom eller henne.
Vi föreslår att det i persondatalagen tas in ett uttryckligt bemyndigande för regeringen att meddela föreskrifter om vad en ansökan skall innehålla. De detaljregler som behövs för att undvika orimliga konsekvenser för arkivmyndigheterna kan således lämpligen meddelas av regeringen genom förordning.
I avsnitt 11.6.7 berörs närmare frågan om registerutdrag i samband med behandling för forskning och statistik.
12.7.4Förhållandet till bestämmelser om sekretess och tystnadsplikt
Enligt artikel 13 i EG-direktivet får medlemsstaterna i sin lagstiftning göra nödvändiga begränsningar i rätten för den registrerade att få information med hänsyn till skyddet av den registrerades eller andras fri- och rättigheter.
Skyldigheten enligt 10 § datalagen att lämna registerutdrag gäller i dag inte uppgifter som enligt lag eller annan författning eller enligt myndighets beslut som har meddelats med stöd av författning inte får lämnas ut till den registrerade (10 § 3 st. datalagen).
De bestämmelser om sekretess och tystnadsplikt som finns i Sverige får anses vara uppställda till skydd för sådana fri- och rättigheter som avses i direktivet.321 Ibland hindrar sådana bestämmelser att den registrerade får tillgång till vissa uppgifter om sig själv.322 Enligt vår mening är det nöd-
321Detta får anses gälla även t.ex. bestämmelsen i 7 kap. 20 § försäkringsrörelselagen (1982:713) om att förmånstagare till försäkring i vissa fall inte har rätt att i förväg av försäkringsbolaget få veta att han eller hon verkligen är förmånstagare.
322Se t.ex. 7 kap. 3 § sekretesslagen.
| 398 Innehållet i den nya persondatalagen | SOU 1997: 39 |
vändigt att dessa särskilda bestämmelser om att den registrerade i undantagsfall inte har rätt till viss information får gälla framför den generella rätt till information om behandlade uppgifter som annars skall gälla enligt direktivet och den föreslagna lagen. Vi anser således att det i den föreslagna persondatalagen bör införas en bestämmelse om att rätten att få information i samband med insamling av uppgifter och på begäran inte gäller i den utsträckning det finns en föreskrift om att uppgifterna inte får lämnas ut till den registrerade. Sådana föreskrifter kan finnas i lag eller annan författning eller i beslut som har meddelats med stöd av författning, t.ex. beslut om förbehåll enligt 14 kap. 9–10 §§ sekretesslagen.
I 6 kap. sekretesslagen finns det bestämmelser om sekretess med hänsyn till det allmännas ekonomiska intresse. På grund av dessa bestämmelser kan det allmänna under vissa förutsättningar hemlighålla uppgifter bl.a. i samband med rättsliga tvister och fackliga förhandlingar.
På den privata sidan, där offentlighetsprincipen inte gäller, finns det däremot i allmänhet inte några motsvarande författningsbestämmelser om sekretess och tystnadsplikt. Reglerna om information i den föreslagna persondatalagen innebär att ett slags ”offentlighetsprincip” gentemot den registrerade kommer att gälla i vissa avseenden även på den privata sidan. Den föreslagna persondatalagen omfattar vidare – till skillnad från datalagen – i princip alla datorlagrade personuppgifter. För att skydda viktiga intressen för de persondataansvariga på den privata sidan eller andra kan det därför finnas anledning att göra vissa undantag från informationsskyldigheten enligt den föreslagna persondatalagen. Grund för detta finns i artikel 13 i EG-direktivet som ger medlemsstaterna rätt att föreskriva sådana undantag för vissa angivna ändamål. Flertalet av dessa hänför sig normalt till allmän verksamhet. Några kan dock vara av vikt även för enskilda.
Enskilda kan exempelvis i lika hög grad som myndigheter ha ett befogat intresse av att kunna hemlighålla personanknuten information som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den enskildes ställning som part i rättegången. I försäkringsverksamhet finns inte sällan uppgift om att en registrerad person misstänks för försäkringsbedrägeri eller annan brottslig verksamhet. Internationella organisationer – vi tänker här särskilt på Amnesty International – kan ha sammanställningar av uppgifter om personer som misstänks ha gjort sig skyldiga till brott mot de mänskliga rättigheterna. Uppgifterna bör naturligtvis inte lämnas ut medan utredning pågår. Vi föreslår därför att regeringen – eller Datainspektionen – bemyndigas att medge undantag från informationsskyldigheten, om det behövs för att
| SOU 1997: 39 | Innehållet i den nya persondatalagen 399 |
skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott. Enligt vår mening bör undantag medges i situationer liknande dem som avses i exempelvis 5 kap. 1 §, 6 kap. 7 § och 7 kap. 20 § sekretesslagen.
12.8Rättelse
Den persondataansvarige bör vara skyldig att på begäran av den registrerade rätta, utplåna eller blockera sådana personuppgifter som är felaktiga, missvisande eller ofullständiga eller annars inte har behandlats i enlighet med den föreslagna persondatalagen eller anknytande föreskrifter. De som redan har fått del av uppgifterna bör underrättas om korrigeringsåtgärden, om den registrerade begär det eller om en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Undantag från underrättelseskyldigheten bör gälla om det visar sig vara omöjligt att underrätta eller om det skulle innebära en oproportionerligt stor arbetsinsats att underrätta.
12.8.1Inledning
Såsom nämnts i avsnitt 12.4.4 är det – enligt artikel 6.1 d i EG-direktivet – ett grundläggande krav på den persondataansvarige vid behandling av personuppgifter att alla rimliga åtgärder vidtas för att utplåna eller rätta sådana personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka uppgifterna behandlas.
I artikel 12 b–c i EG-direktivet finns ytterligare bestämmelser om rättelse m.m. Enligt dessa bestämmelser skall medlemsstaterna säkerställa att varje registrerad har rätt att i förekommande fall få sådana uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade. Detta skall gälla särskilt när uppgifterna är ofullständiga eller felaktiga. Varje registrerad skall vidare ha rätt att kräva att den persondataansvarige underrättar sådana tredje män till vilka berörda uppgifter har lämnats ut om genomförda rättelser, utplånanden och blockeringar. Denna underrättelseskyldighet gäller dock inte om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor ansträng-
| 400 Innehållet i den nya persondatalagen | SOU 1997: 39 |
ning att underrätta. Bestämmelserna i artikel 12 i EG-direktivet har berörts i avsnitt 3.10.
Det kan noteras att möjligheten att blockera felaktiga eller ofullständiga personuppgifter inte nämns i den grundläggande bestämmelsen om den persondataansvariges skyldigheter vid behandling av personuppgifter (artikel 6.1 d). Vi anser emellertid – med stöd av den mer preciserade regeln om rättelse m.m. i artikel 12 – att blockering alltid bör kunna användas som ett alternativ till rättelse och utplånande. Vi har också utformat den föreslagna lagtexten, som inför artikel 6.1 d, i enlighet med den uppfattningen.
I avsnitt 9.3 berörs särskilt frågan om rättelse m.m. av uppgifter hos myndigheter, och i avsnitt 12.14.1 tas upp frågan om Datainspektionens möjligheter att få personuppgifter utplånade.
12.8.2Korrigeringsregeln
12.8.2.1Inledning
Vi föreslår att det – för att uppfylla de skyldigheter som framgår av artikel 12 b – i lagtexten slås fast att den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den föreslagna lagen eller föreskrifter som har utfärdats med stöd av lagen.
I artikel 12 b talas det om uppgifter som inte har behandlats i enlighet med bestämmelserna i direktivet, medan det i flera andra artiklar används uttryckssätt som de nationella bestämmelser som har antagits till följd av direktivet, se t.ex. artikel 23 och 24. Vi har emellertid utgått från att det även beträffande artikel 12 b är tillräckligt att föreskriva korrigering av uppgifter som inte har behandlats i enlighet med de svenska föreskrifter som antagits till följd av direktivet.
Till följd av utformningen av direktivet verkar det vidare vara nödvändigt att utforma den föreslagna lagtexten så att den angivna korrigeringsskyldigheten omfattar alla uppgifter som inte har behandlats i enlighet med alla bestämmelser om behandlingen i de svenska föreskrifterna. Det bör dock, såsom vi har tolkat direktivet, inte vara otillåtet att läka brott mot vissa föreskrifter genom andra åtgärder än de angivna. Har personuppgifter behandlats utan att en nödvändig anmälan till tillsynsmyndighet gjorts, bör den persondataansvarige således kunna undvika ”rättelse, utplånande eller blockering” av uppgifterna genom att skyndsamt lämna in en anmälan. På
| SOU 1997: 39 | Innehållet i den nya persondatalagen 401 |
motsvarande sätt bör man kunna resonera när personuppgifter har behandlats i strid med de bestämmelser som finns om en lämplig säkerhetsnivå vid behandlingen eller om den information om behandlingen som skall lämnas till den registrerade. Har uppgifter i ett personregister behandlats manuellt när detta inte kan tillåtas, bör den persondataansvarige vidare kunna nöja sig med att förstöra registerstrukturen på ett sådant sätt att manuell behandling av uppgifterna inte (längre) omfattas av direktivet och den föreslagna lagen (se rörande registerbegreppet avsnitt 12.2.8).
12.8.2.2På begäran av den registrerade
Den persondataansvarige är enligt den nu aktuella bestämmelsen bara skyldig att vidta korrigeringsåtgärder på begäran av den registrerade. En sådan begäran om korrigering kan t.ex. vara resultatet av en granskning av den information om de behandlade uppgifterna som den registrerade har fått efter ansökan därom (se rörande informationsskyldigheten avsnitt 12.7.3).
Den registrerades begäran om korrigering kan framställas formlöst till den persondataansvarige eller någon som företräder denne. Det räcker att det av begäran framgår att den registrerade är missnöjd med behandlingen i något visst avseende och vill att korrigering skall vidtas. Framställs en sådan begäran måste den persondataansvarige skyndsamt utreda om de framförda anmärkningarna är befogade och, om så skulle vara fallet, vidta korrigering.
Det ligger i sakens natur att korrigering alltid måste vidtas så snart det är möjligt. Den persondataansvarige får således inte av bekvämlighetsskäl vänta med att korrigera till dess att uppgifterna ändå skall uppdateras, om det är möjligt att göra korrigeringen tidigare.
Den persondataansvarige är inte till följd av en begäran från en person skyldig att korrigera uppgifter beträffande andra personer. Eftersom den persondataansvarige enligt den föreslagna lagen ansvarar för att alla de behandlingar han eller hon utför sker i överensstämmelse med tillämplig lagstiftning, får det dock förutsättas att alla nödvändiga åtgärder vidtas när den persondataansvarige på ett eller annat sätt uppmärksammas på t.ex. mer generella brister i hanteringen.
12.8.2.3Valet av korrigeringsmetod
Vi har inte funnit anledning att i den föreslagna lagen ta in bestämmelser om vilken korrigeringsmetod – rättelse, utplånande eller blockering – som
| 402 Innehållet i den nya persondatalagen | SOU 1997: 39 |
skall användas i olika fall. I avsaknad av föreskrifter i detta hänseende får den persondataansvarige själv välja metod, vilket inte kan anses oförenligt med EG-direktivet. I vissa fall kan det dock på annat håll finnas bestämmelser som i praktiken kan påverka eller bestämma den persondataansvariges val av korrigeringsmetod, t.ex. när det gäller korrigering av uppgifter i bokföring. I andra fall åter kan det följa av sakens natur att en viss korrigeringsmetod i praktiken är utesluten; när känsliga personuppgifter har behandlats trots att det varit förbjudet kan det t.ex. knappast vara aktuellt att ”rätta” personuppgifterna. Jämför vidare vad som sagts i avsnitt 12.8.2.1 om den persondataansvariges möjligheter att läka brott mot vissa bestämmelser genom andra åtgärder än rättelse, utplånande eller blockering.
I avsnitt 9.3 berörs särskilt frågan om myndigheters val av korrigeringsmetod.
12.8.2.4Rättelse
Såsom angetts i avsnitt 9.3 får rättelse av en uppgift anses innebära att den ursprungliga, felaktiga, missvisande eller ofullständiga uppgiften ersätts av en uppgift om de rätta förhållandena eller att uppgifterna annars kompletteras. Det finns inte något krav på att den felaktiga uppgiften skall utplånas. Det bör vara upp till den persondataansvarige att avgöra hur rättelsen skall göras. Det enda kravet är – om den felaktiga uppgiften inte utplånas – att det i alla sammanhang klart skall framgå att den felaktiga uppgiften har ersatts eller kompletterats av en annan uppgift och vilka de rätta förhållandena är. Om utlämnande till tredje man skulle bli aktuellt, finns det således inget hinder mot att lämna ut såväl den (tydligt markerade) felaktiga uppgiften som de riktiga uppgifterna och upplysning om den rättelse som skett.
Det är den persondataansvarige som har bevisbördan för att en uppgift är korrekt. Kan inte rätta förhållandet utrönas, får uppgiften utplånas eller blockeras. Institutet rättelse kan bara användas när en felaktig uppgift kan ersättas eller kompletteras med en uppgift som är korrekt.
12.8.2.5Utplånande
Utplånande innebär som vi ser det att de aktuella uppgifterna förstörs så att de inte kan återskapas, dvs. vad som i arkivsammanhang brukar kallas gallring.
SOU 1997: 39
Innehållet i den nya persondatalagen 403
Det står klart att uppgifterna inte har utplånats på avsett sätt om de kan återskapas genom sådana metoder som mera allmänt förekommer på marknaden. Det finns t.ex. på konsumentmarknaden programvara för att enkelt återskapa raderade filer eller datamedier. Det finns å andra sidan inom t.ex. kriminaltekniken och hos specialiserade företag särskilt utvecklade tekniker som syftar till att återskapa information som i någon mening har blivit ”förstörd”. Även på detta område går utvecklingen av nya tekniker fort, och det som anses ohjälpligt ”förstört” i dag kan kanske återskapas i morgon. Frågan om vad som krävs i det enskilda fallet för att uppgifter skall anses utplånade får överlämnas åt praxis. Regeringen eller Datainspektionen kan tid efter annan ge närmare föreskrifter om under vilka förutsättningar uppgifter skall anses vara utplånade.
Uppgifter på datamedium kan förstöras genom såväl logiska som fysiska åtgärder. Med logiska åtgärder avses att programvara används för att radera uppgifterna så att de inte kan återskapas. Fysiska åtgärder innebär att datamediet fysiskt påverkas så att uppgifterna (och kanske också själva mediet) förstörs, t.ex. genom magnetism, brand eller sönderslagning. Uppgifter på papper torde bara kunna utplånas genom att fysiska åtgärder vidtas med papperet.
Utplånande kan användas t.ex. i fall där uppgifter har behandlats trots att den aktuella behandlingen inte kan tillåtas under några förutsättningar.
12.8.2.6Blockering
Med blockering avses – i enlighet med vad som framgår av kommissionens förklaring till direktivförslaget – varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och anledningen till spärren och för att uppgifterna inte skall lämnas ut till tredje man (annat än med stöd av bestämmelserna om offentlighetsprincipen i 2 kap. TF). Den definitionen har förts in i förslaget till persondatalag, se avsnitt 12.2.3.
Såsom anförts i avsnitt 9.3 kan blockering användas t.ex. när det inte är naturligt att rätta en felaktig uppgift, exempelvis när de rätta förhållandena inte kan utredas.
12.8.3Underrättelse till tredje man om korrigeringen
Vi föreslår att persondatalagen, för att uppfylla kraven i artikel 12 c i EG- direktivet, skall innehålla en bestämmelse om att den persondataansvarige
| 404 Innehållet i den nya persondatalagen | SOU 1997: 39 |
på begäran av den registrerade skall underrätta de tredje män till vilka uppgifterna har lämnats ut om korrigeringsåtgärden. Eftersom det är viktigt att på alla sätt förhindra användning av felaktiga, missvisande eller ofullständiga uppgifter, föreslår vi emellertid såsom en rent inhemsk reglering att den persondataansvarige – oavsett om den registrerade begärt underrättelse eller inte – skall vara skyldig att lämna sådan underrättelse om det skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. Någon underrättelse skall dock enligt vårt förslag inte behöva lämnas om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.
Den persondataansvarige behöver således för det första underrätta om den registrerade begär det. Något formkrav gäller inte för den registrerades begäran. Begäran kan således framställas såväl muntligen som skriftligen till den persondataansvarige eller någon som företräder denne. Det ligger i sakens natur att underrättelsen skall ske så snart det är möjligt efter begäran.
Den persondataansvarige är vidare under alla förhållanden skyldig att underrätta, om det kan antas att en underrättelse skulle kunna undvika mera betydande skada eller olägenhet för den registrerade. En felaktig, känslig personuppgift, t.ex. om att den registrerade är sjuk eller har en extrem politisk övertygelse, kan regelmässigt antas föranleda sådan skada eller olägenhet som avses, om de tredje män som fått den felaktiga uppgiften inte underrättas. Gäller det däremot en mera harmlös uppgift, t.ex. om den registrerades adress, bör det som regel krävas någon särskild omständighet för att man skall kunna anta att en underrättelse skulle kunna undvika sådan skada eller olägenhet som avses. Det måste vidare kunna antas att underrättelsen medför att skadan eller olägenheten kan undvikas. Detta är inte fallet när det är känt att aktuella tredje män redan har korrigerat uppgiften.
Det finns inte något formkrav beträffande den persondataansvariges underrättelse till dem som mottagit personuppgifterna. Det vanligaste torde dock bli att underrättelsen lämnas skriftligen.
I underrättelsen skall anges den åtgärd som den persondataansvarige har vidtagit beträffande personuppgifterna. I detta krav på att åtgärden skall anges innefattas att information skall lämnas om anledningen till åtgärden, t.ex. att de tidigare uppgifterna var felaktiga eller ofullständiga. Har en felaktig uppgift rättats måste vidare, om det är nödvändigt underrättelse lämnas om såväl den tidigare, felaktiga uppgiften som den nya, riktiga uppgiften. Avsikten med underrättelseskyldigheten får anses vara
| SOU 1997: 39 | Innehållet i den nya persondatalagen 405 |
att de som har tagit emot en uppgift som har korrigerats i sin tur skall kunna på lämpligt sätt korrigera den mottagna uppgiften (och eventuella åtgärder som har vidtagits med ledning av uppgiften), och underrättelsen måste därför innehålla sådan information som gör detta möjligt. Rör felaktigheten exempelvis en uppgift som mottagaren kan antas använda som enda sökbegrepp, t.ex. namn eller personnummer, är det nödvändigt att den felaktiga uppgiften anges för att mottagaren i praktiken skall kunna göra en rättelse i sin tur.
Det finns inte någon formell skyldighet att självmant underrätta i flera led. En tredje man som fått en underrättelse och som själv är persondataansvarig, är således inte rättsligt förpliktad att underrätta de tredje män till vilka han eller hon i sin tur kan ha lämnat ut uppgiften bara på grund av att han eller hon till följd av en underrättelse självmant har rättat uppgiften. Det får dock förutsättas att de persondataansvariga frivilligt på lämpligt sätt ser till att mildra skadeverkningarna av felaktiga, missvisande eller ofullständiga uppgifter som självmant rättats.
Underrättelse behöver aldrig lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Det finns inte någon skyldighet för den persondataansvarige att hålla reda på till vilka vissa uppgifter lämnas ut. Och vet den persondataansvarige inte (längre) till vilka uppgifterna har lämnats ut, är det givetvis omöjligt att i efterhand underrätta dem. Har uppgifterna lämnats ut till många, torde det kunna anses att det skulle innebära en oproportionerligt stor arbetsinsats att underrätta dem alla.
Det finns i direktivet inte någon närmare vägledning för tolkningen av den nu aktuella undantagsbestämmelsen, och vi anser oss därför inte ha någon egentlig grund för att göra ytterligare uttalanden om tolkningen. Frågan får överlämnas åt rättstillämpningen. Regeringen eller Datainspektionen kan vidare genom föreskrifter närmare precisera när det kan anses att en underrättelse innebär en oproportionerligt stor arbetsinsats eller vad som krävs för att det skall anses visat att det är omöjligt att underrätta.
| 406 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.9Automatiserade beslut
Den som märkbart påverkas av vissa beslut som grundas enbart på automatisk databehandling, t.ex. därför att de har rättsliga följder, bör ha möjlighet att på begäran få beslutet omprövat på manuell väg. Den som utsatts för ett sådant beslut bör också på ansökan kunna få information om vilka regler som har styrt den automatiska behandling som lett fram till beslutet.
12.9.1EG-direktivet
Artikel 15 i EG-direktivet – med underrubriken Databehandlade beslut – innehåller bestämmelser om skydd för den registrerade mot vissa automatiserade beslut. Bestämmelserna har berörts i avsnitt 3.8.
Bestämmelserna i EG-direktivet innebär att medlemsstaterna i princip skall ge var och en rätt att slippa bli föremål för vissa automatiserade beslut. Medlemsstaterna är dock förpliktade att – om inte något annat följer av övriga regler i direktivet – föreskriva att en person faktiskt får bli föremål för automatiserade beslut i två fall.
De beslut som avses i bestämmelserna är sådana som har rättsliga följder för någon eller som annars märkbart påverkar någon. Beslutet måste vidare grundas enbart på automatisk behandling. Dessutom krävs att de uppgifter på vilka den automatiska behandlingen grundas är sådana som är avsedda att bedöma vissa personliga egenskaper hos den som är föremål för beslutet, t.ex. arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. Det är bara sådana beslut som uppfyller samtliga rekvisit som här nämnts som omfattas av huvudregeln och som var och en skall ges en principiell rätt att slippa.
Från den principiella huvudregeln skall medlemsstaterna i två fall föreskriva undantag, dvs. medge att en person i dessa fall faktiskt får utsättas för automatiserade beslut.
Det första fallet (artikel 15.2 a) gäller sådana automatiserade beslut som fattas som ett led i ingåendet eller fullgörandet av ett avtal. Sådana beslut skall tillåtas om de är positiva för den registrerade – dvs. när den registrerades begäran om ingående eller fullgörande av ett avtal har bifallits – eller om det vidtas lämpliga åtgärder för att skydda den registrerades berättigade intressen. Som exempel på lämpliga åtgärder att vidta
SOU 1997: 39
Innehållet i den nya persondatalagen 407
nämns i direktivet att den registrerade har möjlighet att göra sin uppfattning gällande.
Det andra fallet (artikel 15.2 b) där automatiserade beslut skall godtas är när sådana beslut har tillåtits i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.
I artikel 12 a tredje strecksatsen i EG-direktivet föreskrivs att medlemsstaterna skall säkerställa att varje registrerad har rätt att från den persondataansvarige – utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader – få kännedom om den logik som används när uppgifter som rör den registrerade behandlas på automatisk väg. Av bestämmelsen framgår vidare att den rätten får begränsas till att avse bara sådana automatiserade beslut som berörs i artikel 15.1. I punkt 41 i ingressen till direktivet framhålls att den nu aktuella rätten inte får inkräkta på några affärshemligheter eller på upphovsrätten till t.ex. programvaran; den registrerade bör dock inte nekas all information. De nu aktuella bestämmelserna i EG-direktivet har berörts i avsnitt 3.8.
12.9.2Vårt förslag
Bestämmelserna i EG-direktivet innebär att det i Sverige måste införas en reglering av automatiserade beslut.
Ett samhälle består av människor som interagerar. När maskiner kommer in i bilden är det viktigt att de inte får övertaget. Att det är en maskin som slutligt bestämmer kan skapa en särskild känsla av maktlöshet hos många människor. Detta talar för att det är rimligt att ha särskilda regler för sådana på maskinell väg genererade beslut som direktivet omfattar, även om det alltid är en människa eller organisation som i någon mening ansvarar för och står bakom beslutet.
Samtidigt är det – såsom framhålls i våra utredningsdirektiv – viktigt att användningen av ny teknik inte hämmas i onödan. Det är viktigt att regleringen blir enkel att förstå och lätt att tillämpa; onödigt komplicerade regler hämmar såväl användningen av ny teknik som samhällsutvecklingen i övrigt. Definitionen av automatiserade beslut i EG-direktivet är vidare generellt utformad, och det är svårt att ha någon föreställning om alla de olika beslut som i dag och i framtiden kan komma att omfattas. Enligt vår mening bör man därför inrikta sig på en generell lösning som ställer upp ett minimiskydd för den som blir utsatt för en maskins beslutsfattande.
Automatiserade beslut bör, som vi ser det, i och för sig få användas. Flertalet torde avse ekonomiska förhållanden som skatter och tullar. I de –
| 408 Innehållet i den nya persondatalagen | SOU 1997: 39 |
troligen ganska ovanliga – fall då de grundas på personuppgifter vilka är avsedda att bedöma egenskaper hos den berörde personen, bör den enskilde ha rätt att på begäran dels få reda på vilka regler som har styrt den automatiska behandling som har lett fram till beslutet, dels få beslutet omprövat på manuell väg. Vi föreslår att bestämmelser med den innebörden förs in i persondatalagen.
De föreslagna bestämmelserna skall ses som sådana bestämmelser i lagstiftningen som – i enlighet med vad som krävs enligt artikel 15.2 b – dels tillåter automatiserade beslut, dels föreskriver lämpliga åtgärder till skydd för den registrerades berättigade intressen.
Definitionen av automatiserade beslut i den föreslagna bestämmelsen skall ha samma innebörd som enligt EG-direktivet.
Att den registrerade skall ha rätt att på begäran få det automatiserade beslutet omprövat på manuell väg innebär en rätt att få beslutet granskat av en människa som har makt att ersätta det automatiserade beslutet med ett annat. För den offentliga förvaltningen finns ofta föreskrifter om en rätt till omprövning av beslut, se t.ex. 27 § förvaltningslagen. Den föreslagna bestämmelsen i persondatalagen innebär bara att det skall finnas en rätt att få manuell omprövning. I den mån det i lag eller förordning finns särskilda regler om t.ex. förfarandet vid omprövning, gäller dessa föreskrifter framför persondatalagen (se avsnitt 8.2.2).
Rätten till manuell omprövning innebär inte att det automatiserade beslutet måste ersättas av ett nytt beslut, bara att beslutet skall granskas av en människa. Utgångspunkten bör dock vara att det automatiserade beslutet skall ersättas av ett nytt om den manuella granskningen visar att det är befogat. I vissa fall torde det emellertid ligga i sakens natur att ett redan fattat (och verkställt) automatiserat beslut inte kan i efterhand ersättas av ett nytt beslut. Medicinsk utrustning kan t.ex. på grundval av automatiskt behandlade uppgifter om en patients hälsotillstånd ha gett denne en viss injektion, vilket märkbart påverkat patienten i positiv eller negativ riktning. I sådana fall torde den manuella omprövningen närmast få ta sikte på att undvika felaktiga automatiserade beslut i framtiden.
Det har inte i den föreslagna persondatalagen tagits in något formkrav för den registrerades begäran om omprövning.
Rätten för den registrerade att på ansökan få information om de regler som har styrt den automatiska behandling som lett fram till det automatiserade beslutet innebär att den registrerade skall få begriplig information om logiken bakom beslutet. Den registrerade bör få reda på åtminstone vilka kategorier av uppgifter som har använts och i stora drag vilken betydelse
SOU 1997: 39
Innehållet i den nya persondatalagen 409
de olika uppgiftskategorierna haft för beslutet. Däremot finns det inte något absolut krav på att information skall lämnas om t.ex. olika gränsvärden som haft betydelse för beslutet; sådan information kan vara en affärshemlighet eller behöva skyddas för att inte äventyra säkerheten.
Det bör vara möjligt för den som använder sig av ett system för automatiserade beslut att utforma och lämna samma information om logiken till alla som berörs av besluten. Det finns inte något som hindrar att informationen lämnas utan ansökan, t.ex. som tryckt information på de beslut som meddelas de berörda. Därmed får den enskilde reda på att han eller hon blivit utsatt för ett automatiserat beslut och kan utnyttja sin rätt till omprövning; i annat fall kan den som misstänker att han eller hon blivit utsatt för ett automatiserat beslut alltid begära information från den persondataansvarige för att få reda på om beslutet varit automatiserat eller inte.
I fråga om den registrerades ansökan och den persondataansvariges lämnande av information bör i tillämpliga delar gälla samma procedurregler som beträffande övrig information som skall lämnas på begäran (se avsnitt 12.7.3). Detta innebär bl.a. att informationen skall lämnas skriftligen inom en månad efter ansökan.
Enligt EG-direktivet är det tillåtet att införa en rätt för den registrerade att på begäran få kännedom om den logik som ligger bakom även annan automatisk behandling än sådan som har lett fram till ett automatiserat beslut. Vi anser emellertid att det inte är nödvändigt att införa en sådan generell rätt. Den registrerade har med vårt förslag redan rätt att få veta vilka uppgifter som behandlas och för vilka ändamål behandlingen äger rum (se avsnitt 12.7.3). Vi har svårt att se att det från integritetsskyddssynpunkt skulle vara nödvändigt eller befogat att föreskriva att den registrerade därutöver skall ha rätt att få kännedom om t.ex. den logik som kan ligga bakom alla de statistiska beräkningar som Statistiska centralbyrån utsätter hans eller hennes personuppgifter för. En sådan rätt skulle i vart fall, som vi ser det, innebära kostnader och besvär för de persondataansvariga som inte vägs upp av eventuella vinster från integritetsskyddssynpunkt.
| 410 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.10Säkerhet och sekretess vid behandlingen
Den som arbetar med personuppgifter bör bara få behandla dessa i enlighet med instruktioner från den persondataansvarige. Den persondataansvarige bör vara skyldig att vidta tekniska och organisatoriska åtgärder för att skydda personuppgifterna; målet är att åstadkomma en lämplig säkerhetsnivå. När den persondataansvarige anlitar ett persondatabiträde för att utföra behandling av personuppgifter, bör det finnas ett skriftligt avtal som särskilt reglerar säkerhetsfrågorna. Den persondataansvarige bör också vara skyldig att se till att persondatabiträdet verkligen vidtar nödvändiga säkerhetsåtgärder.
12.10.1Inledning
I artikel 16–17 i EG-direktivet finns det bestämmelser om säkerhet och sekretess vid behandling av personuppgifter. Bestämmelserna har presenterats närmare i avsnitt 3.12.
12.10.2Behandling får bara utföras enligt instruktion från den persondataansvarige
Bestämmelserna i artikel 16 i EG-direktivet innebär att de personer som arbetar med personuppgifter får behandla uppgifterna bara enligt instruktioner från den persondataansvarige. Här gäller dock ett undantag som innebär att om någon enligt lag är skyldig att behandla personuppgifter, får han eller hon göra det även utan instruktioner från den persondataansvarige. Om den persondataansvarige anlitar ett persondatabiträde, skall det vidare av det skriftliga avtalet mellan dem framgå att biträdet får agera bara enligt instruktioner från den ansvarige (artikel 17.3 första strecksatsen och artikel 17.4).
Dessa bestämmelser bör i princip föras över till den föreslagna persondatalagen.
Vi föreslår således att det införs en bestämmelse om att persondatabiträdet eller den eller de personer som arbetar under dennes eller den persondataansvariges ledning får behandla personuppgifter bara i enlighet med instruktioner från den persondataansvarige. Om det finns avvikande regler i annan lagstiftning om att någon är skyldig att utföra en behandling,
| SOU 1997: 39 | Innehållet i den nya persondatalagen 411 |
får behandlingen dock utföras utan särskilda instruktioner; avvikande regler i annan lagstiftning skall ju med vårt förslag generellt sett ta över reglerna i persondatalagen (se avsnitt 8.2.2).
Eftersom utlämnande av personuppgifter till tredje man innefattas i begreppet behandling, innebär bestämmelsen ett slags tystnadsplikt. Med hänsyn till att det gäller särskilda regler om sekretess och tystnadsplikt i det allmännas verksamhet, vilka bl.a. innebär att den grundlagsfästa s.k. meddelarfriheten ibland tar över tystnadsplikten, bör det såsom ett förtydligande föreskrivas att bestämmelserna i sekretesslagen skall tillämpas i stället för bestämmelsen i persondatalagen i fråga om sekretess och tystnadsplikt i det allmännas verksamhet. Därmed garanteras att statstjänstemän liksom hittills kan prata med journalister med flera om sekretessbelagda uppgifter. Detta bör, såsom vi ser det, kunna tillåtas enligt EG-di- rektivet.
Vi har beträffande privat verksamhet inte funnit anledning att föreslå uttryckliga föreskrifter om tystnadsplikt för enskilda personer. Den persondataansvarige får bara lämna ut personuppgifter om utlämnandet inte är oförenligt med de ändamål för vilka uppgifterna samlades in323, och skulle någon som arbetar för den persondataansvarige lämna ut uppgifter i strid med vad som sålunda gäller är det den persondataansvarige som bär ansvaret gentemot den registrerade (se närmare avsnitt 12.13 om sanktioner). I vad mån den persondataansvarige i sin tur kan vidta någon åtgärd mot den som lämnade ut uppgiften i strid med givna instruktioner framgår av de bestämmelser som reglerar förhållandet mellan den persondataansvarige och medhjälparen, t.ex. avtalet med ett persondatabiträde eller arbetsrättsliga bestämmelser.324 De allmänt hållna bestämmelserna i den föreslagna persondatalagen kan däremot inte anses innebära en sådan plikt att hemlighålla uppgifter som medför att straffstadgandet om brott mot tystnadsplikt i 20 kap. 3 § brottsbalken kan bli tillämpligt.
Det framgår inte klart av EG-direktivet hur pass utförliga instruktioner den persondataansvarige måste lämna sina medhjälpare. Den persondataansvarige bär i princip ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras. Syftet med bestämmelserna
323I vissa fall får känsliga personuppgifter bara lämnas ut med stöd av den registrerades samtycke, se artikel 8.2 d i EG-direktivet och avsnitt 12.5.3.3.
324Jämför AD 1996 nr 23 – det fanns inte grund för att avskeda en polisman som dömts för tjänstefel och dataintrång för det att han upprepade gånger gjort obefogade registerslagningar.
| 412 Innehållet i den nya persondatalagen | SOU 1997: 39 |
får antas vara bl.a. att var och en som arbetar med personuppgifter skall veta åtminstone vilka ändamålen med behandlingen är och att behandling som är oförenlig med dessa ändamål är förbjuden.
Även regeln om att det skriftliga avtalet mellan den persondataansvarige och persondatabiträdet skall innehålla föreskrifter om att biträdet bara får behandla personuppgifterna i enlighet med instruktioner från den ansvarige bör som sagt föras över till den föreslagna persondatalagen. I den mån det skulle anses otillåtet enligt grundlag med sådana avtalsföreskrifter (vilka till viss del kan ses som en avtalad tystnadsplikt), tar grundlagen över bestämmelserna i persondatalagen och någon särskild erinran om detta har inte ansetts nödvändig.
12.10.3Säkerhetsåtgärder
I EG-direktivet finns det i artikel 17.1 allmänt hållna regler om de säkerhetsåtgärder som skall vidtas, se närmare avsnitt 3.12. Reglerna innebär i korthet följande.
Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Dessa åtgärder skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
N de tekniska möjligheter som finns,
N vad det skulle kosta att genomföra åtgärderna,
N de särskilda risker som finns med behandlingen av personuppgifterna och
N hur pass känsliga de behandlade personuppgifterna är
Dessa regler har förts över till den föreslagna persondatalagen. Uppräkningen av de faktorer som skall beaktas är allmänt hållen och
kortfattad. Som exempel på en faktor som berör de särskilda risker som finns med behandlingen kan nämnas antalet personer som de behandlade uppgifterna avser. Skadorna av t.ex. ett angrepp kan givetvis bli mera omfattande när det är uppgifter om många personer som behandlas på en gång. En angripare kan vidare antas vara beredd att lägga ned mera resurser på ett intrång om han eller hon på en gång kan komma åt uppgifter om många.
Även om de tekniska möjligheterna skall beaktas – t.ex. vilka fysiska och logiska säkerhetshjälpmedel som finns tillgängliga på marknaden – är det väsentliga naturligtvis att en lämplig säkerhetsnivå uppnås oavsett om denna kommer till stånd genom tekniska hjälpmedel eller genom organisa-
SOU 1997: 39
Innehållet i den nya persondatalagen 413
toriska åtgärder och t.ex. undvikande av nätverksuppkopplingar; målet är det viktiga, inte vilka medel som används för att nå dit. Fullständig säkerhet mot t.ex. otillåtna intrång kan aldrig uppnås i en (verklig eller virtuell) verklighet som inte är perfekt. Det måste alltid bli fråga om en avvägning för att åstadkomma en lämplig säkerhetsnivå, dvs. en säkerhet som med beaktande av samtliga omständigheter får anses tillräcklig. Kostnaden och ansträngningen för den som på ett otillåtet vis vill komma åt uppgifterna, bör t.ex. vara så hög att den avskräcker alla som inte är beredda att satsa orimligt mycket på ett försök till intrång.
De allmänt hållna reglerna beskriver på ett kortfattat och bra sätt de överväganden som måste göras i fråga om säkerhetsåtgärder, men reglerna ger givetvis inte tillräcklig vägledning för den persondataansvarige för att avgöra vilka säkerhetsåtgärder som bör vidtas i det enskilda fallet. Avsikten är att regeringen eller kanske snarare Datainspektionen skall meddela de närmare föreskrifter om säkerhetsåtgärder som behövs. Datainspektionen bör också i rimlig utsträckning kunna lämna råd i säkerhetsfrågor.
Vi har vidare valt att i förslaget till persondatalag ta med en uttrycklig bestämmelse om att Datainspektionen får meddela föreskrifter också i enskilda fall. Säkerhetsbrister är i princip oacceptabla, och det är därför viktigt att Datainspektionen har tydliga befogenheter just när det gäller säkerheten. Genom en föreskrift i det enskilda fallet får en persondataansvarig preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven. Följs inte föreskriften frivilligt i det enskilda fallet, bör Datainspektionen ha möjlighet att föreskriva vite för att få den genomförd, se närmare avsnitt 12.14.1 om Datainspektionens befogenheter.
Datainspektionens beslut om säkerhetsåtgärder i det enskilda fallet skall riktas mot den persondataansvarige även när ett persondatabiträde har anlitats.
Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstiftning, t.ex. i arkivlagen med anknytande författningar. Sådana bestämmelser kommer att gälla vid sidan av de bestämmelser om skyddsåtgärder som kan gälla enligt den föreslagna persondatalagen med anknytande författningar och beslut. Den persondataansvarige måste således uppfylla alla de regler om säkerhets- eller skyddsåtgärder som kan ha meddelats för hans eller hennes verksamhet. Det är därför viktigt att alla de instanser som kan utfärda regler om säkerhets- eller skyddsåtgärder för en viss verksamhet samråder med varandra i nödvändig utsträckning, bl.a. så att det sammanlagda resultatet av reglerna inte blir orimligt för den enskilde; enligt vad vi erfarit har i dag t.ex. Datainspektionen och Riksarkivet ett gott samarbete.
| 414 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.10.4När den persondataansvarige anlitar ett persondatabiträde
I artikel 17.2–4 i EG-direktivet finns det bestämmelser i fråga om säkerhet för den situationen att den persondataansvarige anlitar ett persondatabiträde, se närmare avsnitt 3.12. Bestämmelserna kan i korthet sägas innebära följande.
När den persondataansvarige anlitar ett persondatabiträde, skall den persondataansvarige förvissa sig om att persondatabiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att persondatabiträdet verkligen vidtar åtgärderna. Det skall vidare finnas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I det avtalet skall det särskilt föreskrivas dels att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige (se avsnitt 12.10.2), dels att persondatabiträdet är skyldigt att vidta de säkerhetsåtgärder som den persondataansvarige är skyldig att vidta i enlighet med vad som sagts i närmast föregående avsnitt.
Dessa bestämmelser har förts över till den föreslagna persondatalagen. Det är den persondataansvarige som har ansvaret gentemot den regist-
rerade även när ett persondatabiträde har anlitats. I vad mån den persondataansvarige i sin tur kan utkräva ansvar av ett anlitat persondatabiträde följer av avtalet med denne och allmänna bestämmelser.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 415 |
12.11Överföring av personuppgifter utanför EU
EG-direktivet innehåller komplicerade regler om överföring av personuppgifter till tredje land som måste införas i Sverige. Vi anser att det bör ske genom att ett principiellt förbud mot sådan överföring tas in i persondatalagen samtidigt som regeringen och Datainspektionen ges så vidsträckta möjligheter som tillåts enligt direktivet att medge undantag från förbudet. Vissa viktiga undantag från förbudet bör dock skrivas in i själva lagen.
12.11.1Inledning
Bestämmelser rörande utlämnande av personuppgifter till utlandet finns i dag i 11 § datalagen för privat verksamhet och i 7 kap. 16 § andra stycket sekretesslagen för verksamhet inom det allmänna. Bestämmelserna innebär bl.a. att det för ett utlämnande alltid krävs ett medgivande från Datainspektionen, om det kan antas att de utlämnade uppgifterna kommer att användas för automatisk databehandling i en stat som inte har anslutit sig till Europarådets konvention (se om konventionen avsnitt 4.3).
I artikel 25–26 i EG-direktivet finns det bestämmelser om överföring av personuppgifter till tredje land. Bestämmelserna har berörts närmare i avsnitt 3.14. Begreppet tredje land har berörts i avsnitt 12.2.11.
Såsom framgår av vad som anförs i avsnitt 3.14 är bestämmelserna på detta område komplicerade. Överföring av personuppgifter är enligt huvudregeln i direktivet bara tillåten till tredje land som har en adekvat skyddsnivå. Det finns därvid regler om en särskild beslutsprocedur för att konstatera om ett land har en sådan skyddsnivå. Överföring av personuppgifter till ett tredje land med en så dålig skyddsnivå att den inte kan anses adekvat skall dock tillåtas under vissa i direktivet uppräknade omständigheter; en av dessa omständigheter är att överföringen är nödvändig med hänsyn till ett viktigt allmänt intresse. Därutöver kan en persondataansvarig tillåtas överföra personuppgifter om han eller hon kan ställa upp tillräckliga garantier för de registrerades rättigheter, t.ex. med stöd av avtalsklausuler rörande behandlingen i tredje land; kommissionen kan med bindande verkan besluta att vissa standardavtalsklausuler erbjuder tillräckliga garantier.
| 416 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Enligt vår mening bör man inte i lagstiftningen införa mer komplicerade regler än vad som är nödvändigt med hänsyn till EG-direktivet. EG- direktivet kräver att det i den svenska lagstiftningen införs ett visst förbud mot överföring av personuppgifter till tredje land och vissa i direktivet angivna undantag från detta förbud. I övrigt bör det, som vi ser saken, vara möjligt att undvika detaljregler i lagstiftningen genom att låta regeringen eller i vissa fall Datainspektionen meddela föreskrifter om när överföring till tredje land är tillåten. Regeringen och Datainspektionen måste då vid utarbetandet av föreskrifterna givetvis beakta de komplicerade reglerna i direktivet om bl.a. särskild beslutsprocedur.
De föreslagna bestämmelserna i persondatalagen bör ersätta de regler i datalagen och sekretesslagen som nu finns rörande utlämnande av personuppgifter för behandling i utlandet. Detta innebär bl.a. att de särskilda bestämmelserna rörande behandling i utlandet i 7 kap. 16 § andra stycket sekretesslagen bör upphävas.
12.11.2Ett principiellt förbud mot överföring
I den föreslagna persondatalagen har vi tagit in ett principiellt förbud mot att till tredje land föra över personuppgifter som behandlas. Det förbudet bör – i enlighet med vad som krävs enligt EG-direktivet – gälla också överföring av personuppgifter för behandling i tredje land, t.ex. överföring av ifyllda formulär med personuppgifter, som inte behandlas här men som är avsedda att behandlas i tredje land.
Begreppet överföring – och det motsvarande uttrycket föra över – har enligt vår mening en EG-gemensam innebörd. Det verkar innebära att personuppgifter som i någon mening finns i Sverige eller i någon annan medlemsstat lämnas ut på ett sådant sätt att uppgifterna efter utlämnandet kan sägas finnas (också) i tredje land. Att någon ges möjlighet att från tredje land komma åt personuppgifter som finns i Sverige eller i någon annan medlemsstat via telekommunikation eller datanätverk är förmodligen ett exempel på överföring av uppgifterna till tredje land.
Förbudet verkar träffa överföring av personuppgifter som är föremål för en sådan behandling som omfattas av EG-direktivet och den föreslagna lagen samt – såsom tidigare nämnts – överföring av personuppgifter i syfte att låta dessa i tredje land undergå en sådan behandling som omfattas av de materiella bestämmelserna i direktivet. Också det förfarandet att personuppgifter som undergår automatisk behandling i Sverige förs över till tredje land i form av en pappersutskrift verkar omfattas av förbudet. Över-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 417 |
föring på papper av personuppgifter som inte har behandlats automatiskt eller ingått i ett manuellt register omfattas däremot som regel inte av förbudet. Helt manuell adressering av post till privatpersoner i tredje land kan vara ett exempel.
12.11.3Undantag i persondatalagen från förbudet
Vi har i den föreslagna persondatalagen tagit med de undantag från förbudet mot överföring som särskilt räknas upp i EG-direktivet.
Förbudet skall sålunda inte gälla när den registrerade har samtyckt till överföringen. Begreppet samtycke har berörts i avsnitt 12.5.1.2, och det fallet att ett lämnat samtycke återkallas berörs i avsnitt 12.5.2.2.
Förbudet skall vidare enligt vårt förslag inte gälla när behandlingen är nödvändig för att
a)fullgöra ett avtal mellan den registrerade och den persondataansvarige,
b)på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c)ingå eller fullgöra ett sådant avtal mellan den persondataansvarige och tredje man som är i den registrerades intresse,
d)kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller
e)skydda vitala intressen för den registrerade.
Nödvändighetskravet har – i ett något annorlunda sammanhang – berörts i avsnitt 12.5.1.3. De uppräknade förutsättningarna för undantag liknar till stor del de förutsättningar som uppställts i fråga om när behandling av personuppgifter över huvud taget skall vara tillåten och när känsliga personuppgifter kan få behandlas trots förbudet mot behandling av sådana uppgifter. Vi kan därför hänvisa till vad som har anförts om dessa förutsättningar i avsnitt 12.5. Avsikten är här – liksom när det gäller motsvarande förutsättningar i andra sammanhang – att regeringen eller Datainspektionen inom ramen för de angivna bestämmelserna skall kunna närmare precisera i vilka fall och under vilka förutsättningar överföring av personuppgifter till tredje land kan tillåtas. Frågan om regeringens och Datainspektionens möjligheter att precisera regleringen har berörts i avsnitt 12.1.2.
För att personuppgifter skall få föras över till tredje land krävs inte bara att överföringen faller under något av de undantag från förbudet som anges i den föreslagna lagen. Den behandling som överföringen av personuppgifter till tredje land utgör måste också vara tillåten enligt artikel 7 i direktivet och, om känsliga personuppgifter skall föras över, kunna tillåtas i enlighet
| 418 Innehållet i den nya persondatalagen | SOU 1997: 39 |
med artikel 8, se avsnitt 12.5 om under vilka förutsättningar behandling av personuppgifter över huvud taget är tillåten.
I EG-direktivet finns utöver de undantag som nu nämnts ytterligare ett
– något kryptiskt utformat – undantag från förbudet mot överföring när ”överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen”. Avsikten verkar vara att medlemsstaterna skall kunna i sin lagstiftning ta in ytterligare undantag från förbudet mot överföring när det är nödvändigt med hänsyn till viktiga allmänna intressen. Möjligheten att med stöd av denna bestämmelse medge ytterligare undantag berörs i nästa avsnitt.
När det gäller överföring av personuppgifter till tredje land måste vidare beaktas Sveriges skyldigheter enligt Europarådets konvention. Av artikel 12 i den konventionen följer att Sverige inte av integritetsskyddsskäl får hindra att personuppgifter förs över till en konventionsstat för att användas där. Av punkt 11 i ingressen till EG-direktivet framgår vidare att direktivet innehåller preciseringar och förstärkningar av de principer som Europarådskonventionen innehåller. Det är inte antagligt att medlemsstaterna inom EG, varav de allra flesta har anslutit sig till konventionen, genom direktivet skulle ha tillskapat en ordning som vore oförenlig med åtagandena enligt konventionen. De stater som anslutit sig till Europarådets konvention får anses ha en sådan adekvat skyddsnivå som krävs enligt EG- direktivet. I enlighet med det sagda och Sveriges förpliktelser enligt konventionen föreslår vi att det i persondatalagen tas in en uttrycklig bestämmelse om att det är tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention.
12.11.4Behörighet att medge ytterligare undantag
När det gäller frågan om vilka möjligheter som bör finnas att göra andra undantag än de som nämns i den föreslagna lagtexten gör vi följande överväganden.
Eftersom EG-direktivet kräver att överföring av personuppgifter tillåts till stater som i viss ordning konstaterats ha en adekvat skyddsnivå, bör för det första regeringen ges behörighet att föreskriva generella undantag från förbudet för överföring till vissa stater. EG-direktivet får vidare anses kräva att överföring skall tillåtas om överföringen regleras av ett avtal som innehåller vissa standardavtalsklausuler till skydd för de registrerades rättigheter; vilka klausuler det gäller skall bestämmas i särskild i direktivet angiven ordning. Regeringen bör därför ges behörighet att föreskriva gene-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 419 |
rella undantag från förbudet också när överföringen regleras av ett avtal som innehåller vissa bestämmelser.
Behörigheten att undanta vissa stater från förbudet berör Sveriges förhållande till främmande makt. Därför bör behörigheten inte kunna delegeras av regeringen till Datainspektionen. Också behörigheten att föreskriva generella undantag beträffande vissa avtalsklausuler har – med hänsyn bl.a. till den särskilda beslutsprocedur som gäller enligt EG-direktivet – sådan betydelse för Sveriges utrikespolitiska förhållanden att den inte bör kunna delegeras till Datainspektionen. Av vad som anförs i avsnitt 8.2.3 framgår att Datainspektionen skall höras när författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.
Regeringen eller, om regeringen bestämmer det, Datainspektionen bör vidare ges behörighet att medge undantag från förbudet när det behövs med hänsyn till sådana viktiga allmänna intressen som avses i direktivet. Som exempel på fall där det kan vara befogat med ett generellt undantag enligt denna bestämmelse kan nämnas adressering av meddelanden – vilka inte avser direkt marknadsföring – till personer i tredje land. Det får nämligen anses vara ett viktigt allmänt intresse att kontakterna via t.ex. e-post med utlänningar eller svenskar i utlandet inte försvåras mer än vad som är nödvändigt.
Regeringen eller, om regeringen bestämmer det, Datainspektionen bör
– slutligen – ges behörighet att medge undantag från förbudet mot överföring av personuppgifter till tredje land under förutsättning att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Medlemsstaterna får nämligen enligt artikel 26.2 i EG-direktivet tillåta överföring av personuppgifter till tredje land om den persondataansvarige ”ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter”. Sådana garantier kan framgå av lämpliga avtalsklausuler. Den medlemsstat som beslutar att tillåta en överföring med stöd av denna bestämmelse skall informera kommissionen och de övriga medlemsstaterna om beslutet (artikel 26.3 1 st.). Som exempel på fall där det kan vara befogat med undantag under vissa förutsättningar kan nämnas överföring av personuppgifter mellan enheter inom en och samma internationella koncern.
| 420 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Sammanfattningsvis kan alltså sägas att det bör vara möjligt att medge undantag från förbudet mot överföring av personuppgifter till tredje land när överföringen
a)sker till vissa stater,
b)regleras av ett avtal som innehåller vissa klausuler,
c)behövs med hänsyn till ett viktigt allmänt intresse eller
d)sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter.
I fallen a och b avses bara generella föreskrifter som meddelas av regeringen i en förordning; regeringen skall med beaktande av de åtaganden för Sverige som följer av bl.a. EG-direktivet ange vilka stater respektive avtalsklausuler som avses.
I fallen c och d kan undantagen vara antingen generella eller avse ett enskilt fall. Har regeringen i dessa fall delegerat sin behörighet att medge undantag till Datainspektionen, skall enligt vårt förslag inspektionens beslut att vägra medge undantag i ett enskilt fall kunna överklagas till länsrätten (se avsnitt 12.14.2); det får därvid förutsättas att regeringen låter den rättsliga domstolsprövningen ha sin gång och inte utnyttjar sin formella behörighet att i det fallet medge undantag.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 421 |
12.12Anmälningsbyråkrati eller tillsyn
Vi anser att skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen bör begränsas till ett minimum. På grund av EG-direkti- vet måste det dock i lagstiftningen införas en principiell skyldighet att anmäla alla automatiska behandlingar till inspektionen. De undantag från den skyldigheten som EG-direktivet medger bör emellertid utnyttjas så långt det är möjligt, genom generella undantag för vissa sektorer och genom att det införs en möjlighet att tillsätta särskilda persondataombud för att slippa anmäla varje behandling. Datainspektionen bör föra ett register över anmälda behandlingar, och allmänheten bör ha rätt att på begäran få upplysningar om andra behandlingar direkt från den persondataansvarige. Regeringen bör få bestämma att särskilt integritetskänsliga behandlingar skall anmälas till Datainspektionen för förhandskontroll tre veckor i förväg.
12.12.1Våra utgångspunkter
Datalagen bygger på att all automatisk databehandling av personregister skall anmälas på förhand till Datainspektionen för licens. I många fall krävs det dessutom att personregistreringen förhandskontrolleras av inspektionen och att ett tillstånd ges. Datainspektionens medgivande krävs vidare i vissa fall när uppgifter från ett personregister skall lämnas ut för automatisk databehandling i utlandet, t.ex. genom att göras tillgängliga på ett internationellt datanätverk såsom Internet.
Datalagsutredningen förordade en övergång från ett system med licens och tillstånd till ett renodlat tillsynssystem; behandling av känsliga personuppgifter skulle dock enligt utredningens förslag anmälas på förhand till Datainspektionen.325 Förslaget att gå ifrån systemet med licens och tillstånd mottogs positivt av remissinstanserna, medan förslaget om att införa en anmälningsplikt för behandling av känsliga personuppgifter föranledde kritik från de flesta remissinstanser som yttrade sig i saken.326
Vi anser för egen del att det är hög tid att skära bort den onödiga byråkrati som omgärdar behandling av personuppgifter. Byråkratin innebär kostnader och besvär som inte på långa vägar uppvägs av eventuella förde-
325Se avsnitt 13 och 14 i SOU 1993:10.
326Se avsnitt 2.2.4.
| 422 Innehållet i den nya persondatalagen | SOU 1997: 39 |
lar för integritetsskyddet. Integritetsskyddet stärks inte i sig av att Datainspektionen hanterar anmälningar, licenser och tillstånd. Det som har betydelse för integritetsskyddet är att de persondataansvariga följer de materiella reglerna för uppgiftsbehandlingar, inte att de sänder in en massa papper till Datainspektionen. Inspektionens verksamhet bör i stället koncentreras till att ge råd och sprida kunskap om de materiella reglerna och att utöva tillsyn över att reglerna följs. Det är som regel bäst för integritetsskyddet att Datainspektionen koncentrerar sig på att titta på den verklighet som har betydelse för medborgarna i stället för på de papper som lämnas in av (laglydiga) persondataansvariga.
Ett system som innebär att behandlingar anmäls till Datainspektionen kan visserligen vara berättigat på den grunden att inspektionen därigenom kan få kännedom om den uppgiftsbehandling som sker på olika håll och anpassa sin tillsyn. Datalagsutredningen uppskattade emellertid att bara omkring tio procent av alla licenspliktiga personregister verkligen anmäldes till inspektionen,327 och det finns inte anledning att tro att situationen skulle ha förbättrats sedan dess. Datainspektionen får alltså genom licenssystemet kännedom om bara en bråkdel av den personregistrering som förekommer. Man kan vidare på goda grunder anta att det är de som följer de formella reglerna och gör en anmälan som också bäst följer de materiella reglerna om uppgiftsbehandlingen.
Vår slutsats är att det inte är befogat att föreskriva en anmälningsplikt bara för att Datainspektionen skall få underlag för den viktiga tillsynsverksamheten. En expertmyndighet som dagligen sysslar med konkreta dataskyddsfrågor borde kunna skaffa sig den nödvändiga överblicken på annat sätt än genom att hantera en stor mängd anmälningsblanketter. Datainspektionen anser för övrigt själv att inkomna anmälningar och registreringen av dem inte utgör någon särskilt viktig källa till kunskap om den uppgiftsbehandling som inspektionen borde granska närmare.
De anmälningar som lämnas in till Datainspektionen kan inte heller anses ge de registrerade tillgång till någon särskilt värdefull – eller heltäckande – kunskap om var deras personuppgifter behandlas. I vårt förslag finns dessutom regler om att den registrerade själv automatiskt skall få information om behandlingen direkt från den persondataansvarige, se avsnitt 12.7.2.
327 Se SOU 1993:10 s. 259.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 423 |
Vi känner inte till någon i Sverige som förordar att systemet med omfattande anmälningsplikt och omfattande tillståndsplikt behålls. Datainspektionen själv anser att man bör gå ifrån det systemet och i stället koncentrera verksamheten till tillsyn.
Vår slutsats är att det från svenska utgångspunkter är önskvärt att antalet anmälningar och förhandskontroller av behandlingar av personuppgifter begränsas till ett minimum och att Datainspektionens resurser i stället används för att ge råd, sprida kunskap och utöva tillsyn; inspektionens uppgifter i dessa hänseenden berörs närmare i avsnitt 12.14.1. Av vad som anförs i avsnitt 11.6.3.4 framgår att vi dock föreslår att det genom förordning införs en obligatorisk skyldighet att för förhandskontroll anmäla sådana – automatiska eller icke automatiska – behandlingar av känsliga personuppgifter för forsknings- eller statistikändamål som utförs utan samtycke av de registrerade och utan att projektet har godkänts av en forskningsetisk kommitté.
Vi övergår nu till att beröra hur det som således är önskvärt från svenska utgångspunkter skall kunna förenas med de skyldigheter som Sverige har enligt EG-direktivet.
12.12.2Genomförandet av EG-direktivet
12.12.2.1EG-direktivet i korthet
Enligt EG-direktivet skall medlemsstaterna föreskriva att den persondataansvarige i förväg skall till tillsynsmyndigheten anmäla alla automatiska behandlingar som skall genomföras. Däremot får medlemsstaterna själva välja om och i vilken utsträckning den persondataansvarige skall anmäla icke automatiska behandlingar. Tillsynsmyndigheten skall föra ett allmänt register över alla behandlingar som har anmälts. Det är under vissa förutsättningar tillåtet för medlemsstaterna att föreskriva undantag från anmälningsskyldigheten. När en behandling inte omfattas av anmälningsskyldighet, skall den persondataansvarige själv, eller något annat organ, lämna information om de behandlingar som genomförs till den som begär sådan information. Medlemsstaterna skall vidare säkerställa att särskilt riskfyllda behandlingar kontrolleras på förhand; vilka behandlingar som är särskilt riskfyllda får medlemsstaterna dock själva bestämma.
De ganska detaljerade bestämmelserna i EG-direktivet rörande anmälan har närmare berörts i avsnitt 3.13.
| 424 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.12.2.2En principiell anmälningsskyldighet måste införas
EG-direktivet kräver således att det i Sverige införs en principiell skyldighet att anmäla all automatisk behandling av personuppgifter till Datainspektionen. Vi har därför – motvilligt – i vårt förslag till persondatalag tagit med en sådan skyldighet. Däremot anser vi, i enlighet med våra redovisade utgångspunkter, att möjligheten enligt EG-direktivet att föreskriva anmälningsskyldighet även för icke automatisk behandling inte bör utnyttjas. Ett undantag utgörs dock som nämnts av sådana icke automatiska behandlingar av känsliga personuppgifter för forsknings- eller statistikändamål som utförs utan samtycke av de registrerade och utan att projektet har godkänts av en forskningsetisk kommitté.
När nu en principiell anmälningsskyldighet måste införas, är det enligt vår mening viktigt att de möjligheter till undantag från anmälningsskyldigheten som EG-direktivet medger utnyttjas fullt ut. Hur detta lämpligen bör ske redogör vi för i det följande.
Anmälningsskyldigheten gäller för sådan behandling som är helt eller delvis automatisk. Begreppet automatisk behandling har berörts i avsnitt 12.2.12. Anmälan skall göras innan behandlingen genomförs. Det går bra att på en gång anmäla en hel serie behandlingar som har samma eller liknande ändamål, t.ex. alla behandlingar som behövs för att försäkringsavtal skall kunna ingås och hanteras.
Anmälan skall göras till Datainspektionen och skall, enligt vårt förslag, vara skriftlig.
Enligt EG-direktivet skall anmälan innehålla åtminstone vissa i direktivet angivna uppgifter; i övrigt är det medlemsstaternas skyldighet att precisera vilka uppgifter en anmälan skall innehålla och vilka villkor som skall gälla när ändringar i uppgifterna skall anmälas, se om reglerna i EG- direktivet avsnitt 3.13.2. Enligt vårt förslag överlåts det åt regeringen och Datainspektionen att meddela sådana enligt EG-direktivet nödvändiga detaljföreskrifter.
SOU 1997: 39
Innehållet i den nya persondatalagen 425
12.12.2.3Undantag från anmälningsskyldigheten
Såsom närmare framgår av avsnitt 3.13.3 finns det möjlighet för medlemsstaterna att föreskriva undantag från anmälningsskyldigheten
a)när det inte är sannolikt att den registrerades rättigheter kränks,
b)när ett uppgiftsskyddsombud har utsetts,
c)beträffande författningsreglerade register för allmänheten (se avsnitt 3.13.3.4) och
d)för sådan behandling av känsliga personuppgifter om medlemmar m.fl. som vissa typer av ideella organisationer utför.
Vi anser, som nämnts, att dessa möjligheter till undantag bör utnyttjas fullt ut.
För att undantag skall få göras med stöd av punkt a ovan krävs enligt EG- direktivet att det anges en rad uppgifter rörande den undantagna typen av behandling. Sålunda måste beträffande behandlingstypen anges
N behandlingens ändamål,
N vilka uppgifter eller kategorier av uppgifter som behandlas, N vilka registrerade eller kategorier av registrerade som avses,
N till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut och
N hur länge uppgifterna skall bevaras.
| 426 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Det är således en ganska stor mängd detaljuppgifter som måste anges när undantag görs genom författning enligt punkt a. Att införa alla dessa nödvändiga uppgifter i lagen – eller i en bilaga till den – är som vi ser det olämpligt. Vi har därför – och då vi med hänsyn till den korta utredningstiden haft svårt att överblicka alla undantag som kan få göras – valt att i den föreslagna lagen i stället ta in ett allmänt bemyndigande för regeringen och Datainspektionen att föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Avsikten är att detta bemyndigande skall kunna användas också för att i förekommande fall föreskriva sådana tillåtna undantag som avses i punkt c och d ovan. De behandlingar som i dag omfattas av Datainspektionens generella föreskrifter eller föreskrifter om ett förenklat ansökningsförfarande torde exempelvis kunna undantas, liksom behandlingar som genomförs inom ramen för ett projekt som godkänts av en forskningsetisk kommitté. Ytterligare exempel kan vara
N framställning av korrespondens,
N framställning av promemorior och annan löpande text,
N inspelning av ljud eller bild avseende personer som känner till att inspelningen sker och hur den skall spridas, t.ex. sångare och skådespelare,
N vissa avlönings- och personalregister,
N register över kunder, elever, motparter, hyresgäster och leverantörer som den persondataansvarige har en naturlig anknytning till,
N medlemsregister,
N behandling av personuppgifter inom hälso- och sjukvård av enbart personal som har tystnadsplikt och
N lagring av personuppgifter hos arkivmyndigheter.
När det föreskrivs undantag för en viss typ av behandling, kan det givetvis anges under vilka förutsättningar behandlingstypen är undantagen, dvs. vad den persondataansvarige måste uppfylla för att slippa anmäla.
Vi anser vidare att även möjligheten att föreskriva undantag med stöd av punkt b bör utnyttjas. Vi har visserligen i Sverige inte någon tradition med uppgiftsskyddsombud av det slag som finns i t.ex. Tyskland. Det finns dock i 8 § fjärde stycket datalagen redan regler om att den registeransvarige skall utse en eller flera personer med uppgift att hjälpa de registrerade. Enligt vår mening bör man kunna bygga vidare på dessa regler och införa en möjlighet för persondataansvariga att undvika anmälningsskyldighet genom att utse en person som skall arbeta med persondataskydds-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 427 |
frågorna. Det vore för övrigt, med de utgångspunkter vi har, dumt att låta undantagsmöjligheten beträffande uppgiftsskyddsombud gå oss ur händerna bara därför att vi inte har någon starkare tradition på området. Emellertid bör – bl.a. för att undvika sammanblandning med de skyddsombud som arbetar med arbetsmiljön – i Sverige uppgiftsskyddsombudet lämpligen benämnas persondataombud.
Det förhållandet att vi inte har någon tradition på området bör däremot beaktas såtillvida att det inte införs någon skyldighet för persondataansvariga att utse persondataombud. Ett effektivt integritetsskydd torde i och för sig förutsätta att det hos de organ som behandlar personuppgifter finns en medvetenhet om och ett intresse för persondataskyddsfrågor som får genomslag i det dagliga arbetet, och i detta hänseende kan ett särskilt persondataombud säkert göra mycket nytta i många fall. Men det bör som vi ser det liksom hittills vara upp till den persondataansvarige hur han eller hon vill organisera sitt arbete med persondataskyddsfrågorna.
12.12.2.4Särskilt om persondataombud
Vi har således i vårt förslag till persondatalag tagit in en bestämmelse om att anmälan till Datainspektionen inte behöver göras när den persondataansvarige har offentliggjort en uppgift om att ett persondataombud har utsetts och vem det är.
Kravet på offentliggörande innebär att den persondataansvarige måste ha vidtagit någon åtgärd för att uppgifterna skall komma till allmänhetens kännedom. Uppgifterna kan t.ex. anges på den information som lämnas till de registrerade eller anslås i lokaler som allmänheten har tillträde till.
Det är bara behandlingar som påbörjas efter det att uppgifterna om persondataombudet har offentliggjorts som är undantagna från anmälningsskyldigheten; för behandlingar som påbörjats innan persondatalagen trätt i kraft räcker dock att uppgifterna offentliggjorts före ikraftträdandet, se om föreslagna övergångsbestämmelser till persondatalagen avsnitt 12.15.
Persondataombudet skall vara en fysisk person.
Enligt EG-direktivet krävs det att det utsedda persondataombudet har vissa befogenheter och skyldigheter, se närmare avsnitt 3.13.3.3. Reglerna om detta har förts över till den föreslagna persondatalagen. För att stärka persondataombudets ställning och de positiva effekter för persondataskyddet som tillsättandet av ett sådant ombud kan ha föreslår vi emellertid att det införs regler om ombudets befogenheter och skyldigheter som går längre än vad direktivet kräver.
| 428 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Persondataombudet skall enligt vårt förslag för det första ha till uppgift att självständigt se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt.
Enligt EG-direktivet skall persondataombudet ”på ett oberoende sätt” kunna kontrollera den persondataansvarige. Det är detta som vi avser med det självständighetskrav som vi föreslår skall uppställas. Den persondataansvarige får alltså inte utse ett ombud som har en alltför underordnad ställning. Ombudet kan vara en anställd hos den persondataansvarige, men måste då ges en sådan ställning att befogenheterna som persondataombud kan utövas på ett självständigt sätt i förhållande till arbetsgivaren. Ett anlitat persondatabiträde – eller någon anställd hos biträdet – kan utses till persondataombud under förutsättning att den utsedde ges förutsättningar att utöva sitt uppdrag självständigt. Däremot kan en persondataansvarig givetvis inte utse sig själv till persondataombud.
I självständighetskravet ligger också att persondataombudet skall ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter. Något krav på genomgång av viss utbildning i persondataskyddsfrågor har dock inte uppställts.
Persondataombudet skall se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt, vilket innebär att ombudet måste förvissa sig om att den persondataansvarige följer bestämmelserna i den föreslagna persondatalagen och anknytande lagstiftning. Hur pass omfattande kontrollen bör vara får avgöras efter omständigheterna i det enskilda fallet. Ombudet bör i vart fall granska rutinerna för informationsbehandling och de krav på kvalifikationer, lämplighet och kunskap som den persondataansvarige ställer på den personal som tillåts behandla personuppgifter. Kontrollen skall avse all behandling av personuppgifter som faller under den föreslagna lagen.
Om persondataombudet upptäcker brister i uppgiftsbehandlingen, bör ombudet i första hand påpeka detta för den persondataansvarige. Om den persondataansvarige inte därefter vidtar rättelse så snart det kan ske, bör persondataombudet ha skyldighet att anmäla bristerna till Datainspektionen. Hur snart rättelse kan ske efter ett påpekande får bero av omständigheterna i det särskilda fallet. Att det kan ta någon tid att rätta till upptäckta brister bör i allmänhet accepteras, särskilt om det upprättas en konkret plan för hur bristerna skall kunna åtgärdas inom rimlig tid. Men dröjer det alltför länge innan något görs, bör ombudet göra en anmälan till Datainspektionen.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 429 |
De regler om behandling av personuppgifter som måste införas till följd av EG-direktivet är tämligen komplicerade. Vi har bl.a. därför funnit anledning att i den föreslagna lagen ta in en uttrycklig bestämmelse om att persondataombudet skall samråda med Datainspektionen vid tveksamhet om tillämpningen av de bestämmelser som gäller för uppgiftsbehandlingen.
I enlighet med vad som gäller enligt datalagen i dag bör persondataombudet vidare ha till uppgift att hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga, missvisande eller ofullständiga.
Persondataombudet bör också – i enlighet med vad som krävs enligt EG-direktivet – ha till uppgift att föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Denna förteckning skall omfatta alla de uppgifter som en anmälan skulle ha innehållit. Förteckningen kan föras manuellt eller med hjälp av dator. Persondataombud inom det allmänna har beträffande förteckningen att följa de bestämmelser som gäller om allmänna uppgifter. Ombud på den privata sidan bör spara anteckningar i förteckningen om behandlingar så länge som de behandlade personuppgifterna inte har förstörts eller avidentifierats.
När uppgifter om tillsättandet av ett persondataombud offentliggjorts, behöver den persondataansvarige som nämnts inte anmäla de behandlingar som genomförs till Datainspektionen. Några andra lättnader i fråga om den persondataansvariges skyldigheter enligt den föreslagna persondatalagen innebär dock inte tillsättandet av ett persondataombud.
Skulle den persondataansvarige utse ett persondataombud som inte är tillräckligt självständigt eller som inte på ett tillfredsställande sätt utför de uppgifter som ankommer på ombudet, kan Datainspektionen ingripa genom att kräva – ytterst genom att vite föreläggs – att de behandlingar som genomförs anmäls. Om en behandling inte genomförs i enlighet med de föreskrifter som gäller, kan inspektionen givetvis ingripa mot det missförhållandet oavsett om behandlingen har anmälts eller inte och oavsett om det finns eller inte finns ett persondataombud. Frågan om Datainspektionens befogenheter berörs närmare i avsnitt 12.14.1.
Den persondataansvarige är givetvis ansvarig i fråga om de behandlingar han eller hon utför även när ett persondataombud utsetts och behandlingarna granskats av denne. Det är t.ex. den persondataansvarige och inte persondataombudet som kan komma att åläggas skadeståndsskyldighet gentemot registrerade. I vad mån den persondataansvarige kan få er-
| 430 Innehållet i den nya persondatalagen | SOU 1997: 39 |
sättning för t.ex. utbetalade skadestånd av ett försumligt persondataombud följer av det avtal som kan finnas med ombudet och allmänna regler.
12.12.2.5Förhandskontroll av särskilt integritetskänsliga behandlingar
Enligt EG-direktivet skall medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Det är tillsynsmyndigheten som skall utföra förhandskontrollen sedan en anmälan kommit in. Det är dock i enlighet med vad som närmare framgår av direktivet tillåtet för medlemsstaterna att i stället utföra förhandskontrollen som ett led i lagstiftningsprocessen.
I Sverige kan en sådan förhandskontroll som avses i EG-direktivet sägas ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen. Detta får anses gälla även i de fall då en registerförfattning införs beträffande ett befintligt register. Någon särskild författningsreglering behövs inte i fråga om den förhandskontroll som sker i samband med att särskilda registerförfattningar beslutas. Av vad som anförs i avsnitt 8.2.3 framgår att Datainspektionen skall höras i samband med att sådana författningar beslutas.
Däremot kräver EG-direktivet att det införs bestämmelser om vilka behandlingar som annars skall kontrolleras på förhand; det skulle som vi ser det vara oförenligt med EG-direktivet att införa en bestämmelse om att inga behandlingar måste kontrolleras på förhand.
Uppgiften att bestämma vilka behandlingar som skall kontrolleras på förhand kan enligt vår mening lämpligen anförtros åt regeringen. Vi har därför i vårt förslag till persondatalag tagit in ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall för förhandskontroll anmälas till Datainspektionen tre veckor i förväg. Har regeringen bestämt att en viss behandling skall kontrolleras på förhand, måste sådana behandlingar givetvis anmälas även om den persondataansvarige annars skulle vara undantagen från anmälningsskyldigheten därför att det finns ett persondataombud.
Som exempel på behandling som kan behöva kontrolleras på förhand kan nämnas behandling av uppgifter om genetiska anlag. Av vad som anförs i avsnitt 11.6.3.4 framgår vidare att vi föreslår att det genom förordning införs en obligatorisk skyldighet att för förhandskontroll anmäla så-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 431 |
dana – automatiska eller icke automatiska – behandlingar av känsliga personuppgifter för forsknings- eller statistikändamål som utförs utan samtycke av de registrerade och utan att projektet har godkänts av en forskningsetisk kommitté.
Om Datainspektionen vid sin förhandskontroll kommer fram till att personuppgifter kan komma att behandlas på ett olagligt sätt, kan inspektionen ingripa, ytterst genom att vid vite förbjuda den persondataansvarige att påbörja behandlingen (se närmare om Datainspektionens befogenheter avsnitt 12.14.1.2).
12.12.2.6Upplysningar skall på begäran lämnas om behandlingar som inte anmälts
Enligt EG-direktivet skall den persondataansvarige till var och en som begär det på lämpligt sätt lämna viss information om sådana behandlingar som inte omfattas av anmälningsplikt.
Denna bestämmelse har förts över till förslaget till persondatalag. Där finns således en bestämmelse om att den persondataansvarige skall till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar som inte har anmälts till Datainspektionen. Upplysningarna skall – i enlighet med vad som krävs enligt EG-direktivet – omfatta det som en anmälan till Datainspektionen skulle ha omfattat, dock att upplysningar aldrig behöver lämnas om vidtagna säkerhetsåtgärder.
Det krävs inte att upplysningarna lämnas skriftligen. De kan således lämnas muntligen, om det är lämpligt.
I den utsträckning den persondataansvarige har anmält sina behandlingar till Datainspektionen behöver han eller hon inte lämna allmänheten upplysningar enligt denna bestämmelse. Den persondataansvarige kan då i stället hänvisa den som frågar till Datainspektionen.
12.12.2.7Datainspektionens register över anmälda behandlingar
Enligt EG-direktivet skall medlemsstaterna föreskriva att tillsynsmyndigheten är skyldig att föra ett allmänt register med vissa uppgifter över de behandlingar som har anmälts.
Enligt vår mening kan Datainspektionens förande av ett register över anmälda behandlingar lämpligen, liksom i dag, regleras i en av regeringen utfärdad förordning. Vi har därför inte tagit med några bestämmelser om det registret i vårt förslag till persondatalag.
| 432 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.13Sanktioner
Den registrerade bör ha rätt till ersättning av den persondataansvarige för den skada som en behandling av personuppgifter i strid med den föreslagna persondatalagen eller anknytande författningar för med sig. Också ideellt skadestånd bör betalas för den kränkning av den personliga integriteten som behandlingen har inneburit. Det bör finnas möjlighet att jämka ersättningsskyldigheten när den felaktiga behandlingen bevisligen inte berodde på den persondataansvarige. Den som lämnar osanna uppgifter i information eller anmälan enligt den föreslagna persondatalagen bör straffas med böter eller fängelse i högst sex månader eller, om brottet är grovt, fängelse i högst två år.
12.13.1Inledning
12.13.1.1EG-direktivet
I artikel 22–24 i EG-direktivet finns bestämmelser om sanktioner för brott mot de nationella bestämmelser som inför direktivet. Bestämmelserna har berörts i avsnitt 3.15.
Var och en skall för det första ha rätt att föra talan inför domstol om kränkningar av sina rättigheter. Den som har lidit skada till följd av en otillåten behandling eller någon annan åtgärd som är oförenlig med bestämmelserna om behandlingen skall vidare ha rätt till ersättning av den persondataansvarige för den lidna skadan. Den persondataansvarige kan dock helt eller delvis befrias från sin ersättningsskyldighet, om han eller hon bevisar att han eller hon inte var ansvarig för den händelse som orsakade skadan.
Det finns dessutom en skyldighet för medlemsstaterna att anta lämpliga bestämmelser för att säkerställa att direktivet genomförs fullständigt. Medlemsstaterna skall därvid särskilt besluta om de sanktioner som skall användas vid överträdelse av bestämmelserna om behandling.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 433 |
12.13.1.2Datalagen
I datalagen finns i dag bestämmelser om straff – som regel böter eller fängelse i högst ett år – för den som uppsåtligen eller av oaktsamhet bryter mot en rad bestämmelser i lagen (20 §). Det är således kriminaliserat att
N inrätta eller föra ett personregister utan licens eller tillstånd när detta krävs,
N bryta mot Datainspektionens föreskrifter om
—ändamålet med ett tillståndspliktigt personregister
—inhämtande av uppgifter för personregistret
—vilka personuppgifter som får ingå i personregistret
—utförandet av den automatiska databehandlingen
—den tekniska utrustningen
—de bearbetningar av personuppgifterna i personregistret som får göras med automatisk databehandling
—underrättelse till berörda personer
—de personuppgifter som får göras tillgängliga
—utlämnande och annan användning av personuppgifter
—bevarande och gallring av personuppgifter
—kontroll och säkerhet
—rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter,
N bryta mot ett av Datainspektionen meddelat förbud mot fortsatt förande av personuppgifter (dock inte om inspektionen förenat förbudet med vite),
N lämna ut personuppgift, trots att det funnits anledning att anta att uppgiften skulle användas för automatisk databehandling i strid med datalagen, N lämna ut personuppgift utan Datainspektionens medgivande, trots att det funnits anledning att anta att uppgiften skulle användas för automatisk databehandling i utlandet (dock inte om uppgiften skall användas för automatisk databehandling enbart i en stat som anslutit sig till Europarå-
dets konvention),
N inte anmäla till Datainspektionen att förandet av ett personregister har upphört,
N i ett personregister ha kvar personuppgift, som kan hänföras till den som avses med uppgiften, trots att uppgiften inte längre behövs med hänsyn till ändamålet med registret eller trots att den registeransvarige upphört att föra personregistret (dock inte om uppgiften enligt lag eller annan författning eller enligt myndighets beslut, som har meddelats med stöd av lag, skall bevaras),
N lämna osann uppgift till en registrerad om att han eller hon inte förekommer i ett personregister,
| 434 Innehållet i den nya persondatalagen | SOU 1997: 39 |
N lämna osann uppgift (i ett registerutdrag) till en registrerad om innehållet i personuppgift som ingår i personregister och som innefattar upplysning om honom eller henne,
N lämna osann uppgift i fråga om en myndighets rätt att sälja uppgifter ur ett personregister,
N lämna osann uppgift när Datainspektionen för sin tillsyn begär uppgifter rörande automatisk databehandling,
N inte föra en s.k. registerförteckning med vissa uppgifter,
N inte hålla registerförteckningen tillgänglig för Datainspektionen och
N inte ge in registerförteckningen till Datainspektionen när inspektionen begär det.
Den registeransvarige är också ansvarig för skada som tillfogas någon genom ett sådant brott och för sådan skada som tillfogas en registrerad genom att ett personregister innehåller en oriktig eller missvisande uppgift. Skadeståndsansvaret är rent strikt. Det krävs alltså inte – såvitt avser oriktiga eller missvisande uppgifter i personregister – att den registeransvarige ville skada någon (hade uppsåt) eller att han eller hon varit slarvig (visat oaktsamhet), utan ansvaret uppkommer bara därför att den registrerade skadats genom att registret innehållit en felaktig uppgift. Den registeransvarige är ersättningsskyldig inte bara för ekonomisk skada utan också för ideell skada, dvs. hänsyn skall tas även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. (23 §.)
12.13.1.3Datalagsutredningens förslag
Datalagsutredningen föreslog att de bestämmelser som i dag finns i datalagen skulle föras över i princip oförändrade till den nya datalag som utredningen föreslog.328
12.13.1.4Skrivelse från Landstingsförbundet
Regeringen har till oss överlämnat en skrivelse från Landstingsförbundet om översyn av 23 § datalagen.329 Bakgrunden till förbundets skrivelse är det rättsfall som finns refererat i NJA 1994 A 3. I det rättsfallet fick en person ideellt skadestånd med 10 000 kr för det att ett landsting hade i ett per-
328Se avsnitt 19.2 i SOU 1993:10.
329Regeringsbeslut 1996-03-07, dnr Ju 95/4244.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 435 |
sonregister tagit in oriktiga uppgifter om att han var intagen på sjukhus; den person som egentligen var intagen hade utnyttjat hans personuppgifter.
12.13.2Vår bedömning
12.13.2.1Omfattningen av skadeståndsskyldigheten
Den föreslagna lagen syftar till att skydda människor mot otillbörligt intrång i den personliga integriteten vid behandling av personuppgifter. Rätten till personlig integritet är en immateriell rättighet. När den rättigheten kränks, behöver det inte uppkomma någon ekonomisk skada. Därför bör den enskilde, som drabbas av en olaglig behandling, liksom hittills ha rätt till ekonomisk kompensation för själva kränkningen förutom rätt till ersättning för personskada, sakskada och ren förmögenhetsskada.330 Det kan inte anses oförenligt med EG-direktivet att införa en skyldighet att betala även skadestånd för kränkningen.
Datalagen innebär att ersättning skall utgå för oriktiga eller missvisande uppgifter samt för vissa brott enligt datalagen. EG-direktivet kräver att det i Sverige föreskrivs att alla åtgärder som är oförenliga med de svenska bestämmelser som inför direktivet kan leda till skadeståndsskyldighet. Er- sättningsskyldigheten är alltså mer vidsträckt enligt direktivet. Å andra sidan är datalagens skadeståndsansvar strikt medan EG-direktivet ger den persondataansvarige en möjlighet att helt eller delvis undgå skadeståndsansvar om han eller hon bevisar att han eller hon inte är ansvarig för den händelse som orsakade skadan.
I överensstämmelse med EG-direktivet föreslår vi att den persondataansvarige skall ersätta den registrerade för skada som en behandling av personuppgifter i strid med lagen – eller föreskrifter som meddelats med stöd av lagen – har fört med sig. Som nyss nämnts skall ersättning också betalas för den kränkning av den personliga integriteten som behandlingen har inneburit, något som stämmer överens med datalagens skadeståndsbestämmelser. Genom de föreslagna skadeståndsbestämmelserna får enskilda på det sätt EG-direktivet förutsätter möjlighet att vid (allmän) domstol föra talan om kränkningar av alla de rättigheter som direktivet och den svenska lagstiftning som inför direktivet ger enskilda. Å andra sidan och eftersom detta innebär en viss utvidgning av rätten till skadestånd enligt datalagen,
330 Jämför prop. 1986/87:116 s. 22.
| 436 Innehållet i den nya persondatalagen | SOU 1997: 39 |
anser vi att de möjligheter som EG-direktivet ger till jämkning av skadeståndet bör utnyttjas. Eftersom dessa möjligheter inte har något att göra med jämkningsreglerna i skadeståndslagen, krävs särskilda bestämmelser härom i persondatalagen.
Skadeståndsansvaret bör omfatta persondataansvariga inom såväl den privata som offentliga sektorn.
Skadeståndet för kränkningen bör uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Därvid bör beaktas bl.a. sådana faktorer som om det funnits risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder som kunnat innebära något negativt för honom eller henne. Har den registrerade själv lämnat en oriktig, missvisande eller ofullständig uppgift till den persondataansvarige, kan den persondataansvariges behandling av denna uppgift givetvis inte anses innebära någon sådan kränkning av den personliga integriteten som bör föranleda skadestånd för kränkning. Skadeståndet för kränkning bör i princip fastställas för varje kränkt registrerad för sig.
12.13.2.2Jämkning
I dag är skadeståndsansvaret – såvitt avser oriktiga eller missvisande uppgifter i personregister – rent strikt. I enlighet med regeln i artikel 23.2 i EG-direktivet bör det dock enligt vår mening införas en möjlighet att helt eller delvis jämka skadeståndet, om den persondataansvarige kan visa att den felaktiga behandlingen inte berodde på honom eller henne. Jämkning bör emellertid ske bara i den utsträckning det är skäligt.
Skadeståndsansvaret bör således även med den föreslagna persondatalagen i princip vara rent strikt, men det bör – för att undvika oskäliga resultat – införas en möjlighet till jämkning i de fall den persondataansvarige kan visa att felet inte beror på honom eller henne. Därmed kan en nyanserad bedömning göras i sådana fall där den persondataansvarige bevisligen har gjort så gott han eller hon kunnat, bl.a. i sådana situationer som Landstingsförbundet har pekat på i sin skrivelse.
Eftersom ansvaret fortfarande bör vara i princip rent strikt, behöver den registrerade liksom hittills bara bevisa att det från den persondataansvariges sida har förekommit en felaktig behandling av den registrerades personuppgifter och att denna behandling har skadat honom eller henne. Därefter bör det vara upp till den persondataansvarige att bevisa att den felak-
| SOU 1997: 39 | Innehållet i den nya persondatalagen 437 |
tiga behandlingen inte berodde på honom eller henne. Lyckas den persondataansvarige med detta, får i sista hand en domstol eller skiljenämnd med vårt förslag bedöma huruvida och i vilken utsträckning det kan vara skäligt att skadeståndet sätts ned.
Den persondataansvarige bör gentemot den registrerade i och för sig ansvara för all den behandling som han eller hon har ansvaret för, även när ett persondatabiträde eller annan hjälp anlitas. Ett fel av t.ex. ett anlitat persondatabiträde bör således anses bero på den persondataansvarige. En annan sak är att den persondataansvarige i allmänhet kan få ersättning av ett försumligt persondatabiträde för skadestånd som måste betalas till registrerade; däremot kan den persondataansvarige som regel inte med framgång kräva försumliga arbetstagare på någon ersättning.331
I punkt 55 i ingressen till EG-direktivet anges som exempel på fall där den persondataansvarige kan befrias från ersättningsskyldighet att ett fel har begåtts av den registrerade och att det är fråga om force majeure.
När det är den registrerade som t.ex. har lämnat felaktiga uppgifter vilket lett till en felaktig behandling, kan den felaktiga behandlingen i allmänhet inte anses bero på den persondataansvarige. Om det är den registrerade som, t.ex. genom att lämna oriktiga uppgifter, har föranlett en felaktig behandling, kan det vara skäligt att helt befria den persondataansvarige från ansvar för skada som dennes användning av uppgifterna kan ha förorsakat den registrerade.
En felaktig behandling som beror på felaktigheter i den utrustning som den persondataansvarige ansvarar för får som regel anses bero på den persondataansvarige. Bara i särpräglade fall kan den persondataansvarige anses oskyldig till den felaktiga behandlingen, t.ex. om uppgifter på ett helt oförutsett vis förvanskas till följd av ett blixtnedslag eller avbrott eller felaktigheter i ett publikt datanätverk. I sådana fall av helt oförutsedda händelser kan det vara skäligt att mildra ansvaret.
En felaktig behandling av den persondataansvarige som beror på att han eller hon har hämtat in felaktiga uppgifter från någon annan persondataansvarig kan inte anses bero på den persondataansvarige, om han eller hon inte hade någon anledning att misstänka att uppgifterna var felaktiga. I vilken utsträckning ansvaret för den persondataansvarige skall mildras i sådana fall bör således vara en skälighetsfråga. Har den persondataansvarige t.ex. hämtat in tusentals adressuppgifter från någon vanligtvis tillför-
331 Se 4 kap. 1 § skadeståndslagen (1972:207).
| 438 Innehållet i den nya persondatalagen | SOU 1997: 39 |
litlig källa, exempelvis ett allmänt register såsom statens person- och adressregister, kan det vara skäligt att mildra ansvaret; det kan då inte rimligen krävas att den persondataansvarige skulle ha kontrollerat alla adresser. Om den persondataansvarige däremot har hämtat uppgifter från en källa som framstår som otillförlitlig, kan bedömningen bli en annan. Har en myndighet fått in uppgifter på grund av uppgiftsskyldighet för enskilda som är föreskriven i författning, får myndigheten emellertid som regel anses ha haft anledning att lita på uppgifterna.
En felaktig behandling på grund av att personuppgifterna utan den persondataansvariges instruktioner har kommit ut till utomstående, t.ex. genom ett brottsligt intrång i ett datasystem, kan inte anses bero på den persondataansvarige, om denne i enlighet med bestämmelserna i lagstiftningen har en lämplig säkerhetsnivå och intrånget har kunnat komma till stånd genom att angriparen varit beredd att satsa extremt mycket för att komma åt informationen. Då kan det vara skäligt att mildra ansvaret. Har den persondataansvarige å andra sidan försummat säkerheten, får den felaktiga behandlingen anses bero på honom eller henne.
Vid den skälighetsbedömning som bör göras i de fall där den felaktiga behandlingen bevisligen inte beror på den persondataansvarige bör beaktas också den registrerades behov av skadestånd och den persondataansvariges förmåga att betala skadestånd. Om den registrerade drabbas av en stor ekonomisk skada till följd av att hans eller hennes personuppgifter har behandlats felaktigt, kan det vara skäligt att den som är ansvarig för behandlingen får ersätta åtminstone en viss del av skadan, trots att den felaktiga behandlingen egentligen inte berodde på honom eller henne. Å andra sidan bör en skadebringande felaktig behandling som t.ex. en småföretagare egentligen är oskyldig till som regel inte skäligen föranleda en sådan ersättningsskyldighet att företaget går i konkurs eller får allvarliga ekonomiska svårigheter.
Storleken av skadeståndet för kränkningen bör, som nämnts, redan från början uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. I allmänhet finns därför inte anledning att tillämpa jämkningsregeln på sådan ersättning. I det fallet att en viss felaktig behandling har omfattat uppgifter om många människor, bör man dock vid skälighetsbedömningen såvitt avser skadeståndet för kränkning kunna ta hänsyn till att det samlade skadeståndet för den persondataansvarige inte
| SOU 1997: 39 | Innehållet i den nya persondatalagen 439 |
blir orimligt stort332; på det sättet kan den föreslagna jämkningsregeln få betydelse också för det ideella skadeståndet för kränkning.
12.13.2.3Förhållandet till andra skadeståndsbestämmelser
De föreslagna skadeståndsbestämmelserna i persondatalagen utgör sådana specialbestämmelser som tar över de allmänna skadeståndsregler som finns i skadeståndslagen (1972:207), se 1 kap. 1 § i den lagen. Eftersom huvudregeln enligt skadeståndslagen är att ersättning för ren förmögenhetsskada utgår när sådan vållas genom brott och då vårt förslag (se avsnitt 12.13.2.4) innebär en omfattande avkriminalisering utan att vi avser att härigenom åstadkomma en ändring av skadeståndsansvaret, bör i persondatalagen anges att ersättning utgår även för ren förmögenhetsskada. I den utsträckning en skadeståndsfråga inte berörs i den föreslagna persondatalagen – t.ex. frågan om hur skadeståndet för en personskada eller sakskada skall beräknas (5 kap. skadeståndslagen) eller frågan om ansvaret när det finns flera skadeståndsskyldiga (6 kap. 3 § skadeståndslagen) – bör givetvis de allmänna reglerna i skadeståndslagen tillämpas. Frågan om jämkning av skadeståndet (jämför 6 kap. 1–2 §§ skadeståndslagen), t.ex. på grund av medvållande, får anses reglerad i den föreslagna persondatalagen. I den utsträckning ett förfarande i strid med bestämmelserna enligt den föreslagna persondatalagen ingår som ett led i ett sådant brott som avses i 1 kap. 3 § skadeståndslagen, kan däremot ideellt skadestånd för lidande respektive kränkning utgå enligt såväl den nyss nämnda bestämmelsen som den föreslagna persondatalagen.
Av vad som anförs i avsnitt 8.2.2 framgår i vilken utsträckning bestämmelser i särskilda registerförfattningar (om t.ex. skadestånd) bör ta över reglerna i den föreslagna persondatalagen. Det bör i sammanhanget framhållas att det med den föreslagna persondatalagen torde krävas en uttrycklig hänvisning i de särskilda registerförfattningarna till skadeståndsbestämmelserna i den föreslagna persondatalagen, om det inte anses befogat med särskilda skadeståndsbestämmelser i den författningen. Den föreslagna persondatalagen innehåller nämligen – till skillnad från datalagen – inte någon allmängiltig skadeståndsbestämmelse utan bara en bestämmelse
332 En felaktighet, som drabbat alla personuppgifter i statens person- och adressregister, skulle med ett ideellt skadestånd för kränkning om 1 000 kr per registrerad medföra en sammanlagd skadeståndsskyldighet i detta hänseende om ungefär 8 miljarder kronor.
| 440 Innehållet i den nya persondatalagen | SOU 1997: 39 |
om skadestånd för behandling i strid med lagen eller föreskrifter som har meddelats med stöd av lagen (och inte någon bestämmelse om skadestånd för behandling i strid med bestämmelser i särskilda registerförfattningar som i stället avviker från lagen).
12.13.2.4Övriga sanktioner
EG-direktivet kräver att medlemsstaterna särskilt beslutar om de sanktioner som skall användas vid överträdelse av de nationella bestämmelser som inför direktivet.
Av vad som anförs i avsnitt 12.14.1 framgår att vi föreslår att Datainspektionen skall få effektiva möjligheter att ingripa med bl.a. vitesförelägganden när persondataansvariga inte uppfyller sina skyldigheter. Sådana vitesförelägganden – och utdömandet av förelagda viten – får anses utgöra sådana särskilda sanktioner som avses i EG-direktivet.
Även de bestämmelser om ideellt skadestånd för kränkning och ett principiellt rent strikt ansvar som vi föreslår får anses utgöra sådana sanktioner som avses i EG-direktivet; EG-direktivet torde nämligen inte kräva att skadeståndsansvaret skall vara rent strikt och att även icke ekonomisk skada skall ersättas. Ett skadestånd som utgår vid brott mot reglerna om behandling av personuppgifter trots att ingen har skadats fysiskt eller ekonomiskt och trots att den persondataansvarige inte haft uppsåt att göra fel eller varit försumlig vid behandlingen, har – sett från den persondataansvariges synpunkt – en klart bestraffande karaktär och innebär en effektiv sanktion mot varje överträdelse av reglerna. Härtill kommer att den aktuella lagstiftningen bör övervakas av en kompetent myndighet, som bl.a. bör ha till uppgift att upplysa enskilda om deras rättigheter bl.a. i fråga om ideellt skadestånd för kränkning, och att enskilda kan få rättshjälp av staten för att i domstol driva sina krav (mot staten själv eller andra).
Det behövs således inte några särskilda straffbestämmelser med hänsyn till EG-direktivet. Det får också anses ligga i linje med utvecklingen på senare år i Sverige att avkriminalisera, särskilt när det gäller att få befolkningen att följa lagstiftning som i likhet med den föreslagna persondatalagen skall tillämpas i vardagslag på många olika håll och kanske också hemma i folks vardagsrum.
Vite har vidare fördelar som sanktion jämfört med straff. Ett vite har som primärt syfte att få överträdelser att upphöra, medan straffet till sin karaktär är rent repressivt. Vitet kan också på ett annat sätt än straff anpassas till vad som behövs för att åstadkomma eftersträvat resultat i det
| SOU 1997: 39 | Innehållet i den nya persondatalagen 441 |
enskilda fallet. En straffbestämmelse måste vara generellt utformad, medan ett vitesföreläggande skall ange ganska precist vad adressaten skall göra eller låta bli. Detta har särskild betydelse när det, såsom i detta fall, gäller en lagstiftning vars materiella regler är ganska vaga till sin natur och ibland har karaktären av avvägningsnormer. Den föreslagna lagstiftningen, som bl.a. bygger på begrepp med EG-gemensam innebörd, är alltså ganska svårtillämpad. När man inte direkt av lagstiftningen kan utläsa exakt hur man skall förfara i olika situationer och då Datainspektionen med det föreslagna systemet inte längre skall utfärda tillstånd med preciserade villkor för respektive personregister, är det bättre med preciserade vitesförelägganden i enskilda fall än med generella straffbestämmelser.
När straff (med fängelse i straffskalan) är föreskrivet, kan förundersökning inledas och beslag och husrannsakan komma i fråga. Detta är inte möjligt med bara vite. Datainspektionen kan dock anlita biträde av polismyndighet, om det är nödvändigt med hänsyn till utredningen av vitesfrågan.333 Såsom närmare utvecklas i avsnitt 12.14.1 har vi funnit att det är olämpligt med regler som innebär att polisen kan gå in och leta igenom t.ex. en bostad på grund av en misstanke om att olaglig behandling av personuppgifter förekommer där, eftersom det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som persondataskyddslagstiftningen avser att förebygga.334 Reglerna om beslag kan i sin tur sägas motsvaras av de bestämmelser som vi föreslår om att Datainspektionen i brådskande fall kan meddela tillfälliga beslut om vite och ansöka om utplånande av olagligt behandlade personuppgifter, se avsnitt 12.14.1. Det bör i detta sammanhang också påpekas att de allra värsta formerna av olaglig behandling av personuppgifter ofta ingår som ett led i annan brottslighet, t.ex. systematiskt ofredande eller barnpornografibrott, och att behandlingen då givetvis kan stävjas genom de utredande och bestraffande insatser som görs mot den brottsligheten.
Vi anser med stöd av det anförda att det i den föreslagna persondatalagen inte behöver finnas någon så omfattande straffkatalog som den som finns i datalagen i dag; de övriga sanktioner som vi föreslår ger effektiva möjligheter att komma till rätta med sådana missförhållanden som upptäcks och innebär tillräckliga garantier för att lagstiftningen kommer att följas.
33310 § lagen (1985:206) om viten.
334Jämför beträffande husrannsakan 28 kap. 3 a § rättegångsbalken.
| 442 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Vi anser som nämnts att antalet anmälningar till och förhandskontroller av Datainspektionen bör begränsas till ett minimum. Med den inställningen är det naturligt att inte föreslå någon straffbestämmelse som motsvarar de som gäller i dag vid underlåtenhet att ha licens eller tillstånd. När det – i ett sådant undantagsfall där anmälan bör krävas enligt det föreslagna systemet
– upptäcks att en persondataansvarig inte gjort anmälan, räcker de vitesmöjligheter m.m. Datainspektionen bör ha; den som inte gör anmälan riskerar att bli vid vite förbjuden att behandla personuppgifter och att få de behandlade uppgifterna utplånade. Motsvarande gäller för övrigt för den som inte på begäran lämnar upplysningar om sådana behandlingar som inte har anmälts, varför inte heller de straffbestämmelser som finns i dag beträffande s.k. registerförteckningar kan anses nödvändiga med det nya systemet.
De straffbestämmelser som finns i dag för det fallet att en registeransvarig inte följer de föreskrifter Datainspektionen har meddelat i ett enskilt fall är inte riktigt relevanta med det föreslagna systemet, eftersom det inte bygger på att inspektionen efter en förhandskontroll meddelar föreskrifter i enskilda fall. Datainspektionen bör dock enligt det föreslagna systemet ha möjlighet att meddela föreskrifter om vilka säkerhetsåtgärder som skall vidtas i enskilda fall. Dessa föreskrifter kan förenas med vite, vilket får anses vara en tillräcklig sanktion. En allmän princip är ju för övrigt att vite och straff inte bör utdömas för samma sak. Därför är det inte heller nödvändigt att såsom i dag ha en straffbestämmelse för det fallet att en persondataansvarig bryter mot ett förbud mot att behandla personuppgifter.
Den straffbestämmelse som finns i dag för det fallet att någon lagrar personuppgifter längre än vad som är tillåtet torde inte vara nödvändig med det nya systemet, eftersom det enligt detta system bör finnas möjlighet att få de lagrade uppgifterna utplånade efter domstolsbeslut, se avsnitt 12.14.1.3.
Den som bryter mot den föreslagna persondatalagen med anknytande författningar t.ex. genom att lämna ut uppgifter trots att det inte varit tillåtet kan drabbas av skadestånd – även ideellt sådant för kränkning – och kan vid vite förbjudas att fortsätta att behandla personuppgifter. Dessa sanktioner får anses så effektiva att det inte såsom i dag behövs någon straffbestämmelse för den som lämnar ut personuppgifter trots att det inte är tillåtet. Det viktiga måste vara att förhindra ett oriktigt utlämnande, inte i sig att bestraffa någon när ett oriktigt utlämnande väl skett. Och de sanktioner som vi föreslår får anses väl så avskräckande som den straffbestämmelse som finns i dag.
SOU 1997: 39
Innehållet i den nya persondatalagen 443
Ett missförhållande som dock kan vara svårt att komma åt med annan sanktion än ett ganska rejält straff är att folk ibland ljuger när det kan passa dem. Vi föreslår därför att den skall straffas med böter eller längst sex månaders fängelse som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i föreskriven information till registrerade, i en anmälan till Datainspektionen eller när Datainspektionen begär information för sin tillsyn. Är det fråga om ett grovt brott bör dock straffskalan innefatta bara fängelse och sluta vid två års fängelse. Straffskalan för grovt brott respektive brott av normalgraden motsvarar den som gäller vid brottet osant intygande enligt 15 kap. 11 § brottsbalken.
12.14Datainspektionens uppgifter och finansiering
De flesta regler om Datainspektionens uppgifter bör föras in i inspektionens instruktion. I den föreslagna persondatalagen bör tas in bara regler om inspektionens befogenheter att i samband med tillsyn begära upplysningar m.m. och att vid vite förbjuda persondataansvariga att fortsätta att behandla personuppgifter. Inspektionen bör också ha möjlighet att ansöka om utplånande av personuppgifter. Inspektionens beslut bör kunna överklagas till länsrätten. Vår principiella inställning är att Datainspektionens verksamhet bör finansieras av de persondataansvariga.
12.14.1Datainspektionens uppgifter och befogenheter
12.14.1.1EG-direktivet
I artikel 28 i EG-direktivet finns det bestämmelser om tillsynsmyndighet. Bestämmelserna har berörts i avsnitt 3.17. Av dessa bestämmelser – och vissa andra bestämmelser – framgår sammanfattningsvis att den tillsynsmyndighet som skall utses i Sverige skall ha följande befogenheter, uppgifter och egenskaper.
N Övervaka tillämpningen på svenskt territorium av de svenska bestämmelser som inför direktivet.
N Skall fullständigt oberoende utföra sina uppgifter.
| 444 Innehållet i den nya persondatalagen | SOU 1997: 39 |
N Skall höras när sådana författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.
N Skall kontrollera förslag till uppförandekodexar (artikel 27.2).
N Skall föra ett allmänt register över anmälda behandlingar (artikel 21.2). N Skall i vissa fall utföra förhandskontroll av anmälda behandlingar
(artikel 20.2).
N Skall ha undersökningsbefogenheter:
—Befogenhet att få tillgång till uppgifter som behandlas.
—Befogenhet att inhämta alla uppgifter som är nödvändiga för tillsynen.
N Skall ha effektiva befogenheter att ingripa:
—Kunna avge och offentliggöra yttranden i samband med förhandskontroll av anmälda behandlingar.
—Kunna besluta om blockering, utplånande eller förstöring av uppgifter.
—Kunna besluta om tillfälligt eller slutligt förbud mot behandling.
—Kunna ge den persondataansvarige varning eller tillrättavisning eller kunna hänvisa saken till riksdagen eller till någon annan politisk institution.
N Befogenhet att inleda rättsliga förfaranden när de svenska bestämmelser som inför direktivet har överträtts eller befogenhet att uppmärksamma de rättsliga myndigheterna på sådana överträdelser.
N Skall ta emot anmälningar från enskilda eller deras organisationer och informera de berörda om vilka följder anmälan fått (artikel 28.4).
N Skall samarbeta med övriga tillsynsmyndigheter inom Europeiska unionen, särskilt genom att utbyta användbar information.
N Skall ingå med en företrädare i en internationell arbetsgrupp med företrädare för tillsynsmyndigheterna inom Europeiska unionen och kommissionen (artikel 29.2).
N Skall regelbundet upprätta och offentliggöra en rapport om sin verksamhet.
Tillsynsmyndighetens ledamöter och personal skall ha tystnadsplikt beträffande förtrolig information som de har fått tillgång till. Den tystnadsplikten skall gälla även efter det att anställningen vid tillsynsmyndigheten har upphört.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 445 |
12.14.1.2Datainspektionens befogenheter enligt datalagen
Enligt datalagen har Datainspektionen rätt att för tillsyn få tillträde till lokal där automatisk databehandling utförs eller där datamaskin eller utrustning eller upptagning för automatisk databehandling förvaras. Inspektionen har också rätt att få tillgång till handling som rör automatisk databehandling och att föranstalta om körning av datamaskin.
Den registeransvarige eller den som för dennes räkning handhar personregister skall lämna Datainspektionen de uppgifter rörande den automatiska behandlingen som inspektionen begär för sin tillsyn. Den registeransvarige är vidare skyldig att på Datainspektionens begäran sända in den s.k. registerförteckning som skall föras.
Datainspektionen har dessutom under vissa förutsättningar rätt att vid vite ge föreskrifter rörande personregister. Om det inte går att skydda den personliga integriteten mot otillbörliga intrång på något annat sätt, får Da- tainspektionen vid vite förbjuda fortsatt förande av ett personregister eller återkalla ett meddelat tillstånd.
Det finns slutligen möjlighet för domstol att förklara ett personregister förverkat, om det inte är uppenbart obilligt.
12.14.1.3Våra överväganden
Regeringen har redan utsett Datainspektionen till tillsynsmyndighet.335 Flera av de bestämmelser i EG-direktivet som avser tillsynsmyndighetens uppgifter kan enligt vår mening lämpligen införas genom av regeringen beslutad förordning, företrädesvis genom en instruktion för Datainspektionen. Utöver de uppgifter för Datainspektionen som följer av EG-direktivet bör inspektionen särskilt ha till uppgift att informera om gällande regler om behandling av personuppgifter och att på lämpligt sätt ge råd och hjälp åt såväl registrerade som persondataansvariga. Datainspektionens tillsyn och befogenheter bör avse såväl den privata som den offentliga sektorn. Inspektionen bör – om inte annat följer av vad som föreskrivs i särskilda registerförfattningar – ha till uppgift att utöva tillsyn över tillämpningen av såväl den föreslagna generella persondatalagen som de särskilda registerförfattningarna. Med hänsyn till Sveriges åtaganden enligt Europarådets
335 Regeringsbeslut 1996-01-18, Dnr Ju 96/176.
| 446 Innehållet i den nya persondatalagen | SOU 1997: 39 |
konvention bör Datainspektionen vidare liksom i dag särskilt ha till uppgift att lämna bistånd till sådana registrerade som är bosatta utomlands.336
Mot bakgrund av det sagda koncentrerar vi oss i det följande på sådana bestämmelser om Datainspektionens befogenheter m.m. som bör ha lagform.
För att Datainspektionen på ett så effektivt sätt som möjligt skall kunna utöva tillsyn över den behandling av personuppgifter som förekommer bör inspektionen för sin tillsyn ha rätt att på begäran få
N tillgång till de personuppgifter som behandlas,
N upplysningar och dokumentation rörande behandlingen av personuppgifter och säkerheten vid denna och
N tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.
Rätten att få tillgång till behandlade personuppgifter innefattar naturligtvis en rätt att beordra de körningar och andra åtgärder som behövs för att få fram alla de personuppgifter som behandlas.
För den händelse den persondataansvarige skulle obstruera och inte ge Datainspektionen det den behöver för tillsynen, måste inspektionen ha maktmedel att ta till. Eftersom sådan behandling av personuppgifter som omfattas av den föreslagna lagen kan förekomma t.ex. i någons hem eller i en dator som någon bär på sig och då det i en och samma dator kan förekomma såväl behandling som omfattas av lagen som rent privat behandling av högst personliga uppgifter som inte omfattas av lagen, har vi funnit att det är olämpligt med regler som innebär att inspektionen skulle få genomdriva sina rättigheter med t.ex. polishjälp; det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som inspektionens tillsynsverksamhet syftar till att förebygga. Enligt vår mening bör man gå en annan väg i stället.
Syftet med Datainspektionens tillsyn och inspektionens rättigheter i samband med den är ytterst att inspektionen skall kunna konstatera om den behandling som utförs är laglig. Kan inspektionen inte på begäran få tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig, bör inspektionen kunna vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem. Den som obstruerar riskerar således att bli förbjuden att i fortsättningen
336 Se i dag 15 § dataförordningen.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 447 |
behandla personuppgifter. Den risken kan med fog antas medföra att de persondataansvariga blir tillräckligt benägna att ge inspektionen det underlag den behöver.
Datainspektionen kan på olika sätt få reda på att personuppgifter behandlas – eller kan komma att behandlas – på ett olagligt sätt. Sådan information kan framkomma i samband med ett tillsynsbesök, framgå av en insänd anmälan om behandlingen eller av ett klagomål från någon registrerad. I sådana fall bör inspektionen i första hand försöka att åstadkomma rättelse genom påpekanden eller liknande förfaranden. Men går det inte att få rättelse på annat sätt, bör myndigheten kunna vid vite förbjuda den persondataansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem. Om det är riskfyllt att vänta, bör Datainspektionen genast kunna ingripa på detta sätt.
Av vad som anförs i avsnitt 12.10.3 framgår att Datainspektionen bör kunna fatta beslut om vilka skyddsåtgärder som en persondataansvarig skall vidta. Det beslutet bör kunna överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Om den persondataansvarige inte följer ett beslut om skyddsåtgärder som har vunnit laga kraft, bör Datainspektionen kunna föreskriva vite för att beslutet skall genomföras.
I fråga om Datainspektionens möjligheter att föreskriva vite bör generellt gälla att den persondataansvarige skall få tillfälle att yttra sig innan inspektionen föreskriver vite. Om det är riskfyllt att vänta med beslutet om vite till dess den persondataansvarige fått möjlighet att yttra sig, bör inspektionen dock få fatta ett tillfälligt beslut om vite. Det tillfälliga beslutet bör i sådana fall prövas om när yttrandetiden har gått ut och det finns ett mera fullständigt underlag.
Allmänna bestämmelser om vite finns i lagen (1985:206) om viten. Av 2 § fjärde stycket i den lagen framgår att ett vitesföreläggande skall delges adressaten. Enligt vår mening bör i fråga om delgivningen gälla samma regler som för delgivning av en stämning i ett tvistemål, se 33 kap. 6 § andra stycket rättegångsbalken. Delgivning enligt 12 § delgivningslagen (1970:428), som innebär att delgivningshandlingen lämnas till någon annan fysisk person än den som söks för delgivning, bör således få användas bara under förutsättning att den persondataansvarige har avvikit eller håller sig undan på något annat sätt.
Av lagen om viten framgår att frågan om utdömande av ett förelagt vite prövas av länsrätten (i Stockholm) på ansökan av Datainspektionen, som får anlita biträde av polismyndighet om det är nödvändigt med hänsyn till utredningen.
| 448 Innehållet i den nya persondatalagen | SOU 1997: 39 |
Av lagen om viten framgår vidare att vite inte skall dömas ut, om ändamålet med vitet har förlorat sin betydelse. Av allmänna principer torde dessutom följa att Datainspektionen skall återkalla ett meddelat vitesföreläggande så snart den persondataansvarige har gjort vad som krävs av honom eller henne. Ett förbud vid vite att behandla personuppgifter på annat sätt än genom att lagra dem kommer alltså att gälla bara till dess den persondataansvarige har botat den försummelse som föranledde förbudet.
Vi föreslår också att Datainspektionen skall kunna ansöka hos länsrätten (i Stockholm) om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Den möjligheten kan användas t.ex. när känsliga personuppgifter har behandlats trots att den persondataansvarige inte alls har haft rätt att behandla sådana uppgifter. Det ligger i sakens natur att möjligheten att ansöka om utplånande av personuppgifter bör användas bara i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller. Vi föreslår också en uttrycklig regel om att domstolen inte får besluta om utplånande, om det skulle vara oskäligt. Dessa föreslagna bestämmelser om utplånande kan sägas motsvara de regler som finns i dag om förverkande av personregister. Innebörden av att personuppgifter utplånas har berörts i avsnitt 12.8.2.5. Av vad som anförs i avsnitt 9.4 framgår att bestämmelserna i den föreslagna persondatalagen inte hindrar att en myndighet arkiverar och bevarar sina allmänna uppgifter eller att arkivmaterial tas om hand av en arkivmyndighet.
Enligt EG-direktivet skall tillsynsmyndighetens ledamöter och personal ha tystnadsplikt beträffande förtrolig information som de har fått tillgång till. Den tystnadsplikten skall gälla även efter det att anställningen vid tillsynsmyndigheten har upphört.
I 9 kap. 6 § sekretesslagen finns bestämmelser om den sekretess som gäller hos Datainspektionen för uppgifter om enskilds personliga eller ekonomiska förhållanden. Sekretessen gäller i ärenden om tillstånd eller tillsyn, som enligt lag ankommer på Datainspektionen, och i ärenden som sådant bistånd som avses i Europarådets konvention, om det kan antas att den enskilde eller någon som står honom eller henne nära lider skada eller men om uppgifterna avslöjas. Uppgifter om en registrerads förhållanden får tjänstemännen på inspektionen inte ens lämna ut till massmedier för publicering (16 kap. 1 § sekretesslagen). Av 1 kap. 6 § sekretesslagen följer att sekretessen gäller även efter det att en anställning eller ett uppdrag hos Datainspektionen har upphört.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 449 |
Bestämmelserna i sekretesslagen får anses utgöra sådana regler om tystnadsplikt som avses i direktivet. I ärende om anmälan enligt den föreslagna lagen torde det inte förekomma några sådana uppgifter som bör sekretessbeläggas.
12.14.2Överklagande
Enligt artikel 28.3 sista stycket i EG-direktivet skall ett beslut av tillsynsmyndigheten som har gått en part emot kunna överklagas till domstol.
I dag gäller enligt datalagen att Datainspektionens beslut överklagas hos länsrätten. När en annan statlig myndighet är registeransvarig, skall dock beslutet i stället överklagas till regeringen. I dag har vidare Justitiekanslern rätt att överklaga Datainspektionens beslut för att ta till vara allmänna intressen.
Enligt vår mening bör Datainspektionens beslut enligt den föreslagna persondatalagen – i fråga om annat än generella föreskrifter – kunna överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. För överklagande av länsrättens domar och beslut till kammarrätten bör det krävas prövningstillstånd.
Det förefaller i och för sig ändamålsenligt att regeringen – och inte en oberoende domstol – får hantera den osämja som kan uppkomma mellan statens olika skepnader i form av myndigheter. Eftersom EG-direktivet tydligt anger att beslut av tillsynsmyndigheten som går någon part emot skall kunna överklagas till domstol, har vi emellertid inte sett någon möjlighet att behålla regeln om att regeringen skall slita interna statliga tvister. Om rätten till personlig integritet vid behandling av personuppgifter – såsom enligt EG-direktivet – uppfattas som en grundläggande mänsklig rättighet, är det också naturligt att det är en oberoende domstol och inte ett verkställande politiskt organ som ytterst skyddar rättigheten och gör en avvägning mellan den rättigheten och andra motstridiga grundläggande mänskliga rättigheter.
Justitiekanslern har sällan funnit anledning att – mot bakgrund av de intressen han skall ta till vara – överklaga Datainspektionens beslut, och Justitiekanslern anser att det inte finns något egentligt behov av att i en ny persondatalag ta in en sådan möjlighet till överklagande som finns i dag. Vi har därför i vårt förslag inte heller tagit med någon möjlighet för Justitiekanslern att överklaga Datainspektionens beslut.
| 450 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.14.3Datainspektionens finansiering och organisation
12.14.3.1Finansieringen i dag
Under ett år kostar Datainspektionens hela verksamhet ungefär 23 miljoner kronor. Vid inspektionen finns ungefär 40 anställda. Inspektionen har även andra uppgifter än sådana som direkt omfattas av vårt uppdrag, t.ex. avseende kreditupplysnings- och inkassoverksamhet. Från dessa andra uppgifter bortses i det följande.
Datainspektionens verksamhet finansieras inte direkt över statsbudgeten. I stället får inspektionen ta ut dels en årlig licensavgift, dels avgifter för handläggningen av tillståndsärenden och andra ärenden.337 Som exempel kan nämnas att vår kommitté måste betala licensavgift om 410 kr per år för att få ha det personregister som används främst för att adressera brev till dem som ingår i kommittén. Kommittén var dessutom tvungen att betala en handläggningsavgift om 620 kr för att få lägga ut information om namnen på dem som ingår i kommittén på vår s.k. hemsida på Internet.
Under ett år uppgår licensavgifterna för drygt 50 000 anmälda register till omkring 22 miljoner kronor och handläggningsavgifterna till omkring 1 miljon kronor, dvs. sammanlagt de cirka 23 miljoner kronor Datainspektionens verksamhet kostar årligen.
Ungefär en fjärdedel av handläggningsavgifterna betalas av statliga myndigheter.
Bara omkring 6 procent av licensavgifterna betalas av den offentliga sektorn. Statliga myndigheter betalar bara ungefär 1,5 procent av de totala licensavgifterna.
| Antal licenser | |
| Statliga myndigheter | 829 |
| Kommuner | 2 183 |
| Landsting | 203 |
| Kommunalförbund | 41 |
| Övriga (dvs. den privata sektorn) | 51 410 |
| Totalt | 54 666 |
Det kostar inspektionen uppskattningsvis ungefär 1,5 miljoner kronor per år att driva in licensavgifterna.
337 Se förordningen (1982:481) om avgifter för Datainspektionens verksamhet.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 451 |
Datalagsutredningen uppskattade att bara omkring 10 procent av alla licenspliktiga register anmäldes till Datainspektionen. Det skulle – något tillspetsat – kunna sägas innebära att en laglydig minoritet betalar för inspektionens arbete med att bl.a. söka rätt på den majoritet som utnyttjar personregister i det fördolda.
12.14.3.2Våra överväganden
EG-direktivet kräver att det utses en tillsynsmyndighet med vissa uppgifter och befogenheter. Direktivet hindrar dock inte att den utsedda myndigheten har även andra uppgifter och befogenheter. Däremot torde det vara nödvändigt att varje utsedd tillsynsmyndighet inom sitt verksamhetsområde har alla de befogenheter och uppgifter som krävs enligt direktivet.
Det har i Sverige under årens lopp förts fram olika förslag om att föra över Datainspektionens uppgifter på andra myndigheter, och flera lösningar kan övervägas i detta hänseende, t.ex. en sammanslagning med exempelvis Riksarkivet, Finansinspektionen eller Konsumentverket. I våra utredningsdirektiv nämns dock inte särskilt frågan om Datainspektionens organisation. Vi har för egen del funnit anledning att utgå från att Datainspektionen bör finnas kvar som en fristående myndighet och att den myndigheten inte bör ha en utpräglad ombudsmannafunktion.
Med det föreslagna systemet blir Datainspektionen huvuduppgifter:
N Information och rådgivning i persondataskyddsfrågor i allmänhet och tillämpningen av persondatalagen med anknytande författningar i synnerhet.
N Tillsyn.
N Utarbetande av föreskrifter.
Uppgifterna för Datainspektionen med det föreslagna systemet får anses mera krävande och kvalificerade än de uppgifter inspektionen utför i dag. En utökad tillsynsverksamhet och en i vart fall inledningsvis omfattande föreskriftsverksamhet ställer andra och större krav på personalen och organisationen än en verksamhet som till stor del går ut på hantering enligt utarbetade mallar av inkomna ansökningar.
För en myndighet med tillsynsansvar finns som regel inte någon naturlig övre gräns beträffande behov av personal och övriga resurser; myndigheten har i allmänhet inga svårigheter att göra av med alla de pengar den får på tillsynsverksamhet. Det måste därför göras en politisk bedömning av vilka resurser som bör tilldelas myndigheten, varvid myndigheten givetvis
| 452 Innehållet i den nya persondatalagen | SOU 1997: 39 |
måste få tillräckliga resurser för att kunna upprätthålla en rimlig nivå på verksamheten. Enligt vår mening bör en personalstyrka av ungefär nuvarande storlek – omkring 40 personer – ge Datainspektionen rimliga förutsättningar att klara uppgifterna med det föreslagna systemet. Däremot torde det krävas att kompetensnivån hos personalen höjs för att motsvara de ökade krav som det föreslagna systemet innebär.
Det kan således inte antas att kostnaderna för Datainspektionens verksamhet i enlighet med en ny persondatalag skulle – i vart fall inledningsvis
– kunna bli mindre än med dagens system. Det torde i stället vara så att inspektionens förändrade uppgifter ställer krav på något ökade resurser i form av bl.a. kompetenshöjning för att klara av den intensifierade tillsynsverksamheten, den ökade föreskriftsgivningen och de utvidgade informationsbehoven.
Vår principiella inställning är att Datainspektionens verksamhet bör bekostas av de som förorsakar kostnaderna, nämligen av de som behandlar personuppgifter.
Datainspektionen finansieras i dag huvudsakligen av licensavgifter från privata registeransvariga som har anmält sig till inspektionen. Det nya tillsynssystem som vi föreslår (se avsnitt 12.12) innebär att det inte längre bör finnas någon registrering av alla eller ens en betydande del av de persondataansvariga. Med det nya systemet kan man således inte veta från vilka en avgift kan tas ut för Datainspektionens verksamhet. Frågan är hur man då skall kunna finansiera inspektionens verksamhet. Vi har övervägt olika lösningar på det problemet.
Med det föreslagna tillsynssystemet skall Datainspektionen självständigt välja ut hos vilka persondataansvariga inspektion skall ske. Det torde därför kunna riktas avgörande principiella invändningar mot att något slags ”tillsynsavgift” tas ut bara från de persondataansvariga som Datainspektionen själv väljer ut. Att av finansieringsskäl ge Datainspektionen en ombudsmannafunktion med rätt att föra talan mot persondataansvariga som bryter mot den föreslagna lagen om ett allmänt skadestånd eller liknande, som skall betalas inte till de integritetsskadade utan till inspektionen eller statskassan, förefaller också olämpligt.
Datainspektionen bör i och för sig i viss utsträckning kunna ta ut avgifter för vissa prestationer som enskilda har begärt av inspektionen, t.ex. avgift för skrifter, informationsmaterial, kurser, kvalificerad rådgivning och medverkan vid konferenser. Sådana avgifter torde dock inte på långa vägar räcka till för att finansiera inspektionsverksamheten.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 453 |
Det kan i och för sig tyckas naturligt att Datainspektionens verksamhet för att skydda den personliga integriteten i samhället finansieras med skattemedel. Dagens ansträngda budgetläge gör dock att det inte framstår som helt realistiskt att föra fram en sådan lösning utan att kunna peka på från vilka budgetposter pengarna skulle kunna komma.338
Datainspektionens verksamhet skulle kunna finansieras genom att det införs en särskild avgift. Den avgiften borde i så fall utgå på något som brukar ha med behandling av personuppgifter att göra, t.ex. datorer eller medier för lagring av digitala signaler.339 Avgiften borde av effektivitetsskäl betalas av ett ganska hanterligt antal skattesubjekt som har möjlighet att föra kostnaden vidare på flera. Avgiften kunde dock inte tas ut från bara persondataansvariga, eftersom man i sådant fall skulle behöva registrera dessa, vilket man ju enligt vår mening bör undvika. En nackdel med en avgift av föreslagen art är att kostnaderna för att administrera avgiften torde bli stora i förhållande till de jämförelsevis obetydliga belopp som behöver tas ut.
Var och en av de angivna finansieringsmöjligheterna är sålunda förenad med betydande nackdelar. Den minst dåliga förefaller trots allt vara att Datainspektionens verksamhet finansieras över budgeten. Vi har emellertid inte tillräcklig överblick för att kunna föreslå vilka budgetposter som i stället skulle kunna minskas. Frågan torde därför få lösas under den fortsatta beredningen av våra förslag i regeringskansliet.
338Jämför också dir. 1994:23.
339Jämför, beträffande ett färskt förslag om civilrättslig ersättning rörande anordningar för ljud- och bildupptagningar, Ds 1996:61.
| 454 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.15Ikraftträdande och övergångsbestämmelser
Den nya persondatalagen bör träda i kraft den 1 januari 1999, samtidigt med de grundlagsändringar vi föreslår. För behandlingar som pågår då bör dock den nya lagen börja tillämpas först den 1 oktober 2001. Vissa bestämmelser i den nya lagen bör emellertid inte tillämpas på pågående manuell behandling av personuppgifter förrän den 1 oktober 2007. Dessa bestämmelser bör inte heller tillämpas på pågående lagring av personuppgifter för historisk forskning förrän uppgifterna börjar behandlas på något annat sätt.
12.15.1EG-direktivet
I artikel 32 i EG-direktivet finns bestämmelser om när direktivets regler skall vara införda i den nationella lagstiftningen och om när den nationella lagstiftningen måste börja tillämpas. Bestämmelserna har berörts närmare i avsnitt 3.20.
När de svenska författningar som inför EG-direktivet offentliggörs, skall de innehålla eller åtföljas av en hänvisning till direktivet. Bestämmelser om detta finns i Sverige i 18 a § författningssamlingsförordningen (1976:725).340 Texten till den lagstiftning som införs i Sverige inom det område som omfattas av EG-direktivet skall vidare överlämnas till kommissionen. Sverige måste också i vissa andra avseenden lämna information eller anmälan till kommissionen om genomförandelagstiftningen m.m., se artikel 8.6, 25.3 och 26.3. Sverige måste dessutom utse en företrädare till den kommitté som skall bildas enligt artikel 31, och Datainspektionen har haft att utse en företrädare till den arbetsgrupp som bildats enligt artikel 29. Sverige har, som tidigare nämnts, redan utsett Datainspektionen till tillsynsmyndighet.
Av EG-direktivet följer att de författningar som inför direktivet måste träda i kraft senast måndagen den 24 oktober 1998. De behandlingar som påbörjas efter ikraftträdandet måste genast uppfylla alla bestämmelser i genomförandelagstiftningen.
340 Jämför också Statsrådsberedningens PM 1996:4 s. 22 ff.
| SOU 1997: 39 | Innehållet i den nya persondatalagen 455 |
Genomförandelagstiftningen behöver inte tillämpas på sådana behandlingar som redan pågår när lagstiftningen träder i kraft förrän inom tre år efter ikraftträdandet.
Bestämmelserna i artikel 6–8 i EG-direktivet – dvs. de bestämmelser om grundläggande krav på all behandling av personuppgifter och om när sådan behandling är tillåten som berörts i avsnitt 12.4 och 12.5 – behöver dock inte tillämpas förrän senast onsdagen den 24 oktober 2007 på sådana uppgifter som redan finns i manuella register när genomförandelagstiftningen träder i kraft. Sverige måste emellertid i sådant fall ge den registrerade rätt att på begäran – särskilt när han eller hon utövar rätten att få tillgång till uppgifterna – få rättelse, utplånande eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den persondataansvarige vill uppnå.
Sverige får vidare föreskriva att de nyss nämnda bestämmelserna i artikel 6–8 i EG-direktivet inte behöver tillämpas på uppgifter som bara bevaras för historisk forskning. I sådant fall måste det i Sverige dock också finnas lämpliga skyddsåtgärder.
12.15.2Våra överväganden
12.15.2.1Dagen för ikraftträdandet
Den svenska lagstiftning som inför EG-direktivet skall enligt direktivet träda i kraft senast den 24 oktober 1998.
Trots att den nuvarande datalagen är så föråldrad att den i och för sig bör ersättas så snart som möjligt, anser vi att det finns betydande fördelar med att den föreslagna persondatalagen träder i kraft samtidigt som de grundlagsändringar och övriga följdändringar som vi föreslår; de författningsförslag som vi lämnar kan ses som en enhet. Av konstitutionella och praktiska skäl bör grundlagsändringarna träda i kraft den 1 januari 1999. Vi anser att det – trots Sveriges åtaganden gentemot EU – borde vara möjligt att låta också den föreslagna persondatalagen, jämte anknytande författningsändringar, träda i kraft den dagen. Det kan för övrigt behövas ganska gott om tid för alla berörda att sätta sig in i det nya systemet för persondataskydd.
Vi föreslår således att den nya persondatalagen skall träda i kraft den 1 januari 1999.
| 456 Innehållet i den nya persondatalagen | SOU 1997: 39 |
12.15.2.2Behandling som pågår vid ikraftträdandet
Den föreslagna persondatalagen bör således ersätta den nuvarande datalagen per den 1 januari 1999. Behandling av personuppgifter – automatisk eller manuell – som pågår vid det tillfället bör dock – i enlighet med vad som är tillåtet enligt EG-direktivet – inte omfattas av några bestämmelser i den föreslagna lagen förrän den 1 oktober 2001. Dessförinnan får behandlingen i förekommande fall alltjämt regleras av datalagen. Därmed får persondataansvariga en behövlig respit för att anpassa sin behandling av personuppgifter till de nya bestämmelserna. Detta innebär också – på grund av den bestämmelse om företräde för avvikande lagstiftning som såväl den nuvarande datalagen som den föreslagna persondatalagen innehåller (se avsnitt 8.2.2) – att den föreslagna persondatalagen inte kommer att tillämpas ens subsidiärt förrän den 1 oktober 2001 på sådan behandling enligt särskilda registerförfattningar som pågår den 1 januari 1999. Därmed finns det tid att anpassa de särskilda registerförfattningarna till EG-direktivet.
Det framgår inte av EG-direktivet vad som närmare avses med ”en behandling som redan pågår” när lagstiftningen träder i kraft. Om personuppgifter vid midnatt nyårsaftonen 1998 bara behandlas genom att de lagras, skulle man med en snäv tolkning kunna säga att den nya lagen skall börja tillämpas redan på måndagsmorgonen när arbetet med att behandla uppgifterna på andra sätt – t.ex. genom sökningar, ändringar och kompletteringar – påbörjas (eller återupptas). Enligt vår mening bör man dock kunna använda en betydligt vidare tolkning. Har väl en serie behandlingar påbörjats före ikraftträdandet, bör den behandlingsserien kunna fortsätta oberörd av den nya lagen ända till den 1 oktober 2001, trots att bara viss typ av behandling – t.ex. insamling – utförts före ikraftträdandet. På motsvarande sätt bör man kunna resonera när en persondataansvarig inom ramen för en serie behandlingar, som påbörjats före den 1 januari 1999, därefter registrerar uppgifter om personer som inte tidigare varit registrerade, t.ex. när uppgifter om nya brottslingar tillförs ett kriminalregister.
En konsekvens av den föreslagna övergångsordningen är att det under en tid kan komma att gälla skilda regelsystem för olika aktörer. För aktörer med befintliga register gäller de tillstånd och villkor som har meddelats enligt datalagen, medan nya aktörer kan oberoende av sådana tillstånd och villkor inrätta nya register i enlighet med den föreslagna nya lagstiftningen. Även den som har ett register som regleras av datalagen kan givetvis efter ikraftträdandet bygga upp ett helt nytt register som då kommer att regleras enbart av den föreslagna nya lagstiftningen, och i den me-
SOU 1997: 39
Innehållet i den nya persondatalagen 457
ningen är alla aktörer likställda. Det kan emellertid inte helt uteslutas att det kan finnas en risk för att konkurrensen kan vridas snett när olika regelsystem i princip gäller för skilda aktörer som verkar på en och samma marknad. Sådana problem har uppkommit förut när regelsystemet ändrats, och problemen har då i praxis hanterats genom att konkurrensaspekterna har beaktats vid utformningen av villkoren för registret.341 Vi förutsätter att eventuella problem i detta hänseende även nu kommer att hanteras på motsvarande sätt, t.ex. vid bedömningen av en begäran om ändrade villkor för ett befintligt register.
12.15.2.3Manuell behandling som pågår vid ikraftträdandet
I Sverige har manuell behandling av personuppgifter inte tidigare reglerats av persondataskyddslagstiftningen. Detta talar starkt för att den respit till i oktober 2007 som EG-direktivet medger för sådan behandling bör utnyttjas.
De bestämmelser i den föreslagna persondatalagen som inför artikel 6– 8 i EG-direktivet – se avsnitt 12.4 och 12.5 – bör således börja tillämpas först den 1 oktober 2007 på sådan manuell behandling av personuppgifter som pågår den 1 januari 1999. Andra bestämmelser i den föreslagna lagen, t.ex. bestämmelserna om information till den registrerade och om rättelse, bör dock tillämpas redan från den 1 oktober 2001 i enlighet med den övergångsbestämmelse som tidigare berörts och som gäller för alla typer av behandlingar som pågår vid ikraftträdandet.
I närmast föregående avsnitt har berörts innebörden av kravet att behandlingen redan pågår den 1 januari 1999.
12.15.2.4Personuppgifter som lagras för historisk forskning
Bestämmelserna i artikel 6–8 i EG-direktivet – se avsnitt 12.4 och 12.5 – behöver inte tillämpas på personuppgifter som bara bevaras för historisk forskning, om det finns lämpliga skyddsåtgärder. Detta undantag torde enbart gälla så länge personuppgifterna bara lagras (bevaras) för (att i framti-
341Se särskilt regeringsbeslut 1996-10-03, dnr Ju 93-2947. Ärendet gällde registrering av uppgifter om personnummer i ett privatägt telebolags kundregister. Regeringen beaktade att ett statsägt sådant bolag sedan tidigare opåtalat hade registrerat sådana uppgifter i sitt kundregister och uttalade bl.a.: ”Det är av största vikt att myndigheternas rättstillämpning inte medför en snedvridning av konkurrensen mellan företag inom samma bransch.”
| 458 Innehållet i den nya persondatalagen | SOU 1997: 39 |
den användas för) historisk forskning. När forskningen sedan påbörjas avseende de lagrade uppgifterna, måste den behandling av uppgifterna som forskningen innebär vara förenlig även med bestämmelserna i artikel 6–8 i EG-direktivet; en annan tolkning skulle innebära att de uttryckliga specialreglerna i artikel 6 för behandling för historiska och vetenskapliga ändamål vore överflödiga.
Det nu sagda kan uttryckas så att de bestämmelser i den föreslagna persondatalagen som inför artikel 6–8 i EG-direktivet behöver tillämpas beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning först när uppgifterna börjar behandlas på något annat sätt. En övergångsbestämmelse av den innebörden bör införas. Sådan lagring som här avses kan dock i dag regleras av datalagen. Därför bör övergångsbestämmelsen kompletteras med en regel om att de bestämmelser i datalagen som motsvarar artikel 6–8 i EG-direktivet skall gälla till dess de nya bestämmelserna skall börja tillämpas. Om den aktuella behandlingen omfattas av någon av de två övergångsbestämmelser som tidigare berörts, dvs. om lagringen av uppgifterna pågick den 1 januari 1999, bör dock den övergångsbestämmelse gälla som innebär längst respit med att tillämpa de nya bestämmelserna i den föreslagna persondatalagen.
De bestämmelser om säkerheten vid behandling som föreslås i den nya persondatalagen (se avsnitt 12.10) får, tillsammans med de sekretessbestämmelser som kan gälla, anses utgöra sådana lämpliga skyddsåtgärder som avses i EG-direktivet.
12.15.2.5Vissa övriga övergångsfrågor
När den nya lagen träder i kraft beträffande en behandling som tidigare omfattades av datalagen, bör de tillstånd och föreskrifter som Datainspektionen kan ha meddelat i det aktuella fallet anses förlora sin verkan per ikraftträdandedagen.
Den anmälan som en registeransvarig gjort enligt datalagen bör inte ha någon verkan enligt den nya lagen; anmälan måste således, i den mån sådan alls behövs enligt den nya lagen, göras om, bl.a. eftersom delvis andra uppgifter krävs i en anmälan enligt den nya lagen. För att förenkla övergången till det nya systemet bör dock föreskrivas att en anmälan enligt den nya lagen kan göras före ikraftträdandet.
Några licensavgifter bör inte betalas tillbaka.
Ett samtycke från den registrerade som uppfyller de krav som ställs enligt den nya lagen bör gälla även om samtycket lämnats innan lagen trädde
| SOU 1997: 39 | Innehållet i den nya persondatalagen 459 |
i kraft för den aktuella behandlingen. Återkallas samtycket före ikraftträdandet, bör återkallelsen få verkningar enligt den nya lagen efter ikraftträdandet.
Har den persondataansvarige före ikraftträdandet offentliggjort en uppgift om att ett sådant persondataombud som avses i den nya lagen utsetts, bör det offentliggörandet medföra verkningar enligt den nya lagen redan från ikraftträdandet (se avsnitt 12.12.2.4). I den förteckning över behandlingar som genomförs bör persondataombudet vid ikraftträdandet ta upp alla de behandlingar som pågår då.
Bestämmelserna i den nya lagen om skriftligt avtal mellan den persondataansvarige och ett persondatabiträde bör gälla även avtal som träffats före ikraftträdandet, om det avtalet uppfyller bestämmelserna i den nya lagen.
Den nya lagen bör inte omfatta s.k. automatiserade beslut som har fattats före ikraftträdandet.
Bestämmelserna i den nya lagen om att den persondataansvarige självmant skall lämna information till den registrerade när uppgifterna samlas in från denne eller hämtas in från något annat håll bör gälla bara beträffande uppgifter som insamlas eller inhämtas efter ikraftträdandet.
En begäran om registerutdrag enligt 10 § datalagen som kommit in före ikraftträdandet men som inte expedierats före ikraftträdandet bör anses vara en sådan ansökan om information som avses i den nya lagen. Den persondataansvarige bör således lämna information efter ikraftträdandet trots att begäran (ansökan) kom in dessförinnan.
Om en registrerad före ikraftträdandet har anmält att han eller hon motsätter sig behandling för direkt marknadsföring på det sätt som krävs enligt den nya lagen, bör anmälan få verkningar enligt den nya lagen från ikraftträdandet.
Det bör, på det sätt som är brukligt vid införandet av ändrade skadeståndsbestämmelser, föreskrivas att den nya lagens bestämmelser om skadestånd bara skall tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet; i annat fall skall bestämmelserna i datalagen tillämpas.
Det bör här avslutningsvis åter igen betonas att de särskilda registerförfattningarna inte omfattas av vårt uppdrag, men att dessa författningar måste ses över och anpassas till den föreslagna persondatalagen och EG- direktivet senast per den 1 oktober 2001. Skulle en sådan anpassning till någon del inte hinnas med till dess, bör det – genom en ändring av våra föreslagna övergångsbestämmelser – föreskrivas att behandlingen av per-
| 460 Innehållet i den nya persondatalagen | SOU 1997: 39 |
sonuppgifter enligt de aktuella registerförfattningarna alltjämt skall regleras av den gamla datalagen.
| SOU 1997: 39 | 461 |
13Regler i datalagen som bör flyttas till andra lagar
Regeln om viss dokumentationsskyldighet för myndigheter (14 §) bör flyttas till 15 kap. sekretesslagen, regeln om straff för dataintrång (21 §) till brottsbalken och reglerna om det statliga person- och adressregistret (26– 28 §§) till en ny särskild registerförfattning.
13.1Inledning
I det föregående har vi redogjort för vilka bestämmelser som bör ingå i en ny persondatalag. De föreslagna bestämmelserna motsvarar och ersätter de regler som i dag finns i 1–13, 15–20 och 22–25 §§ datalagen. I datalagen finns emellertid också vissa andra regler som inte har ett sådant omedelbart samband med persondataskyddet att de bör finnas i en ny persondatalag. Det gäller reglerna om
N viss dokumentationsskyldighet för myndigheter som använder automatisk databehandling vid ärendehandläggning (14 §),
N straff för dataintrång (21 §) och
N det statliga person- och adressregistret (26–28 §§).
Dessa regler bör föras över till annan lagstiftning.
13.2Dokumentationsskyldighet
I 14 § datalagen finns en regel om viss dokumentationsskyldighet för myndigheter. Om en myndighet för handläggningen av mål eller ärende använder sig av upptagning för automatisk databehandling, skall upptagningen tillföras handlingarna i målet eller ärendet i läsbar form, om inte särskilda skäl föranleder annat.
| 462 Regler i datalagen som bör flyttas till andra lagar | SOU 1997: 39 |
Datalagsutredningen ansåg att en regel av sådan innebörd får anses höra mera hemma i 15 kap. sekretesslagen än i en ny datalag.342 IT-utred- ningen ansåg å sin sida visserligen att regeln borde upphävas såsom överflödig, men anförde samtidigt att ett upphävande borde kombineras med betydande informationsinsatser.343
Vi anser för egen del att det är bäst att behålla en uttrycklig regel av nu avsedd innebörd; därmed slipper man bl.a. lägga ned pengar på att informera om att ett borttagande inte innebär någon saklig ändring. Vi anser vidare i likhet med Datalagsutredningen att regeln bör placeras i 15 kap. sekretesslagen.
I avsnitt 21.4.3 berörs närmare våra förslag rörande reglerna i 15 kap. sekretesslagen, inklusive den nu aktuella regeln.
13.3Straff för dataintrång
I 21 § datalagen finns en bestämmelse om straff för dataintrång. Da- tastraffrättsutredningen har redan föreslagit att den bestämmelsen förs över till brottsbalken.344 Vi instämmer i det förslaget.
13.4Det statliga person- och adressregistret
I 26–28 §§ datalagen finns bestämmelser om det statliga person- och adressregistret (SPAR). Dessa bestämmelser kan – tillsammans med en anknytande förordning i ämnet – sägas utgöra en särskild registerförfattning som har tagits in i den i övrigt generella datalagen.
Enligt vår mening bör de nu aktuella bestämmelserna brytas ut ur den generella persondataskyddslagstiftningen och placeras i en särskild registerförfattning. Mot bakgrund av att alla särskilda registerförfattningar torde behöva ses över före ikraftträdandet av en ny persondatalag och att en översyn av dessa författningar inte kan anses ingå i vårt uppdrag (se avsnitt 8.2.1), lämnar vi inte något utarbetat förslag till särskild registerförfattning
342Se SOU 1993:10 s. 468.
343Se SOU 1996:40 s. 264.
344Se SOU 1992:110, särskilt s. 182 ff. Frågan bereds för närvarande inom Justitiedepartementet.
| SOU 1997: 39 | Regler i datalagen som bör flyttas till andra lagar 463 |
för SPAR, lika litet som till andra registerförfattningar. Eftersom det är fråga om bestämmelser som nu ingår i datalagen har vi emellertid ansett oss böra lämna synpunkter på förhållandet mellan SPAR och EG-direkti- vet.
Vid den praktiska tillämpningen av datalagen tilldrog sig redan tidigt förekomsten av s.k. befolkningsregister särskild uppmärksamhet. Datalagen i dess ursprungliga lydelse reglerade inte särskilt tillåtligheten av register som upptar stora delar av befolkningen inom hela riket eller delar av det. Datainspektionen var emellertid från början restriktiv och iakttog den principen att ingen, vare sig en myndighet eller ett företag, borde ha fler personer registrerade än vad som överensstämde med registrets ändamål. För företagens och organisationernas del innebar synsättet att endast personer som redan var kunder, anställda eller medlemmar eller som frivilligt medgett registrering fick registreras. Sedan regeringen i ett besvärsärende underkänt Datainspektionens dåvarande praxis blev frågan föremål för lagstiftning. Riksdagen intog ståndpunkten att inga personregister som fördes med automatisk databehandling borde få innehålla uppgifter om andra fysiska personer än som svarade mot myndigheternas eller organisationernas arbetsuppgifter eller verksamhetsområden. Det ansågs naturligt att ställa upp den presumtionen att den som bedriver en viss verksamhet saknar anledning att registrera alla eller ett betydande antal av de personer som är bosatta inom riket eller ett visst område. Det antogs vidare, att om ett centralt statligt personregister för registeraktualisering, personnummersättning, personnummerkontroll och urvalsdragning inrättades, så skulle vissa befolkningsregister bli obehövliga eller kunna inskränkas till sitt innehåll.
Riksdagen beslöt år 1976 inrättande av SPAR och antog en ny paragraf, 3 a §, i datalagen. Enligt den nuvarande lydelsen av denna paragraf får tillstånd att inrätta och föra personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning till denne meddelas endast om särskilda skäl föreligger. I datalagen infördes vidare, dock först år 1980, i 26–28 §§ särskilda bestämmelser om SPAR.
Statens person- och adressregisternämnd (SPAR-nämnden) är huvudman och registeransvarig myndighet för SPAR. Drift och marknadsföring av SPAR sköts för närvarande av Sema Group Infodata AB. SPAR får användas av såväl enskilda som myndigheter. Uppgifterna i SPAR hämtas från skatteförvaltningens register. Utlämnande från SPAR är avgiftsbelagt.
Grunddatabasutredningen (Fi 1996:06) överväger för närvarande hur vissa centrala databasers tillgänglighet, service och kvalitet skall förbättras
| 464 Regler i datalagen som bör flyttas till andra lagar | SOU 1997: 39 |
samtidigt som uppgiftslämnandet effektiviseras, samhällets kostnader minskas och integritets- och säkerhetsaspekter beaktas. Uppdraget omfattar bl.a. SPAR.
När SPAR kom till ansågs ett särskilt register för det breda tillhandahållandet vara bäst från integritetssynpunkt. Huruvida detta fortfarande är den bästa lösningen torde Grunddatabasutredningen komma att ta ställning till. Alltjämt synes dock gälla att det från integritetssynpunkt inte torde vara önskvärt att ett flertal personregister över totalbefolkningen kommer till stånd. SPAR synes därjämte fungera väl och tillgodose de behov som finns.
Tidigare torde det inte ha funnits skäl att frukta tillkomsten av privata register över totalbefolkningen. Tekniska skäl har hindrat en sådan utveckling. Läget är nu ett annat. Visserligen kan elektroniska uttag ur register inom det allmänna med tillämpning av de ändrade regler vi föreslår för offentlighetsprincipen förhindras genom en uttrycklig bestämmelse därom i en registerlag för SPAR eller andra stora register inom det allmänna. En- ligt offentlighetsprincipen måste dock de allmänna uppgifter som inte är sekretessbelagda lämnas ut på pappersmedier. Tekniken medger nu att sådana pappersbaserade uppgifter skannas in på elektroniska medier med påföljd att tanken på privata register över totalbefolkningen inte längre är opraktisk.
Tillkomsten av elektroniska register över totalbefolkningen kan därför bara förhindras i den mån EG-direktivet medger det. Ett ändamål enligt artikel 6 för insamling av personuppgifter skulle kunna sägas vara affärsverksamhet för tillhandahållande av uppgifter om t.ex. namn eller adress rörande befolkningen i dess helhet till dem som har behov av sådana uppgifter.
Den bestämmelse som skulle kunna utgöra grund för upprättande av privata totalregister över befolkningen – ett offentligt sådant torde vara av allmänt intresse och därför kunna inrättas enligt punkten e i artikel 7 – är punkten f) i samma artikel, som anger att personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1 (som särskilt innefattar rätten till privatliv).
För många europeiska länder torde den omfattande svenska personregistreringen framstå som främmande. Det säger sig själv att det knappast kan
| SOU 1997: 39 | Regler i datalagen som bör flyttas till andra lagar 465 |
ha föresvävat direktivets upphovsmän att direktivet skulle framtvinga ett svenskt medgivande till att antalet sådana register väsentligt utvidgas.
Enligt punkt 22 i ingressen till direktivet bör medlemsstaterna i sin lagstiftning eller genom andra bestämmelser som antas för att genomföra direktivet närmare ange de allmänna villkoren för att en behandling skall vara tillåten; särskilt artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att, oavsett de allmänna regler som gäller, ange särskilda villkor för behandlingen av uppgifter på särskilda områden och för de olika kategorier av uppgifter som behandlas i artikel 8.
Enligt vår mening bör en avvägning enligt artikel 7 punkt f) med hänsyn till behovet av skydd för privatlivet leda till att antalet register över totalbefolkningen eller andra stora befolkningsgrupper begränsas så mycket som möjligt. Allas behov bör kunna tillgodoses av det eller de allmänna register som kan bli resultatet av Grunddatabasutredningens arbete. Erforderlig konkurrens kan tillgodoses i samband med upphandlingen av driftansvariga för sådana register. Vi förordar att i en registerlag rörande befolkningsregister införs bestämmelser som står i samklang med 3 a och 26–28 §§ datalagen. Vi vill understryka att, i likhet med vad som gäller för närvarande, sådana bestämmelser inte kan hindra utlämnande av personuppgifter enligt offentlighetsprincipen.