Regeringskansliets rättsdatabaser

Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2006-02-23 Närvarande: f.d. justitierådet Staffan Magnusson, justitierådet Leif Thorsson och f.d. regeringsrådet Karl-Ingvar Rundqvist. Översyn av personuppgiftslagen Enligt en lagrådsremiss den 2 februari 2006 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i personuppgiftslagen (1998:204). Förslaget har inför Lagrådet föredragits av kanslirådet Katrin Hollunger Wågnert. Förslaget föranleder följande yttrande av Lagrådet: Allmänt I lagrådsremissen föreslås ändringar i personuppgiftslagen i syfte att - med bibehållet integritetsskydd - underlätta behandlingen av personuppgifter och bättre anpassa lagen till utvecklingen på främst IT-området. Eftersom några ändringar i EG-direktivet om skydd för personuppgifter inte är att vänta inom närmast överskådlig tid, sägs i remissen att förslaget har som utgångspunkt att så långt som möjligt utnyttja de möjligheter till undantag från och modifieringar av direktivets bestämmelser som är inbyggda i direktivet. Inriktningen anges sålunda vara att, inom direktivets ram, utforma personuppgiftslagen så att vardaglig behandling av personuppgifter som typiskt sett inte innefattar några större integritetsrisker förenklas. Personuppgiftslagen är nu utformad så att den reglerar i princip all hantering av personuppgifter, dvs. enligt vad som kallas hanteringsmodellen. Vid lagens tillkomst bedömdes det inte möjligt att genomföra EG-direktivet, som bygger på en sådan modell, på annat sätt. I förevarande lagstiftningsärende konstateras emellertid att hanteringsreglerna framstår som alltför omfattande och byråkratiska och att det i praktiken skulle stärka integritetsskyddet om man gör undantag för typiskt sett mindre riskfylld behandling och för det undantagna området skapar enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter (en s.k. missbruksmodell). I lagrådsremissen diskuteras förslagets förenlighet med EG-direktivet, varvid den bedömningen görs att ett undantag från de flesta materiella bestämmelserna i direktivet för behandling av personuppgifter i ostrukturerat material är förenligt med direktivet, om behandlingen inte tillåts innebära en kränkning av den registrerades personliga integritet. Bedömningen grundas främst på en förnyad tolkning av direktivet, innebärande att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet - yttrande- eller informationsfriheten - som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och artikel 26.1 d att detta utnyttjande inte hindras i samhället. Mot bakgrund av att personuppgiftslagutredningen och en del remissinstanser uttalat viss tvekan beträffande en sådan bedömning framhålls att det är svårt att med någon nämnvärd säkerhet uttala sig om tolkningen är oantastlig ur ett EG-rättsligt perspektiv. Därför framhålls också några andra omständigheter till stöd för tolkningen, nämligen dels att EG-domstolen i en dom år 2003 har tagit särskild hänsyn till utvecklingen inom informationsteknologin och därvid tolkat direktivet med viss flexibilitet, dels att EG-kommissionen i en rapport om genomförandet av direktivet gjort uttalanden om att förenklade villkor för behandling av personuppgifter som inte innebär någon avsevärd risk för den enskildes rättigheter kan uppnås genom att göra bruk av det handlingsutrymme som direktivet ger, bl.a. i artikel 13. Vid en återblick på förarbetena till personuppgiftslagen (främst prop. 1997/98:44 s. 36 f.) konstaterar Lagrådet att den diskussion som fördes kring lagens uppbyggnad berörde i synnerhet frågan om det fanns något tillfredsställande alternativ till en lagstiftning som reglerade i princip all hantering av personuppgifter. Svaret på frågan blev nekande och det framhölls därvid bl.a. att ingen kunnat konkret ange hur det skulle kunna vara möjligt med hänsyn till direktivet att använda en renodlad missbruksmodell. Inriktningen skulle därför vara att söka utöva påverkan inom EU för att framdeles kunna använda en lagstiftning som mera koncentrerades till vad som kunde karaktäriseras som ett missbruk av personuppgifter. Av det tämligen kortfattade resonemanget i propositionen att döma synes valet ha stått mellan att bygga lagens grund antingen på en genomgående hanteringsmodell eller på en mera utpräglad missbruksmodell. När frågan om lagstiftningens utformning nu tas upp igen är att notera att ändringsförslaget inte syftar till att gå ifrån lagens grundkonstruktion utan i stället till att i viss begränsad utsträckning tillföra lagen inslag av en missbruksmodell, nämligen i sådana hänseenden där vägande praktiska skäl talar för förenkling och lättnad i hanteringsregleringen. Lagrådet har vid sin genomgång av lagförslaget i relation till direktivets bestämmelser inte kunnat undgå att känna tvekan inför den friare tolkning av direktivet som nu förordas för att möjliggöra den föreslagna partiella systemändringen. Det kan kanppast påstås att det i ärendet har framkommit säkra hållpunkter för att ändringarna i alla delar är EG-rättsligt godtagbara. Osäkerhet kvarstår främst om huruvida hänvisningen i direktivets artikel 13.1 g till skyddet av den registrerades eller andras fri- och rättigheter har så generell syftning som den nu framlagda tolkningen bygger på. Ett problem är dessutom att den allmänt hållna lagregel (första stycket i en ny 5 a §) som föreslås för att avgränsa det område som avses undantaget från hanteringsregleringen inrymmer uttryck som måste antas ge upphov till tillämpningssvårigheter. Därmed finns en risk för att tillämpningen kan variera betydligt i avgränsningsfrågan och att beslut fattas som inte visar sig hålla vid prövning mot innehållet i direktivet. Även bortsett från de EG-rättsliga aspekterna ger utformningen av den föreslagna undantagsregleringen anledning till tvekan. Varken den nya bestämmelse som skall begränsa tillämpningsområdet för ett antal centrala hanteringsregler eller den bestämmelse som skall gälla för det undantagna området (förbudet mot kränkning av den registrerades personliga integritet) ger någon fastare vägledning för rättstillämpningen. Mot detta har också framförts kritik under remissbehandlingen av utredningsbetänkandet bakom lagrådsremissen. Bl.a. har Datainspektionen i sitt remissyttrande starkt ifrågasatt om reglerna kan vinna förståelse och acceptans hos en bred allmänhet för vilken dessa skall gälla; enligt Datainspektionen bör krävas att det går att förutse vad som är tillåtet och vad som är förbjudet. Förslaget måste således antas medföra påtagliga problem från rättssäkerhetssynpunkt och det ter sig ovisst om svårigheterna kan bemästras någotsånär tillfredsställande genom praxisbildning, allmänna råd från Datainspektionen och informationsinsatser. Vid en slutlig bedömning av förslaget får vägas in att det, såvitt framkommit, finns ett mycket framträdande behov av att förverkliga de med förslaget avsedda lättnaderna i nuvarande lagreglering. Remissinstanserna har genomgående ställt sig övervägande positiva till åtgärden. Något bearbetningsbart alternativ till den valda utformningen av lagförslaget har inte kommit till synes i ärendet. Trots de betänkligheter som förslaget väcker vill Lagrådet inte avstyrka att reformen genomförs. I det följande tar Lagrådet upp några detaljbetonade frågor i anslutning till två av de nya paragrafer som föreslås införda i personuppgiftslagen. 5 a § Den föreslagna bestämmelsen anger ett antal paragrafer i personuppgiftslagen som inte skall tillämpas när personuppgifter är avsedda att ingå i en samling som inte strukturerats på visst angivet sätt. Som anges i remissens författningskommentar följer härav att vissa andra, anslutande bestämmelser då inte heller skall tillämpas. Det är riktigt att dessa logiskt utesluts från tillämpning, men förståelsen av lagen underlättas om även dessa paragrafer anges i 5 a §. Den tekniken har redan använts i lagens 7 §. Vidare framgår av remissen att personuppgifter i det angivna fallet trots undantaget i 5 a § får behandlas med tillämpning av de där angivna bestämmelserna. I sådant fall blir inte den föreslagna bestämmelsen i 5 a § andra stycket tillämplig; en otillåten kränkning av den personliga integriteten presumeras alltså inte ske om hanteringsreglerna följs även vid behandling i en samling personuppgifter som inte strukturerats för att påtagligt underlätta sökning eller sammanställning av personuppgifterna. Det blir då missvisande att tala om att hanteringsreglerna "inte skall" tillämpas eftersom det faktiskt är tillåtet. Uttrycket "[s]ådan behandling" i andra stycket behöver tydliggöras. Enligt Lagrådets mening bör paragrafen följaktligen lyda så: Bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 §§ behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet. 52 § I en ny 52 § har tagits in bestämmelser om överklagande av vissa myndighetsbeslut enligt personuppgiftslagen. Paragrafen kompletterar den nuvarande 51 §, som handlar om överklagande av tillsynsmyndighetens beslut. I första stycket av 52 § anges vilka myndighetsbeslut som det är fråga om. Vidare sägs att "andra beslut" enligt personuppgiftslagen inte får överklagas. I andra stycket föreskrivs att prövningstillstånd krävs vid överklagande till kammarrätten, medan tredje stycket anger att de båda föregående styckena inte gäller beträffande beslut av riksdagen, regeringen och riksdagens ombudsmän. Lagrådet förordar att det görs en omredigering av såväl de nuvarande som de föreslagna överklagandebestämmelserna, så att innebörden blir klarare och onödiga upprepningar undviks. Bestämmelserna kan lämpligen delas upp på tre olika paragrafer och ges följande lydelse: 51 § Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol. Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas. 52 § En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol. Första stycket gäller inte för beslut av riksdagen, regeringen eller riksdagens ombudsmän. 53 § I andra fall än när en överklaganderätt följer av 51 och 52 §§ får beslut enligt denna lag inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Prop. 2005/06:173 Bilaga 5 1 81 1 1