Post 4311 av 7191 träffar
Propositionsnummer ·
2005/06:173 ·
Hämta Doc ·
Översyn av personuppgiftslagen Prop. 2005/06:173
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 173
Regeringens proposition
2005/06:173
Översyn av personuppgiftslagen
Prop.
2005/06:173
Regeringen överlämnar denna proposition till riksdagen.
Harpsund den 16 mars 2006
Göran Persson
Thomas Bodström
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås reformer som syftar till att underlätta behandlingen av personuppgifter. Personuppgiftslagen utformas i viss utsträckning enligt en missbruksmodell. Den innebär att regleringen inte tar sikte på själva hanteringen av personuppgifterna utan på att uppgifterna inte får missbrukas till skada för någons personliga integritet. Behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, skall undantas från de flesta av personuppgiftslagens detaljerade hanteringsregler. Sådan behandling skall vara tillåten utan andra restriktioner än att den registrerades personliga integritet inte får kränkas.
Personuppgiftslagens bestämmelser om skadestånd skall gälla även för förfaranden i strid med den föreslagna missbruksregeln. Vidare skall det vara straffbart att i strid med missbruksregeln uppsåtligen eller av grov oaktsamhet behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. på ett sätt som kränker den registrerades personliga integritet. Detsamma skall gälla för den som i strid med missbruksregeln för över personuppgifter till tredje land som saknar en adekvat nivå för skyddet av personuppgifter. Straffskalan skall vara densamma som för övriga brott enligt personuppgiftslagen.
Gärningar som begås av oaktsamhet av normalgraden skall inte längre vara straffbara.
I personuppgiftslagen införs en bestämmelse om att vissa beslut enligt lagen som fattats av myndigheter skall kunna överklagas till allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätt.
Vidare införs ett bemyndigande för regeringen att meddela föreskrifter om sådana undantag som är tillåtna enligt artikel 13.1 i EG-direktivet om personuppgifter.
I propositionen görs bedömningen att förslagen är förenliga med EG-direktivet om personuppgifter (95/46/EG).
Lagändringarna föreslås träda i kraft den 1 januari 2007.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Förslag till lag om ändring i personuppgiftslagen (1998:204) 6
3 Ärendet och dess beredning 9
4 Allmänt om den rättsliga regleringen av behandling av personuppgifter 9
4.1 Regeringsformen 9
4.2 Europakonventionen 10
4.3 EG-direktivet om personuppgifter 10
4.4 Personuppgiftslagen 11
4.5 Europarådets dataskyddskonvention 11
5 Steg mot en missbruksmodell 12
5.1 Vad avses med en missbruksmodell respektive hanteringsmodell? 12
5.2 Uttalanden från regeringen och riksdagen i samband
med genomförandet av EG-direktivet om
personuppgifter 12
5.3 Vidtagna åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell 13
6 Personlig integritet 14
6.1 Allmänt om begreppet personlig integritet 14
6.2 Särskilt om personlig integritet vid automatiserad behandling av personuppgifter 15
6.3 Motstående intressen 16
6.4 Integritetsskyddskommittén 16
7 Några utgångspunkter 17
8 Vardaglig behandling av personuppgifter underlättas 18
8.1 Missbruksmodell för personuppgiftsbehandling i ostrukturerat material 18
8.2 Behandlingen får inte innebära en kränkning av den registrerades personliga integritet 25
8.3 Förslagets förenlighet med EG-direktivet om skydd för personuppgifter 29
8.3.1 Möjligheter till undantag enligt EG-
direktivet 29
8.3.2 Missbruksregeln är förenlig med EG-
direktivet 31
8.4 Vilka bestämmelser i personuppgiftslagen bör
undantaget omfatta? 38
8.5 Skadestånd, straff och tillsyn 42
9 Övriga förslag 46
9.1 Avkriminalisering 46
9.1.1 Gällande rätt 46
9.1.2 Avkriminalisering av oaktsamhet av normalgraden 47
9.2 Registerutdrag 48
9.2.1 Gällande rätt 48
9.2.2 Ingen ändring av skyldigheten att lämna registerutdrag avseende behandlingar i strukturerat material 49
9.3 Överklagande av myndighetsbeslut 50
9.4 Undantag enligt artikel 13 i EG-direktivet om personuppgifter 53
9.4.1 Artikel 13 i EG-direktivet 53
9.4.2 Rätt för regeringen att i fall som avses i
artikel 13 i EG-direktivet föreskriva om undantag 54
10 Ikraftträdande- och övergångsbestämmelser 56
11 Kostnadseffekter 57
12 Författningskommentar 58
Bilaga 1 Sammanfattning av Personuppgiftslagsutredningens betänkande översyn av personuppgiftslagen (SOU 2004:6) 62
Bilaga 2 Personuppgiftslagsutredningens författningsförslag 66
Bilaga 3 Förteckning över remissinstanser (SOU 2004:6) 71
Bilaga 4 Lagrådsremissens lagförslag 72
Bilaga 5 Lagrådets yttrande 75
Utdrag ur protokoll vid regeringssammanträde den 16 mars 2006 80
Rättsdatablad 81
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till lag om ändring i personuppgiftslagen (1998:204).
2 Förslag till lag om ändring i personuppgiftslagen (1998:204)
Härigenom föreskrivs i fråga om personuppgiftslagen (1998:204)
dels att 7, 49 och 51 §§ skall ha följande lydelse,
dels att det i lagen skall införas fyra nya paragrafer, 5 a, 8 a, 52 och 53 §§, samt närmast före 5 a och 8 a §§ nya rubriker, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
Undantag för behandling av personuppgifter i ostrukturerat material
5 a §
Bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 §§ behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.
Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av den registrerades personliga integritet.
7 §
Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Bestämmelserna i 9-29 och 33-44 §§ samt 45 § första stycket och 47-49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Bestämmelserna i 5 a, 9-29 och 33-44 §§ samt 45 § första stycket och 47-49 §§ skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.
Föreskrifter om undantag från vissa bestämmelser
8 a §
Regeringen får meddela föreskrifter om undantag från 9, 23-26 och 28 §§ samt 29 § andra stycket och 42 §, om det är nödvändigt med hänsyn till
a) rikets säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning eller avslöjande av brott eller av överträdelse av etiska regler som gäller för lagreglerade yrken,
e) åtal för brott,
f) ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen,
g) myndighetsutövning som avser tillsyn, inspektion eller reglering i fråga om sådant som nämns i c-f, eller
h) skyddet av fri- och rättigheter.
49 §1
Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§, eller
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §.
Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet
a) lämnar osann uppgift i sådan information till registrerade som föreskrivs i denna lag, i anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 §,
b) behandlar personuppgifter i strid med 13-21 §§,
c) för över personuppgifter till tredje land i strid med 33-35 §§,
d) låter bli att göra anmälan enligt 36 § första stycket eller enligt föreskrifter meddelade med stöd av 41 §,
e) behandlar sådana personuppgifter som avses i 13 och 21 §§ i strid med 5 a § andra stycket, eller
f) i strid med 5 a § andra stycket för över personuppgifter till tredje land som inte har en sådan adekvat nivå för skyddet av personuppgifterna som avses i 33 §.
I ringa fall döms inte till ansvar.
Den som överträtt ett vitesföreläggande enligt 44 § eller 45 § första stycket döms inte till ansvar för en gärning som omfattas av vitesföreläggandet.
51 §
Tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att dess beslut skall gälla även om det överklagas.
52 §
En myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvaltningsdomstol.
Första stycket gäller inte för beslut av riksdagen, regeringen eller riksdagens ombudsmän.
53 §
Andra beslut enligt denna lag än sådana som avses i 47, 51 och 52 §§ får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 1 januari 2007. Föreskrifterna i 52 § skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
3 Ärendet och dess beredning
Efter beslut av regeringen den 21 februari 2002 tillkallades en särskild utredare med uppgift att se över personuppgiftslagen (1998:204) i syfte att, inom ramen för EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter), åstadkomma ett regelverk som i större utsträckning än i dag tar sikte på att reglera missbruk av personuppgifter. I den utsträckning det med hänsyn till EG-direktivet är möjligt med lättnader i hanteringsreglerna skulle utredaren föreslå de bestämmelser som är nödvändiga för att förhindra missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten. Utredaren skulle också överväga behovet av en ändring i 7 kap. 16 § sekretesslagen (1980:100), som hänvisar till personuppgiftslagen, samt ett förtydligande av hur myndigheters beslut enligt personuppgiftslagen kan överklagas.
Utredningen, som antog namnet Personuppgiftslagsutredningen, presenterade i januari 2004 betänkandet Översyn av personuppgiftslagen, SOU 2004:6. Utredningens sammanfattning av betänkandet finns i bilaga 1. Utredningens lagförslag finns i bilaga 2.
Utredningens betänkande har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. En sammanställning av remissvaren finns tillgänglig i Justitiedepartementet (dnr Ju2004/1417/L6).
I denna proposition behandlar regeringen bl.a. utredningens förslag till missbruksmodell för viss personuppgiftsbehandling. Utredningens förslag och bedömningar när det gäller offentlighetsprincipens och sekretesslagens förhållande till personuppgiftslagen tas inte upp nu. Regeringen avser att återkomma till de frågorna i ett annat sammanhang.
Denna proposition bygger på en överenskommelse mellan den socialdemokratiska regeringen, Vänsterpartiet och Miljöpartiet.
Lagrådet
Regeringen beslutade den 2 februari 2006 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådets synpunkter på förslagen behandlas i avsnitt 8 och i författningskommentaren. Regeringen har i allt väsentligt följt Lagrådets förslag. Därutöver har vissa redaktionella ändringar gjorts.
4 Allmänt om den rättsliga regleringen av behandling av personuppgifter
4.1 Regeringsformen
Den grundläggande bestämmelsen om integritetsskyddet vid automatiserad behandling av personuppgifter finns i 2 kap. 3 § andra stycket regeringsformen. Enligt den bestämmelsen skall varje medborgare i den utsträckning som anges i lag skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne registreras med hjälp av automatisk databehandling. Sådana integritetsskyddande regler finns huvudsakligen i personuppgiftslagen, genom vilken EG-direktivet om personuppgifter har genomförts.
4.2 Europakonventionen
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) gäller som lag i Sverige. Artikel 8 har betydelse för myndigheters rätt att behandla personuppgifter. Där stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till vissa uppräknade motstående intressen.
Primärt innebär artikel 8 att staten skall avhålla sig från ingrepp i den skyddade rättigheten, utom i de fall som omfattas av de i artikeln föreskrivna undantagen. Artikelns räckvidd är dock inte begränsad i detta avseende utan staten är också i viss mån skyldig att vidta positiva åtgärder för att skydda den enskildes privata sfär. Sådana positiva åtgärder kan utgöras av lagstiftning men också av skydd mot övergrepp i särskilda situationer.
4.3 EG-direktivet om personuppgifter
Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet om personuppgifter). EG-direktivets syfte är att skapa en gemensam hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsstaterna. Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när personuppgifter får behandlas. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom Europeiska unionen.
EG-direktivet innehåller en rad materiella bestämmelser som reglerar all hantering av personuppgifter och är därmed utformat enligt en s.k. hanteringsmodell (mer om olika regleringsmodeller i avsnitt 5.1). I direktivet finns bl.a. generella regler om vilka krav som ställs vid behandling av personuppgifter, när sådan behandling är tillåten, information till den registrerade, rättelse av personuppgifter, säkerheten vid behandlingen och överföring av personuppgifter till tredje land, dvs. till en stat utanför EU och EES.
EG-direktivet gäller inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av EG-rätten, t.ex. statens verksamhet på straffrättens område eller som rör allmän säkerhet och försvar. Det gäller heller inte för sådan behandling av personuppgifter som utförs av en fysisk person som ett led i en verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll.
4.4 Personuppgiftslagen
EG-direktivet om personuppgifter har i Sverige genomförts genom bl.a. personuppgiftslagen (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180, SFS 1998:204).
Lagen är, liksom EG-direktivet, teknikoberoende och tillämpas på såväl automatiserad behandling av personuppgifter som på manuell behandling av personuppgifter om de är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning efter särskilda kriterier (manuellt register).
Vid genomförandet ansåg regeringen att det inte var möjligt att uppfylla skyldigheten att genomföra EG-direktivet på annat sätt än genom att införa en lagstiftning enligt EG-direktivets hanteringsmodell (prop. 1997/98:44 s. 36 ff.). Personuppgiftslagen följer därför i stora delar EG-direktivets text och struktur med följd att lagstiftningen i princip reglerar all hantering av personuppgifter oavsett om hanteringen i det enskilda fallet kan sägas utgöra ett missbruk av uppgifterna och därmed en kränkning av den registrerades personliga integritet.
I likhet med direktivet gäller personuppgiftslagen inte för sådan behandling som utförs som ett led i en verksamhet av rent privat natur. Till skillnad från direktivet har personuppgiftslagen däremot gjorts generellt tillämplig på så sätt att den omfattar även sådant som faller utanför EG-rätten. Avvikande bestämmelser i lag eller förordning gäller dock framför personuppgiftslagen. Man valde alltså att behålla den sedan datalagens tid gällande svenska ordningen med en generell skyddslagstiftning och nödvändiga särregler i särskilda författningar.
Personuppgiftslagen trädde i kraft den 24 oktober 1998. Enligt lagens övergångsbestämmelser (punkt 2) gällde dock datalagen (1973:289) till och med den 30 september 2001 för sådan automatiserad behandling som påbörjats före personuppgiftslagens ikraftträdande. För viss manuell behandling av personuppgifter skall vissa bestämmelser i personuppgiftslagen inte börja tillämpas förrän den 1 oktober 2007 (punkt 3 i övergångsbestämmelserna). För sådan behandling har således personuppgiftslagen ännu inte börjat gälla fullt ut.
4.5 Europarådets dataskyddskonvention
Bestämmelser om automatiserad behandling av personuppgifter finns även i Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen kan ses som en precisering av skyddet för bl.a. privatlivet enligt artikel 8 i Europakonventionen såvitt avser användning av automatisk databehandling.
Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk databehandling av personuppgifter i allmän och enskild verksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet för konventionen i dess helhet.
Enligt artikel 9 i konventionen får avvikelser göras från de viktigaste materiella bestämmelserna i konventionen. Sådana avvikelser skall finnas i lag och vara nödvändiga i ett demokratiskt samhälle för att bl.a. skydda den registrerades eller andra personers fri- och rättigheter.
Dataskyddskonventionens roll i Sverige och i övriga EU har i princip övertagits av dataskyddsdirektivet inom dess tillämpningsområde i och med att direktivet införlivats i medlemsländernas nationella rätt.
5 Steg mot en missbruksmodell
5.1 Vad avses med en missbruksmodell respektive hanteringsmodell?
Begreppen missbruksmodell och hanteringsmodell introducerades i förarbetena till personuppgiftslagen (SOU 1997:39 s. 179 ff. och prop. 1997/98: 44 s. 36 f.).
Förenklat uttryckt reglerar en lagstiftning uppbyggd enligt en hanteringsmodell själva hanteringen av personuppgifter oavsett om hanteringen kan betecknas som harmlös eller känslig från integritetssynpunkt. Regleringen omfattar all användning av personuppgifter oavsett syfte, omfattning och art. I en sådan modell finns därmed regler om hur personuppgifter skall hanteras från det att de samlas in till dess de utplånas.
En reglering enligt en missbruksmodell koncentrerar sig i stället på sådant utnyttjande av personuppgifter som kan karakteriseras som ett missbruk. Så länge inte personuppgifterna missbrukas på så sätt att den personliga integriteten kränks är behandlingen tillåten. De som förespråkar en sådan modell brukar utgå från att själva hanteringen av personuppgifterna skall vara i det närmaste fri. Det väsentliga i den modellen blir i stället att identifiera vilken användning av personuppgifter som utgör ett sådant missbruk att den bör förbjudas, dvs. i första hand skadeståndsbeläggas eller kriminaliseras.
5.2 Uttalanden från regeringen och riksdagen i samband med genomförandet av EG-direktivet om personuppgifter
Vid genomförandet av EG-direktivet konstaterade regeringen att den då föreslagna hanteringsmodellen framstod som omodern (prop. 1997/98:44 s. 37). Mycket av den användning av personuppgifter som den ökade datoriseringen har medfört måste enligt regeringen betraktas som harmlös. Allt fler medborgare har tillgång till dator samt e-post och annan kommunikation i världsomspännande nätverk, såsom Internet. Regeringen ansåg därför att det finns starka skäl att verka för att det blir möjligt att gå från en lagstiftning efter en hanteringsmodell till en mer missbruksinriktad lagstiftning, dvs. en reglering som mer koncentrerar sig på att motverka missbruk av personuppgifter.
Även riksdagen har vid flera tillfällen understrukit behovet av dels en revidering av EG-direktivet, dels en översyn av personuppgiftslagen. I samband med att riksdagen behandlade motioner från den allmänna motionstiden 1998 hemställde riksdagen i ett tillkännagivande till regeringen (bet. 1998/99:KU15, rskr. 1998/99:147) att regeringen med kraft bör verka inom EU för att EG-direktivet revideras samt tillse att en översyn av personuppgiftslagen kommer till stånd med syfte att, så långt det är möjligt inom EG-direktivets ram, åstadkomma en förändring av lagstiftningen i riktning mot ett regelverk som tar sikte på missbruk av personuppgifter. Riksdagen har därefter vid ett flertal tillfällen hänvisat till sina tidigare uttalanden samt understrukit vikten av att regeringen fortsätter arbetet såväl inom EU som nationellt med att få till stånd en mer missbruksinriktad reglering (bet. 1999/2000:KU7, rskr.1999/2000:51, bet. 2000/01:KU19, bet. 2001/02:KU22).
5.3 Vidtagna åtgärder i syfte att åstadkomma en mer missbruksinriktad regleringsmodell
Regeringen har vidtagit en rad åtgärder i syfte att få till stånd en mer missbruksinriktad regleringsmodell. Redan i samband med att personuppgiftslagen trädde i kraft 1998 gav regeringen Datainspektionen i uppdrag att bl.a. utreda det närmare behovet av att göra undantag från förbudet i 33 § personuppgiftslagen när det gäller vissa överföringar av personuppgifter till tredje land, t.ex. vid behandling av personuppgifter på Internet. I oktober 1999 lade regeringen fram förslag till ändringar i personuppgiftslagens överföringsregler och straffbestämmelser (prop. 1999/2000:11). Dessa antogs av riksdagen (bet. 1999/2000:KU7, rskr. 1999/2000:51) och trädde i kraft den 1 januari 2000 (SFS 1999:1210). Vidare har regeringen per den 1 januari 2001 ändrat personuppgiftsförordningen (1998:1191) för att underlätta för kommuner och landsting att publicera personuppgifter på Internet. Per den 1 oktober 2001 har regeringen också gjort ändringar i förordningar för att underlätta dels myndigheters behandling av känsliga personuppgifter i löpande text, dels arkivmyndigheternas hantering av bestämmelserna i personuppgiftslagen om registerutdrag. Ett antal s.k. registerförfattningar med modifieringar av bestämmelserna i personuppgiftslagen har också utarbetats. Lagstiftningsarbetet har sammantaget medfört att skyddet för personuppgifter i högre grad än tidigare inriktas på de förfaranden som medför mer betydelsefulla integritetsrisker och att lagstiftningen i viss utsträckning kan sägas ha närmat sig en sådan missbruksinriktad regleringsmodell som riksdagen och regeringen förespråkat.
Under hösten 2000 presenterade Justitiedepartementet ett utkast med förslag till ändring i EG-direktivet (Ju 2000/4977/L6). Den föreslagna ändringen syftar till en förenklad reglering av skyddet för personuppgifter och är inriktad på att förhindra missbruk av sådana uppgifter. Samtidigt bjöd departementet in representanter för riksdagspartierna att ingå i en samrådsgrupp om direktivet.
För att få in synpunkter på eventuella tillämpningsproblem som direktivet orsakat utarbetade Justitiedepartementet vidare en enkät för en offentlig utvärdering av direktivet och utkastet till missbruksmodell. Enkäten remitterades till myndigheter, organisationer och företag och kunde också besvaras av var och en via Internet. Enkätsvaren har sammanställts i promemorian EG-direktivet om personuppgifter - En offentlig utvärdering (Ds 2001:27). Av sammanställningen framgår bl.a. att Justitiedepartementets utkast till missbruksmodell fick ett överväldigande positivt gensvar. Den offentliga utvärderingen visade också att det finns en betydande osäkerhet om hur nuvarande bestämmelser i personuppgiftslagen skall tillämpas.
Åtgärder har också vidtagits på internationell nivå. Således tog bl.a. Sverige initiativ till en seminarieserie med företrädare för EG-kommissionen och medlemsstaterna för att bl.a. diskutera tillämpningsproblem. Sverige har också tagit upp behovet av ändringar mot en mer missbruksinriktad modell inom ramen för Europarådets arbete.
Sverige har vidare tillsammans med Storbritannien, Österrike och Finland utarbetat förslag till lättnader i direktivet och presenterat dessa för EG-kommissionen i en gemensam skrivelse (dnr EUJu 2002/2852/L6).
Sverige har dessutom i olika sammanhang under hand till EG-kommissionen framfört sina önskemål om en revidering av direktivet i riktning mot en missbruksmodell.
6 Personlig integritet
6.1 Allmänt om begreppet personlig integritet
Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). Begreppet personlig integritet är dock inte definierat i vare sig personuppgiftslagen eller EG-direktivet. Inte heller på annat håll i svensk lagstiftning finns det någon definition av begreppet.
I olika utredningar (se t.ex. Tvångsmedelskommitténs betänkande Tvångsmedel - Anonymitet - Integritet [SOU 1984:54 s. 42]) har man med utgångspunkt bl.a. i de grundläggande fri- och rättigheterna i 2 kap. regeringsformen försökt ringa in begreppet genom att skilja mellan den rumsliga integriteten (hemfriden), den materiella integriteten (egendomsskyddet), den kroppsliga integriteten (skydd för liv och hälsa, mot ingrepp i eller mot kroppen), den personliga integriteten i fysisk mening (skyddet för den personliga friheten och rörelsefriheten) och den personliga integriteten i ideell mening (skyddet för privatlivet och för personligheten inklusive den privata ekonomin).
Ett annat sätt att bestämma begreppet den personliga integriteten är enligt Stig Strömholm (se Svensk Juristtidning 1971 s. 695 och Individens skyddade personlighetssfär, i Om våra rättigheter. Antologi utgiven av Rättsfonden, 1980) att ange vilka handlingar som kan anses kränka någons integritet. Man kan då dela in kränkningarna i tre huvudgrupper: 1) intrång i en persons privata sfär, oavsett om det sker i fysisk eller annan mening; 2) insamlande av uppgifter om en persons privata förhållanden; 3) offentliggörande eller annan användning (t.ex. som bevisning i en rättegång) av uppgifter om en persons privata förhållanden.
Uppfattningen om vad som kan sägas omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans eller hennes integritet har kränkts eller inte.
Trots att det inte finns någon entydig definition av begreppet personlig integritet kan det måhända sägas att kränkning av densamma innebär ett intrång i en fredad sfär som den enskilde bör vara tillförsäkrad och där ett oönskat intrång, såväl psykiskt som fysiskt, bör kunna avvisas.
6.2 Särskilt om personlig integritet vid automatiserad behandling av personuppgifter
Att automatiserad behandling av personuppgifter är omgärdad av vissa regler är av avgörande betydelse för att skyddet av den personliga integriteten i ideell mening skall kunna upprätthållas. Sådan behandling av personuppgifter kan innebära särskilda risker ur ett integritetsperspektiv då tekniken gör det möjligt att enkelt såväl samla in och sammanställa stora mängder av personuppgifter som att sprida dem.
Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Sådana tankegångar kan sägas ligga till grund för de dataskyddsprinciper som utarbetats och som hanteringsreglerna i personuppgiftslagen och EG-direktivet tar sin utgångspunkt i.
Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten kan sägas till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Värderingarna i samhället påverkas i sin tur bl.a. av hur informationstekniken uppfattas och används. Detta är emellertid ett dynamiskt område där utvecklingen går snabbt.
När myndigheter och andra stora organisationer kunde både ha information lättillgänglig och bearbeta den automatiserat ökade oron för intrång i den personliga integriteten och utarbetades som ett svar de dataskyddsprinciper som ligger bakom EG-direktivet.
Utvecklingen av informationstekniken har därefter gått snabbt. Datorer, och därmed tekniken att enkelt lagra och bearbeta information, har blivit ett vardagligt arbetsredskap och var mans egendom. Internationella datakommunikationsnätverk, såsom Internet, har utvecklats och fått ett enormt genomslag hos organisationer och enskilda. Dessa nätverk kan användas inte bara för att kommunicera enskilt med anslutna användare utan också som ett lättillgängligt massmedium där vem som helst kan publicera information. Därmed har den grundläggande konflikten mellan integritetsskydd å ena sidan och yttrande- och informationsfrihet å andra sidan accentuerats.
6.3 Motstående intressen
Rätten till skydd för den personliga integriteten är inte absolut, utan kan bli föremål för inskränkningar. Skyddet för den personliga integriteten måste vägas mot motstående legitima och grundläggande värden och intressen, såsom yttrandefrihet, informationsfrihet, offentlighet och brottsbekämpning.
Man måste beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan komplexitet som det vi lever i. Utgångspunkten i förarbetena till 1973 års datalag var att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer (prop. 1973:33 s. 89). Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt eller med andra ord vad som är en kränkning av den personliga integriteten och vad som inte är det.
Mot bakgrund härav kan man säga att en persons integritet kränks i den mån det sker ett intrång i hans eller hennes privata sfär t.ex. genom att uppgifter om honom eller henne, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla egenskaper, uppfattningar eller handlingar. Rätten till personlig integritet kan beskrivas som en "prima facie-rättighet". Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.
6.4 Integritetsskyddskommittén
Regeringen har tillsatt en parlamentariskt sammansatt kommitté, Integritetsskyddskommittén (Ju 2004:05), som har i uppdrag att kartlägga och analysera sådan lagstiftning som rör den personliga integriteten och överväga om det vid sidan av befintlig lagstiftning behövs generellt tillämpliga bestämmelser till skydd för den personliga integriteten och i så fall lämna förslag på en sådan reglering (dir. 2004:51).
Bakgrunden till kommitténs uppdrag är att frågan om integritetsskydd i svensk rätt har aktualiserats de senaste åren, bl.a. i samband med debatten om en effektiv brottsbekämpning och mot bakgrund av den snabba teknikutvecklingen.
Kommittén skall också överväga om grundlagsregeln om integritetsskydd i 2 kap. 3 § andra stycket regeringsformen (RF) bör ändras och i så fall föreslå en ny grundlagsreglering. Enligt den bestämmelsen skall varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Bestämmelsen slår med andra ord fast att det på det här området skall finnas ett skydd för den personliga integriteten. Till skillnad från vad som gäller enligt de flesta andra fri- och rättighetsregler i 2 kap. RF, ges skyddet i detta fall i vanlig lag och inte i grundlag. Kommittén skall överväga dels om det är lämpligt och möjligt att utforma en grundlagsbestämmelse om skyddet för integriteten så att den får samma slags rättsliga betydelse som de flesta andra reglerna i 2 kap. RF, dels om den bör utformas så att den inte hänvisar till något visst tekniskt förfarande, som automatisk databehandling.
7 Några utgångspunkter
Rådande värderingar i samhället ger vid handen att personuppgiftslagens hanteringsregler i många fall upplevs som alltför restriktiva och byråkratiska i förhållande till det integritetsskydd ett upprätthållande av reglerna kan ge. Detta stöds bl.a. av Justitiedepartementets offentliga utvärdering av reglerna (EG-direktivet om personuppgifter - En offentlig utvärdering, Ds 2001:27). I takt med att datorer blivit tillgängliga för envar och datoranvändning blivit en vardaglig sak har hanteringsreglerna kommit att framstå som alltmer otidsenliga. När reglerna skall tillämpas varje dag inte bara av regelrätta registerförare och deras specialiserade medhjälpare utan också av så gott som varje anställd samt varje privatperson, så snart fråga inte är om behandling av personuppgifter i en verksamhet av rent privat natur (se 6 § personuppgiftslagen), är det naturligt att söka få till stånd enklare regler som på ett mer konkret sätt skyddar den personliga integriteten.
De dataskyddsprinciper som ligger bakom hanteringsreglerna i personuppgiftslagen och de många särskilda registerförfattningar som anknyter till lagen är emellertid fortfarande i allra högsta grad adekvata och relevanta i fråga om hantering av personuppgifter i stora, regelrätta registerstrukturer. Det gäller t.ex. de stora databaser med personuppgifter som finns hos myndigheter och större företag, såsom banker och försäkringsbolag, eller företag som specialiserat sig på registerhantering av personuppgifter vid t.ex. kreditupplysning eller direkt marknadsföring eller vars verksamhet förutsätter sådan hantering i större skala, t.ex. videouthyrning.
En modern lagstiftning avseende behandling av personuppgifter bör utformas så att den är väl anpassad till den snabba tekniska utvecklingen på framförallt på IT-området. Tekniska landvinningar på IT-området bör inte få medföra att regleringen i vissa delar blir orimlig och svår att tillämpa och efterleva. Å andra sidan skall regleringen vara så utformad att integritetsskyddet inte försvagas i takt med att tekniken utvecklas. Den alltmer utbredda och sammansmälta användningen av informationsteknik i vardagslivet, särskilt i kombination med lagring, bearbetning och kommunikation av den information som framkommer, har inneburit nya möjligheter att kartlägga individer på ett ibland osynligt sätt. Denna utveckling ställer nya krav på den lagstiftning som skall skydda enskilda mot att deras integritet otillbörligen kränks.
Ytterst sätter naturligtvis EG-direktivet om personuppgifter en gräns för hur den nationella lagstiftningen på området kan utformas. Det står nu klart att kommissionen inte inom någorlunda överskådlig tid lär komma att presentera några förslag till ändringar av direktivet, se Första rapporten om genomförandet av dataskyddsdirektivet (KOM [2003] 265 slutlig s. 8 f.). Under dessa förutsättningar bör enligt regeringens uppfattning utgångspunkten vara att de möjligheter till undantag från och modifieringar av direktivets bestämmelser som finns inbyggda i direktivet självt utnyttjas så långt det är möjligt och att personuppgiftslagen därmed utformas så att den, inom direktivets nuvarande ram, underlättar sådan vardaglig behandling av personuppgifter som typiskt sett inte innefattar några större integritetsrisker. För stora traditionella register och databaser där integritetsriskerna generellt sett är större torde däremot personuppgiftslagens detaljerade hanteringsreglering till stora delar vara både ändamålsenlig och, med hänsyn till direktivet, nödvändig samt heller inte vålla några påtagliga tillämpningsproblem.
8 Vardaglig behandling av personuppgifter underlättas
8.1 Missbruksmodell för personuppgiftsbehandling i ostrukturerat material
Regeringens förslag: Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter skall omfattas av en missbruksmodell.
Utredningens förslag: Överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser är positiva till att personuppgiftsregleringen lättas upp. En del remissinstanser, bl.a. Kammarrätten i Stockholm, Länsrätten i Stockholms län, juridiska fakultetsnämnden vid Stockholms universitet, Sveriges advokatsamfund, Datainspektionen och Skatteverket, påpekar dock att förslaget kommer att medföra gränsdragningsproblem och efterlyser fler exempel på vilka behandlingar av personuppgifter som kommer att omfattas av missbruksregeln och vilka som även fortsättningsvis kommer att omfattas av hanteringsreglerna.
Skälen för regeringens förslag
En missbruksreglering bör införas
Som har konstaterats i föregående avsnitt är det vid behandling av personuppgifter i personuppgiftsanknutna registerstrukturer, t.ex. traditionella myndighetsregister och stora ärendehanteringssystem där man enkelt kan söka efter och sammanställa personuppgifter, som hanteringsreglerna i EG-direktivet om personuppgifter och i personuppgiftslagen har ett särskilt berättigande på grund av de integritetsrisker som normalt är förknippade med sådan behandling.
Sedan direktivet utarbetades i början och mitten av 1990-talet har emellertid teknikutvecklingen gått starkt framåt. Reglerna kan inte anses anpassade för den i dag utbredda användningen av datoriserad informationsteknik för ostrukturerad vardagshantering och kommunikation som vanligtvis är helt harmlös ur ett integritetsperspektiv. När personuppgifterna inte ingår i en personuppgiftsanknuten registerstruktur utan finns i ostrukturerad form, t.ex. i löpande text och i form av enstaka ljud- och bildupptagningar, är det texten, ljudet eller bilden som är det centrala och inte möjligheterna att söka efter och sammanställa ett stort antal personuppgifter. Fokus ligger på att sprida information, väcka debatt och kommunicera med andra. Vid sådan behandling gör sig därmed informations- och yttrandefrihetsintressen extra tydligt gällande och skyddet för den personliga integriteten måste vägas mot sådana motstående intressen i större utsträckning än vid behandling av personuppgifter i traditionella register och databaser. Man kan, som bl.a. Radio- och TV-verket och Sveriges Television AB gjort, med visst fog hävda att hanteringsreglerna i vissa fall kan hämma yttrandefriheten bl.a. eftersom det inte sällan uppstår osäkerhet om hur de skall tillämpas.
Behandling av personuppgifter kan givetvis även i ett ostrukturerat material innebära en kränkning av den personliga integriteten eller medföra risk för en sådan kränkning i ett enskilt fall. Vid behandling av personuppgifter som inte finns i en tydligt personuppgiftsanknuten registerstruktur framstår emellertid hanteringsreglerna som alltför omfattande och byråkratiska med hänsyn bl.a. till att integritetsriskerna normalt är mindre och till de informations- och yttrandefrihetsintressen som gör sig gällande. Som både utredningen och en del remissinstanser framhållit är det heller inte realistiskt att tro att hanteringsreglerna i praktiken tillämpas i någon större utsträckning vid vardaglig, ostrukturerad hantering av personuppgifter. Man riskerar därmed att de grundläggande och viktiga dataskyddsprinciperna råkar i vanrykte och inte tillämpas ens vid sådan strukturerad behandling av personuppgifter där de är nödvändiga för integritetsskyddet. Mot bakgrund av detta skulle enligt regeringens bedömning integritetsskyddet i praktiken stärkas om man undantar typiskt sett mindre riskfylld behandling från hanteringsreglernas tillämpningsområde och i stället skapar enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter.
Sammanfattningsvis talar enligt regeringens mening en rad omständigheter för att personuppgiftsregleringen bör lättas upp för sådan vardaglig behandling av personuppgifter som typiskt sett inte innebär några större risker för kränkningar av de registrerades personliga integritet. Exakt vilka av hanteringsreglerna i personuppgiftslagen som det med hänsyn till EG-direktivet är möjligt att göra undantag från behandlas i avsnitt 8.4.
Avgränsningsfrågor - inledning
Frågan är då hur man avgränsar det slag av personuppgiftsbehandlingar som bör undantas från hanteringsreglernas tillämpningsområde. Utredningen har funnit att avgränsningen bör knytas till materialets struktur eftersom det är just struktureringen av ett material med avseende på personuppgifter som kan innebära särskilda integritetsrisker. Remissinstanserna har inte haft något att invända mot den föreslagna avgränsningen i sig, men påtalat att frågan inte är okomplicerad och att förslaget kan leda till nya tillämpningsproblem. Ingen har dock hävdat att dessa potentiella problem bör leda till att förslaget inte genomförs.
Regeringen ansluter sig till utredningens bedömning att det bör vara materialets struktur som bildar utgångspunkt för vad som skall omfattas av ett undantag från hanteringsreglerna. Precis som utredningen själv och många remissinstanser framhållit är emellertid ett sådant förslag inte helt oproblematiskt. Allt som finns i digital form i t.ex. datorer är i någon mening strukturerat och utvecklingen går mot att struktureringen omfattar allt mer och blir mer automatiserad och avancerad. Den tekniska utvecklingen på området medför att det inte är möjligt att ange absolut fasta ramar och kriterier för vad som skall omfattas av en missbruksregel. Varje avgränsning som görs måste bli föremål för utveckling och anpassning i rättstillämpningen. Till detta kommer att lagstiftningen bör utformas så att den inte i takt med den tekniska utvecklingen blir orimlig eller svår att tillämpa och efterleva. Å andra sidan bör naturligtvis lagstiftaren ge så mycket vägledning som möjligt. Lagstiftningen måste vara förutsebar för den enskilde särskilt mot bakgrund av att överträdelser kan leda till såväl skadeståndsansvar som, i vissa begränsade fall, straffansvar (se vidare i avsnitt 8.5). Regeringen vill heller inte utesluta att lagstiftningen efter en tid måste ses över i ljuset av den tekniska utvecklingen. Problemen skall dock inte överdrivas. Till skillnad från Lagrådet menar regeringen att förslaget inte kommer att medföra påtagliga problem från rättssäkerhetssynpunkt, även om gränsdragningen i vissa enskilda fall inte kommer att vara självklar. Man kan, som bl.a. Länsrätten i Stockholms län framhållit, utgå från att även om gränsdragningen inte är helt lätt att göra torde det i många fall vara ännu svårare för den enskilde att tillämpa hanteringsreglerna på ostrukturerat material. Som kommer att framgå av det följande har den föreslagna missbruksregeln vidare ett tydligt och klart avgränsat kärnområde som torde göra den enkel att tillämpa i praktiken i de allra flesta fall. Till detta kommer att Datainspektionen, i sin egenskap av tillsynsmyndighet, har en viktig funktion att fylla genom att i allmänna råd och annan vägledning konkretisera tillämpningen av regeln.
Nedan kommer regeringen att - mot bakgrund av de tekniska tillämpningar som är mera allmänt förekommande i dag - ange dels utgångspunkter för bedömningen av vad som skall omfattas av en s.k. missbruksregel, dels några exempel på sådant.
Personuppgiftsanknuten struktur
Avgränsningen bör alltså knytas till materialets struktur. Behandling av personuppgifter som ingår i en struktur, t.ex. ett regelrätt register eller en databas, bör omfattas av hanteringsreglerna, medan behandling av övriga personuppgifter undantas. Dock bör inte varje strukturering av ett material med personuppgifter innebära att hanteringsreglerna skall tillämpas på behandlingen av personuppgifterna i materialet. Som konstaterats i det föregående är allt som finns i digital form i t.ex. datorer i någon mening strukturerat. En generell strukturering av ett material bör mot bakgrund härav inte medföra att hanteringsreglerna skall tillämpas. Med generell strukturering avser regeringen, i likhet med utredningen, att ett material har strukturerats, t.ex. genom indexering, med avseende på flera olika slags uppgifter utan att just personuppgifter har markerats som sådana. Enbart det förhållandet att alla teckensträngar i t.ex. ordbehandlingsdokument på en eller flera hårddiskar har indexerats eller enkelt kan indexeras bör exempelvis inte medföra att hanteringsreglerna blir tillämpliga. Ett annat exempel är s.k. sökmotorer på Internet där teckensträngar m.m. i material som finns tillgängligt på Internet indexeras.
Indexering som tar sikte på just personuppgifter, dvs. en märkning av att vissa uppgifter är just personuppgifter, t.ex. ett personnamn eller ett personnummer, innebär dock att en personuppgiftsanknuten struktur skapats. Då har man skapat en registerstruktur avseende, inte alla teckensträngar eller vilka teckensträngar som helst utan just personuppgifter. För att hanteringsreglerna skall bli tillämpliga bör det krävas att det finns en tydlig personuppgiftsanknuten struktur.
Det är fråga om en personuppgiftsanknuten struktur om materialet, t.ex. det som ingår i ett dokument- och ärendehanteringssystem, har strukturerats för att underlätta sökning efter och sammanställning av just personuppgifter. Det är fallet om det i ett register eller i en databas finns fält där just personuppgifter har fyllts i, exempelvis fält för namn, personnummer, avsändare och handläggare. Med personuppgiftsanknuten struktur avses alltså att ett material har strukturerats så att just personuppgifter har markerats som sådana; dessutom kan flera andra slags uppgifter i materialet ha markerats.
En avgränsning som enbart tar hänsyn till om struktureringen av ett material är personuppgiftsanknuten eller inte är förhållandevis enkel att förstå och tillämpa. En sådan avgränsning är emellertid inte tillräcklig, eftersom den skulle medföra att alltför mycket av harmlös eller inte personuppgiftsinriktad behandling skulle omfattas av hanteringsreglerna. Varje personuppgiftsanknuten strukturering av ett material bör därför inte innebära att hanteringsreglerna måste tillämpas på behandlingen av personuppgifter i materialet. För att så skall vara fallet bör krävas att den personuppgiftsanknutna struktureringen av materialet har uppnått en viss nivå eller kvalitet. Som utredningen har föreslagit bör materialet ha strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter för att missbruksregeln inte skall vara tillämplig. Det är med hänsyn till den tekniska utvecklingen och det förhållandet att datortekniken kommer till allmän användning på allt fler områden svårt att uttömmande ange fasta hållpunkter för vilken nivå eller kvalitet på den personuppgiftsanknutna struktureringen som bör krävas för att hanteringsreglerna skall behöva tillämpas. Avsikten är att sådant som inte framstår som något regelrätt personregister eller någon annan form av system, som upprättats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, skall vara undantaget från hanteringsreglerna.
Det är främst ett par olika typer av personuppgiftsanknuten strukturering som kan anföras som exempel på vad som inte bör medföra att hanteringsreglerna behöver tillämpas. Den första gäller enkel personuppgiftsanknuten strukturering. Den andra gäller utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad.
Enkel personuppgiftsanknuten struktur
Med enkel personuppgiftsanknuten strukturering avses sådana situationer där datorteknikens fördelar i fråga om strukturering i förhållande till manuell hantering egentligen inte har använts. I dessa fall gör sig också informations- och yttrandefrihetsintressena särskilt gällande. Det kan t.ex. handla om en lista med personuppgifter som skrivits in i bokstavsordning i ett ordbehandlingsdokument eller på en webbsida. Har personuppgifterna inte strukturerats på annat sätt än att de registrerats så att de står i en viss ordning (eventuellt under olika rubriker) bör det anses vara fråga om en enkel personuppgiftsanknuten strukturering som bör vara undantagen från hanteringsreglerna. Det kan exempelvis handla om att en förening presenterar en lista på medlemmarna i styrelsen på sin hemsida eller att en kommun på sin hemsida listar vilka som innehar kommunala förtroendeuppdrag.
Sedvanligt utnyttjande av allmänt använda funktioner
I fråga om sedvanligt utnyttjande av allmänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad handlar det om sedvanligt utnyttjande av vardagsfunktioner där det med hänsyn till informations- och yttrandefrihetsintressena inte är rimligt att hanteringsreglerna skall behöva tillämpas. Mot bakgrund av dagens situation kan man exempelvis identifiera två typer av personuppgiftsanknuten strukturering som inte bör medföra att hanteringsreglerna behöver tillämpas.
Den första situationen gäller sedvanlig användning av datorns fil-system. Det är inte ovanligt att en användare systematiskt namnger filer och mappar eller kataloger i datorns filsystem med hjälp av personuppgifter. Det kan t.ex. handla om en mapp med ett personnamn som innehåller filer med korrespondens i datumordning med den aktuella personen eller att filer som berör en person namnges efter dennes namn. I sådana fall har man skapat ett system för personuppgiftsanknuten strukturering som dock inte bör medföra att hanteringsreglerna behöver tillämpas på personuppgifterna i materialet. Vad som nu sagts bör dock inte gälla om filerna (oavsett hur de har namngetts) i sig ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett kvalificerat dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet.
Den andra situationen gäller sedvanlig användning av datorstödd kommunikation. Vid sådan kommunikation är det oftast på grund av teknikens inneboende egenskaper nödvändigt att registrera uppgifter om såväl mottagare som avsändare, annars kan kommunikationen inte förmedlas. Dessa uppgifter utgör för det mesta personuppgifter som automatiskt hamnar i en personuppgiftsanknuten struktur som gör det lätt för användaren att söka fram t.ex. meddelanden. Ett exempel utgör e-postprogram. Genom ett enkelt handgrepp kan man som regel få fram de meddelanden som sänts till eller mottagits från en viss person eller i vart fall dennes e-postadress, vilken uppgift normalt utgör en personuppgift. En enskild medarbetares egen sedvanliga användning av t.ex. e-postprogram för sin kommunikation bör dock inte medföra att hanteringsreglerna behöver tillämpas. Vad som nu sagts bör dock inte gälla om meddelandena ingår i ett mer kvalificerat system för personuppgiftsanknuten strukturering, t.ex. ett dokument- eller ärendehanteringssystem; det avgörande är då vilka regler som är tillämpliga på behandlingen av personuppgifter i det systemet. Man kan utgå från att vid exempelvis marknadsföring ingår personuppgifterna i praktiken alltid i ett sådant system som medför att hanteringsreglerna skall tillämpas på den behandlingen. Det bör också framhållas att de loggfiler med uppgifter om medarbetarnas kommunikation som en organisation kan spara inte avses med det som nu sagts. Avsikten är att undanta medarbetarnas egen sedvanliga användning av datorstödd kommunikation, inte att undanta organisationens registrering av medarbetarnas kommunikation.
Helheten är avgörande
Det är således bara behandling av personuppgifter i ett material som har en personuppgiftsanknuten strukturering som når upp till en viss nivå eller kvalitet som bör omfattas av hanteringsreglerna. Om materialet som sådant, dvs. hela samlingen av uppgifter, har strukturerats så att hanteringsreglerna är tillämpliga, skall hanteringsreglerna tillämpas vid behandling av alla personuppgifter - strukturerade och ostrukturerade - som finns i materialet oavsett om vissa personuppgifter i materialet inte har strukturerats. Personuppgifterna kan nämligen finnas t.ex. i ordbehandlingsdokument, i inskannade dokument och i ljud- och bildupptagningar som i och för sig kan vara ostrukturerade men som ingår i den strukturerade samlingen av uppgifter, t.ex. ett ärendehanteringssystem. Det är själva samlingen av uppgifter som skall vara strukturerad på visst sätt, inte varje personuppgift eller handling som ingår i samlingen. I exempelvis ett försäkringsbolags ärendehanteringssystem avseende enskilda personers försäkringar kan det ingå ordbehandlingsdokument eller e-post med korrespondens med den försäkrade eller annan samt inskannade läkarintyg m.m. och genom en enkel sökning på den försäkrades namn kan alla dessa dokument och andra personuppgifter som strukturerats sammanställas. I ett sådant fall skall självfallet hanteringsreglerna tillämpas vid behandling av alla personuppgifter oavsett vilken person - t.ex. den försäkrade, läkaren eller försäkringshandläggaren - uppgifterna rör.
En del remissinstanser har tagit upp frågan om vilka regler ett elektroniskt diarium och de däri registrerade handlingarna bör vara underkastade. Svaret är, enligt regeringens mening, i viss mån beroende av om de registrerade handlingarna är elektroniskt knutna till diariet eller inte. Som exempel kan tas en myndighets diarium över allmänna handlingar, vari det enligt 15 kap. 2 § sekretesslagen (1980:100) skall anges t.ex. från vem handlingen har kommit in eller till vem den har expedierats. Eftersom ett sådant diarium är strukturerat bl.a. med avseende på just personuppgifter, och får anses ha konstruerats för att påtagligt underlätta sökning efter just personuppgifter, torde det inte råda något tvivel om att det omfattas av hanteringsreglerna. De handlingar som innehåller personuppgifter och som registrerats i diariet omfattas också av hanteringsreglerna såvida de är elektroniskt åtkomliga via själva diariet. Om det däremot inte finns någon elektronisk koppling mellan diariet och handlingarna kan dessa inte anses omfattade av hanteringsreglerna enbart av den anledningen att de finns omnämnda där. Ett sådant resonemang kan appliceras också på elektroniska dokument- och ärendehanteringssystem hos t.ex. företag och organisationer. Så länge de enskilda dokumenten kan sägas ingå i det strukturerade och elektroniska systemet (databasen) omfattas all behandling av personuppgifter i dessa dokument av hanteringsreglerna. Detta gäller även de dokument som ännu inte infogats i systemet (databasen) och som kanske ännu befinner sig endast i en medarbetares dator, men som är avsedda att sedermera infogas i databasen, t.ex. utkast till beslut, brev etc.
Det förtjänar vidare påpekas att om vissa personuppgifter är underkastade hanteringsreglerna, t.ex. på grund av att de ingår i ett kvalificerat ärendehanteringssystem eller ett regelrätt register, är det hanteringsreglerna som avgör om uppgifterna får lämnas ut därifrån för att användas, av tredje man eller den personuppgiftsansvarige själv, i löpande text och annat sådant ostrukturerat material som omfattas av den föreslagna missbruksregeln. Hur personuppgifterna får behandlas när de i sådana fall väl lämnats ut avgörs av missbruksregeln, dvs. uppgifterna får inte behandlas på ett sådant sätt att den registrerades personliga integritet kränks.
När det gäller att avgöra vad som ingår i det strukturerade materialet, själva samlingen av uppgifter får man, som utredningen har framhållit, anlägga ett naturligt, i bemärkelsen praktiskt, betraktelsesätt. Eftersom det krävs att materialet har strukturerats ligger det i sakens natur att strukturen har sina gränser, dvs. att materialet utgörs av en på något sätt avgränsad mängd uppgifter (de uppgifter som med hjälp av strukturen kan hänföras till varandra). Då det också krävs att struktureringen är personuppgiftsanknuten, ingår helt enkelt alla de uppgifter som kan hänföras till de strukturerade personuppgifterna. Det får överlämnas till rättstillämpningen att med ledning av ett praktiskt betraktelsesätt från fall till fall bedöma vilka uppgifter som kan hänföras till de strukturerade personuppgifterna.
Kort sammanfattning av vad som bör omfattas av en missbruksregel
Sammanfattningsvis innebär förslaget att hanteringsreglerna i personuppgiftslagen inte behöver tillämpas på sådan vardaglig hantering som produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller skall infogas i en databas med en personuppgiftsanknuten struktur såsom ett ärendehanteringssystem. Den som i sin dator vill hantera personuppgifter i löpande text, t.ex. enkla meddelanden eller kortare och längre texter, eller i ljud och bild eller i e-post behöver således normalt inte tillämpa hanteringsreglerna i personuppgiftslagen. Detta kan sägas utgöra vad som inledningsvis benämndes som missbruksregelns kärnområde. Om man vill infoga materialet i någon form av databas behöver man dock göra ytterligare överväganden. Har databasen en personuppgiftsanknuten struktur, där just personuppgifter har markerats som sådana, måste hanteringsreglerna tillämpas.
Ett införande av en missbruksregel innebär naturligtvis inte att man skulle vara förhindrad att tillämpa hanteringsreglerna på en behandling av personuppgifter som i och för sig ryms inom missbruksregelns tillämpningsområde. Om någon i ett enskilt fall är osäker på om hans eller hennes behandling av personuppgifter omfattas av det föreslagna undantaget står det givetvis honom eller henne fritt att i stället välja att tillämpa hanteringsreglerna. Som utredningen har påpekat kan det nämligen inte anses vara fråga om ett missbruk av personuppgifterna om hanteringsreglerna faktiskt har följts.
8.2 Behandlingen får inte innebära en kränkning av den registrerades personliga integritet
Regeringens förslag: Behandling av personuppgifter i ostrukturerat material får inte utföras om den innebär en kränkning av den registrerades personliga integritet.
Utredningens förslag: Överensstämmer i sak med regeringens. Utredningen har dock föreslagit att rekvisitet otillbörligt intrång i den personliga integriteten används.
Remissinstanserna: En majoritet av remissinstanserna har inte haft något att invända mot utredningens förslag. Såväl Länsrätten i Stockholms län som Justitiekanslern har haft vissa invändningar mot det föreslagna rekvisitet "otillbörligt intrång i den personliga integriteten". Datainspektionen påpekar att det kan bli en svår och känslig uppgift för inspektionen att avgöra om en behandling av personuppgifter innebär ett otillbörligt intrång i den personliga integriteten. Juridiska fakultetsnämnden vid Stockholms universitet menar att det är problematiskt att tillåtligheten av en stor del av alla personuppgiftsbehandlingar kommer att styras av ett begrepp med så oklar innebörd som "personlig integritet".
Skälen för regeringens förslag
Hur bör ett skydd för den personliga integriteten utformas?
Att regeringen gjort bedömningen att behandling av personuppgifter i ostrukturerat material inte bör omfattas av hanteringsreglerna i personuppgiftslagen innebär givetvis inte att regeringen anser att sådan behandling bör vara oreglerad. För det första skulle en sådan ordning inte vara förenlig med vare sig EG-direktivet om personuppgifter eller artikel 8 i Europakonventionen (se avsnitt 4.2). En sådan ordning skulle heller inte vara önskvärd med hänsyn till det allmänna samhälleliga intresset och behovet av att skydda enskilda mot kränkningar av deras personliga integritet. Det råder nämligen ingen tvekan om att behandling av personuppgifter också i ett ostrukturerat material kan innebära en sådan kränkning, även om risken för kränkningar är mindre än när den digitala teknikens särskilda möjligheter till sammanställning, strukturering och spridning av en stor mängd personuppgifter utnyttjas.
Som beteckningen på den lagstiftningsmodell - missbruksmodell - som regeringen föreslagit antyder, måste det alltså även vid behandling av personuppgifter i ostrukturerat material finnas regler som skyddar den enskilde mot att hans eller hennes personuppgifter missbrukas.
Regeringen delar utredningens bedömning att det inte är vare sig möjligt eller lämpligt att i lagen införa en uttömmande uppräkning av alla de fall av behandling av personuppgifter som kan utgöra missbruk av personuppgifter och därmed en kränkning av en enskilds personliga integritet. Ingen remissinstans har heller redovisat någon annan uppfattning. Vad som är tillåtet eller inte tillåtet bör i stället styras av en allmän bestämmelse till skydd mot missbruk.
Utredningen har valt att uttrycka det så att sådan behandling som undantas från hanteringsreglerna får utföras endast om den inte innebär ett otillbörligt intrång i den personliga integriteten. Såväl Justitiekanslern som Länsrätten i Stockholms län har haft invändningar mot det föreslagna rekvisitet. Justitiekanslern har påtalat att skadestånd för "otillbörligt intrång i den personliga integriteten" är en nyhet i svensk rätt. Länsrätten i Stockholms län har å sin sida framhållit att det inte är lämpligt att använda sig av det begreppet eftersom motsvarande begrepp fanns i datalagen och samma innebörd nu inte är avsedd. Regeringen kan väsentligen instämma i dessa invändningar. Som framgår av 1 § personuppgiftslagen är syftet med lagen att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Vidare skall enligt 48 § i lagen skadestånd utgå för bl.a. kränkning av den personliga integriteten. Mot bakgrund härav framstår det som naturligt att knyta utformningen av missbruksregeln närmare till vad som är det grundläggande syftet med lagstiftningen, nämligen att skydda mot kränkningar. Missbruksregeln bör därför enligt regeringens mening utformas så att behandling av personuppgifter som innebär en kränkning av den registrerades personliga integritet inte får utföras. Någon skillnad i sak jämfört med utredningens föreslagna formulering är inte avsedd.
Vad kan utgöra en kränkning av den personliga integriteten?
Innan regeringen övergår till att utveckla vad som kan utgöra en kränkning av den registrerades personliga integritet bör det slås fast att avsikten med den föreslagna regleringen inte är att automatiserad personuppgiftsbehandling skall bedömas som en kränkning av den personliga integriteten och därmed en överträdelse av personuppgiftslagen i större utsträckning än i dag. Förutom att en sådan ordning skulle kunna hävdas vara en omotiverad inskränkning av informations- och yttrandefriheten och strida mot det grundläggande syftet med att införa en missbruksreglering, skulle den också strida mot EG-direktivet om personuppgifter vars syfte är tvåfalt; dels att skydda fysiska personers privatliv, dels att främja det fria flödet av personuppgifter inom EU. Sverige får inte uppställa högre krav på behandlingen av personuppgifter eller tillåta mindre än vad EG-direktivet ger utrymme för eftersom detta skulle innebära en otillåten inskränkning av det fria flödet av personuppgifter.
Som framgår av avsnitt 6.1 finns det inte i svensk lagstiftning någon definition av begreppet "personlig integritet". Det är svårt att formulera en entydig och allmänt accepterad definition av begreppet. Regeringen finner inte anledning att i detta lagstiftningsärende söka slå fast en sådan definition. Mycket skulle heller inte vara vunnet med detta om man inte samtidigt kunde fastställa t.ex. vilka beståndsdelar av den personliga integriteten som bör skyddas, under vilka omständigheter så bör ske och i vilken omfattning. Detta är inte möjligt att göra på ett generellt plan utan man är hänvisad till att på mer eller mindre kasuistisk basis ta ställning till vad som omfattas av det skyddsvärda området. Det ligger i sakens natur att tillämpningen av en bestämmelse som den föreslagna får bygga på en intresseavvägning där den registrerades intresse av en fredad, privat, sfär vägs mot andra motstående intressen i det enskilda fallet. Detta ligger också i linje med vad EG-domstolen uttalat i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01, REG. 2003 s. I-12971) om att det åligger de nationella myndigheterna och domstolarna att vid tolkning av de bestämmelser som genomför EG-direktivet i nationell lagstiftning göra en avvägning mellan olika intressen och inte grunda sig på en tolkning som skulle stå i strid med bl.a. de grundläggande rättigheter som skyddas genom gemenskapernas rättsordning.
Som utgångspunkt för bedömningen av om en behandling av personuppgifter innebär en kränkning av den registrerades personliga integritet kan tas bestämmelserna om grundläggande krav i 9 § och om när behandling av personuppgifter är tillåten i 10 § personuppgiftslagen. Har dessa bestämmelser följts, trots att de i och för sig inte är tillämpliga på behandlingen, kan behandlingen inte betraktas som en kränkning. Det kan i vissa fall gälla även om behandlingen har omfattat känsliga personuppgifter. Över huvud taget bör graden av känslighet hos de personuppgifter som behandlas vara bara en faktor bland flera som bör beaktas vid en samlad bedömning. Omnämnandet t.ex. av att person A är förkyld och därför hemma från arbetet innefattar behandling av känsliga personuppgifter (13 §, uppgift om hälsa) och skulle enligt nuvarande regler bedömas som en överträdelse av personuppgiftslagen för det fall inte någon av undantagssituationerna i 14-19 §§ är för handen. Detta torde ytterst sällan, om ens i något fall, kunna bedömas som en kränkning av den registrerades personliga integritet enligt den föreslagna missbruksregeln ens om uppgiften sprids via Internet.
Bedömningen av vad som är en kränkning skall alltså inte göras schablonartat enbart utifrån vilka uppgifter som behandlas utan måste även ta sin utgångspunkt i t.ex. vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller har riskerat att få samt vad behandlingen kan leda till.
Om uppgifter samlas in eller annars behandlas med syfte att förfölja eller skandalisera en person, får behandlingen givetvis anses innebära en kränkning av den personliga integriteten. Det kan exempelvis gälla publicering på Internet av bilder på en f.d. pojk- eller flickvän i eller utan badkläder eller av rent personliga detaljer om dennes beteende. Ett annat exempel som kan anföras är behandling, i form av t.ex. spridning, av uppgifter om meningsmotståndare i syfte att möjliggöra angrepp på dessa på grund av t.ex. deras politiska uppfattning, sexuella läggning eller etniska ursprung.
En enskild person torde ofta ha rätt att kräva att ingen har en i det närmaste fullständig kunskap om honom eller henne. Redan det förhållandet att en personuppgiftsansvarig samlar en stor mängd uppgifter om en person utan något godtagbart ändamål måste därför oftast ses som en kränkning av den personliga integriteten. Som exempel kan tas en hyresvärd som närmast av nyfikenhet samlar bilder på och anteckningar i löpande text om iakttagelser av en hyresgäst.
Vidare får det oftast anses innebära en kränkning av den registrerades personliga integritet om den personuppgiftsansvarige medvetet behandlar personuppgifter som är klart felaktiga eller missvisande.
Om skälet till att personuppgifterna behandlas i ostrukturerad form är att kringgå hanteringsreglerna för att på så sätt få behandla t.ex. uppgifter om lagöverträdelser, som man annars inte fått behandla, bör det med hänsyn till omständigheterna, t.ex. mängden uppgifter och syftet med behandlingen, kunna vara att betrakta som ett missbruk i missbruksregelns mening.
De angivna riktlinjerna är relevanta inte bara för intern hantering hos den personuppgiftsansvarige utan också vid spridning av personuppgifter i automatiserad form. Riktlinjerna ger exempelvis skydd mot spridning utan godtagbart skäl av en stor mängd uppgifter om en person och mot medveten spridning av uppgifter som är klart felaktiga eller missvisande.
Vad man dessutom skulle kunna överväga är om det behövs skydd mot spridning dels av uppgifter som innebär ett angrepp på någons heder och ära, dels av förtroliga eller djupt personliga uppgifter.
I fråga om angrepp på annans heder och ära finns det redan allmängiltiga regler om förtal och förolämpning. Förtal innebär enligt 5 kap. 1 § första stycket brottsbalken att utpeka någon som brottslig eller klandervärd i sitt levnadssätt eller annars lämna uppgift som är ägnad att utsätta denne för andras missaktning. Enligt andra stycket i samma paragraf skall det dock inte dömas för förtal, om den som lämnat uppgifterna var skyldig att uttala sig eller det annars med hänsyn till omständigheterna var försvarligt att lämna denna uppgift i saken och han eller hon dessutom visar att uppgiften var sann eller att han eller hon hade skälig grund för den. Förolämpning innebär enligt 5 kap. 3 § brottsbalken att smäda annan genom kränkande tillmäle eller beskyllning eller genom annat skymfligt beteende mot denne.
En spridning av personuppgifter som innebär förtal eller förolämpning är givetvis att betrakta som en kränkning av den personliga integriteten i den föreslagna missbruksregelns mening. Regeringen delar utredningens bedömning att det härutöver inte behövs några särskilda regler till skydd mot angrepp på heder och ära vid just automatiserad behandling av personuppgifter i ostrukturerat material.
Beträffande spridning av förtroliga eller djupt personliga uppgifter finns det redan i viss utsträckning författningsbestämmelser och etiska regler eller motsvarande som föreskriver tystnadsplikt i fråga t.ex. om uppgifter om personliga förhållanden. Dessa regler kan sägas ge uttryck för vilka förhållanden som bör hemlighållas. En spridning av personuppgifter som innebär brott mot sådana bestämmelser och riktlinjer bör i de flesta fall anses utgöra en kränkning av den personliga integriteten i missbruksregelns mening.
Något allmänt skydd mot spridning - genom automatiserad behandling eller på annat sätt, t.ex. manuellt eller muntligen - av förtroliga eller djupt personliga uppgifter, som inte innebär förtal, finns däremot inte utan här råder det öppenhet, yttrande- och informationsfrihet. Det finns enligt regeringens mening inte anledning att i det här sammanhanget se annorlunda på automatiserad spridning av sådana personuppgifter i ostrukturerat material än på muntlig eller manuell spridning. Avsikten med missbruksregeln är således inte att tillskapa ett generellt skydd mot vad som i dagligt tal i och för sig kan betecknas som en kränkning av den personliga integriteten. Detta ligger i linje med vad regeringen i inledningen av detta avsnitt har framhållit, nämligen att avsikten med den föreslagna ändringen inte är att fler förfaranden än i dag skall komma att bedömas som överträdelser av personuppgiftslagen.
Sammanfattning
De riktlinjer som redovisats i det föregående kan sammanfattas enligt följande.
* Behandla inte personuppgifter för otillbörliga syften, såsom förföljelse eller skandalisering.
* Samla inte utan godtagbara skäl en stor mängd uppgifter om en person.
* Rätta personuppgifter som visar sig vara felaktiga eller missvisande.
* Förtala eller förolämpa inte någon annan.
* Bryt inte mot sekretess eller tystnadsplikt.
Det är således i praktiken fråga om några ganska enkla och självklara handlingsregler, varav flera redan följer av annan lagstiftning. Det är naturligtvis alltid svårt att göra schablonmässiga bedömningar av vad som skall anses utgöra en kränkning av den personliga integriteten. Som regeringen framhållit i det föregående är det i slutändan en fråga för rättstillämpningen att i varje enskilt fall, med beaktande av samtliga omständigheter, väga det intrång som kan ha skett i den personliga integriteten mot eventuella motstående intressen.
8.3 Förslagets förenlighet med EG-direktivet om skydd för personuppgifter
8.3.1 Möjligheter till undantag enligt EG-direktivet
EG-direktivet om skydd för personuppgifter lämnar ett förhållandevis stort handlingsutrymme till medlemsstaterna att under vissa förutsättningar göra undantag från och modifiera en rad av direktivets bestämmelser. I det följande redovisar regeringen de artiklar som är av särskilt intresse i detta sammanhang.
Enligt artikel 13.1 kan medlemsstaterna genom lagstiftning begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.
* de grundläggande kraven på behandlingen av personuppgifter (artikel 6.1, som motsvaras av 9 § personuppgiftslagen)
* skyldigheten att informera den registrerade (artikel 10 och 11.1, som motsvaras av 23-25 §§ personuppgiftslagen)
* rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, som motsvaras av 26 och 28 §§ samt 29 § andra stycket personuppgiftslagen)
* reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, som motsvaras av 42 § personuppgiftslagen och 7 § personuppgiftsförordningen [1998:1191])
En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till olika uppräknade intressen, bl.a., såvitt här är av intresse, skyddet av den registrerades eller andras fri- och rättigheter (punkt g).
I artikel 7, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, räknas det upp i vilka fall personuppgifter får behandlas. Kan en tilltänkt behandling inte hänföras under något av de uppräknade punkterna får den inte genomföras. Det är punkt f som kan vara aktuell att tillämpa när man överväger att generellt tillåta behandling av personuppgifter i ostrukturerat material. Av den framgår att medlemsstaterna skall föreskriva att personuppgifter får behandlas om behandlingen är nödvändig för ändamål som rör berättigade intressen hos den personuppgiftsansvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter.
I artikel 8, från vilken artikel undantag inte heller kan göras med stöd av artikel 13.1, finns det tillkommande begränsningar för behandlingen av vissa särskilda kategorier av personuppgifter. Avser en viss behandling sådana särskilda kategorier av personuppgifter måste således villkoren enligt såväl artikel 7 som artikel 8 vara uppfyllda för att behandlingen skall få genomföras.
I artikel 8.1 föreskrivs det att medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I artikel 8.2 och 8.3 anges i vilka fall sådana s.k. känsliga personuppgifter får behandlas trots det principiella förbudet enligt artikel 8.1. Enligt artikel 8.4 får medlemsstaterna - under förutsättning av lämpliga skyddsåtgärder - av hänsyn till ett viktigt allmänt intresse antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag från förbudet mot att behandla känsliga personuppgifter. Sådana undantag skall enligt artikel 8.6 anmälas till kommissionen.
I artikel 8 finns det vidare bestämmelser om andra kategorier av uppgifter än s.k. känsliga personuppgifter, nämligen uppgifter om lagöverträdelser m.m. och nationella identifikationsnummer.
Enligt artikel 8.5 får behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller - om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Medlemsstaterna får alltså i sin lagstiftning tillåta att enskilda, utan att det sker under kontroll av en myndighet, behandlar uppgifter om lagöverträdelser m.m. under förutsättning att lagstiftningen innehåller lämpliga och specifika skyddsåtgärder. Behandling av uppgifter om lagöverträdelser som har tillåtits på detta sätt torde medlemsstaterna ha att anmäla till kommissionen enligt artikel 8.6.
Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Det måste alltså finnas villkor för behandling av sådana nummer, men det materiella innehållet i villkoren får medlemsstaterna själva bestämma.
Enligt artikel 25.1 skall medlemsstaterna föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall enligt artikel 25.2 ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
I artikel 26.1 anges i vilka fall medlemsstaterna får föreskriva att överföring till tredje land som inte har en adekvat skyddsnivå är tillåten. Enligt artikel 26.1 d får sådan överföring ske om "överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk". Den bestämmelsen har ansetts innebära bl.a. att det är tillåtet att i författning ange när överföring är tillåten på grund av att den är nödvändig med hänsyn till viktiga allmänna intressen.
Enligt artikel 18.1 i EG-direktivet, från vilken artikel undantag inte kan göras med stöd av artikel 13.1, skall medlemsstaterna föreskriva att den personuppgiftsansvarige före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta tillsynsmyndigheten. I artikel 18.2-4 anges vilka möjligheter till undantag från den anmälningsplikten som finns. Av artikel 18.2 första strecksatsen framgår att undantag får göras om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras.
8.3.2 Missbruksregeln är förenlig med EG-direktivet
Regeringens bedömning: Undantaget för behandling av personuppgifter i ostrukturerat material är förenligt med EG-direktivet om skydd för personuppgifter.
Utredningens bedömning: Överensstämmer med regeringens.
Remissinstanserna: Endast ett fåtal remissinstanser har yttrat sig i denna del. De som har yttrat sig, bl.a. Justitiekanslern, Datainspektionen, juridiska fakultetsnämnden vid Stockholms universitet och Sveriges advokatsamfund, menar att utredningens tolkning av EG-direktivet inte är självklar men bör kunna godtas.
Skälen för regeringens bedömning
Undantag enligt artikel 13 med hänsyn till skyddet av fri- och rättigheter
Artikel 13.1 innebär således att undantag från vissa bestämmelser i EG-direktivet kan göras om det är en nödvändig åtgärd med hänsyn till bl.a. skyddet av den registrerades eller andras fri- och rättigheter (punkt g).
Frågan är då om det kan anses vara en sådan fri- och rättighet som avses i artikel 13.1 g att få hantera ostrukturerat material, t.ex. i form av löpande text och ljud- och bildupptagningar, utan att begränsas av de hanteringsregler som anges i artikel 13.1. I samband med att den gemensamma ståndpunkten om direktivet antogs av rådet, avgav rådet och kommissionen en gemensam förklaring, som finns intagen i ett protokoll från mötet (se bilaga 4 i betänkandet), om att sådana rättigheter som att utföra behandling av uppgifter inte avses med hänvisningen till andras fri- och rättigheter i artikel 13.1 g. EG-domstolen har emellertid vid flera tillfällen uttalat att sådana förklaringar inte kan tillmätas någon rättslig status och betydelse vid utrönandet av den rätta innebörden av en bestämmelse i ett EG-direktiv, i vart fall inte när innehållet i förklaringen inte uttrycks i den aktuella bestämmelsen (se bl.a. mål C-329/95, VAG Sverige [REG 1997 s. I-2675]). Regeringen anser mot bakgrund bl.a. av detta att förklaringen inte skall tillåtas inverka på den bedömning som regeringen gör i det följande.
När det ostrukturerade materialet distribueras till andra är det oftast fråga om ett utnyttjande av den yttrandefrihet som tillkommer varje medborgare enligt såväl regeringsformen (2 kap. 1 § första stycket 1) som Europakonventionen (artikel 10).
I förarbetena till personuppgiftslagen uttryckte både regeringen och Lagrådet tveksamhet inför att yttrandefriheten skulle omfattas av de fri- och rättigheter som avses i artikel 13.1 g (prop. 1997/98:44 s. 49 och 236). Artikel 9 innehåller nämligen en särskild möjlighet till undantag och avvikelser från vissa av direktivets bestämmelser för behandling av personuppgifter "som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande". Frågan om tolkningen av artikel 13.1 g uppkom i samband med att regeringen behandlade frågan om personuppgiftslagens förhållande till tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Artikel 9 ansågs möjliggöra för Sverige att låta dessa grundlagar gälla oförändrade. Uttalanden gjordes alltså i ett delvis annat sammanhang än det föreliggande. Vid en förnyad analys anser regeringen, i likhet med utredningen, att det förhållandet att yttrandefriheten i ett visst avseende nämns i artikel 9 inte kan anses innebära att just den fri- och rättigheten inte skulle omfattas av uttrycket fri- och rättigheter i artikel 13. Enligt ordalydelsen omfattar artikel 9 möjligheter till undantag endast för journalistiska ändamål eller konstnärligt eller litterärt skapande, vilket är betydligt mer begränsat än - för att använda regeringsformens definition av begreppet - en "frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor" eller - såsom anges i artikel 10.1 Europakonventionen - en "frihet att ta emot och sprida uppgifter och tankar".
Även när materialet inte skall distribueras till andra utan bara användas internt hos den personuppgiftsansvarige kan det vara fråga om ett utnyttjande av en fri- och rättighet i den mening som avses i artikel 13.1 g. Inhämtande av uppgifter kan nämligen hänföras till den informationsfrihet, dvs. frihet att inhämta och mottaga upplysningar samt att i övrigt taga del av andras yttranden, som varje medborgare är tillförsäkrad skydd för enligt 2 kap. 1 § första stycket 2 regeringsformen. Till och med det rent interna upprättandet och användandet av ostrukturerat material i form av t.ex. löpande text och ljud- och bildupptagningar hos en personuppgiftsansvarig - såsom minnesanteckningar - kan anses vara en fri- och rättighet. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred har exempelvis vid införandet av personuppgiftslagen ansetts som en sådan fri- och rättighet som avses i artikel 13.1 g (a. prop. s. 83).
Regeringen gör alltså bedömningen att behandlingen av personuppgifter i ostrukturerat material t.ex. i form av text och ljud- och bildupptagningar kan hänföras till en sådan fri- och rättighet som avses i artikel 13.1 g och som kan berättiga medlemsstaterna att göra nödvändiga begränsningar av vissa bestämmelser i direktivet.
Varje begränsning som görs måste vara nödvändig med hänsyn till skyddet av den aktuella fri- och rättigheten. Det är således fråga om en intresseavvägning som skall göras, där de ifrågavarande fri- och rättigheterna - rätten till integritetsskydd och rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material - vägs mot varandra och där bara sådana begränsningar får göras som är nödvändiga för att uppnå en balans mellan de motstående intressena. Den balansen nås enligt regeringens uppfattning genom att - på sätt som föreslagits i föregående avsnitt - tillämpningsområdet för de aktuella hanteringsreglerna begränsas endast såvitt gäller sådan hantering av ostrukturerat material som inte innefattar ett missbruk av personuppgifter.
Den delvis nya bedömning som regeringen nu har gjort grundas inte enbart på den tolkning av innebörden av artikel 13.1 g som redovisats ovan utan också bl.a. på vad kommissionen uttalat i sin rapport om genomförandet av dataskyddsdirektivet (KOM [2003] 265 slutlig) om att förenklade villkor för behandling av personuppgifter som inte innebär någon avsevärd risk för den enskildes rättigheter, kan uppnås genom att det handlingsutrymme som direktivet ger genom bl.a. artikel 13 utnyttjas. Se mer om kommissionens rapport nedan under "Sammanfattande bedömning".
Intresseavvägning enligt artikel 7
Artikel 7 f i direktivet har införts genom 10 § f personuppgiftslagen som stadgar att personuppgifter får behandlas om behandlingen är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
Det är enligt direktivet tillåtet för medlemsstaterna att närmare precisera hur den angivna intresseavvägningen utfaller i olika fall. Enligt regeringens mening står det klart att det är möjligt att med stöd av bestämmelsen om en intresseavvägning i artikel 7 f införa en särskild bestämmelse som tillåter sådan behandling av personuppgifter i ostrukturerat material som inte innefattar ett missbruk av personuppgifterna. Att detta är möjligt följer redan av vad som sagts i närmast föregående avsnitt. Ett utnyttjande av rätten att för t.ex. yttrandefrihets- och informationsfrihetsändamål få hantera ostrukturerat material, t.ex. i form av löpande text och ljud- och bildupptagningar, utgör givetvis ett berättigat intresse, och det intresset får anses överväga de registrerades intresse av integritetsskydd så länge hanteringen inte innefattar ett missbruk av personuppgifter.
Undantag för uppgifter som avses i artikel 8
Från förbudet enligt artikel 8.1 mot behandling av känsliga personuppgifter får undantag enligt artikel 8.4 göras av hänsyn till ett viktigt allmänt intresse. Frågan är alltså om hantering av ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar kan anses vara ett sådant viktigt allmänt intresse. Regeringen har ovan utvecklat hur denna hantering, som kan ha betydelse för bl.a. utnyttjandet av yttrande- och informationsfriheten, kan anses vara en fri- och rättighet. Att fri- och rättigheter kan utövas i samhället är naturligtvis ett allmänt intresse och dessutom ett viktigt sådant. Regeringen anser därför att det kan hävdas att ett undantag från förbudet mot behandling av känsliga personuppgifter för behandling av sådana personuppgifter i ostrukturerat material kan stödjas på undantagsmöjligheten i artikel 8.4 för viktiga allmänna intressen. Ett sådant undantag förutsätter emellertid lämpliga skyddsåtgärder. En sådan skyddsåtgärd kan enligt regeringens mening vara att, på sätt som föreslagits i föregående avsnitt, bara tillåta sådan behandling av känsliga personuppgifter som inte innefattar ett missbruk av personuppgifterna.
Bestämmelsen i artikel 8.5 om uppgifter om lagöverträdelser m.m. utgör inte hinder mot att generellt tillåta behandling av personuppgifter i ostrukturerat material. För att sådan behandling av uppgifter om lagöverträdelser m.m. skall få utföras av enskilda utan myndighetskontroll krävs det dock att det finns lämpliga och specifika skyddsåtgärder i lagstiftningen. En sådan skyddsåtgärd kan vara att på motsvarande vis bara tillåta sådan behandling av personuppgifter om lagöverträdelser m.m. som inte innefattar ett missbruk av personuppgifterna.
Enligt artikel 8.7 skall medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer får behandlas. I artikeln sägs inget om innehållet i dessa villkor. Artikeln kan inte anses utgöra något hinder mot att generellt tillåta behandling av personnummer i ostrukturerat material, i vart fall inte så länge missbruk av personnummer är förbjudet.
Undantag från förbudet mot överföring av personuppgifter i artikel 25
Den allmänna uppfattningen i Sverige har tidigare varit att ett offentliggörande av personuppgifter på en webbplats som är allmänt tillgänglig på Internet innebär att personuppgifterna blir tillgängliga i hela världen och därmed kan anses överförda till alla länder i direktivets mening (jfr bl.a. prop. 1999/2000:11 s. 11 ff.). Numera har emellertid EG-domstolen i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01, REG. 2003 s. I-12971) slagit fast att det inte är fråga om någon överföring av uppgifter till tredje land i EG-direktivets mening när en person, som befinner sig i en medlemsstat, lägger ut personuppgifter på en hemsida på Internet som är lagrad hos en fysisk eller juridisk person, som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlemsstat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på Internet, inklusive personer i tredje land. Det innebär att i vart fall vissa förfaranden för Internetpublicering inte hindras av just bestämmelserna om överföring av personuppgifter till tredje land.
Vid de förfaranden som i direktivets mening innebär en överföring av personuppgifter till tredje land blir emellertid tolkningen av begreppet adekvat skyddsnivå av betydelse. Personuppgifter får nämligen alltid överföras till tredje land som säkerställer en adekvat skyddsnivå. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med överföringen. Att en överföring innebär ett utnyttjande av en grundläggande fri- och rättighet, kan hävdas vara ett förhållande att beakta vid bedömningen av om skyddsnivån i ett tredje land är adekvat. Det har ansetts att det som i direktivet kallas adekvat skyddsnivå är ett uttryck för att omständigheterna kring överföringen sammantagna skall vara sådana att personuppgifter har ett tillräckligt skydd och att det därför kan finnas en adekvat skyddsnivå i ett tredje land trots en total avsaknad av skyddsregler (se prop. 1999/2000 s. 15 ff.).
Mot denna bakgrund skulle man i princip kunna hävda att en överföring av personuppgifter i ostrukturerat material, som inte innefattar ett missbruk av personuppgifterna, innebär en överföring av uppgifterna till tredje land med adekvat skyddsnivå, eftersom, med hänsyn till omständigheterna vid överföringen, någon särskild skyddsnivå inte krävs i det mottagande landet. En sådan överföring skulle därmed vara tillåten redan enligt gällande rätt.
Utredningen har emellertid ansett att stöd för att göra undantag från överföringsförbudet för ostrukturerat material i första hand bör hämtas i artikel 26.1 d. Enligt den artikeln kan överföring till tredje land utan adekvat skyddsnivå tillåtas om det är nödvändigt av t.ex. skäl som rör viktiga allmänna intressen. I enlighet med det resonemang som förts ovan om undantag från artikel 8.4 är det möjligt att hänföra behandling av personuppgifter i ostrukturerat material till ett sådant intresse. Regeringen har i och för sig inget att invända mot utredningens bedömning i denna del. Oavsett vilket synsätt man anlägger på frågan blir emellertid slutsatsen densamma; en överföring till tredje land av personuppgifter i ostrukturerat material, som inte innefattar ett missbruk av personuppgifterna, står inte strid med EG-direktivet.
Undantag från anmälningsskyldighet enligt artikel 18
Från kravet på att alla behandlingar skall anmälas till tillsynsmyndigheten kan, som framgått i föregående avsnitt, undantag göras med stöd av bl.a. artikel 18.2 första strecksatsen.
Bestämmelsen om anmälningsskyldighet har tagits in i 36 § första stycket personuppgiftslagen. Möjligheten att enligt artikel 18.2 första strecksatsen föreskriva undantag från anmälningsskyldigheten har utnyttjats på så sätt att regeringen eller den myndighet regeringen bestämmer bemyndigats att föreskriva undantag för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Genom 4 § personuppgiftsförordningen (1998:1191) har regeringen utnyttjat undantagsmöjligheten för att föreskriva att anmälningsskyldigheten inte gäller för behandling av personuppgifter i löpande text. Regeringen anser att undantaget bör kunna utvidgas till att gälla för behandling av personuppgifter i ostrukturerat material generellt, dvs. även för t.ex. ostrukturerade ljud- och bildupptagningar. Regeringen har för avsikt att ändra 4 § personuppgiftsförordningen i enlighet därmed.
Hanteringsregler som inte är möjliga att göra undantag från
De materiella hanteringsbestämmelser i EG-direktivet som det inte är möjligt att göra undantag från eller modifiera är följande.
* Bestämmelserna om automatiserade beslut i artikel 15 (som motsvaras av 29 § personuppgiftslagen).
* Bestämmelserna om "sekretess" och säkerhet vid behandlingen i artikel 16 och 17 (som motsvaras av 30 och 31 §§ personuppgiftslagen).
* Bestämmelserna om rättslig prövning, ansvar och sanktioner i artikel 22-24 (som motsvaras av 48 och 49 §§ personuppgiftslagen).
* Bestämmelserna om tillsynsmyndighetens befogenheter avseende behandlingen i artikel 28 (som motsvaras av 32 och 43-47 §§ personuppgiftslagen).
* Bestämmelserna i artikel 2-4 om definitioner av grundläggande begrepp och tillämpningsområdet för direktivet (som motsvaras av 3-6 §§ personuppgiftslagen).
Enligt regeringens mening kan det inte anses innebära någon större belastning för den personuppgiftsansvarige att i förekommande fall behöva tillämpa de angivna bestämmelserna på behandling av personuppgifter i ostrukturerat material.
Bestämmelsen om automatiserade beslut torde det knappast bli aktuellt att tillämpa på annat än personuppgifter i strukturerat material.
Bestämmelsen om "sekretess" innebär i stort sett bara att den som för en personuppgiftsansvarigs räkning behandlar personuppgifter bara får göra det enligt instruktioner från denne.
Bestämmelsen om säkerhet innebär att lämpliga åtgärder skall vidtas för att förhindra t.ex. oavsedd förstöring, förvanskning och spridning av personuppgifter, men vid bedömningen av vilka åtgärder som behöver vidtas för att åstadkomma en lämplig säkerhetsnivå kan man ta hänsyn till bl.a. de risker som är förknippade med behandlingen. När personuppgifter behandlas i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar torde det därför normalt inte krävas några extraordinära säkerhetsåtgärder utan det kan ofta räcka med de åtgärder som var och en brukar vidta för att skydda sin information. När särskilt känslig information behandlas i strukturerat eller ostrukturerat material, måste givetvis adekvata säkerhetsåtgärder vidtas.
Bestämmelserna om rättslig prövning, ansvar och sanktioner torde bara ha aktualitet - men å andra sidan då vara relevanta och befogade - när behandlingen har inneburit ett missbruk av personuppgifterna.
Inte heller bestämmelserna om att en oberoende myndighet skall ha tillsyn över och vissa befogenheter avseende behandlingen torde i praktiken innebära någon påtaglig belastning för den personuppgiftsansvarige.
Sammanfattande och avslutande bedömning
Regeringen har alltså, i likhet med utredningen, funnit att det är möjligt att göra undantag från de flesta materiella bestämmelser i EG-direktivet för sådan behandling av personuppgifter i ostrukturerat material t.ex. i form av löpande text och ljud- och bildupptagningar som inte innefattar ett missbruk av personuppgifterna.
Den slutsatsen grundas främst på bedömningen att hantering av sådant ostrukturerat material utgör ett utnyttjande av en sådan fri- och rättighet - yttrande- eller informationsfriheten - som avses i artikel 13.1 g och att det är ett viktigt allmänt intresse i den mening som avses i artikel 8.4 och 26.1 d att detta utnyttjande av fri- och rättigheter inte hindras i samhället.
Såväl utredningen som en del remissinstanser har framhållit att den bedömningen - och vissa anslutande bedömningar avseende t.ex. beskaffenheten av skyddsåtgärder - inte är alldeles självklar och kan sättas i fråga. Även Lagrådet har uttryckt tveksamhet inför den nya tolkningen av direktivet, framför allt beträffande artikel 13.1 g.
Eftersom EG-direktiv saknar egentliga förarbeten finns det inga direkta hållpunkter för tolkningen av direktiv förutom själva texten i direktivet, inklusive ingressen. Mot bakgrund bl.a. härav är det naturligtvis svårt att med någon nämnvärd säkerhet uttala sig om den tolkning som redovisats i det föregående är oantastlig ur ett EG-rättsligt perspektiv. Enligt EG:s rättsordning är det dessutom EG-domstolen som är exklusivt behörig att göra auktoritativa uttalanden om EG:s rättsregler. Utöver vad som redan anförts till stöd för den tolkning som gjorts kan dock även följande framhållas.
Sedan EG-direktivet trädde i kraft har en närmast explosionsartad utveckling inom informationsteknologin ägt rum. De dataskyddsprinciper som ligger bakom många av hanteringsreglerna i direktivet utarbetades under 1980-talet innan datortekniken blivit en vardagsteknik som snart varje medborgare hanterar i det närmaste dagligen för bl.a. kommunikation och spridning av information. Att man vid tolkningen av direktivet kan ta hänsyn till nya användningsområden för informationsteknik och till att tekniken fått en utbredd användning framgår av EG-domstolens dom i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01, REG. 2003 s. I-12971). Målet rörde behandling av känsliga personuppgifter på Internet. Fråga var bl.a. om en sådan behandling innebar en överföring av personuppgifter till tredje land i direktivets mening. EG-domstolen uttalade bl.a. följande.
68 Med hänsyn dels till det stadium på vilket Internets utveckling befann sig vid den tidpunkt då direktiv 95/46 utarbetades, dels till att det inte i kapitel IV i direktivet föreligger några kriterier som är tillämpliga på Internetanvändning kan det inte presumeras att gemenskapslagstiftaren hade för avsikt att med tanke på framtiden låta inskrivning av en person i [konfirmandlärarens] situation av uppgifter på en hemsida på Internet omfattas av begreppet överföring av uppgifter till tredje land, även om dessa på detta sätt blir åtkomliga för sådana personer i tredje land som har de tekniska möjligheterna att få tillgång till hemsidan.
Mot bakgrund av detta resonemang konstaterade EG-domstolen att direktivet skulle tolkas så att den behandling som var aktuell i målet inte utgjorde en överföring av personuppgifter till tredje land. Domen ger vidare stöd för att direktivet skall tolkas med viss flexibilitet, särskilt när det gäller skyddet för grundläggande fri- och rättigheter. Domstolen konstaterade nämligen även bl.a. att direktivet innehåller regler som kan karaktäriseras av en viss tänjbarhet och att man, som pekats på i föregående avsnitt, vid en tolkning av direktivet måste göra en avvägning av olika intressen samt inte tolka direktivet på ett sätt som skulle stå i strid med bl.a. de grundläggande rättigheter som skyddas genom gemenskapens rättsordning.
Även uttalanden från kommissionen torde kunna anföras till stöd för den tolkning av direktivet som regeringen har gjort. Som nämnts i avsnitt 5.3 har Sverige i olika sammanhang under hand till EG-kommissionen framfört sina önskemål om en revidering av direktivet i riktning mot en missbruksmodell. EG-kommissionen har i sin rapport om genomförandet av EG-direktivet (KOM [2003] 265 slutlig) slagit fast att det av olika anledningar är olämpligt att lägga fram förslag om ändringar av direktivet inom den närmaste framtiden, men samtidigt - under rubriken Behovet av en rimlig och flexibel tolkning - uttryckligen berört Sveriges önskemål enligt följande (s. 16).
"Enligt artikel 5 i direktivet ska medlemsstaterna inom de begränsningar som bestämmelserna i kapitel II (artiklarna 6-21) innebär, precisera på vilka villkor behandling av personuppgifter är tillåten. I detta avseende uppmärksammar kommissionen den oro som Sverige uttryckte inom ramen för den pågående översynen av landets lagstiftning när det gäller tillämpningen av dataskyddsprinciper på löpande text eller ljud- eller bilduppgifter. Kommissionen anser att förenklade villkor för databehandling då det inte är troligt att sådan behandling skapar någon inte avsevärd risk för den enskildes rättigheter bättre kan uppnås genom att göra bruk av det handlingsutrymme som direktivet ger, i synnerhet de möjligheter som ges i artiklarna 7 f, 9 och 13."
8.4 Vilka bestämmelser i personuppgiftslagen bör undantaget omfatta?
Regeringens förslag: Vid behandling av personuppgifter i ostrukturerat material behöver inte följande bestämmelser i personuppgiftslagen tillämpas.
- Grundläggande krav på behandlingen av personuppgifter (9 §)
- När behandling av personuppgifter är tillåten (10 §)
- Förbud mot behandling av känsliga personuppgifter (13 §-19 §§)
- Uppgifter om lagöverträdelser (21 §)
- Behandling av personnummer (22 §)
- Information till den registrerade (23- 26 §§)
- Rättelse (28 §)
- Förbud mot överföring av personuppgifter till tredje land (33 och
34 §§)
- Upplysningar till allmänheten om behandlingar som inte anmälts
(42 §)
Regeringens bedömning: Det bör i förordning göras undantag från skyldigheten att göra anmälan till tillsynsmyndigheten såvitt avser behandling av personuppgifter i ostrukturerat material.
Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen har dock inte föreslagit att undantag skall göras från 22 och 26 §§.
Remissinstanserna: Ingen remissinstans har haft något att invända mot att undantag görs från de hanteringsregler som utredningen har föreslagit. Däremot anser en majoritet av remissinstanserna, bl.a. Riksdagens ombudsmän, Kammarrätten i Stockholm, Länsrätten i Stockholms län, Rikspolisstyrelsen, Patent- och registreringsverket, Sveriges advokatsamfund, Svenskt näringsliv och Sveriges Television AB, att undantag även bör göras från skyldigheten att lämna information (registerutdrag) enligt 26 § personuppgiftslagen.
Skälen för regeringens förslag och bedömning
Bestämmelser i personuppgiftslagen som det är möjligt att göra undantag från
I föregående avsnitt har regeringen redovisat sin bedömning av i vilken utsträckning det är möjligt att göra undantag från hanteringsreglerna i EG-direktivet. Mot bakgrund av den analysen är det, som utredningen kommit fram till, möjligt att göra undantag från följande bestämmelser i personuppgiftslagen.
a) 9 § om grundläggande krav på behandlingen av personuppgifter,
b) 10 § om när behandling av personuppgifter är tillåten,
c) 13 § om förbud mot behandling av känsliga personuppgifter,
d) 21 § om förbud för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m.,
e) 22 § om restriktioner för behandling av uppgifter om personnummer och samordningsnummer,
f) 23 och 24 §§ om information till den registrerade i samband med att personuppgifter samlas in,
g) 26 § om information som skall lämnas efter ansökan (s.k. registerutdrag),
h) 28 § om rättelse,
i) 33 § om förbud mot överföring av personuppgifter till tredje land,
j) 36 § om anmälan till tillsynsmyndigheten, och
k) 42 § om upplysningar till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten.
Det står enligt regeringens mening klart att punkterna a,c, d, f i och j i uppräkningen (avseende 9, 13, 21, 23, 24, 33 och 36 §§ personuppgiftslagen) avser sådana hanteringsregler som undantaget bör omfatta. Det är fråga om regler som den personuppgiftsansvarige på eget initiativ har att iaktta och uppfylla och som anger när och hur personuppgifter får behandlas.
Reglerna i punkterna g, h och k i uppräkningen (avseende 26, 28 och 42 §§ personuppgiftslagen) är emellertid av en något annan natur. Det är nämligen fråga om regler som den personuppgiftsansvarige bara behöver beakta när någon begär det i ett enskilt fall. Reglerna är således i allmänhet inte lika betungande för den personuppgiftsansvarige, eftersom han eller hon inte behöver beakta dem vid den dagliga hanteringen av ostrukturerat material. Man bör därför, precis som utredningen har gjort, särskilt överväga om dessa regler bör omfattas av undantaget. Därutöver kommer regeringen i det följande att särskilt kommentera reglerna i punkterna b och e (avseende 10 och 22 § personuppgiftslagen).
Rättelse
Enligt 28 § personuppgiftslagen är den personuppgiftsansvarige skyldig att på begäran av den registrerade bl.a. rätta sådana personuppgifter som har behandlats i strid med personuppgiftslagen eller föreskrifter som har meddelats med stöd av lagen. Det kan naturligtvis vara av väsentligt intresse för den registrerade att felaktiga personuppgifter på begäran korrigeras även i ostrukturerat material. Att den personuppgiftsansvarige fortsätter att behandla direkt felaktiga personuppgifter trots att den registrerade har begärt rättelse får dock i regel betraktas som en sådan behandling som inte är tillåten enligt den föreslagna missbruksregeln. Som regeringen angett i avsnitt 8.2 får det nämligen anses innebära en kränkning av den registrerades personliga integritet om den personuppgiftsansvarige medvetet behandlar personuppgifter som är klart felaktiga eller missvisande. Mot bakgrund härav anser regeringen, i likhet med utredningen, att undantag bör kunna göras också från bestämmelsen om rättelse i 28 §.
Upplysningar till allmänheten
Regeringen instämmer vidare i utredningens bedömning att undantag bör göras från skyldigheten enligt 42 § personuppgiftslagen att på begäran lämna upplysningar till allmänheten om behandlingar. Den skyldigheten kan inte anses bidra till integritetsskyddet i någon nämnvärd omfattning eller ha en sådan praktisk betydelse för de registrerade att det uppväger besväret för den personuppgiftsansvarige att lämna upplysningarna.
Registerutdrag
Vad därefter gäller skyldigheten enligt 26 § personuppgiftslagen att efter ansökan lämna ett s.k. registerutdrag till den registrerade kan följande anföras. Utredningens bedömning att man inte bör göra undantag från denna skyldighet har mött en i det närmaste enig remisskritik. Många remissinstanser menar att i praktiken är detta en av de mest betungande hanteringsreglerna för de personuppgiftsansvariga. Som skäl för att göra undantag även från skyldigheten att lämna registerutdrag har vissa remissinstanser anfört att en del av den lättnad som undantaget från hanteringsreglerna är tänkt att medföra skulle gå förlorad om den personuppgiftsansvarige alltid måste ha beredskap att genom registerutdrag visa vilka behandlingar som utförs. Det har också anförts att myndigheter och företag kan komma att sträva efter att skapa datasystem i vilka det enkelt kan tas fram uppgifter till registerutdrag även för ostrukturerat material, vilket i förlängningen kan innebära att det kommer att bli enklare att söka reda på personuppgifter även för andra ändamål än registerutdrag. Detta kan i sin tur innebära ett hot mot den personliga integriteten. Regeringen kan väsentligen ansluta sig till dessa synpunkter.
Det är i och för sig korrekt som utredningen har framhållit att rätten till registerutdrag i sig fyller en viktig kontrollfunktion. Genom rätten till registerutdrag har den registrerade möjlighet att själv kontrollera att behandlingen av hans eller hennes uppgifter är lagenlig och att, om så inte skulle vara fallet, utnyttja sina övriga rättigheter för att få till stånd rättelse. Värdet ur kontrollsynpunkt får emellertid anses begränsat när det gäller sådana behandlingar som omfattas av den föreslagna missbruksregeln.
För sådana behandlingar saknar för det första utdragsskyldigheten betydelse som ett medel för den registrerade att få till stånd rättelse av felaktiga personuppgifter eftersom sådana behandlingar, av skäl som anförts ovan, inte skall vara förknippade med en rätt för den registrerade att begära rättelse.
Det kan förvisso hävdas att en rätt att begära registerutdrag har betydelse för att den registrerade skall kunna kontrollera att hans personuppgifter inte behandlas i strid med missbruksregeln, dvs. missbrukas. Missbruksregeln är emellertid avsedd att träffa sådana behandlingar som typiskt sett inte innefattar några risker för intrång i den personliga integriteten. Det behov av kontroll som den registrerade kan ha kan inte anses förknippat med behandlingen som sådan - t.ex. att skriva ett namn i ett ordbehandlingsdokument - utan är snarare beroende av i vilket sammanhang personuppgifterna förekommer och av vilken spridning de kan få. I den mån det verkligen är fråga om ett missbruk av personuppgifter kommer detta i normalfallet att komma till den registrerades kännedom på annat sätt än genom ett registerutdrag, t.ex. genom Internetpublicering. Rätten att få registerutdrag en gång per kalenderår kan alltså enligt regeringens bedömning inte anses vara en förutsättning för att kränkningar av den personliga integriteten i enlighet med missbruksregeln skall kunna uppdagas och beivras. Sammanfattningsvis anser således regeringen att utdragsskyldighetens värde från kontrollsynpunkt vid behandling av personuppgifter i ostrukturerat material inte är särskilt framträdande.
Det är vidare av betydelse att en övervägande majoritet av de personuppgiftsansvariga anser att skyldigheten att lämna registerutdrag är den mest betungande hanteringsregeln i personuppgiftslagen. Det visar såväl remissutfallet i detta lagstiftningsärende som resultatet av Justitiedepartementets utvärdering av EG-direktivet (Ds 2001:27). Att ha beredskap för att i varje enskilt fall lämna registerutdrag avseende behandling av personuppgifter i ostrukturerat material kan även enligt regeringens mening anses oproportionerligt betungande mot bakgrund av det begränsade värde skyldigheten kan ha för den registrerade i dessa fall. En av utgångspunkterna för införande av en missbruksmodell är att underlätta den vardagliga och ur ett integritetsperspektiv oftast harmlösa hanteringen av personuppgifter. Att då inte införa ett undantag från den regel som i det praktiska livet visat sig vålla mest bekymmer framstår inte som ändamålsenligt.
Mot bakgrund av det anförda och för att få till stånd en så renodlad missbruksmodell som möjligt finner regeringen att undantag bör göras även från skyldigheten att på begäran lämna registerutdrag för sådana behandlingar som omfattas av den föreslagna missbruksregeln.
Se vidare om registerutdrag i avsnitt 9.2.
Personnummer
Enligt 22 § personuppgiftslagen får personnummer och samordnings-nummer behandlas utan samtycke från den registrerade bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Utredningen har, utan att redovisa något närmare skäl för det, ansett dessa begränsningar befogade även vid behandling av personuppgifter i ostrukturerat material. Ingen remissinstans har kommenterat frågan.
Som framgått av föregående avsnitt lägger inte EG-direktivet hinder i vägen för att tillåta att personnummer behandlas i ostrukturerat material utan andra begränsningar än att missbruk av uppgifterna inte får äga rum. Regeringen kan inte finna något skäl till varför man inte bör utnyttja denna möjlighet till ytterligare lättnader för de personuppgiftsansvariga. Att låta behandling av personnummer i ostrukturerat material omfattas av en striktare reglering än behandling av t.ex. känsliga personuppgifter framstår inte som vare sig lämpligt eller nödvändigt. Regeringen anser alltså att undantag bör göras även från 22 § personuppgiftslagen.
Grundläggande krav
Som framgått av avsnitt 8.1 har undantagsbestämmelsen utformats så att den uttryckligen tillåter behandling av personuppgifter i ostrukturerat material, dvs. som inte ingår i och inte heller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter, om behandlingen inte innebär en kränkning av den registrerades personliga integritet. Undantagsbestämmelsen utgör därför i sig en uttolkning av bestämmelsen om intresseavvägning i artikel 7 f i EG-direktivet och 10 § f personuppgiftslagen. Därmed bör även 10 § personuppgiftslagen tas med i uppräkningen av de bestämmelser som inte skall tillämpas.
Anmälan till Datainspektionen
I enlighet med vad som angetts i avsnitt 8.3.2 bör det vidare i förordning göras ett undantag för behandling av personuppgifter i ostrukturerat material från skyldigheten enligt 36 § personuppgiftslagen att göra anmälan till Datainspektionen.
8.5 Skadestånd, straff och tillsyn
Regeringens bedömning: Personuppgiftslagens nuvarande bestämmelser om skadestånd bör gälla även för förfaranden i strid med den föreslagna missbruksregeln.
Någon förändring av tillsynsreglerna görs inte. Det innebär att Datainspektionen kommer att ha tillsyn över efterlevnaden av missbruksregeln.
Regeringens förslag: Den som uppsåtligen eller av grov oaktsamhet behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. i strid med missbruksregeln döms till böter eller fängelse i högst sex månader. Detsamma skall gälla den som uppsåtligen eller av grov oaktsamhet i strid med missbruksregeln för över personuppgifter till tredje land som inte har en adekvat nivå för skyddet av personuppgifter. Om brottet är grovt döms till fängelse i högst två år. I ringa fall döms inte till ansvar.
Utredningens bedömning: Överensstämmer med regeringens i skadestånds- och tillsynsdelen. Utredningen har dock gjort bedömningen att behandling av personuppgifter i strid med missbruksregeln inte skall vara straffbelagd.
Remissinstanserna: Endast ett fåtal remissinstanser har yttrat sig i denna del. Justitiekanslern anser att skadeståndsfrågan bör övervägas noggrannare bl.a. mot bakgrund av att det inte är självklart att en överträdelse av missbruksregeln bör föranleda skadeståndsansvar enligt personuppgiftslagen. Ett alternativ vore att i stället tillämpa 2 kap. 3 § skadeståndslagen. Justitiekanslern påpekar vidare att det kommer att råda oklarheter om vad som är en tillåten behandling enligt missbruksregeln, varför det i hög grad kommer att överlämnas till rättspraxis att avgöra vilka förfaranden som kommer att vara skadeståndsgrundande. Riksåklagaren och Justitiekanslern menar att det inte är självklart att det skall vara straffritt att behandla känsliga personuppgifter och lagöverträdelser i ostrukturerat material trots att behandlingen i det enskilda fallet kanske inneburit ett otillbörligt intrång i den personliga integriteten.
Skälen för regeringens bedömning och förslag
Skadestånd
Den normala sanktionen vid överträdelse av personuppgiftslagen är skadestånd till den registrerade enligt 48 § i lagen. Enligt den paragrafen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Den registrerade har alltså rätt till ersättning för såväl personskada, sakskada och ren förmögenhetsskada som för själva kränkningen som sådan. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.
Bestämmelserna i personuppgiftslagen om skadestånd är sådana specialbestämmelser som tar över de allmänna skadeståndsreglerna i skadeståndslagen (1972:207). Rätten till skadestånd enligt personuppgiftslagen för kränkning förutsätter, till skillnad från motsvarande rätt enligt 2 kap. 3 § skadeståndslagen, inte att ett brottsligt förfarande visas. Justitiekanslern har väckt frågan om överträdelse av den föreslagna missbruksregeln inte bör föranleda skadeståndsansvar enligt 2 kap. 3 § skadeståndslagen i stället för enligt personuppgiftslagen. Som framgår nedan kommer missbruksregeln, enligt regeringens förslag, inte att vara förenad med straffansvar i andra fall än när känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. har behandlats, eller när personuppgifter förts över till tredje land, i strid med regeln. Att den enskilde skulle lämnas utan möjligheter till kompensation för kränkning i övriga fall där missbruksregeln i och för sig har överträtts framstår som mindre lämpligt, inte minst mot bakgrund av att EG-direktivet enligt artikel 24 kräver att överträdelse av bestämmelser som genomför direktivet förenas med sanktioner i någon form. Regeringen instämmer därmed i utredningens bedömning att överträdelser av missbruksregeln skall vara förenade med skadeståndsansvar enligt 48 § personuppgiftslagen. Till ledning för bedömningen av vilka förfaranden som skall vara skadeståndsgrundande enligt missbruksregeln får tas de allmänna riktlinjer, som regeringen har redovisat i avsnitt 8.2, för vad som skall bedömas som en kränkning av den personliga integriteten i missbruksregelns mening.
Straff
Vissa förfaranden i strid med personuppgiftslagen är straffbelagda enligt 49 §. Så är fallet om man lämnar osann uppgift i sådan information till registrerade som föreskrivs i lagen, i en anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 § (49 § första stycket a). Det är vidare straffbart att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. i strid med 13-21 §§ och att föra över personuppgifter till tredje land i strid med 33-35 §§ (49 § första stycket b och c). Slutligen är det straffbart att låta bli att i vissa fall göra en anmälan till tillsynsmyndigheten (49 § första stycket d). För straffbarhet krävs i samtliga fall uppsåt eller oaktsamhet. Straffskalan är böter eller fängelse i högst sex månader och om brottet är grovt fängelse i högst två år. I ringa fall skall inte dömas till ansvar.
Om inte någon ändring görs av straffbestämmelsen skulle ett införande av missbruksregeln, som ju innebär att undantag görs från bestämmelserna i bl.a. 13, 21 och 33 §§, leda till att t.ex. behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. inte längre skulle vara kriminaliserad så länge behandlingen sker i ostrukturerat material. Däremot skulle lämnande av osann uppgift till tillsynsmyndigheten när myndigheten begär information enligt 43 § rörande behandlingar i ostrukturerat material vara straffbelagt eftersom denna paragraf skall, som framgår nedan när regeringen behandlar frågan om tillsyn, gälla även för sådana behandlingar.
Utredningen har, utan att ha redovisat några närmare skäl för det, gjort bedömningen att det inte är nödvändigt att straffbelägga förfaranden i strid med missbruksregeln och har i enlighet därmed inte föreslagit någon ändring av 49 § personuppgiftslagen i detta avseende. Både Riksåklagaren och Justitiekanslern har ifrågasatt denna bedömning och menat att det inte är givet att den som behandlar t.ex. känsliga personuppgifter i strid med 13 § personuppgiftslagen i ett personregister skall riskera straff medan motsvarande behandling i ostrukturerat material skall vara straffri. Regeringen instämmer i att detta inte är ett tillfredsställande resultat. Skadan för den vars personuppgifter behandlas kan naturligtvis i det enskilda fallet vara lika stor oavsett om behandlingen sker i ett traditionellt register eller i ostrukturerad form. Det finns ur ett straffrättsligt perspektiv inte anledning att se annorlunda på den situationen att behandling av känsliga personuppgifter och sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen behandlas i strid med missbruksregeln, dvs. på så sätt att den registrerades personliga integritet kränks, än på den situationen att samma uppgifter behandlas i strid med personuppgiftslagens hanteringsregler i annat än ostrukturerat material. Det kan alltså inte enligt regeringens mening anses befogat att avkriminalisera behandling av denna typ av personuppgifter bara för att behandlingen av dem äger rum i ett ostrukturerat material.
Behandling av känsliga personuppgifter och sådana uppgifter som avses i 21 § personuppgiftslagen (bl.a. uppgifter om lagöverträdelser) i strid med missbruksregeln - dvs. som innebär att den registrerades personliga integritet kränks - bör således vara straffbelagd. För att en gärning skall vara straffbar bör dock krävas att den har begåtts uppsåtligen eller av grov oaktsamhet (se vidare i avsnitt 9.1.2 om vilka subjektiva rekvisit som bör gälla för straffbarhet). Straffskalan bör vara densamma som för övriga brott mot personuppgiftslagen.
Som framgått ovan är det i dag även straffbart att föra över personuppgifter till tredje land i strid med 33-35 §§ personuppgiftslagen. Efter EG-domstolens dom i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01, REG. 2003 s. I-12971) har förbudet mot att överföra personuppgifter till tredje länder utan adekvat skyddsnivå, och det därmed förenade straffansvaret, delvis förlorat i betydelse. Domstolen slog ju, som framgår av avsnitt 8.3.2, fast att utläggande av personuppgifter på Internet inte, åtminstone under vissa förutsättningar, är att betrakta som överföring i direktivets mening. Förbudet har dock alltjämt betydelse när överföringen görs i annan form än genom att uppgifterna läggs ut på Internet, t.ex. torde det vara tillämpligt om uppgifterna sprids via e-post.
Enligt den föreslagna missbruksregeln är det tillåtet att föra över personuppgifter till tredje land utan att behöva iaktta hanteringsreglerna i 33-35 §§ personuppgiftslagen. Liksom vid all annan behandling av personuppgifter i ostrukturerat material är 5 a § andra stycket, som innebär att den registrerades personliga integritet inte får kränkas, den enda regel man skall behöva beakta.
Regeringen kan inte se något skäl till varför en överföring till tredje land av personuppgifter i ostrukturerat material, som innebär en kränkning av den registrerades personliga integritet, inte skulle vara straffbar, medan överföring av motsvarande uppgifter i strukturerad form skulle omfattas av straffbestämmelserna. Av samma skäl som anförts beträffande behandling av bl.a. känsliga personuppgifter i ostrukturerat material bör överföring av personuppgifter i sådant material till tredje land utan adekvat skyddsnivå vara straffbar om överföringen inneburit en kränkning av den personliga integriteten i enlighet med missbruksregeln. På motsvarande sätt som anförts ovan bör dock för straffbarhet krävas att gärningen begåtts uppsåtligen eller av grov oaktsamhet. Den straffskala som gäller för övriga brott mot personuppgiftslagen bör gälla även i detta avseende.
Precis som är fallet vid bedömningen av vilka behandlingar som är skadeståndsgrundande får utgångspunkten för vad som skall anses som en kränkning av den personliga integriteten i straffrättslig mening vara vad regeringen redovisat i avsnitt 8.2.
Tillsyn
Som konstaterats i avsnitt 8.3.2 är det inte möjligt att göra undantag från artikel 28 i EG-direktivet, enligt vilken tillsynsmyndigheten skall ha vissa befogenheter avseende behandlingen av personuppgifter. Datainspektionen är tillsynsmyndighet i Sverige och myndighetens befogenheter är reglerade i 32 och 43-47 §§ personuppgiftslagen samt i personuppgiftsförordningen (1998:1191).
Det är naturligt och rimligt att den tillsyn Datainspektionen har rätt att utöva enligt dessa bestämmelser och de befogenheter som är förknippade med denna också omfattar behandling enligt den föreslagna missbruksregeln.
Datainspektionen kommer vidare att ha en viktig funktion att fylla genom att i sin verksamhet ge vägledning, t.ex. genom att ge ut allmänna råd och annat informationsmaterial, i hur den nya missbruksregleringen bör tillämpas.
9 Övriga förslag
9.1 Avkriminalisering
9.1.1 Gällande rätt
Enligt artikel 24 i EG-direktivet skall medlemsstaterna anta lämpliga bestämmelser för att säkerställa att direktivet genomförs fullständigt. Staterna skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som har antagits till följd av direktivet.
Den normala sanktionen vid överträdelse av personuppgiftslagen är skadestånd till den registrerade enligt 48 § i lagen. Som framgått av avsnitt 8.5 är emellertid vissa förfaranden i strid med personuppgiftslagen även straffbelagda enligt 49 § i lagen. Så är fallet om man lämnar osann uppgift i sådan information till registrerade som föreskrivs i lagen, i en anmälan till tillsynsmyndigheten enligt 36 § eller till tillsynsmyndigheten när myndigheten begär information enligt 43 § (49 § första stycket punkten a). Det är vidare straffbart att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. i strid med 13-21 §§ och att föra över personuppgifter till tredje land i strid med 33-35 §§ (49 § första stycket b och c). Slutligen är det straffbart att låta bli att i vissa fall göra en anmälan till tillsynsmyndigheten (49 § första stycket d). För straffbarhet krävs i samtliga fall uppsåt eller oaktsamhet. Straffskalan är böter eller fängelse i högst sex månader och om brottet är grovt fängelse i högst två år.
I samband med att bestämmelserna om överföring av personuppgifter till tredje land lättades upp avkriminaliserades gärningar som är ringa genom att det föreskrevs att det i ringa fall inte skall dömas till ansvar (prop. 1999/2000:11 s. 18 f.). Regeringen noterade att det finns överträdelser av personuppgiftslagens straffbestämmelse som i det enskilda fallet inte framstår som särskilt straffvärda och att det ibland kan vara svårt för den personuppgiftsansvarige att på förhand avgöra om en överföring till tredje land är tillåten eller inte enligt de nya bestämmelserna. Det kunde förutses att det kommer att finnas situationer där det visar sig att den personuppgiftsansvarige gjort en felaktig bedömning men där överträdelsen av överföringsförbudet inte är särskilt klandervärd. Det ansågs angeläget att motverka sådana negativa konsekvenser. Vad som är ringa fall får bedömas med hänsyn till samtliga omständigheter i det enskilda fallet. Alla faktorer som uppgifternas art och vilken integritetskränkning eller risk för integritetskränkning som behandlingen orsakat skall vägas in vid bedömningen.
EG-domstolen har i domen i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01, REG. 2003 s. I-12971) betonat att sanktionsåtgärder alltid måste stå i överensstämmelse med proportionalitetsprincipen och att det i enlighet med den principen ankommer på de nationella domstolarna att beakta alla omständigheter, bl.a. under hur lång tid överträdelsen av reglerna har pågått och hur viktigt det är för de berörda att de uppgifter som har spritts skyddas.
9.1.2 Avkriminalisering av oaktsamhet av normalgraden
Regeringens förslag: Oaktsamhet av normalgraden skall inte längre vara straffbar.
Utredningens förslag: Överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser som har yttrat sig i denna del tillstyrker förslaget.
Skälen för regeringens förslag: Vid införandet av personuppgiftslagen ansågs det att vikten av att följa vissa, särskilt angivna, regler inskärptes på ett ändamålsenligt sätt genom att straffansvar kan inträda redan vid oaktsamhet av normalgraden (prop. 1997/98:44 s. 108 f.). Därefter har emellertid ett undantag införts för ringa fall av överträdelser, främst för fall där den personuppgiftsansvarige gjort en felaktig bedömning men överträdelsen inte är särskilt klandervärd (prop. 1999/2000:11 s. 18 f.). I de särskilda registerförfattningar som införts efter personuppgiftslagen har det normalt inte tagits in några särskilda bestämmelser om straff.
Att som utredningen föreslagit avkriminalisera oaktsamhet av normalgraden vid överträdelse av personuppgiftslagen skulle utgöra ytterligare ett steg mot en missbruksinriktad regleringsmodell på såväl det område som faller in under den föreslagna missbruksregeln, som på det som faller utanför och fortfarande styrs av lagens hanteringsregler.
Den ändring som regeringen föreslår för behandling av personuppgifter i ostrukturerat material kan, som vissa remissinstanser påpekat, innebära att det kan uppstå gränsfall där det för personuppgiftsansvariga kan vara svårt att, innan en fast rättspraxis har utbildats, på förhand avgöra om den behandling de avser att utföra faller inom ramen för det undantagna området eller inte. Det kan t.ex. förutses att det kommer att uppstå situationer där det visar sig att den personuppgiftsansvariga gjort en felaktig bedömning av om behandlingen utförs i ett strukturerat material eller inte men där överträdelsen inte är särskilt allvarlig. I stor utsträckning bör i och för sig regeln om att ringa fall är straffria vara tillräcklig för att undvika oskäliga resultat vid mindre klandervärda felbedömningar. Det finns dock situationer som regeln om ringa fall inte torde omfatta men där det ändå kan finnas anledning att överväga straffrihet. Det gäller främst det fallet att en oaktsamhet har lett till en skada eller en integritetskränkning som inte är försumbar. Då kan det med hänsyn till gärningens konsekvenser vara svårt att med fog påstå att det är fråga om ett ringa fall. Den oaktsamhet som den personuppgiftsansvarige uppvisat, t.ex. i förhållande till om behandlingen utförts i ett ostrukturerat material eller till att känsliga personuppgifter har behandlats, kan emellertid i det enskilda fallet ha varit mindre klandervärd. En avkriminalisering av oaktsamhet av normalgraden skulle i sådana fall motverka oskäliga resultat. Detta gäller både för det område som faller in under missbruksregeln och det som fortfarande regleras av hanteringsreglerna.
Frågan är då om det finns några bärande skäl emot en sådan avkriminalisering som ligger i linje med hur synen på behovet av straff utvecklats efter införandet av personuppgiftslagen. Så kan enligt regeringens mening inte anses vara fallet. Som framhållits inledningsvis har utvecklingen snarare gått mot att straff inte är en nödvändig reaktion på överträdelser av personuppgiftslagen eller anslutande registerförfattningar. Om de registrerades integritet kränks eller om de annars lider skada kan de i första hand begära skadestånd av den personuppgiftsansvarige oavsett om denne begått en straffbar överträdelse av personuppgiftslagen eller inte. Vidare skall grovt oaktsamma förfaranden fortfarande vara straffbara. Därmed kan man beivra de fall där den tilltalade visat uppenbar nonchalans. Det får anses tillräckligt för att inskärpa vikten av att reglerna om behandling av personuppgifter följs. Regeringen föreslår således att bara uppsåtliga och grovt oaktsamma förfaranden skall vara straffbara.
9.2 Registerutdrag
9.2.1 Gällande rätt
Rätten för den registrerade att på begäran få ett s.k. registerutdrag med de uppgifter om honom eller henne som en personuppgiftsansvarig behandlar har funnits under lång tid. Bestämmelser om rätt till registerutdrag fanns redan i datalagen (1973:289) och finns i dag i 26 § personuppgiftslagen som genomför artikel 12 i EG-direktivet.
Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information - ett s.k. registerutdrag - lämnas också om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Registerutdraget skall lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får utdraget dock lämnas senast fyra månader efter det att ansökan gjordes.
Det finns ett par undantag i personuppgiftslagen från skyldigheten att lämna registerutdrag. Ett sådant utdrag behöver inte omfatta personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Det gäller dock inte om uppgifterna har lämnats ut till tredje man eller om uppgifterna behandlas enbart för historiska, statistiska eller vetenskapliga ändamål eller, när det gäller löpande text som inte fått sin slutliga utformning, om uppgifterna har behandlats under längre tid än ett år. Utdraget behöver inte heller omfatta sådan information som enligt vad som är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av författning inte får lämnas ut till den registrerade, 27 § personuppgiftslagen. Författningsgrundade bestämmelser om sekretess och tystnadsplikt går således före skyldigheten att lämna registerutdrag. En personuppgiftsansvarig som inte är en myndighet får därvid i motsvarande fall som avses i sekretesslagen (1980:100) vägra att lämna ut uppgifter till den registrerade.
De två nu berörda undantagen har grundats på artikel 13.1 g i EG-direktivet. Att under en rimlig tid få ha sina ofärdiga alster och minnesanteckningar i fred har nämligen betraktats som en sådan fri- och rättighet som enligt artikel 13.1 berättigar till en begränsning av informationsskyldigheten. De bestämmelser om sekretess och tystnadsplikt som finns i Sverige har vidare ansetts vara uppställda till skydd för sådana fri- och rättigheter som avses i EG-direktivet.
9.2.2 Ingen ändring av skyldigheten att lämna registerutdrag avseende behandlingar i strukturerat material
Regeringens bedömning: Det bör inte göras någon ändring av skyldigheten att lämna information enligt 26 § personuppgiftslagen för sådana behandlingar som även fortsättningsvis skall omfattas av personuppgiftslagens hanteringsregler.
Utredningens förslag: Överensstämmer inte med regeringens. Utredningen har föreslagit att information enligt 26 § personuppgiftslagen inte skall behöva lämnas i den utsträckning det skulle visa sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats för den personuppgiftsansvarige.
Remissinstanserna: En majoritet av remissinstanserna, bl.a. Riksdagens ombudsmän, Stockholms tingsrätt, Socialstyrelsen, Statistiska centralbyrån och juridiska fakultetsnämnden vid Stockholms universitet, tillstyrker förslaget. Malmö tingsrätt och Rikspolisstyrelsen menar att det är tveksamt om förslaget är förenligt med EG-direktivet om skydd för personuppgifter.
Skälen för regeringens bedömning: Höga kostnader och oproportionerligt stor arbetsbörda för de personuppgiftsansvariga har, såväl av remissinstanserna som av dem som svarat på Justitiedepartementets enkät om EG-direktivet (Ds 2001:27), framförts som argument mot skyldigheten att lämna registerutdrag i den utsträckning som personuppgiftslagen kräver. Sådana synpunkter har i första hand förts fram med anledning av att skyldigheten omfattar inte endast, som på datalagens tid, sådana uppgifter som finns i regelrätta register utan också uppgifter i ostrukturerat material. Personuppgiftsansvariga som har en större mängd sådant material, t.ex. i form av löpande text, upplever problem med att uppfylla sin skyldighet att lämna korrekta registerutdrag särskilt om materialet finns på olika ställen, t.ex. i hundratals persondatorer. Redan vid införandet av personuppgiftslagen uppmärksammade regeringen att det beträffande sådant material kan innebära särskilda svårigheter att söka fram alla uppgifter om en och samma person (se prop. 1997/98:44 s. 82 f.).
Som framgår av avsnitt 8.4 föreslår regeringen nu, till skillnad från utredningen, att det beträffande sådant ostrukturerat material, t.ex. löpande text, som omfattas av den föreslagna missbruksregeln införs ett undantag från skyldigheten att lämna registerutdrag. På så sätt kommer man enligt regeringens uppfattning till rätta med många av de problem som remissinstanserna och övriga personuppgiftsansvariga har påtalat.
Att därutöver införa undantag från eller lättnader i skyldigheten att lämna registerutdrag vore enligt regeringens mening att föra för långt. Rätten att på begäran få ett registerutdrag är grundläggande för den registrerade och har funnits alltsedan 1973 års datalag antogs. Som framhållits i avsnitt 8.4 fyller den en viktig kontrollfunktion, framför allt när uppgifterna finns i regelrätta register och stora databaser där integritetsriskerna typiskt sett är större. Genom registerutdraget får den registrerade möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade uppgifterna är riktiga. Rätten till insyn är vidare en förutsättning för att den registrerade i praktiken skall kunna få felaktiga uppgifter rättade i sådant material som inte omfattas av den föreslagna missbruksregeln.
Skyldigheten för den personuppgiftsansvarige att lämna registerutdrag inträder först när den registrerade begär ett sådant utdrag. I enlighet med vad som angetts i förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 82 f.) krävs det i princip inte heller att den personuppgiftsansvarige vidtar några förberedande åtgärder innan en begäran framställts; en annan sak är att allmänna administrativa skäl talar för att den personuppgiftsansvarige på förhand utarbetar rutiner för att på ett så effektivt sätt som möjligt kunna uppfylla registerutdragsskyldigheten, på samma sätt som sådana rutiner behövs för ett effektivt uppfyllande av andra skyldigheter i verksamheten. Det är således inte fråga om någon betungande skyldighet i den vardagliga hanteringen av personuppgifter. Vidare är, som regeringen konstaterade i a. prop. (s. 83) den personuppgiftsansvarige bara skyldig att utnyttja de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade. Den personuppgiftsansvarige har således ingen skyldighet att tillskapa t.ex. nya program eller funktioner som det i övrigt inte finns behov av i verksamheten.
Sammanfattningsvis anser alltså regeringen att övervägande skäl talar för att någon ändring av skyldigheten enligt 26 § personuppgiftslagen att på begäran lämna registerutdrag inte bör göras såvitt gäller uppgifter som behandlas i sådant material som faller utanför den föreslagna missbruksregelns tillämpningsområde.
9.3 Överklagande av myndighetsbeslut
Regeringens förslag: En myndighets beslut om information, om rättelse och underrättelse till tredje man om rättelseåtgärder, om information om automatiserade beslut och om allmänna upplysningar om pågående behandlingar får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt personuppgiftslagen får inte överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelserna om överklagande skall dock inte gälla beslut av riksdagen, regeringen och riksdagens ombudsmän.
Regeringens bedömning: Särskilda bestämmelser om hur beslut av allmänna domstolar och allmänna förvaltningsdomstolar överklagas bör tas in i de registerlagar som skall reglera domstolarnas behandling av personuppgifter.
Utredningens förslag: Överensstämmer i huvudsak med regeringens. Utredningen har dock inte föreslagit någon särreglering för Riksdagens ombudsmän.
Remissinstanserna: De flesta remissinstanserna tillstyrker förslaget. Riksdagens ombudsmän (JO) menar dock att JO:s beslut inte bör kunna överklagas. Kammarrätten i Stockholm och Stockholms tingsrätt anser att man bör överväga om inte även överklagande av en domstols egna beslut om behandling av personuppgifter bör tas in i personuppgiftslagen. Domstolsverket påpekar att även överklagande av hyres- och arrendenämnders beslut bör regleras särskilt.
Skälen för regeringens förslag och bedömning: EG-direktivet om personuppgifter kräver inte att andra beslut än tillsynsmyndighetens skall kunna överklagas. I personuppgiftslagen finns det heller inga andra bestämmelser om överklagande än 51 § som endast reglerar överklagande av tillsynsmyndighetens beslut. Frågan om överklagande av andra myndigheters beslut enligt personuppgiftslagen berördes inte heller särskilt i förarbetena till lagen. Trots avsaknad av uttryckliga bestämmelser därom torde dock, som utredningen konstaterat (bet. s. 210), tillämpningen av allmänna förvaltningsrättsliga principer leda till att åtminstone vissa beslut av en myndighet enligt personuppgiftslagen kan överklagas.
I samband med utformningen av särskilda registerlagar efter ikraftträdandet av personuppgiftslagen har ofta den bedömningen gjorts att myndighetsbeslut som direkt berör den enskilde skall kunna överklagas, medan myndighetsbeslut som ansetts som interna eller administrativa - t.ex. beslut om att inrätta ett register - och således inte direkt berör den enskilde inte bör kunna överklagas. Det har därför införts bestämmelser som vanligen anger att beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (s.k. registerutdrag) får överklagas till allmän förvaltningsdomstol, dvs. länsrätt, och bestämmelser som ibland dessutom anger att andra beslut inte får överklagas. Prövningstillstånd krävs för överklagande till kammarrätt. Bilden är dock något splittrad i fråga om existensen och utformningen av bestämmelser om överklagande i särskilda registerlagar.
Lagrådet har vid några tillfällen i yttranden över särskilda registerförfattningar framfört synpunkten att regeringen bör överväga möjligheten att i personuppgiftslagen införa överklagandebestämmelser i fråga om myndigheters rättelse- och informationsbeslut (se bl.a. prop. 2000/01:54 s. 77 f. och prop. 2002/03:40 s. 241). På så sätt skulle bestämmelserna om meddelande av t.ex. rättelse- och informationsbeslut och om överklagande av dessa beslut finnas i en och samma lag.
Regeringen kan instämma i att det i allmänhet inte är tillfredsställande att bestämmelser om överklagande av beslut finns i en lag och bestämmelser om beslutens meddelande i en annan. Till detta kommer att inte alla myndigheters personuppgiftsbehandling regleras i en särskild registerförfattning. Dessa myndigheter stödjer i stället sin behandling direkt på personuppgiftslagen. För att avgöra om sådana myndigheters beslut enligt lagen kan överklagas måste utgångspunkt tas i allmänna förvaltningsrättsliga principer om överklagande i stället för i en uttrycklig bestämmelse i lagen. Mot bakgrund av dessa förhållanden bör det, som utredningen föreslagit, i personuppgiftslagen införas särskilda bestämmelser om överklagande av myndighetsbeslut.
Med den principiella utgångspunkten att beslut som direkt berör den enskilde skall kunna överklagas och att andra beslut, som kan betecknas som interna eller administrativa, inte bör få överklagas står det klart att, som utredningen konstaterat, följande beslut enligt personuppgiftslagen som meddelats av en myndighet bör få överklagas.
* Beslut om information (registerutdrag) enligt 26 §.
* Beslut om rättelse och underrättelse till tredje man om rättelseåtgärder enligt 28 §.
* Beslut om information om automatiserade beslut enligt 29 § andra stycket.
* Beslut om allmänna upplysningar om pågående behandlingar enligt 42 §.
Det bör alltså införas en uttrycklig bestämmelse i personuppgiftslagen om att dessa beslut av myndighet får överklagas. Det bör också tas in en uttrycklig bestämmelse i personuppgiftslagen om att andra beslut av en myndighet inte får överklagas. I likhet med vad som gäller enligt i princip samtliga registerförfattningar som innehåller särskilda bestämmelser om överklagande bör prövningen göras av allmän förvaltningsdomstol, dvs. länsrätt. Prövningstillstånd bör krävas för överklagande till kammarrätt.
För överklagande av domstolarnas beslut gäller i dag en delvis annan ordning än den föreslagna. Deras beslut om rättelse och information överklagas i dag enligt särskilda regler i förordningar för respektive domstol (10 § förordningen [2001:639] om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, 10 § förordningen [2001:640] om registerföring m.m. vid länsrätt med hjälp av automatiserad behandling och 11 § förordningen [2001:641] om registerföring m.m. vid Regeringsrätten och kammarrätterna med hjälp av automatiserad behandling). Frågan om en lagreglering av domstolarnas samt hyres- och arrendenämndernas behandling av personuppgifter övervägs för närvarande inom Regeringskansliet med anledning av Domstolsdatautredningens förslag (SOU 2001:100). I det arbetet inbegrips även frågan om ordningen för överklagande av beslut. Det finns inte anledning att nu föregripa dessa överväganden. En sak står dock klar redan nu; den särreglering som även i fortsättningen torde krävas på detta område bör inte tas in i personuppgiftslagen som är en generell lag utan särbestämmelser för vissa myndigheter. De särskilda bestämmelser som det kan finnas behov av för domstolarna bör, som hittills, tas in i särskilda författningar. En sådan ordning blir i och för sig ett avsteg från den grundläggande princip som regeringen ovan ansett i allmänhet bör gälla om att bestämmelser om meddelande och överklagande av ett och samma beslut bör finnas i samma lag. Denna konsekvens får dock accepteras på det begränsade och speciella område som överklagande av domstols beslut utgör.
Utredningen har föreslagit att det i personuppgiftslagen tas in en erinran om att det finns särskilda föreskrifter såvitt avser överklagande av domstolarnas beslut. En sådan informationsbestämmelse är enligt regeringens mening överflödig. Personuppgiftslagen är subsidiär i förhållande till andra författningar. Om det finns avvikande bestämmelser i en annan lag eller i en förordning skall, enligt 2 § personuppgiftslagen, de bestämmelserna gälla. Att det på vissa områden finns sådana avvikande bestämmelser behöver inte särskilt anges.
Beslut enligt personuppgiftslagen som meddelats av riksdag och regering bör inte kunna överklagas, jfr ordningen om utlämnande av allmänna handlingar, 15 kap. 7 § tredje stycket sekretesslagen (1980:100). En uttrycklig bestämmelse därom bör tas in i personuppgiftslagen. Riksdagens ombudsmän (JO) har påpekat att inte heller JO:s beslut bör kunna överklagas. För utlämnande av allmänna handlingar gäller samma ordning för JO som för riksdagen och regeringen, se 4 § andra stycket lagen (1989:186) om överklagande av administrativa beslut av riksdagsförvaltningen och riksdagens myndigheter. Det finns inte anledning att se annorlunda på JO:s beslut enligt personuppgiftslagen. Även JO bör alltså tas med i uppräkningen av de organ vars beslut inte kan överklagas.
Genom införandet av en bestämmelse om överklagande i personuppgiftslagen är det inte längre nödvändigt att i särskilda registerförfattningar, som hänvisar till personuppgiftslagen, ta in överklagandebestämmelser. Så länge sådana särskilda bestämmelser inte upphävts gäller de dock i första hand eftersom särbestämmelser i annan författning gäller framför personuppgiftslagen (2 §). Det kan finnas anledning att vid översyn av registerförfattningar särskilt uppmärksamma frågan om överklagande.
9.4 Undantag enligt artikel 13 i EG-direktivet om personuppgifter
9.4.1 Artikel 13 i EG-direktivet
Som framgått av tidigare avsnitt finns det i artikel 13.1 EG-direktivet bestämmelser om att medlemsstaterna genom lagstiftning får begränsa omfattningen av vissa skyldigheter och rättigheter som följer av direktivet. Det gäller de skyldigheter och rättigheter som anges i artikel 6.1, 10, 11.1, 12 och 21, dvs.
* de grundläggande kraven på behandlingen av personuppgifter (artikel 6.1, som motsvaras av 9 § personuppgiftslagen)
* skyldigheten att informera den registrerade (artikel 10 och 11.1, som motsvaras av 23-25 §§ personuppgiftslagen)
* rätten att på begäran få tillgång till uppgifterna och rättelse (artikel 12, som motsvaras av 26 och 28 §§ samt 29 § andra stycket personuppgiftslagen)
* reglerna om ett offentligt register över anmälda behandlingar och skyldigheten att hålla information om andra behandlingar tillgänglig (artikel 21, som motsvaras av 42 § personuppgiftslagen och 7 § personuppgiftsförordningen)
En sådan begränsning måste vara en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott
eller av överträdelser av etiska regler som gäller för lagreglerade
yrken,
e) ett viktigt ekonomsikt eller finansiellt intresse hos en medlemsstat
eller hos Europeiska unionen, inklusive monetära frågor,
budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om
den är av övergående karaktär, är förbunden med
myndighetsutövning i de under punkterna c), d) och e) nämnda
fallen eller
g) skydd av den registrerades eller andras fri- och rättigheter.
En del av de intressen som nämns i artikeln avser sådan verksamhet som faller utanför gemenskapsrätten och därmed inte omfattas av direktivet (se artikel 3.2 i direktivet). Personuppgifter som behandlas i verksamheter som omfattas av gemenskapsrätten och därmed av direktivet kan dock t.ex. behöva lämnas ut för att användas i verksamhet som faller utanför gemenskapsrätten. Artikel 13.1 ger i detta fall stöd för att begränsa användningen av vissa bestämmelser i direktivet för de verksamheter som i och för sig omfattas av direktivet i syfte att underlätta för verksamhet som inte omfattas av gemenskapsrätten.
Något generellt undantag som motsvarar det som är tillåtet att göra enligt artikel 13 i EG-direktivet har inte tagits in i personuppgiftslagen, och frågan om att ta in ett sådant undantag har inte heller diskuterats i förarbetena. Däremot har artikel 13 åberopats som grund för ett par specifika undantag eller motsvarande i lagen. Det gäller dels definitionen av blockering, dels undantag från skyldigheten att lämna registrerade information (se prop. 1997/98:44 s. 47 och s. 83 f.).
9.4.2 Rätt för regeringen att i fall som avses i artikel 13 i EG-direktivet föreskriva om undantag
Regeringens förslag: Regeringen skall få meddela föreskrifter om sådana undantag som är tillåtna enligt artikel 13.1 i EG-direktivet om skydd för personuppgifter.
Utredningens förslag: Överensstämmer delvis med regeringens. Utredningen har dock föreslagit att rätten att meddela föreskrifter även skall kunna delegeras till den myndighet regeringen bestämmer samt att regeringen eller den myndighet regeringen bestämmer skall få meddela beslut i enskilda fall.
Remissinstanserna: En majoritet av de remissinsatser som har yttrat sig i denna del, bl.a. Kammarrätten i Stockholm och juridiska fakultetsnämnden vid Stockholms universitet, tillstyrker förslaget. Datainspektionen invänder mot att delegation till myndighet skall kunna ske eftersom de intressen som anges i artikel 13 i EG-direktivet är sådana som regeringen i fråga om förbudet mot att överföra personuppgifter till tredje land inte ansett det lämpligt att delegera till myndighet. Försvarsmakten menar att begreppet "statens säkerhet" bör bytas ut mot "rikets säkerhet" och att begreppet "försvaret" bör konkretiseras till det "militära försvaret" om det är vad som avses.
Skälen för regeringens förslag: Artikel 13.1 i EG-direktivet ger möjlighet till undantag från vissa bestämmelser när det är nödvändigt med hänsyn till fullgörandet av viktiga samhälls- eller myndighetsfunktioner (punkt a-f). Dessutom finns det, som framgått i avsnitt 8.3.2, möjlighet att göra undantag om det är nödvändigt med hänsyn till skyddet av fri- och rättigheter (punkt g).
Som ett led i att, inom ramen för nuvarande lydelse av EG-direktivet, i så stor utsträckning som möjligt införa undantag från personuppgiftslagens hanteringsregler har utredningen haft att överväga om de undantagsmöjligheter som artikel 13 erbjuder bör tas in direkt i personuppgiftslagen. Utredningen har dock kommit fram till att dessa undantag är alltför generella och vaga för att det lämpligen skall låta sig göras. Regeringen har ingen annan uppfattning. Att låta alla personuppgiftsansvariga själva bedöma om det är befogat med ett undantag i ett konkret fall skulle kunna leda till rättsosäkerhet och risk för integritetskränkningar. Resultatet skulle också kunna bli att personuppgiftsansvariga, av rädsla för att göra fel, inte utnyttjar undantagsbestämmelserna i tillräcklig utsträckning för att t.ex. viktiga samhälls- och myndighetsfunktioner skall fungera tillfredsställande. Bedömningen av om det är nödvändigt för att sådana funktioner skall fungera eller för skyddet för fri- och rättigheter att vissa regler i personuppgiftslagen inte tillämpas bör vidare inte göras av varje enskild personuppgiftsansvarig. Regeringen anser därför, i likhet med utredningen, att sådana undantag som är tillåtna enligt artikel 13.1 normalt bör utformas som skyldigheter för personuppgiftsansvariga och inte som regler som ger denne möjlighet att, om han eller hon så skulle önska, göra undantag.
Att i någon större utsträckning ta in bestämmelser i personuppgiftslagen om sådana skyldigheter, som grundar sig på andra intressen än integritetsskyddet, skulle strida mot systematiken i och syftet med personuppgiftslagen. I särlagstiftning med bestämmelser som avviker från personuppgiftslagen (se 2 §) är det emellertid möjligt att på speciella områden införa preciserade bestämmelser med undantag som baserar sig på artikel 13.1. Det kan t.ex. gälla bestämmelser om uppgiftsskyldighet till myndigheter som skall gälla oavsett vilket ändamål den personuppgiftsansvarige ursprungligen bestämt för sin behandling av personuppgifterna och oavsett den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen. Konkreta bestämmelser som grundar sig på möjligheterna till undantag enligt artikel 13.1 bör vid behov tas in i sådana författningar. Det ger den bästa garantin för en välgrundad och rimlig avvägning i den aktuella situationen mellan integritetsskyddet och andra intressen. Den nuvarande lagstiftningssystematiken - där undantagsbestämmelser som stöder sig på artikel 13.1 normalt inte finns i personuppgiftslagen utan i särlagstiftning med avvikande bestämmelser - är således ändamålsenlig och bör bestå.
Som utredningen har påtalat kan det uppkomma situationer, som inte varit möjliga att förutse vid utarbetandet av sådan särlagstiftning, där det är befogat att undantag görs med stöd av artikel 13. För sådana fall kan det behövas en möjlighet för regeringen att enligt personuppgiftslagen föreskriva om undantag, t.ex. i avvaktan på att särlagstiftning hinner utarbetas eller ändras. Som utredningen föreslagit bör därför regeringen bemyndigas att meddela generella föreskrifter om sådana undantag som är tillåtna enligt artikel 13.1 i direktivet. Enligt utredningens förslag skall denna rätt kunna delegeras även till den myndighet regeringen bestämmer, i första hand Datainspektionen. Regeringen anser dock, i likhet med Datainspektionen, att de intressen som det enligt artikel 13.1 kan göras undantag för, t.ex. statens säkerhet, allmän säkerhet och försvaret, är sådana som i första hand bör ankomma på riksdag eller regering att beakta. Det bör därför inte vara möjligt att delegera rätten att föreskriva undantag med stöd av artikel 13.1 till någon annan än regeringen. Något behov av att i enskilda fall besluta om undantag torde enligt regeringens mening inte föreligga. Det bör därför inte, som utredningen har föreslagit, införas en sådan möjlighet för regeringen eller myndighet.
Personuppgiftslagen följer i stort sett direktivets text och struktur. Detta har motiverats med att det är EG-domstolen som har att tolka de begrepp och uttryck som direktivet innehåller (se prop. 1997/98:44 s. 38). Mot bakgrund av detta bör man vid införandet av de undantagsmöjligheter som artikel 13 erbjuder så långt möjligt nära ansluta till de formuleringar som används i artikeln. Försvarsmakten har påtalat att man i lagtexten bör byta ut begreppet "statens säkerhet" mot "rikets säkerhet". Av kommissionens förklaring till direktivet (se SOU 1993:10 s. 184) framgår att begreppet statens säkerhet är avsett att omfatta skydd av den nationella suveräniteten mot såväl interna som externa hot. Detta får anses motsvara vad som innefattas även i begreppet "rikets säkerhet". Mot bakgrund härav bör man som Försvarsmakten föreslagit använda det i svensk författningstext mer gängse uttrycket "rikets säkerhet". Vad som innefattas i EG-direktivets uttryck "försvaret" är emellertid mera oklart. Det torde enligt regeringens mening kunna omfatta såväl det militära som det civila försvaret. Regeringen finner inte anledning att i detta avseende i lagtexten introducera något annat begrepp än direktivets.
10 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Ändringarna skall träda i kraft den 1 januari 2007. Föreskrifterna om överklagande skall dock inte tillämpas i fråga om överklagande av beslut som meddelats före ikraftträdandet.
Utredningens förslag: Utredningen har inte föreslagit något datum för ikraftträdande. I övrigt överensstämmer det med regeringens.
Remissinstanserna: Några särskilda synpunkter har inte framförts i denna del.
Skälen för regeringens förslag: De föreslagna ändringarna i personuppgiftslagen bör träda i kraft den 1 januari 2007. På så sätt ges tid för Datainspektionen att förbereda informationsinsatser för personuppgiftsansvariga, personuppgiftsombud och allmänhet samt utarbeta och - vid behov - omarbeta informationsmaterial.
Den nya bestämmelsen om överklagande bör dock inte tillämpas på beslut som meddelats före ikraftträdandet.
Av 5 § andra stycket lagen (1964:163) om införande av brottsbalken följer att en gärning som begåtts före ikraftträdandet av den nya lydelsen av straffbestämmelsen i personuppgiftslagen och som är att bedöma som oaktsamhet av normalgraden, inte skall leda till straff om dom meddelas efter ikraftträdandet.
11 Kostnadseffekter
Regeringens bedömning: De föreslagna ändringarna bedöms endast leda till marginella merkostnader. Dessa skall finansieras inom befintliga ramar.
Utredningens bedömning: Överensstämmer med regeringens.
Remissinstanserna: Länsrätten i Stockholms län efterlyser en bättre analys av kostnadseffekterna för domstolarna och menar att även om det redan i dag torde vara möjligt att överklaga myndigheters beslut enligt personuppgiftslagen kommer en uttrycklig bestämmelse därom att leda till att fler får kännedom om möjligheten. Datainspektionen menar att extra resurser kommer att behövas, både för dess vägledande informationsinsatser och för hanteringen av frågor och klagomål.
Skälen för regeringens bedömning: Lagförslaget innebär bl.a. att behandling av personuppgifter i ostrukturerat material underlättas i förhållande till vad som gäller i dag. Detta medför i sig inte några kostnadsökningar. För Datainspektionens del innebär förslaget i ett initialt skede ett ökat behov av informationsinsatser riktade till personuppgiftsansvariga, personuppgiftsombud och allmänheten. Detta skall hanteras inom ramen för befintligt anslag.
Förslaget att införa en uttrycklig bestämmelse i personuppgiftslagen om att vissa beslut enligt personuppgiftslagen som fattas av myndigheter skall kunna överklagas till allmän förvaltningsdomstol innebär i praktiken endast en kodifiering av vad som får anses gälla redan i dag enligt allmänna förvaltningsrättsliga principer. Införandet av en uttrycklig bestämmelse i lagen kan i och för sig sägas leda till att fler får kännedom om möjligheten att överklaga och därmed utnyttjar denna möjlighet i större utsträckning än i dag. Detta kan dock inte förutses ske i sådan omfattning att domstolarna skulle behöva kompenseras ekonomsikt.
Övriga förslag kan heller inte anses vara av sådan karaktär att de bör föranleda några kostnadsmässiga konsekvenser.
12 Författningskommentar
5 a §
Paragrafen, som är ny och som har utformats i enlighet med Lagrådets förslag, har behandlats i avsnitt 8.1-8.4.
Den syftar till att underlätta sådan behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Som en sammanfattande benämning på vad som avses med denna formulering har i rubriken till paragrafen begreppet "ostrukturerat material" använts. I avsnitt 8.1 har utvecklats och exemplifierats vad som avses med den i paragrafen valda formuleringen. Det är strukturen på materialet, där personuppgifterna ingår, som avgör om paragrafen är tillämplig eller inte. Vilken typ av personuppgifter som behandlas eller i vilket medium de förekommer, t.ex. i text, ljud eller bild eller annat, inverkar inte på bedömningen.
Personuppgifter som finns i en sådan samling som avses i 5 § andra stycket (s.k. manuella register) får alltid anses ingå i en sådan strukturerad samling som avses i förevarande paragraf. Det innebär att undantaget i denna paragraf bara har betydelse för automatiserad behandling av personuppgifter eftersom manuell behandling av personuppgifter omfattas av lagen endast om uppgifterna ingår i en strukturerad samling (register) i enlighet med 5 § andra stycket.
Bestämmelsen i första stycket innebär att behandling av personuppgifter i ostrukturerat material är undantagen från samtliga hanteringsregler i personuppgiftslagen som det har bedömts möjligt att inom ramen för EG-direktivet om personuppgifter göra undantag från. Detta betyder att den som behandlar personuppgifter t.ex. i löpande text i ordbehandlingsprogram, i e-post eller på Internet samt i enstaka ljud- eller bildupptagningar inte behöver beakta bestämmelserna om grundläggande krav på behandlingen av personuppgifter (9 §) och om när behandling av personuppgifter är tillåten (10 §). Inte heller behöver den personuppgiftsansvarige iaktta förbuden i 13 och 21 §§ mot att behandla känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. eller de särskilda villkor för behandling av personnummer som uppställs i 22 §. Vidare är den personuppgiftsansvarige inte skyldig att tillämpa bestämmelserna om när information till den registrerade skall lämnas (23, 24 och 26 §§). Han eller hon är inte heller skyldig att på begäran av den registrerade rätta m.m. personuppgifter enligt 28 § samt behöver inte iaktta förbudet i 33 § mot överföring av personuppgifter till tredje land som inte har en adekvat nivå för skyddet av personuppgifterna. Slutligen undantas sådan behandling från skyldigheten enligt 42 § att lämna upplysningar till allmänheten.
Skall materialet, t.ex. den löpande texten, infogas i en databas med en personuppgiftsanknuten struktur, exempelvis ett ärendehanteringssystem, måste däremot hanteringsreglerna tillämpas.
Sådan behandling av personuppgifter som undantas från de i första stycket angivna hanteringsreglerna regleras i stället av bestämmelsen i andra stycket. Behandlingen får nämligen inte utföras om den innebär en kränkning av den registrerades personliga integritet. Regeringen har valt att följa Lagrådets förslag till formulering av andra stycket trots att det av Statsrådsberedningens riktlinjer för författningsspråket (PM 1994:4) följer att man i normalfallet inte behöver använda sig av så utförliga hänvisningar mellan styckena i en och samma paragraf.
Vad som kan utgöra en kränkning av den personliga integriteten har utvecklats i avsnitt 8.2. Bedömningen av vad som är en kränkning skall inte göras schablonartat enbart utifrån vilka uppgifter som behandlas utan måste ta sin utgångspunkt också i t.ex. vilket sammanhang uppgifterna förekommer i, för vilket syfte de behandlas, vilken spridning de har fått eller riskerat att få samt vad behandlingen kan leda till. Det bör även beaktas att vad som kan utgöra en kränkning för en viss person eller i ett visst sammanhang inte behöver utgöra det för en annan person eller i ett annat sammanhang. En uppgift om exempelvis en persons politiska åsikter kan i ett visst sammanhang - t.ex. rörande en politiker - vara fullständigt harmlös medan motsvarande uppgift om en politiskt icke aktiv person för denne kan vara väldigt känslig ur integritetssynpunkt.
Som påpekats i avsnitt 8.1 innebär inte bestämmelsen att den personuppgiftsansvarige skulle vara förhindrad att tillämpa de i första stycket uppräknade hanteringsreglerna på ostrukturerat material. Om någon i ett enskilt fall är osäker på om hans eller hennes behandling av personuppgifter omfattas av undantaget kan han eller hon välja att i stället tillämpa hanteringsreglerna. Har dessa tillämpats kan det inte anses vara fråga om ett missbruk av personuppgifter i den mening som avses i andra stycket. För att det av lagtexten tydligt skall framgå att den personuppgiftsansvarige har en sådan valmöjlighet anges i första stycket, på inrådan av Lagrådet, att de angivna hanteringsreglerna inte behöver, i stället för inte skall, tillämpas på behandling av ostrukturerat material.
Avsikten med bestämmelsen är inte att behandling av personuppgifter skall bedömas som en kränkning av den personliga integriteten och därmed en överträdelse av personuppgiftslagen i större utsträckning än i dag. Bestämmelsens syfte är således inte att, för automatiserad personuppgiftsbehandling, tillskapa ett generellt skydd mot vad som i dagligt tal kan betecknas som en kränkning av den personliga integriteten.
Om sådan behandling som avses i paragrafen har inneburit en kränkning av den registrerades personliga integritet har personuppgifterna behandlats i strid med personuppgiftslagen på ett sådant sätt att skadeståndsskyldighet inträder enligt 48 §. Under vissa förutsättningar är handlandet även straffbelagt, se nedan i anslutning till 49 §.
Av 12 § andra stycket följer att den registrerade inte har rätt att motsätta sig sådan behandling som är tillåten enligt paragrafen.
Tillämpningen av de till 13, 23, 24 och 33 §§ anslutande bestämmelserna, 14-19, 25 och 34 §§ på behandling av personuppgifter i ostrukturerat material blir inte aktuell redan genom att tillämpningen av de förstnämnda paragraferna undantas såvitt avser sådan behandling. På inrådan av Lagrådet har dock dessa tagits med i uppräkningen av de undantagna paragraferna.
7 §
I andra stycket har 5 a § lagts till i uppräkningen. Ändringen är en följdändring och innebär att den nya föreslagna paragrafen inte - i likhet med de flesta andra bestämmelser i personuppgiftslagen - skall tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt och litterärt skapande.
8 a §
Paragrafen, som är ny, har behandlats i avsnitt 9.4.
I paragrafen bemyndigas regeringen att meddela föreskrifter om undantag från vissa bestämmelser i personuppgiftslagen.
I fråga om både vilka bestämmelser som undantag kan medges ifrån och under vilka förutsättningar så kan ske skall paragrafen ha samma innebörd som artikel 13.1 i EG-direktivet om personuppgifter.
49 §
I paragrafen har två nya punkter (e och f) införts. Dessa tillägg har behandlats i avsnitt 8.5. Vidare har paragrafen ändrats så att de i bestämmelsen angivna gärningarna inte är straffbara om de begås av oaktsamhet av normalgraden. Skälen härtill har redovisats i avsnitt 9.1.2.
Den som uppsåtligen eller av grov oaktsamhet behandlar sådana uppgifter som avses i 13 och 21 §§, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser m.m., i strid med 5 a §, dvs. på ett sätt som innebär en kränkning av den registrerades personliga integritet, skall dömas för brott mot personuppgiftslagen till böter eller fängelse i högst sex månader eller om brottet är grovt till fängelse i högst två år. I ringa fall skall inte dömas till ansvar. Detsamma skall gälla för den som uppsåtligen eller av grov oaktsamhet i strid med 5 a § för över personuppgifter till tredje land som inte har en sådan adekvat nivå för skyddet av personuppgifterna som avses i 33 §. Utgångspunkten för vad som skall bedömas som en kränkning av den personliga integriteten har behandlats i avsnitt 8.2 och i anslutning till 5 a §.
Att oaktsamhet av normalgraden inte längre skall vara straffbar innebär bl.a. att sådana fall där överträdelsen i sig är mindre klandervärd, men som p.g.a. att oaktsamheten lett till en skada eller en integritetskränkning som inte är försumbar ändå inte kan bedömas som ringa och därmed straffri, skall falla utanför det straffbara området.
51 §
Efter förslag från Lagrådet har andra stycket om att prövningstillstånd krävs vid överklagande till kammarrätt flyttats till en ny paragraf, 53 §.
52 §
Paragrafen, som är ny och som har utformats i enlighet med Lagrådets förslag, har behandlats i avsnitt 9.3 och innebär att sådana beslut enligt personuppgiftslagen som fattats av myndighet och som direkt berör den enskilde skall kunna överklagas till allmän förvaltningsdomstol. Av den nya 53 § framgår att prövningstillstånd krävs vid överklagande till kammarrätt.
Enligt andra stycket kan inte beslut av riksdagen, regeringen och riksdagens ombudsmän överklagas.
53 §
Paragrafen, som är ny, har införts på inrådan av Lagrådet. För att det inte skall råda någon tvekan om att inte bara beslut enligt 51 och 52 §§, utan också länsrätts beslut enligt 47 §, kan överklagas har dock regeringen valt en annan formulering av paragrafen än den av Lagrådet föreslagna. Kravet på prövningstillstånd i andra stycket gäller för beslut som avses i såväl 47 § som 51 och 52 §§.
Ikraftträdande- och övergångsbestämmelse
Bestämmelsen har behandlats i avsnitt 10.
Ändringarna föreslås träda i kraft den 1 januari 2007. Föreskrifterna om överklagande skall dock inte tillämpas i fråga om överklagande av beslut som har meddelats före ikraftträdandet.
\\ENGBERG\EYI0225$\DOK\Bilaga 5 - lagrådets yttrande.doc
1 Senaste lydelse 1999:1210.
Prop. 2005/06:173
2
1
Prop. 2005/06:
Bilaga 1
81
81
Prop. 2005/06:
Bilaga 2
81
81
Prop. 2005/06:
Bilaga 3
73
81
Prop. 2005/06:
Bilaga 5
81
81
81
81