Post 7002 av 7212 träffar
Propositionsnummer ·
1993/94:217 ·
En reformerad datalag
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 217
Regeringens proposition
1993/94:217
En reformerad datalag
Prop.
1993/94:217
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 14 april 1994
Carl Bildt
Reidunn Laurén
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
I propositionen läggs fram sådana förslag som bygger på Datalagsutredningens
arbete och som bör genomföras innan frågan om en ny datalag kan beredas vidare.
I enlighet med innehållet i grundlagspropositionen 1993/94:116
Normgivningsfrågor på dataskyddsområdet, m.m. föreslås att regeringen ges
möjlighet att bemyndiga Datainspektionen att utfärda generella föreskrifter om
personregister inom bestämda verksamheter. Register som inrättas och förs i
enlighet med sådana regler skall undantas från tillståndsplikt.
Den i datalagen särskilt angivna skyldigheten att begära Datainspektionens
yttrande inför inrättandet av personregister som beslutas av riksdag eller
regering avskaffas. I stället skall den allmänna regeln om beredningsunderlag i
regeringsärenden tillämpas.
För att mer effektivt kunna ingripa mot pågående intrång i enskilds personliga
integritet föreslås att Datainspektionen ges möjligheter att förena föreskrifter
och förbud med vite.
Vidare föreslås, i linje med ett sedan länge pågående arbete inom
regeringskansliet, att Datainspektionens beslut enligt datalagen inte längre
skall överklagas till regeringen utan till allmän förvaltningsdomstol.
De nya reglerna föreslås träda i kraft den 1 januari 1995, dvs. samtidigt med
föreslagna grundlagsändringar på området.
Innehållsförteckning
1 Förslag till riksdagsbeslut..................3
2 Lagtext .....................................4
2.1 Förslag till lag om ändring i
datalagen (1973:289).........................4
2.2 Förslag till lag om ändring i förvaltnings-
processlagen (1971:291)......................9
3 Ärendet och dess beredning..................10
4 Förhållandet mellan datalagen samt tryckfrihetsförordningen och
yttrandefrihetsgrundlagen....................12
5 Normgivningsmakten på dataskyddsområdet.....13
6 Yttranden enligt 2 a datalagen............22
7 Vite........................................24
8 Överklagande................................26
9 Kostnader...................................29
10 Författningskommentar......................30
10.1 Förslaget till lag om ändring i data-
lagen (1973:289)............................30
10.2 Förslaget till lag om ändring i förvaltnings-
processlagen (1971:291).....................32
Bilaga 1 Sammanfattning av Datalagsutredningens betänkande
En ny datalag (SOU 1993:10)..........33
Bilaga 2 Förteckning över remissinstanser som yttrat
sig över Datalagsutredningens förslag39
Bilaga 3 Lagrådsremissens lagförslag.........41
Bilaga 4 Lagrådets yttrande..................47
Utdrag ur protokoll vid regeringssammanträde
den 14 april 1994.............................48
Rättsdatablad.................................49
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen
antar regeringens förslag till
1. lag om ändring i datalagen (1973:289),
2. lag om ändring i förvaltningsprocesslagen (1971:291).
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om ändring i datalagen (1973:289)
Härigenom föreskrivs i fråga om datalagen (1973:289)[1]
dels att 2 a, 6, 6 a, 12, 18, 20 och 25 skall ha följande lydelse,
dels att det i lagen skall införas en ny paragraf, 19 , och närmast före nya
19 en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 a
Tillstånd av Tillstånd av
Datainspektionen behövs Datainspektionen behövs
inte för personregister inte för personregister
vars inrättande beslutas 1. vars inrättande
av riksdagen eller beslutas av riksdagen
regeringen. Innan sådant eller regeringen,
beslut fattas skall 2. som inrättas och förs
dock yttrande inhämtas i enlighet med
från Datainspektionen i föreskrifter som
fråga om register som beslutats med stöd av 19
skall innehålla ,
uppgifter som avses i 2 3. som har tagits emot
andra stycket. för förvaring av en
arkivmyndighet.
Tillstånd behövs inte
heller för
personregister som har
tagits emot för förvaring
av en arkivmyndighet.
Utan hinder av 2 andra stycket 1 får
1. sammanslutningar inrätta och föra personregister som innehåller sådana
uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse
i övrigt som utgör grunden för medlemskapet i sammanslutningen,
2. myndigheter inom hälso- och sjukvården för vård- eller behandlingsändamål
inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller
hälsotillstånd i övrigt,
3. myndigheter inom socialtjänsten inrätta och föra personregister som
innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten,
4. läkare och tandläkare inrätta och föra personregister som innehåller sådana
uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i
sin yrkesverksamhet,
**Fotnot**
[1]Lagen omtryckt 1992:446.
5. arbetsgivare inrätta och föra personregister, som innehåller sådana
uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om
uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren
skall kunna avgöra om han skall påbörja en rehabiliteringsutredning enligt 22
kap. 3 andra stycket lagen (1962:381) om allmän försäkring.
6
Lämnas tillstånd till Lämnas tillstånd till
inrättande och förande avinrättande och förande av
personregister, skall personregister, skall
Datainspektionen, i den Datainspektionen, i den
mån det behövs för att mån det behövs för att
förebygga risk för förebygga risk för
otillbörligt intrång i otillbörligt intrång i
personlig integritet, personlig integritet,
meddela föreskrift om meddela föreskrift för
registret om
1. inhämtande av uppgifter för personregistret,
2. vilka personuppgifter som får ingå i personregistret,
3. utförandet av den automatiska databehandlingen,
4. den tekniska utrustningen,
5. de bearbetningar av personuppgifterna i registret som får göras med
automatisk databehandling,
6. underrättelse till berörda personer,
7. de personuppgifter som får göras tillgängliga,
8. utlämnande och annan användning av personuppgift,
9. bevarande och gallring av personuppgifter,
10. kontroll och säkerhet,
11. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter.
Vid bedömandet av om Vid bedömandet av om
föreskrift behövs skall föreskrift för ett visst
särskilt beaktas huru- register behövs skall
vida registret särskilt beaktas huruvida
innehåller personuppgift registret innehåller
som utgör omdöme eller personuppgift som utgör
annan värderande omdöme eller annan
upplysning om den värderande upplysning om
registrerade. den registrerade.
Föreskrift rörande Föreskrift för ett visst
utlämnande av register rörande
personuppgift får icke utlämnande av personupp-
inskränka myndighets gift får inte inskränka en
skyldigheter enligt myndighets skyldigheter
tryckfrihetsförordningen.enligt tryckfri-
hetsförordningen.
6 a
Bestämmelserna i 5 och Bestämmelserna i 5 och 6
6 om skyldighet för om skyldighet för
Datainspektionen att Datainspektionen att
meddela föreskrift gällermeddela föreskrift för ett
även i fråga om visst register gäller även
personregister som i fråga om personregister
avses i 2 a första som avses i 2 a första
stycket andra meningen, stycket 1, om registret
i den mån icke skall innehålla uppgifter
regeringen eller som avses i 2 andra
riksdagen har meddelat stycket och regeringen
föreskrift i samma eller riksdagen inte har
hänseende. meddelat föreskrift i
samma hänseende.
12
Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur
personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med
registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse
i lag eller annan författning eller enligt myndighets beslut som meddelats med
stöd av författning. Detsamma gäller då den registeransvarige upphör att föra
personregistret.
Upphör en Upphör en
registeransvarig att registeransvarig att föra
föra ett personregister ett personregister för
för vilket vilket Datainspektionen
Datainspektionen har har meddelat tillstånd,
meddelat tillstånd, skall han anmäla detta
skall han anmäla detta till inspektionen.
till inspektionen. Detsamma gäller i fråga om
Detsamma gäller i fråga sådant personregister som
om sådant personregister avses i 2 a första
som avses i 2 a första stycket 1, om registret
stycket andra meningen. innehåller uppgifter som
avses i 2 andra styck-
et.
18
Har förandet av Har förandet av
personregister lett personregister lett till
till otillbörligt intrångotillbörligt intrång i
i personlig integritet personlig integritet
eller finns anledning eller finns anledning
antaga att sådant intrångantaga att sådant intrång
skall uppkomma, får skall uppkomma, får
Datainspektionen i mån Datainspektionen för ett
av behov meddela visst register i mån av
föreskrift i sådant behov meddela föreskrift
avseende som anges i 5 i sådant avseende som
eller 6 eller ändra anges i 5 eller 6 eller
föreskrift som tidigare ändra föreskrift som
meddelats. I fråga om tidigare meddelats. I
register som avses i 2 fråga om register som
a första stycket får avses i 2 a första
Datainspektionen vidta stycket 1 får
åtgärd som nu nämnts Datainspektionen vidta
endast i den mån den ej åtgärd som nu nämnts endast
står i strid med beslut i den mån den ej står i
av regeringen eller strid med beslut av
riksdagen. regeringen eller riks-
dagen.
Kan skydd mot Kan skydd mot
otillbörligt intrång i otillbörligt intrång i
personlig integritet ej personlig integritet
åstadkommas på annat sätt,inte åstadkommas på annat
får Datainspektionen sätt, får Datainspektionen
förbjuda fortsatt förandeförbjuda fortsatt förande
av personregister eller av personregister eller
återkalla meddelat återkalla meddelat
tillstånd. Detta gäller tillstånd. Detta gäller
dock inte sådana dock inte sådana register
register som avses i 2 som avses i 2 a första
a första stycket. stycket 1.
Föreskrift enligt första
stycket och förbud
enligt andra stycket får
förenas med vite.
Bemyndiganden
19
Regeringen eller, efter
regeringens
bemyndigande, Data-
inspektionen får inom
ramen för denna lag
meddela närmare före-
skrifter för person-
register som ofta före-
kommer inom en viss
verksamhet för ett visst
ändamål.
20 Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av
oaktsamhet
1. inrättar eller för personregister utan licens eller tillstånd enligt denna
lag, när detta erfordras,
2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller
18 ,
3. lämnar ut personuppgift i strid mot 11 ,
4. bryter mot 12 ,
5. lämnar osann uppgift 5. lämnar osann uppgift
vid fullgörande av vid fullgörande av
skyldighet att lämna skyldighet att lämna
underrättelse enligt 10 underrättelse enligt 10 ,
, eller 6. lämnar osann uppgift i
6. lämnar osann uppgift fall som avses i 17 ,
i fall som avses i 17 . eller
7. bryter mot föreskrift
som meddelats enligt 19
.
Den som överträtt ett
vitesföre-
läggande enligt 18
tredje stycket döms inte
till ansvar för en gärning
som omfattas av
föreläggandet.
Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot
7 a första eller tredje stycket.
25
Datainspektionens Datainspektionens
beslut enligt denna lag beslut enligt denna lag
överklagas hos regering- får överklagas hos allmän
en. Justitiekanslern får förvaltningsdomstol.
överklaga ett sådant Justitiekanslern får föra
beslut för att talan för att tillvarata
tillvarata allmänna allmänna intressen.
intressen. Om en myndighet som är
Om en myndighet som är registeransvarig avslår
registeransvarig avslår en begäran om
en begäran om underrättelse enligt 10 ,
underrättelse enligt 10 överklagas beslutet på
, överklagas beslutet påsamma sätt som gäller ett
samma sätt som gäller ettbeslut av myndigheten
beslut av myndigheten att avslå en begäran om
att avslå en begäran om utlämnande av allmän
utlämnande av allmän handling. Med myndighet
handling. Med myndighet jämställs därvid ett annat
jämställs därvid ett annatorgan i den utsträckning
organ i den utsträckning som anges i 1 kap. 8 och
som anges i 1 kap.8 9 sekretesslagen
sekretesslagen (1980:100).
(1980:100). Prövningstillstånd krävs
vid överklagande av mål om
viten till kammarrätten.
_________________________
1. Denna lag träder i kraft den 1 januari 1995.
2. Beslut som meddelats av Datainspektionen före ikraftträdandet överklagas
enligt äldre bestämmelser.
3. Hänvisningen i 25 andra stycket till 1 kap. 9 sekretesslagen (1980:100)
skall beträffande sådana aktiebolag i vilka kommuner eller landsting själva
eller gemensamt innehar mindre än två tredjedelar av aktierna eller mindre än
två tredjedelar av de med aktierna förenade rösterna och sådana ekonomiska
föreningar i vilka det också finns andra medlemmar än kommuner eller landsting
tillämpas från och med den
1 januari 1998.
2.2 Förslag till lag om ändring i förvaltningsprocesslagen
(1971:291)
Härigenom föreskrivs att 34 a och 35 förvaltningsprocesslagen (1971:291)
skall ha följande lydelse.
Lydelse enligt prop. Föreslagen lydelse
1993/94:133
34 a
I de fall det är I de fall det är särskilt
särskilt föreskrivet får föreskrivet får
kammarrätten pröva ett kammarrätten pröva ett
överklagande från överklagande från länsrätten
länsrätten endast om endast om kammarrätten
kammarrätten har har meddelat pröv-
meddelat pröv- ningstillstånd. Sådant
ningstillstånd. tillstånd behövs dock inte
när talan förs av
Riksdagens ombudsmän
eller Justitiekanslern.
Prövningstillstånd meddelas om
1. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av
högre rätt,
2. anledning förekommer till ändring i det slut vartill länsrätten kommit eller
3. det annars finns synnerliga skäl att pröva överklagandet.
Meddelas inte prövningstillstånd, står länsrättens beslut fast. En upplysning
om detta skall tas in i kammarrättens beslut.
35 Ett överklagande av kammarrättens beslut i ett mål som har väckts hos
kammarrätten genom överklagande eller underställning prövas av Regeringsrätten
endast om Regeringsrätten har meddelat prövningstillstånd.
Meddelas inte prövningstillstånd, står kammarrättens beslut fast. En upplysning
om detta skall tas in i Regeringsrättens beslut.
Vad som sägs i första stycket gäller inte
1. talan som Riksdagens ombudsmän eller Justitiekanslern för i mål om
disciplinansvar eller om återkallelse eller begränsning av behörighet att utöva
yrke inom hälso- och sjukvården, tandvården eller detaljhandeln med läkemedel
eller om återkallelse av behörighet att utöva veterinäryrket,
2. talan som 2. talan som
Justitiekanslern för i Justitiekanslern för i mål
mål enligt lagen enligt datalagen
(1990:484) om (1973:289) eller lagen
övervakningskameror m.m. (1990:484) om över-
vakningskameror m.m.
______________________
Denna lag träder i kraft den 1 januari 1995.
3 Ärendet och dess beredning
Datalagen (1973:289, omtryckt 1992:446) syftar till att skydda den enskilde mot
otillbörligt intrång i den personliga integriteten till följd av att
personuppgifter registreras med hjälp av automatisk databehandling (ADB).
Datainspektionen har till uppgift att pröva ansökningar om tillstånd och utöva
tillsyn enligt denna lag.
Lagen kom till år 1973 och var den första lagen i världen av denna typ med
nationell räckvidd. Redan vid dess tillkomst förutsattes att lagen skulle ses
över inom en snar framtid. År 1976 tillsattes Datalagstiftningskommittén (DALK)
med ett sådant uppdrag. Kommittén avslutade emellertid sitt arbete år 1984 utan
att detta slutförts. Samma år tillsattes en ny kommitté, Data- och
offentlighetskommittén (DOK), för att utreda vissa frågor på angränsande områden
men också inom datalagens ram. Kommittén avslutade sitt arbete år 1988. De båda
kommittéernas förslag har delvis genomförts. Bl.a. beslutade riksdagen år 1982
om ändringar i datalagen av innebörd att det tidigare generella kravet på
tillstånd av Datainspektionen för att inrätta och föra personregister ersattes
med ett anmälningssystem med licenser och med bibehållet tillståndskrav endast
för register där integritetsriskerna generellt ansågs påtagliga samt för
sambearbetning av register.
År 1989 förordnade dåvarande chefen för Justitiedepartementet efter regeringens
bemyndigande en särskild utredare för att göra en översyn av datalagen från
såväl saklig som lagteknisk synpunkt. Utredningen, som antog namnet
Datalagsutredningen, har arbetat i två etapper. I den första etappen
identifierade den särskilde utredaren de reformbehov som förelåg och angav hur
dessa kunde tänkas bli tillgodosedda. Under denna etapp avlämnade utredningen
tre delbetänkanden, Skärpt tillsyn - huvuddrag i en reformerad datalag (SOU
1990:61), Personregistrering inom arbetslivs-, forsknings- och massmedieområdena
m.m. (SOU 1991:21) och Vissa särskilda frågor beträffande integritetsskyddet på
ADB-området (SOU 1991:62). De tre delbetänkandena har remissbehandlats.
Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr 90-2155, 91-755
och 91-2850).
Den avslutande etappen av utredningens arbete har bedrivits under
parlamentarisk medverkan med den särskilde utredaren som ordförande. I detta
arbete har utredningen haft att beakta de remissyttranden som avgetts över
delbetänkandena. I februari 1993 lämnade utredningen över sitt slutbetänkande En
ny datalag (SOU 1993:10). Utredningens sammanfattning av betänkandet återfinns i
bilaga 1. Betänkandet har remissbehandlats. En förteckning över
remissinstanserna finns i bilaga 2. En sammanställning av remissyttrandena finns
tillgänglig i Justitiedepartementet (dnr 93-860).
I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. tar
regeringen upp en grundlagsfråga som behandlas i betänkandet En ny datalag.
Sålunda föreslår regeringen att det område inom vilket riksdagen enligt 8 kap. 7
regeringsformen (RF) i lag kan bemyndiga regeringen att utfärda föreskrifter
utvidgas. Förslaget innebär att regeringen efter bemyndigande i lag skall till
Datainspektionen kunna delegera normgivningskompetens avseende skyddet för den
personliga integriteten vid ADB-behandling av personuppgifter. Regeringen har i
propositionen vidare uttalat sig för att en ny datalag bör anstå till dess att
ett slutligt ställningstagande av EG föreligger till det förslag till direktiv
EG-kommissionen presenterat. Däremot menade regeringen att det var angeläget att
vidta en del ändringar i det nuvarande systemet. De ändringar som regeringen
aviserade var ändringar i datalagen med närmare precisering av
förutsättningarna för att Datainspektionen skall kunna meddela bransch- eller
sektorsföreskrifter, frågan om ett avskaffande av skyldigheten att inhämta
yttrande enligt 2 a datalagen, ökade möjligheter för Datainspektionen att
tillgripa vitessanktioner och förändringar i instansordningen vid överklaganden
av Datainspektionens beslut.
Regeringen tar i detta lagstiftningsärende upp huvudsakligen de ändringar i
datalagen som regeringen förutskickat i prop. 1993/94:116. Dessutom redovisas i
avsnitt 4 en fråga som har behandlats av Datalagsutredningen och som varit
aktuell i ett enskilt ärende enligt datalagen. Den gäller förhållandet mellan
datalagen samt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Lagrådet
Regeringen beslutade den 24 mars 1994 att inhämta Lagrådets yttrande över de
lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Vissa
redaktionella ändringar har gjorts i lagtexten i förhållande till de till
Lagrådet remitterade lagförslagen.
4 Förhållandet mellan datalagen samt tryckfrihetsförordningen och
yttrandefrihetsgrundlagen
En fråga som med tiden fått allt större aktualitet är hur datalagen förhåller
sig till tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL).
Datalagsutredningen konstaterade i sitt slutbetänkande att konflikter kan
uppstå vid tillämpningen av TF och YGL samt datalagstiftningen dels genom att
datalagstiftningen i viss utsträckning kan verka försvårande för framställningen
av skrifter, dels till följd av grundlagarnas regler om anonymitetsskydd.
Utredningen behandlade frågan bl.a. ur den synvinkeln att det i 2 kap. 3 andra
stycket regeringsformen (RF) föreskrivs att varje medborgare skall, i den
utsträckning som närmare anges i lag, skyddas mot att hans personliga integritet
kränks genom att uppgifter om honom registreras med hjälp av ADB. Enligt
utredningen finns det en principiell skillnad mellan föreskrifterna om förbud
och hindrande åtgärder i TF och YGL samt bestämmelserna i 2 kap. 3 RF.
Föreskriften i RF riktar sig till riksdagen, medan TF och YGL förbjuder alla
myndigheter och allmänna organ att vidta någon som helst åtgärd som kan verka
hindrande för framställandet eller spridningen av tryckta skrifter eller andra
grundlagsskyddade informationsbärare. Enligt utredningen måste man utgå från att
Datainspektionen, såväl i enskilda fall som vid normgivning, måste böja sig för
TF och YGL, trots föreskriften i 2 kap. 3 RF. Utredningen utgick också från
att TF och YGL vid en eventuell normkonflikt tar över datalagstiftningen.
Utredningen föreslog därför att vissa typer av personregister som har samband
med framställningen av tryckta skrifter eller yttranden som avses i YGL skulle
undantas från datalagens tillämpning.
Remissinstanserna har genomgående instämt i utredningens bedömning att TF och
YGL vid en normkonflikt tar över datalagens regler. Däremot har utredningens
förslag till uppdelning av massmediernas register i olika kategorier varav vissa
skulle omfattas av datalagens regler kritiserats av flera remissinstanser. Bl.a.
har majoriteten av de remissinstanser som närmare berört frågan velat ha längre
gående undantag från datalagens tillämpning på massmediernas register.
Regeringen har i dag avgjort ett överklagat ärende enligt datalagen där frågan
om datalagens förhållande till grundlagarna aktualiserats (dnr 93-3260).
Beslutet avsåg en ansökan om tillstånd enligt datalagen att få inrätta och föra
ett personregister för att skriva en bok på en persondator med hjälp av ett
ordbehandlingsprogram. Registret skulle innehålla sådana känsliga uppgifter som
det enligt 4 och 6 datalagen krävs synnerliga eller särskilda skäl för att få
registrera. Uppgifterna i registret skulle bearbetas på alla sätt som ett
modernt ordbehandlingsprogram möjliggör. Sedan texten färdigställts skulle den
överlämnas - via diskett eller ledning - till ett boktryckeri.
Regeringen har i beslutet konstaterat att registret i och för sig utgör ett
personregister som enligt datalagen är tillståndspliktigt. Tillståndskravet
enligt datalagen skall emellertid prövas mot det i 1 kap. 2 angivna förbudet i
TF mot hindrande åtgärder inför tryckning, utgivning och spridning av en tryckt
skrift. Bestämmelsen i 2 kap. 3 RF om att det skall finnas en dataskyddslag-
stiftning hindrar enligt regeringen inte att TF tar över datalagen vid en
konflikt dem emellan.
I beslutet har regeringen funnit att om ett enligt datalagen tillståndspliktigt
personregister inrättas, förs och står i tekniskt samband med sättnings- och
tryckprocessen, dvs. används som ett direkt tekniskt hjälpmedel för att
framställa en tryckt skrift, är det utan tvekan så att förbudet mot hindrande
åtgärder i TF gäller detta register. Regeringen har därför undanröjt
Datainspektionens avslagsbeslut i ärendet och förklarat att det inte krävs något
tillstånd enligt datalagen för att få föra det aktuella registret.
5 Normgivningsmakten på dataskyddsområdet
Regeringens förslag: Regeringen, eller efter
regeringens bemyndigande, Datainspektionen får rätt
att utfärda generella regler för sådan
databehandling av personuppgifter som sker inom
en viss verksamhet för ett visst ändamål. Register
som inrättas och förs i enlighet med sådana regler
skall undantas från tillståndsplikt.
Utredningens förslag: Datainspektionen ges rätt att utfärda generella
föreskrifter avseende olika branscher och sektorer för sådan behandling av
känsliga personuppgifter som ofta förekommer inom ett visst område och för ett
visst ändamål. Rätten att utfärda generella föreskrifter omfattar inte gallring.
Remissinstanserna: Majoriteten av de få remissinstanser som berört denna fråga,
bl.a. Datainspektionen, Finansinspektionen, Svenska Köpmannaförbundet och
Svenska Bankföreningen, är positiva till att Datainspektionen ges möjlighet att
utfärda generella föreskrifter enligt förslaget. Domstolsverket anför att
integritetsskyddet för den enskilde och förutsebarheten för den
registeransvarige skulle vinna betydligt på en regelutfyllnad på lägre nivå.
Svenska Bankföreningen framhåller att normering genom myndighetsföreskrifter
syftar till att stärka den enskildes integritetsskydd.
Några remissinstanser uttrycker viss tveksamhet mot förslaget. Uppsala
universitets juridiska fakultetsstyrelse påtalar riskerna för en författnings-
mässig uttunning om Datainspektionen ges en omfattande förordningsmakt.
Statskontoret är tveksamt till att delegera föreskriftsrätt till
Datainspektionen vad avser verksamhet inom stat och kommun och förordar att
sådan verksamhet regleras i lag eller förordning. Andra pekar på vikten av att
integritetskänsliga register inom den offentliga verksamheten
författningsregleras. Landstingsförbundet har i detta sammanhang påpekat att det
är viktigt att samma bestämmelser gäller, oavsett om uppgifterna registreras i
offentlig eller privat regi.
Göteborgs och Härnösands kommuner anser att Datainspektionen inte skall ges
förordningsmakt över kommunerna. Enligt Härnösands kommun medger inte
Europarådskonventionen om kommunal självstyrelse en sådan ordning. Även Svenska
Kommunförbundet, som principiellt motsätter sig att normgivningskompetens
delegeras till statliga myndigheter, ifrågasätter om förslaget står i
överensstämmelse med denna konvention. Industriförbundet och Svenska
Arbetsgivareföreningen avstyrker en omfattande detaljreglering och ett
överdrivet införande av tvingande regler och anför att allmänna råd många gånger
torde kunna ersätta föreskrifter.
Flera remissinstanser, bl.a. Finansinspektionen och Svenska Bankföreningen,
pekar på vikten av att Datainspektionens föreskrifter tas fram i samråd med den
bransch som skall regleras.
Domstolsverket anser att Datainspektionens föreskriftsmakt även skall omfatta
behandling av icke-känsliga personuppgifter. DAFA Data AB däremot anför att
Datainspektionens generella föreskrifter endast bör avse behandling av känsliga
uppgifter.
Få remissinstanser har berört förslaget att Datainspektionens generella
föreskrifter inte skall få gälla gallring. Flertalet av dem, bl.a. Kammarrätten
i Stockholm, Riksförsäkringsverket och Riksarkivet, tillstyrker förslaget.
Endast tre instanser, Domstolsverket, Datainspektionen och
Arbetsmiljöinstitutet, förordar att Datainspektionen skall ha rätt att utfärda
generella gallringsföreskrifter. Flera instanser betonar vikten av att
arkivlagens bestämmelser efterföljs.
Skälen för regeringens förslag: Ordningen med tillståndskrav enligt datalagen
har med tiden kommit att framstå som alltmer ohanterlig. Datainspektionen
tvingas lägga ned med hänsyn till integritetsaspekter onödiga resurser på
tillståndsprövning. Förutom att de registeransvariga många gånger nog inte inser
omfattningen av den detaljerade prövning som datalagen förutsätter i
tillståndsförfarandet, tar en ansökan ofta på grund av kompletteringar m.m. lång
tid att behandla. Det nuvarande systemet innebär att inspektionen inte kan
avsätta önskade resurser för tillsynsverksamheten. Detta leder till att
inspektionens tillsyn över den ständigt ökande datoriseringen i samhället och
därigenom också den alltmer utbredda registreringen av personuppgifter inte kan
prioriteras i önskad omfattning. Följden kan bli en bristande respekt för
datalagens regler. Det kan t.ex. nämnas att det för närvarande finns ca 50 000
meddelade licenser. Enligt Datalagsutredningens beräkningar hade antalet bort
vara mellan 500 000 och 1 milj. Otvivelaktigt tyder detta förhållande
beträffande datalagens regler om anmälningsskyldighet på att det finns en risk
för att även de materiella regler i datalagen som skall skydda de registrerades
personliga integritet inte efterföljs.
När datalagen trädde i kraft år 1973 innehöll den ett generellt krav på
tillstånd för att få föra i princip alla typer av personregister med ADB. Den
ökade datoriseringen av samhället ledde snart till att Datainspektionen erhöll
en tilltagande ström av ansökningar att få inrätta och föra personregister.
Tillståndsprövningen tog stora resurser i anspråk och antalet inspektioner, som
hela tiden hade legat på en låg nivå, minskade kraftigt.
För att underlätta hanteringen av tillstånd införde Datainspektionen med början
år 1979 ett förenklat ansöknings- och tillståndsförfarande för vissa typer av
register. Det gäller ansökningar om tillstånd i vilka Datainspektionen utvecklat
en fast praxis. De närmare bestämmelserna om vilka register som omfattas och
vilka särskilda villkor som måste vara uppfyllda finns i Datainspektionens
författningssamling (DIFS). Föreskrifter angående förenklat ansökningsförfarande
har under åren tagits fram bl.a. för vissa direktreklamregister och
statistikregister samt för vissa personregister inom kommunernas och Svenska
kyrkans verksamhet. Datainspektionen har också utfärdat föreskrifter för ett
förenklat ansökningsförfarande för vissa personregister inom statlig och lands-
tingskommunal forskningsverksamhet.
Det förenklade förfarandet innebär i praktiken att vissa slag av register inom
en sektor i förväg normerats av Datainspektionen och att den registeransvarige,
som vill inrätta ett register på vilka föreskrifterna är tillämpliga, på en
särskild blankett ansöker om tillstånd hos inspektionen. Denna ger sedan efter
en enkel kontroll tillstånd och beslutar bl.a. att innehållet i föreskrifterna
skall gälla såsom särskilda villkor för registret.
År 1982 togs ytterligare ett steg mot att begränsa tillståndshanteringen hos
Datainspektionen. Genom ändringar i datalagen den 1 juli 1982 slopades det
generella tillståndskravet för att inrätta och föra personregister med hjälp av
ADB. I stället infördes en skyldighet för dem som vill föra personregister att
anmäla detta till Datainspektionen som utfärdar en licens. Tillståndskravet
begränsades till register som innehåller uppgifter av känslig art, avser
personer som saknar anknytning till den registeransvarige eller innehåller
uppgifter som hämtas från ett annat personregister. Huvudsyftet med ändringarna
var att begränsa mängden tillståndsärenden och därigenom göra det möjligt för
Datainspektionen att koncentrera sig på de mest integritetskänsliga registren
och kunna intensifiera sin tillsynsverksamhet.
Effekten av dessa åtgärder i syfte att minska tillståndshanteringen har dock
endast i begränsad omfattning kunnat uppnås, eftersom antalet tillståndsärenden
hos Datainspektionen med den tilltagande datoriseringen i samhället fortsatt att
öka. Att pröva tillståndsansökningar innebär inte endast att säga ja eller nej
utan även att, när tillstånd lämnas, förena detta med nödvändiga föreskrifter i
det enskilda fallet. Även om Datainspektionen genom rationalisering och
betydande arbetsinsatser lyckats hålla tillståndshanteringen på en någorlunda
rimlig nivå tar denna del av verksamheten alltför stor andel av inspektionens
resurser. Detta har lett till att den för integritetsskyddet så viktiga delen av
Datainspektionens verksamhet som består i tillsyn inte kan prioriteras i
önskvärd omfattning.
Av bl.a. dessa skäl är det angeläget att sträva efter att tillståndshantering
av personregister i ökad utsträckning skall ersättas av ett tillsynsförfarande.
Regeringen har därför i prop. 1993/94:116 Normgivningsfrågor på
dataskyddsområdet, m.m. föreslagit en ändring i regeringsformen (RF) som skall
skapa möjligheter för Datainspektionen att utfärda generella föreskrifter för
databehandling av personuppgifter. Förslaget syftar till att ytterligare minska
området för Datainspektionens tillståndshantering och därigenom på sikt skapa
förutsättningar för en mer intensifierad tillsyn av databehandlingen av
personuppgifter. I propositionen anges att grundlagsändringen kommer att följas
upp med ett förslag till ändringar i datalagen där det noga anges inom vilka
ramar normgivningsmakten skall kunna delegeras.
Bestämmelsen i 2 kap. 3 andra stycket RF sätter en gräns för i vilken
utsträckning normgivningsmakten kan delegeras till Datainspektionen. Enligt
bestämmelsen skall varje medborgare i den utsträckning som närmare anges i lag
skyddas mot att hans personliga integritet kränks genom att uppgifter om honom
registreras med hjälp av ADB. Av förarbetena framgår att bestämmelsen riktar sig
till lagstiftaren som åläggs att vara aktiv genom att stifta och vidmakthålla en
datalagstiftning. Det uttalas vidare att grundlagsbestämmelsen inte hindrar
regeringen och andra myndigheter från att meddela dataskyddsbestämmelser (prop.
1987/88:57 s. 11).
Grundlagsbestämmelsen anger den yttre ramen för den normgivningskompetens som
kan delegeras till Datainspektionen. Enligt bestämmelsen skall
integritetsskyddet vid databehandling av personuppgifter anges i lag. Den
normgivningskompetens som delegeras till Datainspektionen bör således inskränkas
till att avse en regelutfyllnad av datalagens bestämmelser. Föreskrifterna från
Datainspektionen är således att betrakta som ett komplement till datalagens
skydd för den personliga integriteten. Utgångspunkten är att generella
föreskrifter inte skall medföra ett sämre integritetsskydd än vid
tillståndsprövningen. Detta medför att föreskrifterna måste vara tämligen
detaljerade och i sak ligga nära enskilda tillståndsbeslut. I första hand kommer
de generella föreskrifterna avse sådana register som i dag är
tillståndspliktiga. Detta utesluter inte att det i regelgivningen kan uppstå
situationer där även tillståndsfria register omfattas av en generell föreskrift.
Det är naturligt att Datainspektionens normering tar sikte på områden och
verksamheter där det finns många och likartade personregister. Bemyndigandet i
datalagen bör därför avse grupper av sådana register som ofta förekommer och som
är av en enhetlig karaktär. En sådan normering ökar förutsebarheten om vilka
krav som ur integritetsskyddssynpunkt ställs på de registeransvariga. Den skapar
även förutsättningar för en jämn och hög nivå på skyddet för de registrerades
personliga integritet. Möjligheter till en generell normgivning leder också till
att Datainspektionens tillsyn underlättas på breda områden. En generell
reglering som endast avser några enstaka personregister bör däremot inte
förekomma.
Regeringen föreslår därför att den normgivningskompetens som skall kunna
delegeras till Datainspektionen skall begränsas till att avse personregister som
ofta förekommer inom en viss verksamhet och för ett visst ändamål. Vad som
närmast åsyftas är föreskrifter som skall gälla för personregister som förs för
ett visst ändamål inom olika branscher och sektorer. Som exempel på personre-
gister som kan komma i fråga kan nämnas sjukhusens patientregister,
forskningsregister, direktreklamregister samt register inom försäkringsbranschen
och bankväsendet.
Normgivningsrätten bör dock inte inskränkas till enbart en reglering av
personregister för vissa branscher och sektorer. I vissa fall förs samma typ av
register inom flera branscher eller sektorer. Exempel på en sådan bransch- och
sektorsövergripande registrering av personuppgifter som sker för ett visst
ändamål är arbetsgivarnas löne- och personaladministrativa system och de
adressregister som förs av myndigheter och företag. Visserligen är flertalet
sådana register i dag inte tillståndspliktiga. Det kan dock inte uteslutas att
det i framtiden uppkommer behov av att använda dessa register för andra ändamål
eller tillföra dem ytterligare uppgifter vilket skulle medföra att de blir
tillståndspliktiga. Ett exempel på att nya användningsområden för tidigare
tillståndsfria register kan uppkomma är de ändringar som infördes år 1992
beträffande arbetsgivarnas ökade ansvar för de anställdas rehabilitering. I sam-
band med det ändrades datalagens tillståndsregler för arbetsgivarnas personal-
administrativa register (prop. 1991/92:126, bet. 1991/92:KU 22, rskr.
1991/92:290).
Genom att Datainspektionen ges möjligheter att utfärda generella regler för
personregister som förs inom en viss verksamhet och inte enbart för vissa
branscher och sektorer skapas således förutsättningar för att Datainspektionen
skall kunna möta de integritetsskyddsproblem som uppkommer genom den ständigt
ökande datoriseringen i samhället och därigenom den alltmer utbredda
registreringen av personuppgifter.
Datalagens regler kan i vissa fall anses utgöra ett hinder mot utvecklingen av
den moderna informationsteknologin. Bl.a. innebär de ökade möjligheterna att
sprida information via data- och telenäten att stora mängder personuppgifter kan
överföras från en dator till en annan på ett snabbt och billigt sätt. Detta
leder till att frågor om tillstånd enligt datalagen erfordras för att föra ett
visst register aktualiseras i en allt vidare krets. Som ett exempel på behovet
av en ökad spridning av personuppgifter på datamedium kan nämnas att riksdagen i
juli 1993 i syfte att bl.a. informera allmänheten om riksdagens beslut och dess
beslutsfattare gjorde informationssystemet Rixlex tillgängligt för allmänheten.
Rixlex innehåller bl.a. riksdagstrycket och information om riksdagsledamöterna.
I de avtal om abonnemang på Rixlex som träffas mellan Riksdagens
förvaltningskontor och kunderna har intagits en klausul där kunden förbinder
sig att inte använda personuppgifter från Rixlex för automatisk databehandling i
strid med datalagen.
I de fall en enskild person i sin egen dator lagrar uppgifter om riks-
dagsledamöternas motioner och avser att använda dem annat än uteslutande för
personligt bruk krävs tillstånd av Datainspektionen bl.a. med hänsyn till att
motionerna innehåller uppgifter om politisk åskådning (jfr 2 a och 4
datalagen). I detta fall kan det tyckas att datalagens regler är alltför
långtgående. Speciellt gäller detta eftersom registrering av uppgift om
partibeteckning för en riksdagsledamot torde kunna anses ske med samtycke och i
sig inte utgöra någon risk för otillbörligt intrång i ledamotens personliga
integritet. I andra fall är dock registrering av politisk tillhörighet en nog så
integritetskränkande åtgärd, något som kommer till uttryck genom 2 kap. 3
första stycket RF. Genom att ge Datainspektionen möjligheter att meddela
föreskrifter för personregister som förs inom en viss verksamhet skapas
förutsättningar för inspektionen att bl.a. utfärda föreskrifter för sådan
registrering och bearbetning av t.ex. riksdagsmotioner som inte sker uteslutande
för personligt bruk.
Regeringens förslag skiljer sig något från Datalagsutredningens förslag. Enligt
utredningen skulle Datainspektionens normgivningsrätt begränsas till sådan
behandling av känsliga personuppgifter som ofta förekommer inom ett visst område
för ett visst ändamål. Med känsliga personuppgifter avsåg utredningen i princip
sådana uppgifter som anges i 4 och 6 andra stycket datalagen, dvs. uppgifter
om brott, hälsotillstånd, politisk uppfattning, omdömen m.m.
Datalagsutredningens förslag att begränsa inspektionens normgivningsrätt till
att avse endast känsliga personuppgifter måste dock ses mot den bakgrunden att
utredningen föreslog en helt ny datalag. I förslaget strävade utredningen efter
att ge en utförlig och fyllig reglering av förutsättningarna för när
ADB-hantering av personuppgifter skulle vara tillåten. Enligt utredningen fanns
det därför inte något behov av en ytterligare normering av registreringen av de
mindre känsliga personuppgifterna. Att inom ramen för det nuvarande
regelsystemet i datalagen begränsa Datainspektionens normgivningskompetens till
att endast avse behandling av känsliga personuppgifter skulle bl.a. omöjliggöra
en generell reglering av personregister som är tillståndspliktiga på den grunden
att de innehåller uppgifter om personer som den registeransvarige inte har någon
naturlig anknytning till. Detta skulle innebära ett bibehållande av den
masshantering av tillstånd som nu till viss del sker hos Datainspektionen med
stöd av det förenklade ansökningsförfarandet t.ex. för direktreklamändamål.
Något skäl att från integritetsskyddssynpunkt undanta den typen av mindre
känsliga personregister från möjligheterna till en generell reglering finns
inte. Snarare torde en generell reglering genom föreskrifter av vissa typer av
personregister som innehåller mindre känsliga personuppgifter innebära stora
vinster från effektivitetssynpunkt utan att integritetsskyddet åsidosätts. Det
förhållandet att personregister som i dag förs med stöd av tillstånd kommer att
kunna regleras genom generella föreskrifter skall inte innebära en minskning av
integritetsskyddet. Detta innebär att liksom i tillståndsärenden skall det
säkerställas att det inte uppstår otillbörligt intrång i den personliga
integriteten vid förandet av personregister.
Datainspektionens normgivningsrätt bör inte omfatta en rätt att utfärda
generella föreskrifter om gallring av allmänna handlingar. Enligt 10
arkivlagen (1990:782) får allmänna handlingar gallras. Gallring skall dock
alltid ske med beaktande av att arkiven utgör en del av kulturarvet och att det
arkivmaterial som återstår tillgodoser vissa ändamål, nämligen rätten att ta del
av allmän handling, rättskipningens och förvaltningens behov av information samt
forskningens behov. Undantag från huvudregeln om gallring görs dock för det fall
att det i en annan lag eller förordning finns avvikande regler om gallring.
Dessa avvikande bestämmelser tar då över arkivlagens bestämmelser om gallring.
Arkivlagens bestämmelser gäller dock enligt 10 framför bestämmelserna i 12
datalagen.
Enligt 12 datalagen skall personuppgifter som inte längre behövs med hänsyn
till registerändamålet utgå ur personregistret om de inte skall bevaras på grund
av bestämmelser i författning eller i myndighets beslut som meddelats med stöd
av författning. Detsamma gäller då den registeransvarige upphör att föra
personregistret.
Datainspektionen kan i dag meddela beslut om gallring av personuppgifter i ett
visst register med stöd av 6, 6 a eller 18 datalagen. Sådana beslut meddelas
dels i enskilda tillstånds- eller tillsynsärenden, dels i av Datainspektionen
meddelade föreskrifter om förenklat ansöknings- och tillståndsförfarande. Enligt
12 dataförordningen (1982:480) skall frågor om bevarande och gallring av
personuppgifter i myndigheters personregister avgöras av Datainspektionen i
samråd med Riksarkivet eller i vissa fall Krigsarkivet.
Regeringen anser inte att det finns skäl att nu avvika från den reglering av
gallringen av allmänna handlingar som fastlagts i arkivlagen. Principen om att
undantag från huvudregeln i 10 arkivlagen skall göras i lag eller förordning
bör inte ändras. Datainspektionens normgivningsmakt bör därför inte innefatta en
rätt att utfärda generella gallringsföreskrifter avseende allmänna handlingar.
Däremot har inspektionen rätt att i de dataskyddsföreskrifter som inte avser
myndigheters personregister föra in regler om gallring. Datainspektionen bör
samråda med Riksarkivet eller i förekommande fall Krigsarkivet när dataskydds-
föreskrifter tas fram för personregister som kan antas vara allmänna handlingar
hos statliga myndigheter, så att arkivmyndigheterna kan utfärda gallringsföre-
skrifter som passar in i den reglering som inspektionen ämnar utfärda. En regel
om samrådsskyldighet mellan Datainspektionen och dessa arkivmyndigheter vid ut-
formningen av generella föreskrifter kan beslutas av regeringen genom för-
ordning.
För att göra tydligt att de föreskrifter med generell verkan som regeringen nu
föreslår att regeringen eller Datainspektionen skall kunna utfärda är av annat
slag än de föreskrifter som inspektionen meddelar bl.a. med stöd av 5 och 6
datalagen i de enskilda tillståndsbesluten bör vissa justeringar göras i
lagtexten.
Möjligheterna för Datainspektionen att utfärda dataskyddsföreskrifter måste
syfta till att skapa enhetliga regler för ett starkt integritetsskydd oavsett
var registreringen av personuppgifter sker. Detta inte minst mot bakgrund av det
ökande informationsflödet i samhället. Det ligger också ett stort värde i att
systemet är så beskaffat att det inte råder några oklarheter i konstitutionellt
hänseende om i vilken utsträckning Datainspektionen har rätt att utfärda
föreskrifter till datalagen. Möjligheterna att kunna delegera
normgivningskompetensen på integritetsskyddsområdet bör således gälla såväl
privat som statlig och kommunal verksamhet.
Ett par remissinstanser har motsatt sig att Datainspektionen skall ges
möjligheter att kunna utfärda generella föreskrifter för kommunerna. En sådan
begränsning kan dock inte motiveras från integritetsskyddssynpunkt.
Registreringen av de mest integritetskänsliga personuppgifterna sker till stor
del inom den kommunala och landstingskommunala verksamheten t.ex. inom
socialtjänsten och hälso- och sjukvården. Med de pågående organisations- och
verksamhetsförändringar i form av decentralisering och konkurrensutsättning som
sker inom dessa sektorer anser regeringen i likhet med Landstingsförbundet att
det är viktigt att det skapas enhetliga förutsättningar för den närmare
regleringen av integritetsskyddet vid registrering av personuppgifter oavsett om
uppgifterna registreras i privat eller offentlig regi. Behovet av att förenkla
tillståndshanteringen för kommunala personregister har också lett till att
Datainspektionen bl.a. utfärdat föreskrifter om ett förenklat ansöknings-
förfarande för vissa personregister i kommunal verksamhet. Vad det handlar om är
närmast att förenkla hanteringen av personregister för bl.a. kommunerna.
Som regeringen anfört i prop. 1993/94:116 kan den europeiska konventionen om
kommunal självstyrelse inte ges en så vid tolkning som framförts av vissa
remissinstanser. Konventionen, som syftar till att fastlägga de grundläggande
förutsättningarna för kommunal självstyrelse, kan inte anses utgöra ett hinder
mot att en statlig myndighet ges möjligheter att utfärda föreskrifter på ett
område som i dag ligger utanför den kommunala föreskriftsmakten.
Möjligheten för Datainspektionen att utfärda föreskrifter för vissa
verksamheter bör kombineras med en bestämmelse som från tillståndsplikt undantar
de personregister som inrättas och förs i enlighet med föreskrifterna.
Datainspektionen kommer också att kunna ersätta eller ändra tidigare meddelade
generella föreskrifter med nya föreskrifter. Om en sådan ändring sker i
skärpande riktning blir konsekvensen för de registeransvariga som inte för
register i enlighet med de nya föreskrifterna, att registret förs i strid med
datalagen. De registeransvariga är alltid skyldiga att tillse att registren förs
i enlighet med en gällande föreskrift. Av det nu sagda följer också att det kan
vara nödvändigt att förena nya föreskrifter med övergångsbestämmelser som gör
det möjligt för de registeransvariga att på ett rimligt sätt kunna anpassa sig
till de nya reglerna.
Regeringen anser inte att det finns skäl att i lagen införa krav på en speciell
anmälningsskyldighet till Datainspektionen för de register som inrättas och förs
i enlighet med inspektionens föreskrifter. En sådan reglering skulle motverka de
syften som undantaget från tillståndsplikt innebär och skapa nya byråkratiska
inslag i Datainspektionens arbete. Remissinstansernas kritik av
Datalagsutredningens förslag till ett system med anmälningsskyldighet till
Datainspektionen för vissa typer av behandling av känsliga personuppgifter visar
att ett sådant system inte skulle skapa några direkta vinster ur
integritetsskyddssynpunkt. Datainspektionen har i sitt remissvar i den delen
bl.a. anfört att den inte ser något behov av en anmälningsskyldighet som
underlag för inspektionens tillsynsverksamhet.
Framtagandet av föreskrifter om ADB-registrering av personuppgifter
förutsätter, som flera remissinstanser påtalat, ett ingående samråd med
företrädare för de branscher och sektorer som skall regleras. Utan sådana
kontakter med den verksamhet som skall regleras torde det inte vara möjligt för
Datainspektionen att kunna utfärda preciserade och fungerande föreskrifter. Ett
sådant samrådsförfarande måste även ske enligt reglerna i
begränsningsförordningen (1987:1347). I förordningen föreskrivs att en
myndighet, innan den beslutar en regel, skall utreda bl.a. dess kostnadsmässiga
konsekvenser. Dessutom skall företrädare för dem vars verksamhet berörs av den
tänkta regeln beredas tillfälle att yttra sig. Skulle regeln antas leda till
inte oväsentligt ökade kostnader, måste myndigheten i princip inhämta medgivande
från regeringen. Ett samrådsförfarande tillämpas redan i dag av Datainspektionen
i betydande omfattning.
Förutom att samråd bör ske med företrädare för de personregisteransvariga bör
Datainspektionen hålla sig underrättad om den utveckling inom informationstekno-
logibranschen som kan ha betydelse för föreskriftsverksamheten. Datainspektionen
har här en viktig uppgift när det gäller att påverka branschens utveckling av
nya produkter som uppfyller rimliga krav på säkerhet och kvalitet samtidigt som
de underlättar för de personregisteransvariga att uppfylla sina skyldigheter
enligt gällande föreskrifter. Ett exempel på en sådan påverkan utgör det s.k.
"allterminalprojektet" där grundkraven på säkerhet för en persondator som kopp-
las upp mot olika datorer har utarbetats av inspektionen i samarbete med andra
intressenter.
Datainspektionen har i sitt remissyttrande anfört att inspektionen bör ges ett
bemyndigande att träffa branschöverenskommelser av samma slag som
Konsumentverket har inom sitt tillsynsområde. De dataskyddsföreskrifter som
Datainspektionen nu föreslås kunna meddela innebär att inspektionen ges
möjligheter att genom egen regelgivning meddela generella föreskrifter som
närmare reglerar vissa typer av personregister. Att härutöver särskilt ge
Datainspektionen i uppgift att träffa branschöverenskommelser anser regeringen
inte nödvändigt. Den föreslagna regelgivningen och det som sagts om samråd
innebär just att Datainspektionen bör arbeta i samverkan med den bransch vars
register skall regleras.
Regeringen vill poängtera att möjligheten till en delegerad normgiv-
ningskompetens på integritetsskyddsområdet inte kommer att påverka den nuvarande
inriktningen på att ta fram särskilda registerförfattningar för
integritetskänsliga personregister. I prop. 1990/91:60 om offentlighet,
integritet och ADB uttalas att en målsättning bör vara att register med ett
stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag
(prop. s. 58). När propositionen behandlades av konstitutionsutskottet i
betänkandet 1990/91:KU11 anförde utskottet att det allmänt sett är av stor
betydelse att en författningsreglering av ADB-register kommer till stånd i syfte
att stärka skyddet för de registrerades integritet i samband med nödvändig
registrering av känsliga uppgifter i myndighetsregister. Utskottet delade den
uppfattning som framfördes i propositionen om att register hos kommunerna,
landstingskommunerna, Riksförsäkringsverket och Socialstyrelsen bör regleras i
särskilda registerlagar. Likaså ansåg utskottet att det krävs ingående
överväganden i fråga om vilka register inom dessa områden som bör lagregleras
(bet. s. 11). Arbetet med att ta fram registerlagar för integritetskänsliga
personregister fortgår. Senast har regeringen den 23 september 1993 med
utgångspunkt i de återgivna uttalandena beslutat tillkalla en kommitté för att
utreda och lägga fram förslag till en författningsreglering av personregister
inom hälso- och sjukvårdens område (dir. 1993:111). Normgivningskompetens för
Datainspektionen skall inte ses som en ersättning för dessa register-
författningar utan som ett komplement till dem.
Avsikten är inte att Datainspektionens bransch- och sektorsvisa regler måste
reglera all personregistrering inom en verksamhet. I undantagsfall kan det
finnas skäl för de registeransvariga att ansöka om tillstånd att få inrätta och
föra ett personregister som ligger vid sidan av Datainspektionens generella
reglering. Att låta bransch- och sektorsvisa föreskrifter uttömmande reglera
personregistreringen inom ett visst område eller en viss verksamhet skulle
motverka den flexibilitet och utveckling som kännetecknar den moderna
informationsteknologin.
Det förhållandet att föreskrifter meddelas inom en viss bransch eller sektor
medför inte att tidigare givna tillstånd att föra personregister upphör att
gälla. Skulle en generell föreskrift meddelas inom en verksamhet där det redan
finns register som förs med stöd av tillstånd, blir det den registeransvarige
som får avgöra om registret skall föras med stöd av tillståndet eller
föreskriften.
6 Yttranden enligt 2 a datalagen
Regeringens förslag: Den särskilda skyldigheten att
begära yttrande från Datainspektionen inför
inrättandet av personregister som beslutas av
riksdagen eller regeringen avskaffas.
Utredningens förslag: Mot bakgrund av utredningens förslag till ny datalag med
förhållandevis fyllig reglering av de förutsättningar som skulle gälla för
behandlingen av personuppgifter, föreslog utredningen att yttrande från
Datainspektionen i fråga om s.k. statsmaktsregister inte längre skulle vara
obligatoriskt.
Remissinstanserna: Få remissinstanser har berört just frågan om ett
obligatoriskt yttrande från Datainspektionen inför inrättandet av s.k.
statsmaktsregister. Centralnämnden för fastighetsdata uttalar sig för
utredningens förslag att avskaffa det obligatoriska yttrandet. Sveriges
Läkarförbund och Svenska Läkaresällskapet anför att utredningens förslag innebär
att inrättandet av statsmaktsregister inte skall behöva föregås av
remissprövning. Organisationerna är av uppfattningen att det är mycket angeläget
med kontroller i flera instanser.
Skälen för regeringens förslag: Skyldigheten för statsmakterna att innan de
inrättar personregister höra Datainspektionen fanns med redan då datalagen
infördes år 1973. Som framgår av förarbetena till datalagen förutsåg man då att
statsmaktsregister skulle inrättas endast i sådana fall då det var starkt
motiverat med hänsyn till registrets betydelse eller med hänsyn till övriga
omständigheter (bet. 1973:KU9). Utvecklingen under de allra senaste åren har
dock gått mot en ökad omfattning av statsmaktsregister. Denna utveckling har som
regeringen berört under avsnitt 5 sitt stöd i uttalanden från regeringen och
riksdagen där det har angetts som en målsättning att vissa myndighetsregister
med känsligt innehåll bör författningsregleras (jfr prop. 1990/91:60 och bet.
1990/91:KU11).
I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har
regeringen anfört att i syfte att minska Datainspektionens arbetsbörda bör den
nuvarande skyldigheten att inför inrättandet av statsmaktsregister inhämta
inspektionens yttrande enligt 2 a datalagen avskaffas. Inte bara
arbetsbesparande skäl talar emellertid för att skyldigheten avskaffas.
Integritetsaspekterna kan nämligen bli tillgodosedda även utan detta
obligatorium. Datainspektionen får oavsett 2 a datalagen tillfälle att avge
synpunkter innan regeringen eller riksdagen fattar sitt beslut. Detta följer av
den skyldighet som regeringen har att enligt 7 kap. 2 regeringsformen inhämta
behövliga upplysningar och yttranden från berörda myndigheter. Vid inrättandet
av statsmaktsregister som är särskilt känsliga ur integritetssynpunkt är det
därför naturligt att regeringen inhämtar yttrande från bl.a. Datainspektionen.
Det är också redan i dag vanligt att Datainspektionen deltar i beredningsarbetet
långt tidigare än i den form som är angiven i 2 a datalagen. Inspektionen
anlägger därvid samma aspekter som myndigheten gör i sitt obligatoriska yttran-
de. Till detta kommer att Datainspektionen regelmässigt är remissorgan i de
lagstiftningsärenden som innefattar datarättsliga överväganden. Det förhållandet
att stora, integritetskänsliga register enligt vad statsmakterna uttalat bör
lagregleras, innebär i sig alltså att ett nogsamt beredningsarbete föregår
registrens inrättande. Även den interna beredning som sker inom regerings-
kansliet inför inrättandet av statsmaktsregister innebär att integritets-
aspekterna får en god genomlysning. Sammantaget framstår den nuvarande ordningen
ibland som onödigt stelbent och formell. Som regeringen påpekat i prop.
1993/94:116 förekommer det också att Datainspektionen strax innan ett yttrande
inhämtas i ett remissvar tillstyrkt den ändring som föreslås. Ett avskaffande av
yttranden enligt 2 a datalagen innebär på intet sätt någon lättnad i kravet på
remissbehandling av förslag till nya statsmaktsregister. Det är därför
regeringens uppfattning att de angelägna integritetsaspekter Datainspektionen
har att bevaka väl så bra kan beaktas utan ett så formaliserat förfarande som
den nuvarande regleringen innebär. Av dessa skäl föreslår regeringen att det
obligatoriska inhämtandet av ett särskilt yttrande från Datainspektionen inför
inrättandet av statsmaktsregister avskaffas.
7 Vite
Regeringens förslag: Datainspektionens
befogenheter att meddela föreskrifter för ett
enskilt register och förbud mot fortsatt förande av
personregister enligt 18 datalagen kompletteras
med en möjlighet att förena en sådan föreskrift eller
ett sådant förbud med ett vitesföreläggande.
Utredningens förslag: I förslaget till ny datalag föreslog utredningen att
Datainspektionen, om rättelse inte kunde åstadkommas på annat sätt, vid vite
skulle kunna förbjuda den persondataansvarige att fortsättningsvis behandla
personuppgifterna.
Remissinstanserna: Endast ett fåtal remissinstanser har kommenterat denna
fråga. Datainspektionen tillstyrker att dess befogenhet utökas med en möjlighet
att förelägga vite.
Skälen till regeringens förslag: Av 18 första stycket datalagen framgår att
om ett förande av personregister lett till otillbörligt intrång i personlig
integritet eller om det finns anledning anta att sådant intrång skall uppkomma,
får Datainspektionen i mån av behov meddela föreskrifter i sådant avseende som
anges i 5 eller 6 eller ändra föreskrifter som tidigare meddelats. Sådana
föreskrifter får såvitt avser s.k. statsmaktsregister bara meddelas om
föreskriften inte står i strid med beslut av riksdagen eller regeringen. Enligt
18 andra stycket datalagen får Datainspektionen, om skydd mot otillbörligt
intrång i personlig integritet inte kan åstadkommas på annat sätt, förbjuda
fortsatt förande av personregister eller återkalla meddelat tillstånd.
Befogenheten att förbjuda fortsatt förande gäller alltså register för vilka
tillstånd inte behövs. Statsmaktsregister är emellertid undantagna.
Regeringens förslag om ökade möjligheter för Datainspektionen att reglera
databehandlingen inom branscher och sektorer genom generella föreskrifter kommer
att leda till en minskad tillståndshantering. Fler register kommer således att
föras utan tillstånd. Det är inte uteslutet att detta på sikt kan leda till en
ökad tillämpning av 18 andra stycket datalagen. I prop. 1993/94:116
Normgivningsfrågor på dataskyddsområdet, m.m. har regeringen angett att förslag
förbereds som skall ge Datainspektionen ökade möjligheter att kunna ingripa mot
personregistrering som sker i strid med datalagen. Regeringen anförde vidare att
för att skapa förutsättningar för inspektionen att på ett effektivt och
kraftfullt sätt kunna förhindra pågående integritetsintrång bör inspektionen ha
möjlighet att förena ett förbud mot fortsatt förande av personregister enligt 18
andra stycket datalagen med ett vitesföreläggande.
Utdömande av ett förelagt vite förutsätter till skillnad från straff varken
uppsåt eller oaktsamhet hos den som brutit mot en föreskrift eller ett förbud.
Ett vitesföreläggande är därför i många fall mer effektivt än ett
straffstadgande. Vitesmöjligheten bör således skapa avsevärt bättre
förutsättningar än för närvarande att sätta stopp för otillbörliga intrång i
personlig integritet. Som regeringen angav i prop. 1993/94:116 är en
överträdelse av ett förbud enligt 18 andra stycket straffsanktionerat. Även
för den som bryter mot en föreskrift enligt 18 första stycket är det
föreskrivet straff. Datainspektionen har varken i fråga om föreskrift eller
förbud någon möjlighet att förena dessa åtgärder med en sanktion. För att
förhindra pågående integritetsintrång bör det enligt regeringens mening därför
också bli möjligt att förena en föreskrift enligt 18 första stycket med ett
vitesföreläggande. Ett sådant vitesföreläggande kan dessutom förutsättas få
större praktisk betydelse för Datainspektionens möjligheter att verka mot
pågående integritetsintrång än enbart ett vitesföreläggande med stöd av 18
andra stycket.
Som framgår av 2 lagen (1985:206) om viten skall ett vitesföreläggande vara
riktat till en eller flera namngivna fysiska eller juridiska personer
(adressater). Även en kommun kan vara adressat för ett vitesföreläggande som
Datainspektionen kommer att kunna meddela i samband med förbud om fortsatt
förande av personregister. Utanför det marknadsrättsliga området har det ansetts
att det krävs helt speciella undantagsfall för att ett vitesföreläggande skall
kunna riktas mot staten (se prop. 1984/85:96 s. 24, 86 och 98 ff.). Frågan har
dock inte lett till någon författningsmässig reglering i lagen om viten utan
överlämnats åt rättstillämpningen. Det finns inte anledning att i detta ärende
inta någon annan hållning i detta avseende än vad som gjorts i förarbetena till
lagen om viten. Noteras kan dock att ett förbud enligt 18 andra stycket över
huvud taget inte får meddelas i fråga om s.k. statsmaktsregister. Föreskrifter
enligt 18 första stycket, som regeringen föreslår skall kunna förenas med
vite, kan bara meddelas beträffande statsmaktsregister i den mån föreskriften
inte strider mot beslut av regeringen eller riksdagen.
Någon högsta gräns för vitesbeloppets storlek föreskrivs inte. Av detta följer
att vitesbeloppet skall bestämmas i enlighet med vad som är föreskrivet i lagen
om viten. Datainspektionens beslut om föreläggande av vite kan överklagas enligt
25 datalagen. Som framgår av avsnitt 8 föreslår regeringen att det i mål om
viten skall krävas prövningstillstånd i ledet länsrätt-kammarrätt.
Som nämnts ovan kan den som bryter mot en föreskrift eller ett förbud enligt 18
dömas till böter eller fängelse i högst ett år. När ett straff är utsatt, får
vite i princip föreläggas bara med stöd av ett särskilt stadgande. Vidare bör
samma gärning inte föranleda både vitespåföljd och straff. Denna ståndpunkt har
svensk rätt sedan länge intagit. Syftet är att förhindra att någon drabbas av
dubbla sanktioner för samma gärning. Som en erinran om detta föreslås att en
bestämmelse tas in i
20 om att det inte döms till ansvar för den som överträder ett vites-
föreläggande enligt 18 datalagen.
8 Överklagande
Regeringens förslag: Regeringens prövning av
överklaganden av ärenden enligt datalagen upphör.
Datainspektionens beslut skall i stället överklagas
till allmän förvaltningsdomstol.
Utredningens förslag: I utredningens förslag till en ny datalag ingick att
Datainspektionens beslut skulle överklagas till kammarrätt. Utredningen föreslog
en särreglering för Högsta domstolen, Regeringsrätten och för kammarrätterna.
Remissinstanserna: De remissinstanser som berört denna fråga är genomgående
positiva till ett överflyttande av överklaganden till förvaltningsdomstol.
Riksdagens ombudsmän, Justitiekanslern, Hovrätten över Skåne och Blekinge,
Länsrätten i Stockholms län, Domstolsverket, Socialstyrelsen, Skattemyndigheten
i Stockholms län, Patent- och registreringsverket, Sveriges advokatsamfund och
DAFA Data AB menar dock att överklagade beslut bör handläggas av länsrätt som
första instans. Kammarrätterna i Stockholm och Göteborg, Överåklagaren vid
Regionåklagarmyndigheten i Linköping, Finansinspektionen och Kalmar läns
landsting delar utredningens uppfattning om kammarrätt som första instans.
Länsrätten i Stockholms län och Domstolsverket menar att en särreglering för
Högsta domstolen, Regeringsrätten och kammarrätterna inte är nödvändig.
Datainspektionen och Svenska Bankföreningen anser att Datainspektionens beslut
om generella föreskrifter skall kunna överklagas till regeringen.
Skälen för regeringens förslag: Redan vid datalagens tillkomst förekom
diskussioner om till vilken instans Datainspektionens beslut borde överklagas.
Av förarbetena (prop. 1973:33 s. 150) framgår att några remissinstanser ansåg
att inspektionens beslut borde överklagas till Regeringsrätten. JO för sin del
fann det ytterst angeläget med en möjlighet att få domstolsprövning av
inspektionens ställningstaganden i tillståndsärenden och ärenden om föreläggande
och föreskrifter. Föredragande statsrådet medgav att vissa skäl, bl.a. sambandet
med offentlighets- och sekretessreglerna, talade för att Datainspektionens
beslut skulle kunna överklagas hos Regeringsrätten men framhöll att de av-
göranden som det kunde bli fråga om huvudsakligen var av sådan natur att de inte
lämpligen borde prövas av domstol. Han menade att det i första hand var fråga om
att avgöra hur man bäst skall förebygga riskerna för otillbörligt intrång i
personlig integritet och att det vidare i vissa fall måste ske en avvägning mot
samhällsekonomiska intressen.
I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har
regeringen angett som sin uppfattning att Datainspektionens beslut bör
överklagas till allmän förvaltningsdomstol och att en sådan ordning ligger i
linje med bl.a. det arbete som sedan flera år pågår inom regeringskansliet i
syfte att minska regeringens befattning med förvaltningsärenden. En grundsats
härvid är att överklaganden av förvaltningsbeslut i vilka rättsfrågan är
huvudsak skall gå till domstol medan ärenden där lämplighetsbedömningar
dominerar bör prövas i administrativ ordning. De överväganden som gjordes vid
datalagens tillkomst har nu till stor del förlorat i aktualitet. För
myndighetsregister med känsligt innehåll är det enligt vad statsmakterna uttalat
(prop. 1990/91:60, bet. 1990/91:KU11) en bestämd målsättning att författ-
ningsregleringen ökar. Särskilda registerförfattningar har också i ökad
omfattning tillkommit under senare år. Den politiska styrning av utvecklingen
inom ADB-området som statsmakterna kan och bör använda sig av bör således helt
utövas genom att riksdagen eller regeringen fastställer normer, dvs. lagar och
andra föreskrifter. För att ytterligare minska utrymmet för rena
lämplighetsbedömningar och härigenom ge rättsfrågan ökad tyngd vid hanteringen
av överklaganden, bör en strävan vara att på sikt låta datalagstiftningen
innehålla än mer preciserade regler (jfr bet. 1988/89:KU28).
Mot denna bakgrund bör överprövningen av Datainspektionens beslut flyttas från
regeringen till domstol. Eftersom det är fråga om överklagande av
förvaltningsbeslut är det naturligt att låta överprövningen ske i allmän
förvaltningsdomstol.
Det kan här påpekas att de generella föreskrifter som Datainspektionen enligt
regeringens förslag kommer att kunna utfärda, enligt allmänna principer om
normgivningsmakten torde kunna överprövas av regeringen oavsett om de överklagas
eller inte (se t.ex. Hellners m.fl. Nya förvaltningslagen med kommentarer,
tredje uppl., s. 296 ff.). Främst av detta skäl saknas anledning att, som
Datainspektionen och Svenska Bankföreningen förordat, särskilt reglera
möjligheterna till överklagande av Datainspektionens normbeslut.
Som det har beskrivits i prop. 1993/94:133 Instansordningen i de allmänna
förvaltningsdomstolarna, har en av grundtankarna i det reformarbete som
bedrivits under senare år på rättsväsendets område varit att tyngdpunkten i
rättskipningen skall ligga i första instans, dvs. den första domstolsprövningen
skall ske i första instans. I 1993 års budgetproposition ställde sig regeringen
bakom denna princip (prop. 1992/93:100 bil. 3, s. 24 f. och s. 93). Riksdagen
har godkänt de i propositionen angivna riktlinjerna (bet. 1992/93:JuU24, rskr.
1992/93:289). Kammarrätt bör således endast i undantagsfall vara första
domstolsinstans. Som en konsekvens av det principiella ställningstagandet har
också i den ovannämnda prop. 1993/94:133 regeringen nyligen, som ett led i en
första etapp, föreslagit överflyttande av en del måltyper från kammarrätt till
länsrätt.
Tyngdpunkten i rättskipningen skall alltså ligga i första instans. Hanteringen
av de överklagade besluten från Datainspektionen kommer på grund av
forumreglerna att handläggas av endast en domstol i första instans. Detta
innebär att domstolen, oavsett om det är Länsrätten i Stockholms län eller
Kammarrätten i Stockholm, kommer att kunna bygga upp en kompetent och effektiv
hantering av sådana mål. Enligt regeringens uppfattning är inte dessa avgöranden
så särpräglade eller speciella att de enbart av sådana skäl bör handläggas av
kammarrätt i första instans. Avgörande skäl talar i stället för att den första
domstolsprövningen bör ske i länsrätt.
I den tidigare nämnda propositionen om instansordningen i de allmänna
förvaltningsdomstolarna har regeringen också föreslagit att regler om
prövningstillstånd i kammarrätt skall införas. Det förhållandet att över-
klaganden av beslut enligt datalagen är en ny målgrupp för domstolarna, att en
fast domstolspraxis därför inte finns, att målen ofta innefattar komplicerade
ställningstaganden samt att målen inte kan förväntas utgöra en antalsmässigt
stor målgrupp gör att regeringen inte för närvarande finner skäl att föreslå ett
införande av prövningstillstånd i ledet länsrätt-kammarrätt.
Däremot finner regeringen att prövningstillstånd bör införas i mål om vite.
Sedan en tid krävs prövningstillstånd i hovrätten för bl.a. bötesmål. Det
offentligrättsliga vitet påminner om böter. Vad som främst skiljer det
individuella vitet från böter är att vitet i förväg bestäms till ett visst
belopp. Såvitt avser frågan om prövningstillstånd finns inte anledning att
behandla mål om vite på annat sätt än bötesmål. Med prövningstillstånd kan det
förutses att vitesmål vinner laga kraft i ett tidigare skede än annars. Att så
blir fallet har den fördelen att reaktionen mot den som bryter mot ett
vitesföreläggande kommer relativt omgående.
Även beslut som avser personregister hos statliga myndigheter bör överklagas
till domstol. Som nämnts tidigare får statsmakternas behov av politisk styrning
av ADB-registreringen anses bli tillgodosett genom de möjligheter som finns att
genom författningsreglering inrätta s.k. statsmaktsregister. Inte heller
framstår någon särreglering för de få situationer som kan beröra de högsta
instanserna som nödvändig. Skulle det bli fråga om överprövning av ett beslut
från Datainspektionen som rör personregister hos Högsta domstolen eller
Regeringsrätten får de rättsliga instanserna förutsättas kunna hantera detta
inom ramen för de generellt angivna reglerna för överklagande. Något bärande
skäl för en särreglering för länsrätterna eller kammarrätterna har inte heller
framkommit.
Också i fortsättningen bör Justitiekanslern ha rätt att föra talan för att
tillvarata allmänna intressen. Justitiekanslern bör kunna överklaga utan att
hans talan är beroende av prövningstillstånd, vilket bör framgå av
34 a och 35 förvaltningsprocesslagen (1971:291).
Förutom överklaganden av Datainspektionens beslut enligt datalagen handlägger
regeringen överklaganden rörande befrielse från licensavgift enligt 3
förordningen (1982:481) om avgifter för Datainspektionens verksamhet. Dessa mål
är till helt övervägande del av okomplicerad art och en fast praxis finns
uppbyggd kring dessa avgöranden. Något skäl att inte även dessa mål förs över
till allmän förvaltningsdomstol synes inte föreligga. Som nämnts är målen från
juridisk synpunkt enkla. Mot denna bakgrund avser regeringen att låta dessa mål
omfattas av krav på prövningstillstånd i ledet länsrätt-kammarrätt i enlighet
med reglerna om sådant prövningstillstånd i prop. 1993/94:133. Ändringarna
kommer att ske i förordningsform och kräver därför inte riksdagens medverkan.
Regeringen är överinstans inte bara när Datainspektionens beslut överklagas
enligt datalagen utan också bl.a. vid överklagande av beslut enligt
kreditupplysningslagen (1973:1173). Kreditupplysningsutredningen har i sitt
slutbetänkande Integritet och effektivitet på kreditupplysningsområdet (SOU
1993:110) föreslagit att överklaganden av Datainspektionens beslut enligt
kreditupplysningslagen skall ske hos länsrätten. Betänkandet remissbehandlas för
närvarande.
9 Kostnader
Regeringens förslag innebär ett successivt överflyttande av resurser hos Datain-
spektionen från tillståndshantering till ett författningsarbete. Varken denna
ändring eller andra förslag i remissen förutsätts leda till ökade kostnader hos
inspektionen. Inte heller förutses ökade kostnader för de registeransvariga.
Förvaltningsdomstolarna tillförs en ny målgrupp vilket i sig kommer att leda
till ökade kostnader. Antalet överklaganden till regeringen har under flera år
legat kring ett tiotal årligen. På senare tid har en uppgång i antalet
överklagandeärenden kunnat noteras men någon större omfattning av överklaganden
kan inte förväntas. Det är regeringens bedömning att förslaget inte föranleder
krav på ökade resurser hos de allmänna förvaltningsdomstolarna
Det kan också påpekas att överflyttandet av överklaganden till förvaltningsdom-
stolarna naturligtvis innebär något minskad arbetsbelastning inom regerings-
kansliet.
10 Författningskommentar
Förutom de materiella ändringar som regeringen nu föreslår finns det också skäl
till flera språkliga ändringar i datalagen. Med tanke på att datalagen inom en
relativt snar framtid kan komma att ersättas av ny lagstiftning har ändringarna
begränsats till de mest nödvändiga.
10.1 Förslaget till lag om ändring i datalagen (1973:289)
2 a
Bestämmelsen behandlas i avsnitt 5 och 6.
Ändringen i första stycket innebär ett avskaffande av skyldigheten för riksdag
och regering att i särskild ordning inhämta Datainspektionens yttrande innan
statsmakterna inrättar personregister. Inspektionens synpunkter skall dock på
sedvanligt sätt inhämtas i beredningen av ärendet.
Ändringen innebär också att de register som inrättas och förs i enlighet med
föreskrifter som regeringen eller Datainspektionen beslutat med stöd av 19
undantas från tillståndsplikt. Detta förutsätter naturligtvis att den
registeransvarige i alla avseenden för registret så att det uppfyller de
föreskrifter som regeringen eller Datainspektionen meddelat. Skulle registret
ändras så att det avviker från föreskrifterna får detta till följd att registret
förs i strid med datalagen.
Av bestämmelsen framgår avsikten att det är register som är tillståndspliktiga,
eller som skulle kräva tillstånd om de inrättades, som skall kunna regleras
genom den nya generella föreskriftsmöjligheten.
6
Bestämmelsen behandlas i avsnitt 5.
Ändringarna är av redaktionell natur. De syftar till att klargöra skillnaden
att föreskrifter som meddelas i ett enskilt tillståndsärende inte är normer,
dvs. sådana dataskyddsföreskrifter som beslutats med stöd av 19 .
6 a
Samma tillägg av redaktionell natur som införts i 6 . Dessutom har en ändring
skett som följd av att skyldigheten att inhämta yttrande från Datainspektionen
enligt 2 a avskaffas.
12
Ändringen är en följd av att skyldigheten att inhämta yttrande från
Datainspektionen enligt 2 a avskaffas.
18
Bestämmelsen behandlas i avsnitt 7.
Någon möjlighet att meddela interimistiskt vitesföreläggande har inte införts.
Frågor om utdömande av vitet prövas av Länsrätten i Stockholms län på ansökan av
Datainspektionen. Av 4 lagen (1985:206) om viten framgår att vite kan
föreläggas som löpande vite. Det innebär att vitet bestäms till ett visst belopp
för varje tidsperiod av viss längd under vilken föreläggandet har överträtts.
Vitet kan också bestämmas så att vitet skall betalas varje gång ett förbud eller
någon liknande föreskrift överträds.
Det nya tredje stycket medför att Datainspektionen får möjlighet att förena en
föreskrift enligt paragrafen med vite. Ett vite behöver naturligvis inte alltid
föreläggas. Särskilt gäller detta när en föreskrift meddelas första gången (jfr
prop. 1974:42 s. 114). Även ett förbud mot fortsatt förande av personregister
kan förenas med vite.
19
Den nya bestämmelsen behandlas i avsnitt 5.
I bestämmelsen ges en möjlighet för regeringen eller, efter regeringens
bemyndigande, Datainspektionen att meddela föreskrifter för personregister som
förs inom en viss verksamhet, bransch eller sektor.En förutsättning för
delegation är att det är fråga om personregister som ofta förekommer inom ett
visst område eller en viss verksamhet. En reglering av endast enstaka
personregister bör därför inte förekomma.
Föreskrifterna skall utformas så att de faller inom ramarna för datalagens
regler. Föreskrifterna skall säkerställa att inte otillbörligt intrång i den
personliga integriteten uppkommer i samband med den avsedda registreringen och
behandlingen av personuppgifter.
Vid utformandet av föreskrifterna är således utgångspunkten att det inte blir
ett sämre integritetsskydd än vid tillståndsprövningen för enskilda register. De
bestämmelser i datalagen som i första hand blir tillämpliga vid utformandet av
föreskrifterna är 5 och 6 . Registrens ändamål måste således preciseras och
avgränsas väl. Det måste också noggrant prövas i vilken mån regleringen skall
innefatta sådana föreskrifter som räknas upp i 6 . Även andra bestämmelser i
datalagen kan komma i fråga för en mer generell reglering som t.ex. undantag
från skyldigheten att tillhandahålla registerutdrag enligt 10 och utlämnande
av personuppgifter till utlandet enligt 11 . Däremot skall, som nämnts i
avsnitt 5, föreskrifterna inte omfatta gallring av allmänna handlingar. Det är
emellertid av vikt att Datainspektionen och de statliga arkivmyndigheterna kan
samråda om gallringsfrågor i anslutning till Datainspektionens generella
föreskrifter.
Som regeringen redogjort för i den allmänna motiveringen utesluter inte det
förhållandet att föreskrifter meddelats för en viss bransch, att det hos skilda
registeransvariga inom branschen undantagsvis ändå finns behov av register som
inte täcks av föreskrifterna. I sådana fall kvarstår möjligheten att söka
tillstånd för registret.
20
Det nya andra stycket ger uttryck för principen att inte ingripa med båda
sanktionerna straff och vite när fråga är om samma gärning (jfr NJA 1982 s. 633
och RÅ 1992 ref. 25).
25
Av skäl som angetts i avsnitt 8, innebär ändringen i första stycket att
Datainspektionens beslut skall överklagas till allmän förvaltningsdomstol i
stället för till regeringen. Med allmän förvaltningsdomstol avses länsrätt
enligt i prop. 1993/94:133 föreslagen lydelse av 14 lagen (1971:289) om
allmänna förvaltningsdomstolar.Eftersom instansordningen ändras bör inte
Justitiekanslerns möjlighet att föra talan vara begränsad till överklagande av
Datainspektionens beslut. För att klargöra att Justitiekanslern kan överklaga
förvaltningsdomstolarnas beslut anges i paragrafen att Justitiekanslern får föra
talan för att tillvarata allmänna intressen. Justitiekanslerns möjligheter att
föra talan oberoende av prövningstillstånd framgår av regeringens förslag till
ändringar i 34 a och 35 förvaltningsprocesslagen (1971:291).
Ändringen i andra stycket är en följd av nyligen beslutade ändringar i sekre-
tesslagen (prop. 1993/94:48, bet. 1993/94:KU13, rskr. 1993/94:46, SFS
1993:1298).
Det nya tredje stycket innebär att varken överklaganden av beslut om
förelägganden av viten eller mål om utdömande av viten kan föras vidare från
länsrätt till kammarrätt, såvida inte prövningstillstånd meddelas.
10.2 Förslaget till lag om ändring i förvaltningsprocesslagen (1971:291)
34 a
Den nya meningen i första stycket innebär att Justitieombudsmannen och Justitie-
kanslern alltid kan föra talan mot länsrättens beslut utan prövningstillstånd.
Ändringen är omedelbart föranledd av att prövningstillstånd införs i ledet
länsrätt-kammarrätt såvitt avser mål om vite. Några andra situationer där
bestämmelsen i dag blir tillämplig finns inte.
35
Ett överklagande av Justitiekanslern av ett beslut av en kammarrätt enligt
datalagen skall prövas av Regeringsrätten utan prövningstillstånd. En ändring av
denna innebörd har gjorts i denna paragraf.
Sammanfattning av Datalagsutredningens betänkande
En ny datalag (SOU 1993:10)
Datalagsutredningen har haft i uppdrag att göra en översyn av datalagen
(1973:289) från såväl saklig som lagteknisk synpunkt. Den svenska datalagen var
den första nationella lagstiftningen i sitt slag och väckte berättigad uppmärk-
samhet vid sin tillkomst. Sedan dess har 20 år gått, vilket i dessa sammanhang
är en mycket lång tid, utan att lagens grundläggande struktur har ändrats. Lagen
får såväl innehållsmässigt som till sin tekniska utformning anses vara ganska
föråldrad.
Den nuvarande datalagen reglerar användningen av personregister. Med
personregister förstås register, förteckning eller andra anteckningar som förs
med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift
som kan hänföras till den som avses med uppgiften. Avgörande för frågan om
datalagen över huvud taget är tillämplig på ett register är således huruvida
registret förs med ADB eller inte. Register som förs med hjälp av annan teknik
än ADB faller i dag utanför datalagens tillämpningsområde.
För varje register skall finnas en registeransvarig. Därmed förstås den för
vars verksamhet personregistret förs, om han förfogar över registret. Såväl
fysiska som juridiska personer och myndigheter kan vara registeransvariga. Med
att förfoga över ett register avses närmast en befogenhet att överföra
registrets innehåll till läsbar form. En registeransvarig måste också kunna
påverka innehållet i registret genom att tillföra eller ändra de uppgifter som
ingår i registret för att anses förfoga över det.
Personregister får inrättas och föras endast av den som efter anmälan har fått
licens av Datainspektionen. En sådan licens berättigar den registeransvarige att
föra ett eller flera personregister.
För vissa register, som bedöms innebära särskilda risker för otillbörligt
intrång i enskilds personliga integritet, krävs utöver licens även ett särskilt
tillstånd från Datainspektionen.
Tillstånd behövs i regel för att inrätta och föra ett personregister som
innehåller
1) känsliga personuppgifter,
2) omdömen om den registrerade,
3) uppgifter om personer som saknar sådan anknytning till den registeransvarige
som följer av medlemskap, anställning, kundförhållande eller något därmed
jämförligt förhållande samt
4) personuppgifter som inhämtats från något annat personregister (s.k.
samkörning).
En grundläggande förutsättning för att Datainspektionen skall kunna ge
tillstånd att inrätta och föra personregister är att det inte finns anledning
att anta att registreringen medför otillbörligt intrång i de registrerades
personliga integritet.
Finns det anledning anta att personuppgifter skall användas för ADB i utlandet,
får uppgifterna lämnas ut endast efter medgivande av Datainspektionen. Sådant
medgivande får lämnas endast om det kan antas att utlämnandet av uppgifterna
inte kommer att medföra otillbörligt intrång i personlig integritet. Något
medgivande behövs dock inte, om personuppgifter skall användas för ADB enbart i
en stat som har anslutit sig till Europarådets konvention om skydd för enskilda
vid ADB-behandling av personuppgifter.
I datalagen finns allmänna bestämmelser om gallring av personuppgifter.
Datainspektionen utövar tillsyn över att automatisk databehandling inte medför
otillbörligt intrång i registrerads personliga integritet.
Har förande av personregister medfört eller kan antas medföra otillbörligt
intrång i personlig integritet kan Datainspektionen meddela villkor eller, om
rättelse inte på annat sätt kan åstadkommas, förbjuda fortsatt förande av
personregister eller återkalla meddelat tillstånd.
Datainspektionens beslut får överklagas hos regeringen genom besvär.
Enligt Datalagsutredningens förslag skall datalagen även i fortsättningen bara
reglera sådan informationshantering som sker med hjälp av ADB. Liksom hittills
skall lagen gälla både för den privata och offentliga sektorn. I övrigt innebär
den föreslagna lagen mycket betydande förändringar i förhållande till vad som
gäller i dag. De viktigaste förändringarna och nyheterna är följande.
* Personregisterbegreppet, som har gett upphov till en hel del tolknings-
problem, slopas. Den nya datalagen blir tillämplig på behandling av perso-
nuppgifter. Med behandling förstås varje åtgärd som vidtas med perso-
nuppgifter genom ADB. Vissa undantag görs från huvudregeln, bl.a. tas
ordbehandling och behandling som sker uteslutande för personligt bruk undan
från lagens tillämpningsområde.
* Det blir lättare att avgöra vem som är registeransvarig, persondataansvarig
enligt utredningens terminologi, i system som används av flera. Endast den är
persondataansvarig som bestämmer ändamålet med behandlingen, vilka personupp-
gifter som skall behandlas och hur de skall behandlas.
* Systemet med licens och tillstånd avskaffas. Trots olika försök att
rationalisera tillståndshanteringen och begränsa antalet tillståndsärenden är
arbetet med dessa ärenden så omfattande att Datainspektionen i stort sett
inte hinner ägna sig åt några inspektioner ute på fältet. Den uteblivna
tillsynen medför en bristande respekt för datalagens regler. Det kan t.ex.
nämnas att det f.n. finns omkring 50 000 meddelade licenser. Enligt ut-
redningens beräkningar hade antalet bort vara mellan 500 000 och 1 milj.
* De resurser som frigörs genom att systemet med licens och tillstånd avskaffas
skall användas för en intensifierad tillsyn, särskilt inspektioner ute på
fältet. En sådan tillsyn är enligt utredningens uppfattning det bästa sättet
att upprätthålla ett gott integritetsskydd.
* En förutsättning för att man skall kunna övergå till ett renodlat till-
synsförfarande är att datalagen ger en så utförlig reglering som möjligt av
de förutsättningar som gäller för ADB-hantering av personuppgifter. Det nuva-
rande begreppet otillbörligt intrång i personlig integritet, som aldrig har
kunnat ges ett någorlunda preciserat innehåll, avskaffas. I stället införs
regler för de olika momenten i informationsbehandlingen. I den nya datalagen
finns bestämmelser om bl.a. den nödvändiga anknytningen till ett ändamål,
förutsättningarna för behandling av personuppgifter, vilka personuppgifter
som får behandlas, formen för samtycke från den enskilde, säkerhet och
gallring.
* Regleringen i den nya datalagen skall kunna kompletteras med bestämmelser som
utfärdas av Datainspektionen och som avser olika branscher eller sektorer.
* Ett system med anmälningsskyldighet för vissa persondataansvariga införs. En
anmälan skall göras till Datainspektionen när vissa känsliga uppgifter
behandlas med ADB. Anmälningarna skall ligga till grund för Datainspektionens
tillsyn. Anmälningsförfarandet blir betydligt enklare och riktar sig mot
betydligt färre persondataansvariga än det nuvarande tillståndssystemet.
* Liksom i dag skall personuppgifter få ADB-behandlas bara för bestämda
ändamål. Ändamålet skall dock enligt utredningens förslag anges med större
precision än enligt nuvarande datalag. Möjligheterna begränsas att använda
personuppgifter som samlats in för ett ändamål för andra ändamål.
* I den föreslagna lagen anges i sex olika punkter de alternativa grunder som
ger rätt att ADB-behandla personuppgifter. En av grunderna är samtycke från
dem som berörs av behandlingen.
* När den enskildes samtycke behövs för en viss ADB-behandling skall det vara
ett uttryckligt samtycke. Passivitet eller s.k. konkludent handlande kommer
inte att vara tillräckligt.
* För känsliga personuppgifter, t.ex. politisk uppfattning, sjukdom, hälsotill-
stånd eller olika slags omdömen, kommer särskilda regler att gälla. Enligt
dessa bestämmelser får de känsliga uppgifterna ADB-behandlas bara om, när
samtycke inte föreligger, det finns särskilt stöd i författning för be-
handlingen. Det kommer att behövas åtskilliga sådana författningar, särskilt
på den offentliga sidan.
* I några paragrafer i den föreslagna datalagen ges sådant särskilt för-
fattningsstöd i fråga om behandling av känsliga uppgifter på forskningsom-
rådet och hos arbetsgivare. Dessa bestämmelser anger alltså de
förutsättningar som måste föreligga för att känsliga uppgifter, utan samtycke
från de berörda enskilda, skall få ADB-behandlas för forskningsändamål och i
förhållandet mellan arbetsgivare samt arbetstagare och arbetssökande. På
forskningsområdet avses bestämmelserna tillgodose den viktiga register-
forskningen.
* En uttrycklig regel om förbud för den persondataansvarige att ADB-behandla
personuppgifter för direktreklamändamål i strid med den enskildes önskan tas
in i datalagen.
* Särskilda regler införs i datalagen som klargör hur de intressen som följer
av tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall avvägas mot
integritetsintressena.
* Vid gallring av personuppgifter som utgör allmän handling hos myndigheter kan
integritetsintressena komma i konflikt med intresset att bevara uppgifterna,
t.ex. för framtida användning inom forskningen. En särskild bestämmelse i
utredningens förslag till datalag anger hur den avvägningen skall ske.
* Bestämmelserna i den gällande datalagen om överföring av personuppgifter till
utlandet för ADB-behandling av uppgifterna där har berörts i det föregående.
Enligt utredningens förslag skall överföring utan särskilt medgivande kunna
ske till en stat som visserligen inte har anslutit sig till Europarådets
konvention men som har ett integritetsskydd som motsvarar det som följer av
konventionens regler. Den nya bestämmelsen bör få ganska stor praktisk be-
tydelse.
* Datainspektionens beslut skall i fortsättningen överklagas till domstol, inte
som i dag till regeringen.
EG-kommissionen antog i september 1990 ett förslag till direktiv om skydd för
enskilda vid behandling av personuppgifter och om det fria flödet av sådana
uppgifter. Sedan förslaget behandlats i EG:s ministerråd och EG-parlamentet har
EG-kommissionen i oktober 1992 antagit ett nytt förslag till direktiv. Detta
förslag har förelagts Ministerrådet och enligt tidsplanen skall Rådet ta slutlig
ställning till det nya förslaget under år 1993.
Åtskillig diskussion om hur integritetsskyddet skall vara utformat har
förekommit i anslutning till det tidigare utkastet till direktiv från Kommissio-
nen och EG-parlamentets behandling av detta utkast. Fortfarande förekommer inom
EG, såvitt man kan bedöma, oenighet om hur ett framtida direktiv skall vara
utformat. Detta har bl.a. lett till att tidsplanen för antagandet av direktivet
har förskjutits. Enligt företrädare för Kommissionen kommer Ministerrådet
troligen inte att kunna ta slutlig ställning till förslaget förrän sommaren
1994. I den debatt som förts efter det Kommissionen presenterade sitt reviderade
förslag i oktober 1992 har vissa bl.a. pekat på den s.k. subsidiari-
tetsprincipen. Vidare kan nämnas att vid Europeiska Rådets möte i Edinburgh den
11 - 12 december 1992 har Kommissionen förklarat att den avser att revidera ett
antal förslag i syfte att göra dem mindre detaljerade. Sett i ljuset av att
samtliga medlemsländer snart kommer att ha nationella dataskyddslagar och
anslutit sig till Europarådets dataskyddskonvention har det från vissa håll
ifrågasatts om behovet av att anta direktivförslaget kommer att kvarstå.
Redovisningen i det följande bygger på det nuvarande direktivförslagets
lydelse.
Direktiv som beslutas av behöriga EG-organ är bindande i fråga om det resultat
som skall uppnås men överlämnar åt medlemsländerna att välja form och metod för
detta.
I förslaget till EG-direktiv har man beaktat den utveckling på data-skyddsom-
rådet som har skett och förslaget bygger på de integritetsskyddslagar och den
internationella reglering som har kommit fram under de senaste åren. I
förhållande till den svenska datalagen innefattar direktivförslaget i en hel del
hänseenden en önskvärd skärpning av reglerna för integritetsskyddet. Av dessa
och andra skäl, särskilt det intensifierade europeiska samarbetet, har
utredningen eftersträvat att få i huvudsak samma regler för integritetsskyddet
som de som kan komma att gälla inom EG. Utredningens förslag till materiella
regler för dataskyddet ligger också nära motsvarande bestämmelser i direktivför-
slaget. Det gäller bl.a. sådana frågor som ändamålsanknytning och byte av
ändamål, förutsättningar för behandling av personuppgifter, hur samtycke från
den enskilde skall lämnas, vilka personuppgifter som får behandlas, säkerhet,
gallring och regleringen av känsliga personuppgifter.
Vissa avvikelser förekommer emellertid i förhållande till förslaget till
EG-direktiv. Som har nämnts i det föregående skall datalagen i motsats till vad
som gäller enligt direktivförslaget även i fortsättningen bara reglera sådan
informationshantering som sker med hjälp av ADB. Såvitt utredningen känner till
är nämligen varken omfattningen av eller innehållet i den manuella registre-
ringen av någon betydenhet och innebär inte några mera påtagliga in-
tegritetsrisker. Vidare berör en del föreskrifter i direktivförslaget den
svenska offentlighetsprincipen. De bestämmelser i förslaget till EG-direktiv som
reglerar utlämnande av personuppgifter tillåter enligt utredningen inte något
utlämnande enligt offentlighetsprincipen. Ett utlämnande av personuppgifter med
stöd av offentlighetsprincipen kan heller inte anses förenlig med det sätt på
vilket ändamålet för en viss ADB-behandling skall anges enligt direktivför-
slaget. Förslaget till EG-direktiv påverkar vidare principen i tryckfrihets-
förordningen att en sökande som begär att få ut en handling har rätt att vara
anonym. Slutligen innehåller inte direktivförslaget något undantag från huvud-
regeln om gallring som gör det möjligt att bevara personuppgifter med hänsyn
till offentlighetsprincipen. I de hänseenden som nu har nämnts innebär
utredningens lagförslag avvikelser från det föreslagna EG-direktivet för att
offentlighetsprincipen skall lämnas orörd.
Avvikelser i förhållande till förslaget till EG-direktiv förekommer också när
det gäller information till den enskilde och underrättelser till dataskyddsmyn-
digheten.
Kraven på information till den enskilde är långtgående. Enligt direktivför-
slaget skall den enskilde ha rätt att på begäran bli informerad om förekomsten
av en viss ADB-behandling och om olika uppgifter som hänför sig till
ADB-behandlingen. När en persondataansvarig lämnar ut personuppgifter skall
vidare den enskilde vars personuppgifter det är fråga om i princip underrättas
om utlämnandet. Tanken bakom dessa bestämmelser i direktivförslaget är att den
enskilde skall bli medveten om att personuppgifter som rör honom ADB-behandlas
och kunna göra sina rättigheter enligt dataskyddslagstiftningen gällande. Ett
iakttagande av bestämmelserna skulle emellertid innebära en betungande in-
formationsskyldighet för de persondataansvariga och en ganska betydande
byråkratisering av kontrollsystemet.
Utredningen har kommit till den slutsatsen att de skäl som från integritets-
synpunkt talar för den angivna ordningen inte är tillräckligt starka för att
väga över den byråkrati som skulle bli följden. Utredningen har då också beaktat
att det finns goda möjligheter till insyn genom andra regler i den föreslagna
datalagen och i sekretesslagen. Liksom i dag kommer den enskilde att få
möjlighet att kontrollera om uppgifter som hänför sig till honom är föremål för
ADB-behandling och, om så är fallet, att kontrollera om uppgifterna är riktiga,
fullständiga och aktuella. Information om vilka känsliga personuppgifter som
ADB-behandlas kan man vidare få hos Datainspektionen. Den persondataansvarige
skall nämligen, innan han får börja att behandla sådana personuppgifter, göra en
anmälan till Datainspektionen om ADB-behandlingen. Slutligen finns i
sekretesslagen särskilda regler om dokumentationsskyldighet beträffande datasam-
lingar som en myndighet har tillgång till. Reglerna syftar till att tillgodose
allmänhetens intresse av överblick över och orientering i det ADB-material som
finns hos myndigheterna.
När det gäller underrättelser till dataskyddsmyndigheten är utgångspunkten i
förslaget till EG-direktiv att all ADB-behandling skall anmälas. Vad som får tas
undan från anmälningsskyldigheten är vissa slag av behandling som inte menligt
påverkar de enskildas integritet. Åtgärder för att göra undantag från
anmälningsskyldigheten förutsätter dataskyddsmyndighetens medverkan.
Utredningen konstaterar att, även om många undantag görs från huvudregeln om
anmälningsskyldighet, det finns en betydande risk för att ett mycket stort antal
datasamlingar måste anmälas till dataskyddsmyndigheten, bl.a. beroende på den
höga takten i datoriseringen här i landet. Antalet kan bli så stort att den
överblick över den integritetskänsliga databehandlingen som
dataskyddsmyndigheten bör ha helt går förlorad. De åtgärder som behövs för att
göra undantag från anmälningsskyldigheten kommer vidare att innebära en
betydande belastning på dataskyddsmyndigheten. Utredningen har samman-
fattningsvis kommit till den slutsatsen att det sätt på vilket avgränsningen av
anmälningsskyldigheten har gjorts och det förfarande för att göra undantag från
anmälningsskyldigheten som anges i direktivförslaget är förenade med så
betydande olägenheter att någon harmonisering med förslaget till EG-direktiv
inte bör ske i denna del. I stället har i den nya datalagen anmälningsskyldig-
heten avgränsats på samma sätt som tillståndsplikten enligt den gällande
datalagen, dvs. det anges uttryckligen i lagen vilken behandling som måste
anmälas till Datainspektionen. Anmälningsskyldigheten har begränsats till att
avse ADB-behandling av i sig känsliga personuppgifter.
Även i övrigt görs i olika frågor avvikelser från direktivförslaget.
Den nya datalagen är avsedd att träda i kraft den 1 januari 1995.
Förteckning över remissinstanser som yttrat sig över Datalagsutredningens
förslag
Remissyttranden över betänkandet har avgetts av Riksdagens ombudsmän, Justi-
tiekanslern, Hovrätten över Skåne och Blekinge, Kammar-rätten i Stockholm,
Kammarrätten i Göteborg, Länsrätten i Stockholm, Domstolsverket, Riksåklagaren,
Rikspolisstyrelsen, Kriminalvårdsstyrelsen, Datainspektionen, Överbefälhavaren,
Värnpliktsverket, Överstyrelsen för civil beredskap, Vapenfristyrelsen,
Riksförsäkringsverket, Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga
forskningsrådet, Statskontoret, Statens person- och adressregisternämnd
(SPAR-nämnden), Generaltullstyrelsen, Statistiska centralbyrån,
Finansinspektionen, Riksrevisionsverket, Riksskatteverket, Stockholms
universitet, Uppsala universitet, Lunds universitet, Umeå universitet, Chalmers
tekniska högskola, Karolinska institutet, Högskolan i Karlstad, Forskningsråds-
nämnden, Humanistisk-samhällsvetenskapliga forskningsrådet, Medicinska
forskningsrådet, Naturvetenskapliga forskningsrådet, Vetenskapsakademien,
Sveriges lantbruksuniversitet, Skogs- och jordbrukets forskningsråd,
Arbetarskyddsstyrelsen, Arbetsmiljöinstitutet, Arbetsmiljöfonden,
Arbetslivscentrum, Riksarkivet, Närings- och teknikutvecklingsverket,
Konkurrensverket, Patent- och registreringsverket, Konsumentverket,
Centralnämnden för fastighetsdata, Göteborgs kommun, Varbergs kommun, Härnösands
kommun, Stockholms läns landsting, Landstinget i Kalmar län, Stiftelsen
Riksbankens Jubileumsfond, Sveriges Författarförbund, Företagarnas
Riksorganisation, Svenska Kommunförbundet, Landstingsförbundet, Sveriges
advokatsamfund, Sveriges Köpmannaförbund, Sveriges Radio AB, Tjänstemännens Cen-
tralorganisation TCO, Sveriges Akademikers Centralorganisation SACO,
Landsorganisationen i Sverige LO, Tidningarnas Telegrambyrå, Svenska
Journalistförbundet, Svenska Tidningsutgivareföreningen, DAFA Data AB,
Dataföreningen i Sverige, DIK-förbundet, Företagens Uppgiftslämnardelegation,
Kommundata AB (numera Dialogdata Informationssystem AB), Medborgarrättsrörelsen
i Sverige, Sveriges Läkarförbund, Sveriges Psykologförbund, Sveriges
Försäkringsförbund, Svenska Bankföreningen, Krigsarkivet, Jacob Palme, FALK
Föreningen arkivverksamma i landsting och kommun, Affärsdata AB, Statens löne-
och pensionsverk, Svenska Läkaresällskapet, Svenska kyrkans Församlings- och
Pastoratförbund, Arkivrådet AAS, Kungl. Vitterhets Historie och Antikvitets
Akademien, Svenska kyrkans centralstyrelse, Lantmäteriverket, Svenska
Inkassoföreningen, Läkemedelsindustrins branschorganisationer och
Representantföreningen för Utländska Farmacevtiska industrier samt AB
Bonnierföretagen.
Svenska Arbetsgivareföreningen och Sveriges Industriförbund har avgett ett
gemensamt yttrande. Detsamma gäller Publicistklubben och Föreningen Grävande
Journalister.
Även Annonsörföreningen, Dagligvaruleverantörernas Förbund,
Direkthandelsföretagens förening, Svenska Bokförläggareföreningen, Svenska
Postorderföreningen, Sveriges Marknadsförbund, Sveriges Reklamförbund, Sveriges
Telemarketing Förening och SWEDMA har avgett ett gemensamt yttrande.
Riksåklagaren har överlämnat yttranden från överåklagaren vid Åkla-
garmyndigheten i Göteborg samt överåklagarna vid Regionåklagarmyndigheterna i
Linköping, Malmö och Härnösand.
Rikspolisstyrelsen har bifogat yttranden från polismyndigheterna i Stockholm,
Göteborg och Malmö.
Riksskatteverket har till sitt yttrande bifogat ett utlåtande från Skatte-
myndigheten i Stockholms län.
Rektorsämbetet vid Stockholms universitet har överlämnat yttranden från den
juridiska fakultetsnämnden och från den samhällsvetenskapliga fakulteten.
Rektorsämbetet vid Uppsala universitet har överlämnat ett yttrande från den
juridiska fakultetsstyrelsen vid universitetet. Rektorsämbetet vid Lunds
universitet har överlämnat ett yttrande från den juridiska fakultetsstyrelsen
vid universitetet.
Riksarkivet har till sitt yttrande bifogat yttranden från samtliga landsarkiv
och stadsarkiven i Stockholm och Malmö.
Göteborgs kommun har bifogat en av folkpartiet i kommunstyrelsen avgiven
skrivelse samt yttranden från Göteborgs servicenämnd, gruppen för
integritetsfrågor inom dataområdet (GRIND) och stadsdelsnämnden Härlanda.
Sveriges Akademikers Centralorganisation har utöver sitt yttrande hänvisat till
de yttranden som avgetts av DIK-förbundet, Sveriges Läkarförbund och Sveriges
Psykologförbund samt utan eget ställningstagande överlämnat ett yttrande från
SACO-föreningen vid Datainspektionen.
Lagrådsremissens lagförslag
1 Förslag till lag om ändring i datalagen (1973:289)
Härigenom föreskrivs i fråga om datalagen (1973:289)[1]
dels att 2 a, 6, 6 a, 12, 18, 20 och 25 skall ha följande lydelse,
dels att det i lagen skall införas en ny paragraf, 19 , och närmast före nya
19 en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 a
Tillstånd av Tillstånd av
Datainspektionen behövs Datainspektionen behövs
inte för personregister inte för personregister
vars inrättande beslutas 1. vars inrättande
av riksdagen eller beslutas av riksdagen
regeringen. Innan sådant eller regeringen,
beslut fattas skall 2. som inrättas och förs
dock yttrande inhämtas i enlighet med
från Datainspektionen i föreskrifter som
fråga om register som beslutats med stöd av 19
skall innehålla ,
uppgifter som avses i 2 3. som har tagits emot
andra stycket. för förvaring av en
arkivmyndighet.
Tillstånd behövs inte
heller för
personregister som har
tagits emot för förvaring
av en arkivmyndighet.
Utan hinder av 2 andra stycket 1 får
1. sammanslutningar inrätta och föra personregister som innehåller sådana
uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse
i övrigt som utgör grunden för medlemskapet i sammanslutningen,
2. myndigheter inom hälso- och sjukvården för vård- eller behandlingsändamål
inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller
hälsotillstånd i övrigt,
3. myndigheter inom socialtjänsten inrätta och föra personregister som
innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten,
4. läkare och tandläkare inrätta och föra personregister som innehåller sådana
uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i
sin yrkesverksamhet,
5. arbetsgivare inrätta och föra personregister, som innehåller sådana
uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om
uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren
skall kunna avgöra om han skall påbörja en rehabiliteringsutredning enligt 22
kap. 3 andra stycket lagen (1962:381) om allmän försäkring.
6
Lämnas tillstånd till Lämnas tillstånd till
inrättande och förande avinrättande och förande av
personregister, skall personregister, skall
Datainspektionen, i den Datainspektionen, i den
mån det behövs för att mån det behövs för att
förebygga risk för förebygga risk för
otillbörligt intrång i otillbörligt intrång i
personlig integritet, personlig integritet,
meddela föreskrift om meddela föreskrift för
registret om
1. inhämtande av uppgifter för personregistret,
2. vilka personuppgifter som får ingå i personregistret,
3. utförandet av den automatiska databehandlingen,
4. den tekniska utrustningen,
5. de bearbetningar av personuppgifterna i registret som får göras med
automatisk databehandling,
6. underrättelse till berörda personer,
7. de personuppgifter som får göras tillgängliga,
8. utlämnande och annan användning av personuppgift,
9. bevarande och gallring av personuppgifter,
10. kontroll och säkerhet,
11. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter.
Vid bedömandet av om Vid bedömandet av om
föreskrift behövs skall föreskrift för ett visst
särskilt beaktas huru- register behövs skall
vida registret särskilt beaktas huruvida
innehåller personuppgift registret innehåller
som utgör omdöme eller personuppgift som utgör
annan värderande omdöme eller annan
upplysning om den värderande upplysning om
registrerade. den registrerade.
Föreskrift rörande Föreskrift för ett visst
utlämnande av register rörande
personuppgift får icke utlämnande av personupp-
inskränka myndighets gift får inte inskränka en
skyldigheter enligt myndighets skyldigheter
tryckfrihetsförordningen.enligt tryckfri-
hetsförordningen.
**Fotnot**
[1]Lagen omtryckt 1992:446.
6 a
Bestämmelserna i 5 och Bestämmelserna i 5 och 6
6 om skyldighet för om skyldighet för
Datainspektionen att Datainspektionen att
meddela föreskrift gällermeddela föreskrift för ett
även i fråga om visst register gäller även
personregister som i fråga om personregister
avses i 2 a första som avses i 2 a första
stycket andra meningen, stycket 1, om registret
i den mån icke skall innehålla uppgifter
regeringen eller som avses i 2 andra
riksdagen har meddelat stycket och regeringen
föreskrift i samma eller riksdagen inte har
hänseende. meddelat föreskrift i
samma hänseende.
12
Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur
personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med
registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse
i lag eller annan författning eller enligt myndighets beslut som meddelats med
stöd av författning. Detsamma gäller då den registeransvarige upphör att föra
personregistret.
Upphör en Upphör en
registeransvarig att registeransvarig att föra
föra ett personregister ett personregister för
för vilket vilket Datainspektionen
Datainspektionen har har meddelat tillstånd,
meddelat tillstånd, skall han anmäla detta
skall han anmäla detta till inspektionen.
till inspektionen. Detsamma gäller i fråga om
Detsamma gäller i fråga sådant personregister som
om sådant personregister avses i 2 a första
som avses i 2 a första stycket 1, om registret
stycket andra meningen. innehåller uppgifter som
avses i 2 andra styck-
et.
18
Har förandet av Har förandet av
personregister lett personregister lett till
till otillbörligt intrångotillbörligt intrång i
i personlig integritet personlig integritet
eller finns anledning eller finns anledning
antaga att sådant intrångantaga att sådant intrång
skall uppkomma, får skall uppkomma, får
Datainspektionen i mån Datainspektionen för ett
av behov meddela visst register i mån av
föreskrift i sådant behov meddela föreskrift
avseende som anges i 5 i sådant avseende som
eller 6 eller ändra anges i 5 eller 6 eller
föreskrift som tidigare ändra föreskrift som
meddelats. I fråga om tidigare meddelats. I
register som avses i fråga om register som
2 a första stycket får avses i 2 a första
Datainspektionen vidta stycket 1 får
åtgärd som nu nämnts Datainspektionen vidta
endast i den mån den ej åtgärd som nu nämnts endast
står i strid med beslut i den mån den ej står i
av regeringen eller strid med beslut av
riksdagen. regeringen eller
riksdagen.
Kan skydd mot Kan skydd mot
otillbörligt intrång i otillbörligt intrång i
personlig integritet ej personlig integritet
åstadkommas på annat sätt,inte åstadkommas på annat
får Datainspektionen sätt, får Datainspektionen
förbjuda fortsatt förandeförbjuda fortsatt förande
av personregister eller av personregister eller
återkalla meddelat återkalla meddelat
tillstånd. Detta gäller tillstånd. Detta gäller
dock inte sådana dock inte sådana register
register som avses i 2 som avses i 2 a första
a första stycket. stycket 1.
Föreskrift enligt första
stycket och förbud
enligt andra stycket får
förenas med vite.
Bemyndiganden
19
Regeringen eller, efter
regeringens
bemyndigande, Data-
inspektionen får i
anslutning till denna
lag meddela närmare före-
skrifter för
personregister som ofta
förekommer inom en viss
verksamhet för ett visst
ändamål.
20 Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av
oaktsamhet
1. inrättar eller för personregister utan licens eller tillstånd enligt denna
lag, när detta erfordras,
2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller
18 ,
3. lämnar ut personuppgift i strid mot 11 ,
4. bryter mot 12 ,
5. lämnar osann uppgift 5. lämnar osann uppgift
vid fullgörande av vid fullgörande av
skyldighet att lämna skyldighet att lämna
underrättelse enligt 10 underrättelse enligt 10 ,
, eller 6. lämnar osann uppgift
6. lämnar osann uppgift i fall som avses i 17 ,
i fall som avses i 17 . eller
7. bryter mot föreskrift
som meddelats enligt 19
.
Den som överträtt ett
vitesföreläggande enligt
18 tredje stycket döms
inte till ansvar för en
gärning som omfattas av
föreläggandet.
Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot
7 a första eller tredje stycket.
25
Datainspektionens Datainspektionens
beslut enligt denna lag beslut enligt denna lag
överklagas hos regering- får överklagas till allmän
en. Justitiekanslern får förvaltningsdomstol.
överklaga ett sådant Justitiekanslern får föra
beslut för att talan för att tillvarata
tillvarata allmänna allmänna intressen.
intressen. Om en myndighet som är
Om en myndighet som är registeransvarig avslår
registeransvarig avslår en begäran om
en begäran om underrättelse enligt 10 ,
underrättelse enligt 10 överklagas beslutet på
, överklagas beslutet påsamma sätt som gäller ett
samma sätt som gäller ettbeslut av myndigheten
beslut av myndigheten att avslå en begäran om
att avslå en begäran om utlämnande av allmän
utlämnande av allmän handling. Med myndighet
handling. Med myndighet jämställs därvid ett annat
jämställs därvid ett annatorgan i den utsträckning
organ i den utsträckning som anges i 1 kap. 8 och
som anges i 1 kap. 8 9 sekretesslagen
sekretesslagen (1980:100).
(1980:100). Prövningstillstånd krävs
vid överklagande av mål om
viten till kammarrätten.
_________________________
1. Denna lag träder i kraft den 1 januari 1995.
2. Beslut som meddelats av Datainspektionen före ikraftträdandet överklagas
enligt äldre bestämmelser.
3. Hänvisningen i 25 andra stycket till 1 kap. 9 sekretesslagen (1980:100)
skall beträffande sådana aktiebolag i vilka kommuner eller landsting själva
eller gemensamt innehar mindre än två tredjedelar av aktierna eller mindre än
två tredjedelar av de med aktierna förenade rösterna och sådana ekonomiska
föreningar i vilka det också finns andra medlemmar än kommuner eller landsting
tillämpas från och med den
1 januari 1998.
2 Förslag till lag om ändring i förvaltningsprocesslagen (1971:291)
Härigenom föreskrivs att 34 a och 35 förvaltningsprocesslagen (1971:291)
skall ha följande lydelse.
Lydelse enligt prop. Föreslagen lydelse
1993/94:133
34 a
I de fall det är I de fall det är särskilt
särskilt föreskrivet får föreskrivet får
kammarrätten pröva ett kammarrätten pröva ett
överklagande från överklagande från länsrätten
länsrätten endast om endast om kammarrätten
kammarrätten har har meddelat pröv-
meddelat pröv- ningstillstånd. Sådant
ningstillstånd. tillstånd behövs dock
aldrig när talan förs av
Riksdagens ombudsmän
eller Justitiekanslern.
Prövningstillstånd meddelas om
1. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av
högre rätt,
2. anledning förekommer till ändring i det slut vartill länsrätten kommit eller
3. det annars finns synnerliga skäl att pröva överklagandet.
Meddelas inte prövningstillstånd, står länsrättens beslut fast. En upplysning
om detta skall tas in i kammarrättens beslut.
35
Ett överklagande av kammarrättens beslut i ett mål som har väckts hos
kammarrätten genom överklagande eller underställning prövas av Regeringsrätten
endast om Regeringsrätten har meddelat prövningstillstånd.
Meddelas inte prövningstillstånd, står kammarrättens beslut fast. En
upplysning om detta skall tas in i Regeringsrättens beslut.
Vad som sägs i första stycket gäller inte
1. talan som Riksdagens ombudsmän eller Justitiekanslern för i mål om
disciplinansvar eller om återkallelse eller begränsning av behörighet att utöva
yrke inom hälso- och sjukvården, tandvården eller detaljhandeln med läkemedel
eller om återkallelse av behörighet att utöva veterinäryrket,
2. talan som 2. talan som
Justitiekanslern för i Justitiekanslern för i mål
mål enligt lagen enligt datalagen
(1990:484) om (1973:289) eller lagen
övervakningskameror m.m. (1990:484) om över-
vakningskameror m.m.
______________________
Denna lag träder i kraft den 1 januari 1995.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 1994-04-08
Närvarande: justitierådet Per Jermsten, justitierådet Lars Å Beckman,
regeringsrådet Sigvard Holstad.
Enligt en lagrådsremiss den 24 mars 1994 (Justitiedepartementet) har regeringen
beslutat inhämta Lagrådets yttrande över förslag till
1. lag om ändring i datalagen (1973:289),
2. lag om ändring i förvaltningsprocesslagen (1971:291).
Förslagen har inför Lagrådet föredragits av kanslirådet Erik Göransson.
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 14 april 1994
Närvarande: statsministern Bildt, ordförande, och statsråden B. Westerberg,
Friggebo, Johansson, Laurén, Hörnlund, Olsson, Svensson, Thurdin, Hellsvik,
Wibble, Björck, Davidson, Unckel, P. Westerberg, Ask
Föredragande: statsrådet Laurén
Regeringen beslutar proposition 1993/94:217 En reformerad datalag.
Rättsdatablad
Författningsrubrik Bestämmelser som Celexnummer för
inför, ändrar, upp-bakomliggande EG-
häver eller regler
upprepar ett
normgivnings-
bemyndigande
Datalagen 19
(1973:289)