Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 6979 av 7189 träffar
Propositionsnummer · 1993/94:217 ·
En reformerad datalag
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 217
Regeringens proposition 1993/94:217 En reformerad datalag Prop. 1993/94:217 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 14 april 1994 Carl Bildt Reidunn Laurén (Justitiedepartementet) Propositionens huvudsakliga innehåll I propositionen läggs fram sådana förslag som bygger på Datalagsutredningens arbete och som bör genomföras innan frågan om en ny datalag kan beredas vidare. I enlighet med innehållet i grundlagspropositionen 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. föreslås att regeringen ges möjlighet att bemyndiga Datainspektionen att utfärda generella föreskrifter om personregister inom bestämda verksamheter. Register som inrättas och förs i enlighet med sådana regler skall undantas från tillståndsplikt. Den i datalagen särskilt angivna skyldigheten att begära Datainspektionens yttrande inför inrättandet av personregister som beslutas av riksdag eller regering avskaffas. I stället skall den allmänna regeln om beredningsunderlag i regeringsärenden tillämpas. För att mer effektivt kunna ingripa mot pågående intrång i enskilds personliga integritet föreslås att Datainspektionen ges möjligheter att förena föreskrifter och förbud med vite. Vidare föreslås, i linje med ett sedan länge pågående arbete inom regeringskansliet, att Datainspektionens beslut enligt datalagen inte längre skall överklagas till regeringen utan till allmän förvaltningsdomstol. De nya reglerna föreslås träda i kraft den 1 januari 1995, dvs. samtidigt med föreslagna grundlagsändringar på området. Innehållsförteckning 1 Förslag till riksdagsbeslut..................3 2 Lagtext .....................................4 2.1 Förslag till lag om ändring i datalagen (1973:289).........................4 2.2 Förslag till lag om ändring i förvaltnings- processlagen (1971:291)......................9 3 Ärendet och dess beredning..................10 4 Förhållandet mellan datalagen samt tryckfrihetsförordningen och yttrandefrihetsgrundlagen....................12 5 Normgivningsmakten på dataskyddsområdet.....13 6 Yttranden enligt 2 a  datalagen............22 7 Vite........................................24 8 Överklagande................................26 9 Kostnader...................................29 10 Författningskommentar......................30 10.1 Förslaget till lag om ändring i data- lagen (1973:289)............................30 10.2 Förslaget till lag om ändring i förvaltnings- processlagen (1971:291).....................32 Bilaga 1 Sammanfattning av Datalagsutredningens betänkande En ny datalag (SOU 1993:10)..........33 Bilaga 2 Förteckning över remissinstanser som yttrat sig över Datalagsutredningens förslag39 Bilaga 3 Lagrådsremissens lagförslag.........41 Bilaga 4 Lagrådets yttrande..................47 Utdrag ur protokoll vid regeringssammanträde den 14 april 1994.............................48 Rättsdatablad.................................49 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till 1. lag om ändring i datalagen (1973:289), 2. lag om ändring i förvaltningsprocesslagen (1971:291). 2 Lagtext Regeringen har följande förslag till lagtext. 2.1 Förslag till lag om ändring i datalagen (1973:289) Härigenom föreskrivs i fråga om datalagen (1973:289)[1] dels att 2 a, 6, 6 a, 12, 18, 20 och 25  skall ha följande lydelse, dels att det i lagen skall införas en ny paragraf, 19 , och närmast före nya 19  en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 a  Tillstånd av Tillstånd av Datainspektionen behövs Datainspektionen behövs inte för personregister inte för personregister vars inrättande beslutas 1. vars inrättande av riksdagen eller beslutas av riksdagen regeringen. Innan sådant eller regeringen, beslut fattas skall 2. som inrättas och förs dock yttrande inhämtas i enlighet med från Datainspektionen i föreskrifter som fråga om register som beslutats med stöd av 19 skall innehålla , uppgifter som avses i 2  3. som har tagits emot andra stycket. för förvaring av en arkivmyndighet. Tillstånd behövs inte heller för personregister som har tagits emot för förvaring av en arkivmyndighet. Utan hinder av 2  andra stycket 1 får 1. sammanslutningar inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen, 2. myndigheter inom hälso- och sjukvården för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt, 3. myndigheter inom socialtjänsten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten, 4. läkare och tandläkare inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet, **Fotnot** [1]Lagen omtryckt 1992:446. 5. arbetsgivare inrätta och föra personregister, som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han skall påbörja en rehabiliteringsutredning enligt 22 kap. 3  andra stycket lagen (1962:381) om allmän försäkring. 6  Lämnas tillstånd till Lämnas tillstånd till inrättande och förande avinrättande och förande av personregister, skall personregister, skall Datainspektionen, i den Datainspektionen, i den mån det behövs för att mån det behövs för att förebygga risk för förebygga risk för otillbörligt intrång i otillbörligt intrång i personlig integritet, personlig integritet, meddela föreskrift om meddela föreskrift för registret om 1. inhämtande av uppgifter för personregistret, 2. vilka personuppgifter som får ingå i personregistret, 3. utförandet av den automatiska databehandlingen, 4. den tekniska utrustningen, 5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling, 6. underrättelse till berörda personer, 7. de personuppgifter som får göras tillgängliga, 8. utlämnande och annan användning av personuppgift, 9. bevarande och gallring av personuppgifter, 10. kontroll och säkerhet, 11. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter. Vid bedömandet av om Vid bedömandet av om föreskrift behövs skall föreskrift för ett visst särskilt beaktas huru- register behövs skall vida registret särskilt beaktas huruvida innehåller personuppgift registret innehåller som utgör omdöme eller personuppgift som utgör annan värderande omdöme eller annan upplysning om den värderande upplysning om registrerade. den registrerade. Föreskrift rörande Föreskrift för ett visst utlämnande av register rörande personuppgift får icke utlämnande av personupp- inskränka myndighets gift får inte inskränka en skyldigheter enligt myndighets skyldigheter tryckfrihetsförordningen.enligt tryckfri- hetsförordningen. 6 a  Bestämmelserna i 5 och Bestämmelserna i 5 och 6  6  om skyldighet för om skyldighet för Datainspektionen att Datainspektionen att meddela föreskrift gällermeddela föreskrift för ett även i fråga om visst register gäller även personregister som i fråga om personregister avses i 2 a  första som avses i 2 a  första stycket andra meningen, stycket 1, om registret i den mån icke skall innehålla uppgifter regeringen eller som avses i 2  andra riksdagen har meddelat stycket och regeringen föreskrift i samma eller riksdagen inte har hänseende. meddelat föreskrift i samma hänseende. 12  Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret. Upphör en Upphör en registeransvarig att registeransvarig att föra föra ett personregister ett personregister för för vilket vilket Datainspektionen Datainspektionen har har meddelat tillstånd, meddelat tillstånd, skall han anmäla detta skall han anmäla detta till inspektionen. till inspektionen. Detsamma gäller i fråga om Detsamma gäller i fråga sådant personregister som om sådant personregister avses i 2 a  första som avses i 2 a  första stycket 1, om registret stycket andra meningen. innehåller uppgifter som avses i 2  andra styck- et. 18  Har förandet av Har förandet av personregister lett personregister lett till till otillbörligt intrångotillbörligt intrång i i personlig integritet personlig integritet eller finns anledning eller finns anledning antaga att sådant intrångantaga att sådant intrång skall uppkomma, får skall uppkomma, får Datainspektionen i mån Datainspektionen för ett av behov meddela visst register i mån av föreskrift i sådant behov meddela föreskrift avseende som anges i 5 i sådant avseende som eller 6  eller ändra anges i 5 eller 6  eller föreskrift som tidigare ändra föreskrift som meddelats. I fråga om tidigare meddelats. I register som avses i 2 fråga om register som a  första stycket får avses i 2 a  första Datainspektionen vidta stycket 1 får åtgärd som nu nämnts Datainspektionen vidta endast i den mån den ej åtgärd som nu nämnts endast står i strid med beslut i den mån den ej står i av regeringen eller strid med beslut av riksdagen. regeringen eller riks- dagen. Kan skydd mot Kan skydd mot otillbörligt intrång i otillbörligt intrång i personlig integritet ej personlig integritet åstadkommas på annat sätt,inte åstadkommas på annat får Datainspektionen sätt, får Datainspektionen förbjuda fortsatt förandeförbjuda fortsatt förande av personregister eller av personregister eller återkalla meddelat återkalla meddelat tillstånd. Detta gäller tillstånd. Detta gäller dock inte sådana dock inte sådana register register som avses i 2 som avses i 2 a  första a  första stycket. stycket 1. Föreskrift enligt första stycket och förbud enligt andra stycket får förenas med vite. Bemyndiganden 19  Regeringen eller, efter regeringens bemyndigande, Data- inspektionen får inom ramen för denna lag meddela närmare före- skrifter för person- register som ofta före- kommer inom en viss verksamhet för ett visst ändamål. 20 Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet 1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras, 2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller 18 , 3. lämnar ut personuppgift i strid mot 11 , 4. bryter mot 12 , 5. lämnar osann uppgift 5. lämnar osann uppgift vid fullgörande av vid fullgörande av skyldighet att lämna skyldighet att lämna underrättelse enligt 10 underrättelse enligt 10 , , eller 6. lämnar osann uppgift i 6. lämnar osann uppgift fall som avses i 17 , i fall som avses i 17 . eller 7. bryter mot föreskrift som meddelats enligt 19 . Den som överträtt ett vitesföre- läggande enligt 18  tredje stycket döms inte till ansvar för en gärning som omfattas av föreläggandet. Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 7 a  första eller tredje stycket. 25  Datainspektionens Datainspektionens beslut enligt denna lag beslut enligt denna lag överklagas hos regering- får överklagas hos allmän en. Justitiekanslern får förvaltningsdomstol. överklaga ett sådant Justitiekanslern får föra beslut för att talan för att tillvarata tillvarata allmänna allmänna intressen. intressen. Om en myndighet som är Om en myndighet som är registeransvarig avslår registeransvarig avslår en begäran om en begäran om underrättelse enligt 10 , underrättelse enligt 10 överklagas beslutet på , överklagas beslutet påsamma sätt som gäller ett samma sätt som gäller ettbeslut av myndigheten beslut av myndigheten att avslå en begäran om att avslå en begäran om utlämnande av allmän utlämnande av allmän handling. Med myndighet handling. Med myndighet jämställs därvid ett annat jämställs därvid ett annatorgan i den utsträckning organ i den utsträckning som anges i 1 kap. 8 och som anges i 1 kap.8 9  sekretesslagen sekretesslagen (1980:100). (1980:100). Prövningstillstånd krävs vid överklagande av mål om viten till kammarrätten. _________________________ 1. Denna lag träder i kraft den 1 januari 1995. 2. Beslut som meddelats av Datainspektionen före ikraftträdandet överklagas enligt äldre bestämmelser. 3. Hänvisningen i 25  andra stycket till 1 kap. 9  sekretesslagen (1980:100) skall beträffande sådana aktiebolag i vilka kommuner eller landsting själva eller gemensamt innehar mindre än två tredjedelar av aktierna eller mindre än två tredjedelar av de med aktierna förenade rösterna och sådana ekonomiska föreningar i vilka det också finns andra medlemmar än kommuner eller landsting tillämpas från och med den 1 januari 1998. 2.2 Förslag till lag om ändring i förvaltningsprocesslagen (1971:291) Härigenom föreskrivs att 34 a och 35  förvaltningsprocesslagen (1971:291) skall ha följande lydelse. Lydelse enligt prop. Föreslagen lydelse 1993/94:133 34 a  I de fall det är I de fall det är särskilt särskilt föreskrivet får föreskrivet får kammarrätten pröva ett kammarrätten pröva ett överklagande från överklagande från länsrätten länsrätten endast om endast om kammarrätten kammarrätten har har meddelat pröv- meddelat pröv- ningstillstånd. Sådant ningstillstånd. tillstånd behövs dock inte när talan förs av Riksdagens ombudsmän eller Justitiekanslern. Prövningstillstånd meddelas om 1. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt, 2. anledning förekommer till ändring i det slut vartill länsrätten kommit eller 3. det annars finns synnerliga skäl att pröva överklagandet. Meddelas inte prövningstillstånd, står länsrättens beslut fast. En upplysning om detta skall tas in i kammarrättens beslut. 35 Ett överklagande av kammarrättens beslut i ett mål som har väckts hos kammarrätten genom överklagande eller underställning prövas av Regeringsrätten endast om Regeringsrätten har meddelat prövningstillstånd. Meddelas inte prövningstillstånd, står kammarrättens beslut fast. En upplysning om detta skall tas in i Regeringsrättens beslut. Vad som sägs i första stycket gäller inte 1. talan som Riksdagens ombudsmän eller Justitiekanslern för i mål om disciplinansvar eller om återkallelse eller begränsning av behörighet att utöva yrke inom hälso- och sjukvården, tandvården eller detaljhandeln med läkemedel eller om återkallelse av behörighet att utöva veterinäryrket, 2. talan som 2. talan som Justitiekanslern för i Justitiekanslern för i mål mål enligt lagen enligt datalagen (1990:484) om (1973:289) eller lagen övervakningskameror m.m. (1990:484) om över- vakningskameror m.m. ______________________ Denna lag träder i kraft den 1 januari 1995. 3 Ärendet och dess beredning Datalagen (1973:289, omtryckt 1992:446) syftar till att skydda den enskilde mot otillbörligt intrång i den personliga integriteten till följd av att personuppgifter registreras med hjälp av automatisk databehandling (ADB). Datainspektionen har till uppgift att pröva ansökningar om tillstånd och utöva tillsyn enligt denna lag. Lagen kom till år 1973 och var den första lagen i världen av denna typ med nationell räckvidd. Redan vid dess tillkomst förutsattes att lagen skulle ses över inom en snar framtid. År 1976 tillsattes Datalagstiftningskommittén (DALK) med ett sådant uppdrag. Kommittén avslutade emellertid sitt arbete år 1984 utan att detta slutförts. Samma år tillsattes en ny kommitté, Data- och offentlighetskommittén (DOK), för att utreda vissa frågor på angränsande områden men också inom datalagens ram. Kommittén avslutade sitt arbete år 1988. De båda kommittéernas förslag har delvis genomförts. Bl.a. beslutade riksdagen år 1982 om ändringar i datalagen av innebörd att det tidigare generella kravet på tillstånd av Datainspektionen för att inrätta och föra personregister ersattes med ett anmälningssystem med licenser och med bibehållet tillståndskrav endast för register där integritetsriskerna generellt ansågs påtagliga samt för sambearbetning av register. År 1989 förordnade dåvarande chefen för Justitiedepartementet efter regeringens bemyndigande en särskild utredare för att göra en översyn av datalagen från såväl saklig som lagteknisk synpunkt. Utredningen, som antog namnet Datalagsutredningen, har arbetat i två etapper. I den första etappen identifierade den särskilde utredaren de reformbehov som förelåg och angav hur dessa kunde tänkas bli tillgodosedda. Under denna etapp avlämnade utredningen tre delbetänkanden, Skärpt tillsyn - huvuddrag i en reformerad datalag (SOU 1990:61), Personregistrering inom arbetslivs-, forsknings- och massmedieområdena m.m. (SOU 1991:21) och Vissa särskilda frågor beträffande integritetsskyddet på ADB-området (SOU 1991:62). De tre delbetänkandena har remissbehandlats. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr 90-2155, 91-755 och 91-2850). Den avslutande etappen av utredningens arbete har bedrivits under parlamentarisk medverkan med den särskilde utredaren som ordförande. I detta arbete har utredningen haft att beakta de remissyttranden som avgetts över delbetänkandena. I februari 1993 lämnade utredningen över sitt slutbetänkande En ny datalag (SOU 1993:10). Utredningens sammanfattning av betänkandet återfinns i bilaga 1. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 2. En sammanställning av remissyttrandena finns tillgänglig i Justitiedepartementet (dnr 93-860). I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. tar regeringen upp en grundlagsfråga som behandlas i betänkandet En ny datalag. Sålunda föreslår regeringen att det område inom vilket riksdagen enligt 8 kap. 7  regeringsformen (RF) i lag kan bemyndiga regeringen att utfärda föreskrifter utvidgas. Förslaget innebär att regeringen efter bemyndigande i lag skall till Datainspektionen kunna delegera normgivningskompetens avseende skyddet för den personliga integriteten vid ADB-behandling av personuppgifter. Regeringen har i propositionen vidare uttalat sig för att en ny datalag bör anstå till dess att ett slutligt ställningstagande av EG föreligger till det förslag till direktiv EG-kommissionen presenterat. Däremot menade regeringen att det var angeläget att vidta en del ändringar i det nuvarande systemet. De ändringar som regeringen aviserade var ändringar i datalagen med närmare precisering av förutsättningarna för att Datainspektionen skall kunna meddela bransch- eller sektorsföreskrifter, frågan om ett avskaffande av skyldigheten att inhämta yttrande enligt 2 a  datalagen, ökade möjligheter för Datainspektionen att tillgripa vitessanktioner och förändringar i instansordningen vid överklaganden av Datainspektionens beslut. Regeringen tar i detta lagstiftningsärende upp huvudsakligen de ändringar i datalagen som regeringen förutskickat i prop. 1993/94:116. Dessutom redovisas i avsnitt 4 en fråga som har behandlats av Datalagsutredningen och som varit aktuell i ett enskilt ärende enligt datalagen. Den gäller förhållandet mellan datalagen samt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Lagrådet Regeringen beslutade den 24 mars 1994 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Vissa redaktionella ändringar har gjorts i lagtexten i förhållande till de till Lagrådet remitterade lagförslagen. 4 Förhållandet mellan datalagen samt tryckfrihetsförordningen och yttrandefrihetsgrundlagen En fråga som med tiden fått allt större aktualitet är hur datalagen förhåller sig till tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL). Datalagsutredningen konstaterade i sitt slutbetänkande att konflikter kan uppstå vid tillämpningen av TF och YGL samt datalagstiftningen dels genom att datalagstiftningen i viss utsträckning kan verka försvårande för framställningen av skrifter, dels till följd av grundlagarnas regler om anonymitetsskydd. Utredningen behandlade frågan bl.a. ur den synvinkeln att det i 2 kap. 3  andra stycket regeringsformen (RF) föreskrivs att varje medborgare skall, i den utsträckning som närmare anges i lag, skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB. Enligt utredningen finns det en principiell skillnad mellan föreskrifterna om förbud och hindrande åtgärder i TF och YGL samt bestämmelserna i 2 kap. 3  RF. Föreskriften i RF riktar sig till riksdagen, medan TF och YGL förbjuder alla myndigheter och allmänna organ att vidta någon som helst åtgärd som kan verka hindrande för framställandet eller spridningen av tryckta skrifter eller andra grundlagsskyddade informationsbärare. Enligt utredningen måste man utgå från att Datainspektionen, såväl i enskilda fall som vid normgivning, måste böja sig för TF och YGL, trots föreskriften i 2 kap. 3  RF. Utredningen utgick också från att TF och YGL vid en eventuell normkonflikt tar över datalagstiftningen. Utredningen föreslog därför att vissa typer av personregister som har samband med framställningen av tryckta skrifter eller yttranden som avses i YGL skulle undantas från datalagens tillämpning. Remissinstanserna har genomgående instämt i utredningens bedömning att TF och YGL vid en normkonflikt tar över datalagens regler. Däremot har utredningens förslag till uppdelning av massmediernas register i olika kategorier varav vissa skulle omfattas av datalagens regler kritiserats av flera remissinstanser. Bl.a. har majoriteten av de remissinstanser som närmare berört frågan velat ha längre gående undantag från datalagens tillämpning på massmediernas register. Regeringen har i dag avgjort ett överklagat ärende enligt datalagen där frågan om datalagens förhållande till grundlagarna aktualiserats (dnr 93-3260). Beslutet avsåg en ansökan om tillstånd enligt datalagen att få inrätta och föra ett personregister för att skriva en bok på en persondator med hjälp av ett ordbehandlingsprogram. Registret skulle innehålla sådana känsliga uppgifter som det enligt 4 och 6  datalagen krävs synnerliga eller särskilda skäl för att få registrera. Uppgifterna i registret skulle bearbetas på alla sätt som ett modernt ordbehandlingsprogram möjliggör. Sedan texten färdigställts skulle den överlämnas - via diskett eller ledning - till ett boktryckeri. Regeringen har i beslutet konstaterat att registret i och för sig utgör ett personregister som enligt datalagen är tillståndspliktigt. Tillståndskravet enligt datalagen skall emellertid prövas mot det i 1 kap. 2  angivna förbudet i TF mot hindrande åtgärder inför tryckning, utgivning och spridning av en tryckt skrift. Bestämmelsen i 2 kap. 3  RF om att det skall finnas en dataskyddslag- stiftning hindrar enligt regeringen inte att TF tar över datalagen vid en konflikt dem emellan. I beslutet har regeringen funnit att om ett enligt datalagen tillståndspliktigt personregister inrättas, förs och står i tekniskt samband med sättnings- och tryckprocessen, dvs. används som ett direkt tekniskt hjälpmedel för att framställa en tryckt skrift, är det utan tvekan så att förbudet mot hindrande åtgärder i TF gäller detta register. Regeringen har därför undanröjt Datainspektionens avslagsbeslut i ärendet och förklarat att det inte krävs något tillstånd enligt datalagen för att få föra det aktuella registret. 5 Normgivningsmakten på dataskyddsområdet Regeringens förslag: Regeringen, eller efter regeringens bemyndigande, Datainspektionen får rätt att utfärda generella regler för sådan databehandling av personuppgifter som sker inom en viss verksamhet för ett visst ändamål. Register som inrättas och förs i enlighet med sådana regler skall undantas från tillståndsplikt. Utredningens förslag: Datainspektionen ges rätt att utfärda generella föreskrifter avseende olika branscher och sektorer för sådan behandling av känsliga personuppgifter som ofta förekommer inom ett visst område och för ett visst ändamål. Rätten att utfärda generella föreskrifter omfattar inte gallring. Remissinstanserna: Majoriteten av de få remissinstanser som berört denna fråga, bl.a. Datainspektionen, Finansinspektionen, Svenska Köpmannaförbundet och Svenska Bankföreningen, är positiva till att Datainspektionen ges möjlighet att utfärda generella föreskrifter enligt förslaget. Domstolsverket anför att integritetsskyddet för den enskilde och förutsebarheten för den registeransvarige skulle vinna betydligt på en regelutfyllnad på lägre nivå. Svenska Bankföreningen framhåller att normering genom myndighetsföreskrifter syftar till att stärka den enskildes integritetsskydd. Några remissinstanser uttrycker viss tveksamhet mot förslaget. Uppsala universitets juridiska fakultetsstyrelse påtalar riskerna för en författnings- mässig uttunning om Datainspektionen ges en omfattande förordningsmakt. Statskontoret är tveksamt till att delegera föreskriftsrätt till Datainspektionen vad avser verksamhet inom stat och kommun och förordar att sådan verksamhet regleras i lag eller förordning. Andra pekar på vikten av att integritetskänsliga register inom den offentliga verksamheten författningsregleras. Landstingsförbundet har i detta sammanhang påpekat att det är viktigt att samma bestämmelser gäller, oavsett om uppgifterna registreras i offentlig eller privat regi. Göteborgs och Härnösands kommuner anser att Datainspektionen inte skall ges förordningsmakt över kommunerna. Enligt Härnösands kommun medger inte Europarådskonventionen om kommunal självstyrelse en sådan ordning. Även Svenska Kommunförbundet, som principiellt motsätter sig att normgivningskompetens delegeras till statliga myndigheter, ifrågasätter om förslaget står i överensstämmelse med denna konvention. Industriförbundet och Svenska Arbetsgivareföreningen avstyrker en omfattande detaljreglering och ett överdrivet införande av tvingande regler och anför att allmänna råd många gånger torde kunna ersätta föreskrifter. Flera remissinstanser, bl.a. Finansinspektionen och Svenska Bankföreningen, pekar på vikten av att Datainspektionens föreskrifter tas fram i samråd med den bransch som skall regleras. Domstolsverket anser att Datainspektionens föreskriftsmakt även skall omfatta behandling av icke-känsliga personuppgifter. DAFA Data AB däremot anför att Datainspektionens generella föreskrifter endast bör avse behandling av känsliga uppgifter. Få remissinstanser har berört förslaget att Datainspektionens generella föreskrifter inte skall få gälla gallring. Flertalet av dem, bl.a. Kammarrätten i Stockholm, Riksförsäkringsverket och Riksarkivet, tillstyrker förslaget. Endast tre instanser, Domstolsverket, Datainspektionen och Arbetsmiljöinstitutet, förordar att Datainspektionen skall ha rätt att utfärda generella gallringsföreskrifter. Flera instanser betonar vikten av att arkivlagens bestämmelser efterföljs. Skälen för regeringens förslag: Ordningen med tillståndskrav enligt datalagen har med tiden kommit att framstå som alltmer ohanterlig. Datainspektionen tvingas lägga ned med hänsyn till integritetsaspekter onödiga resurser på tillståndsprövning. Förutom att de registeransvariga många gånger nog inte inser omfattningen av den detaljerade prövning som datalagen förutsätter i tillståndsförfarandet, tar en ansökan ofta på grund av kompletteringar m.m. lång tid att behandla. Det nuvarande systemet innebär att inspektionen inte kan avsätta önskade resurser för tillsynsverksamheten. Detta leder till att inspektionens tillsyn över den ständigt ökande datoriseringen i samhället och därigenom också den alltmer utbredda registreringen av personuppgifter inte kan prioriteras i önskad omfattning. Följden kan bli en bristande respekt för datalagens regler. Det kan t.ex. nämnas att det för närvarande finns ca 50 000 meddelade licenser. Enligt Datalagsutredningens beräkningar hade antalet bort vara mellan 500 000 och 1 milj. Otvivelaktigt tyder detta förhållande beträffande datalagens regler om anmälningsskyldighet på att det finns en risk för att även de materiella regler i datalagen som skall skydda de registrerades personliga integritet inte efterföljs. När datalagen trädde i kraft år 1973 innehöll den ett generellt krav på tillstånd för att få föra i princip alla typer av personregister med ADB. Den ökade datoriseringen av samhället ledde snart till att Datainspektionen erhöll en tilltagande ström av ansökningar att få inrätta och föra personregister. Tillståndsprövningen tog stora resurser i anspråk och antalet inspektioner, som hela tiden hade legat på en låg nivå, minskade kraftigt. För att underlätta hanteringen av tillstånd införde Datainspektionen med början år 1979 ett förenklat ansöknings- och tillståndsförfarande för vissa typer av register. Det gäller ansökningar om tillstånd i vilka Datainspektionen utvecklat en fast praxis. De närmare bestämmelserna om vilka register som omfattas och vilka särskilda villkor som måste vara uppfyllda finns i Datainspektionens författningssamling (DIFS). Föreskrifter angående förenklat ansökningsförfarande har under åren tagits fram bl.a. för vissa direktreklamregister och statistikregister samt för vissa personregister inom kommunernas och Svenska kyrkans verksamhet. Datainspektionen har också utfärdat föreskrifter för ett förenklat ansökningsförfarande för vissa personregister inom statlig och lands- tingskommunal forskningsverksamhet. Det förenklade förfarandet innebär i praktiken att vissa slag av register inom en sektor i förväg normerats av Datainspektionen och att den registeransvarige, som vill inrätta ett register på vilka föreskrifterna är tillämpliga, på en särskild blankett ansöker om tillstånd hos inspektionen. Denna ger sedan efter en enkel kontroll tillstånd och beslutar bl.a. att innehållet i föreskrifterna skall gälla såsom särskilda villkor för registret. År 1982 togs ytterligare ett steg mot att begränsa tillståndshanteringen hos Datainspektionen. Genom ändringar i datalagen den 1 juli 1982 slopades det generella tillståndskravet för att inrätta och föra personregister med hjälp av ADB. I stället infördes en skyldighet för dem som vill föra personregister att anmäla detta till Datainspektionen som utfärdar en licens. Tillståndskravet begränsades till register som innehåller uppgifter av känslig art, avser personer som saknar anknytning till den registeransvarige eller innehåller uppgifter som hämtas från ett annat personregister. Huvudsyftet med ändringarna var att begränsa mängden tillståndsärenden och därigenom göra det möjligt för Datainspektionen att koncentrera sig på de mest integritetskänsliga registren och kunna intensifiera sin tillsynsverksamhet. Effekten av dessa åtgärder i syfte att minska tillståndshanteringen har dock endast i begränsad omfattning kunnat uppnås, eftersom antalet tillståndsärenden hos Datainspektionen med den tilltagande datoriseringen i samhället fortsatt att öka. Att pröva tillståndsansökningar innebär inte endast att säga ja eller nej utan även att, när tillstånd lämnas, förena detta med nödvändiga föreskrifter i det enskilda fallet. Även om Datainspektionen genom rationalisering och betydande arbetsinsatser lyckats hålla tillståndshanteringen på en någorlunda rimlig nivå tar denna del av verksamheten alltför stor andel av inspektionens resurser. Detta har lett till att den för integritetsskyddet så viktiga delen av Datainspektionens verksamhet som består i tillsyn inte kan prioriteras i önskvärd omfattning. Av bl.a. dessa skäl är det angeläget att sträva efter att tillståndshantering av personregister i ökad utsträckning skall ersättas av ett tillsynsförfarande. Regeringen har därför i prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. föreslagit en ändring i regeringsformen (RF) som skall skapa möjligheter för Datainspektionen att utfärda generella föreskrifter för databehandling av personuppgifter. Förslaget syftar till att ytterligare minska området för Datainspektionens tillståndshantering och därigenom på sikt skapa förutsättningar för en mer intensifierad tillsyn av databehandlingen av personuppgifter. I propositionen anges att grundlagsändringen kommer att följas upp med ett förslag till ändringar i datalagen där det noga anges inom vilka ramar normgivningsmakten skall kunna delegeras. Bestämmelsen i 2 kap. 3  andra stycket RF sätter en gräns för i vilken utsträckning normgivningsmakten kan delegeras till Datainspektionen. Enligt bestämmelsen skall varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB. Av förarbetena framgår att bestämmelsen riktar sig till lagstiftaren som åläggs att vara aktiv genom att stifta och vidmakthålla en datalagstiftning. Det uttalas vidare att grundlagsbestämmelsen inte hindrar regeringen och andra myndigheter från att meddela dataskyddsbestämmelser (prop. 1987/88:57 s. 11). Grundlagsbestämmelsen anger den yttre ramen för den normgivningskompetens som kan delegeras till Datainspektionen. Enligt bestämmelsen skall integritetsskyddet vid databehandling av personuppgifter anges i lag. Den normgivningskompetens som delegeras till Datainspektionen bör således inskränkas till att avse en regelutfyllnad av datalagens bestämmelser. Föreskrifterna från Datainspektionen är således att betrakta som ett komplement till datalagens skydd för den personliga integriteten. Utgångspunkten är att generella föreskrifter inte skall medföra ett sämre integritetsskydd än vid tillståndsprövningen. Detta medför att föreskrifterna måste vara tämligen detaljerade och i sak ligga nära enskilda tillståndsbeslut. I första hand kommer de generella föreskrifterna avse sådana register som i dag är tillståndspliktiga. Detta utesluter inte att det i regelgivningen kan uppstå situationer där även tillståndsfria register omfattas av en generell föreskrift. Det är naturligt att Datainspektionens normering tar sikte på områden och verksamheter där det finns många och likartade personregister. Bemyndigandet i datalagen bör därför avse grupper av sådana register som ofta förekommer och som är av en enhetlig karaktär. En sådan normering ökar förutsebarheten om vilka krav som ur integritetsskyddssynpunkt ställs på de registeransvariga. Den skapar även förutsättningar för en jämn och hög nivå på skyddet för de registrerades personliga integritet. Möjligheter till en generell normgivning leder också till att Datainspektionens tillsyn underlättas på breda områden. En generell reglering som endast avser några enstaka personregister bör däremot inte förekomma. Regeringen föreslår därför att den normgivningskompetens som skall kunna delegeras till Datainspektionen skall begränsas till att avse personregister som ofta förekommer inom en viss verksamhet och för ett visst ändamål. Vad som närmast åsyftas är föreskrifter som skall gälla för personregister som förs för ett visst ändamål inom olika branscher och sektorer. Som exempel på personre- gister som kan komma i fråga kan nämnas sjukhusens patientregister, forskningsregister, direktreklamregister samt register inom försäkringsbranschen och bankväsendet. Normgivningsrätten bör dock inte inskränkas till enbart en reglering av personregister för vissa branscher och sektorer. I vissa fall förs samma typ av register inom flera branscher eller sektorer. Exempel på en sådan bransch- och sektorsövergripande registrering av personuppgifter som sker för ett visst ändamål är arbetsgivarnas löne- och personaladministrativa system och de adressregister som förs av myndigheter och företag. Visserligen är flertalet sådana register i dag inte tillståndspliktiga. Det kan dock inte uteslutas att det i framtiden uppkommer behov av att använda dessa register för andra ändamål eller tillföra dem ytterligare uppgifter vilket skulle medföra att de blir tillståndspliktiga. Ett exempel på att nya användningsområden för tidigare tillståndsfria register kan uppkomma är de ändringar som infördes år 1992 beträffande arbetsgivarnas ökade ansvar för de anställdas rehabilitering. I sam- band med det ändrades datalagens tillståndsregler för arbetsgivarnas personal- administrativa register (prop. 1991/92:126, bet. 1991/92:KU 22, rskr. 1991/92:290). Genom att Datainspektionen ges möjligheter att utfärda generella regler för personregister som förs inom en viss verksamhet och inte enbart för vissa branscher och sektorer skapas således förutsättningar för att Datainspektionen skall kunna möta de integritetsskyddsproblem som uppkommer genom den ständigt ökande datoriseringen i samhället och därigenom den alltmer utbredda registreringen av personuppgifter. Datalagens regler kan i vissa fall anses utgöra ett hinder mot utvecklingen av den moderna informationsteknologin. Bl.a. innebär de ökade möjligheterna att sprida information via data- och telenäten att stora mängder personuppgifter kan överföras från en dator till en annan på ett snabbt och billigt sätt. Detta leder till att frågor om tillstånd enligt datalagen erfordras för att föra ett visst register aktualiseras i en allt vidare krets. Som ett exempel på behovet av en ökad spridning av personuppgifter på datamedium kan nämnas att riksdagen i juli 1993 i syfte att bl.a. informera allmänheten om riksdagens beslut och dess beslutsfattare gjorde informationssystemet Rixlex tillgängligt för allmänheten. Rixlex innehåller bl.a. riksdagstrycket och information om riksdagsledamöterna. I de avtal om abonnemang på Rixlex som träffas mellan Riksdagens förvaltningskontor och kunderna har intagits en klausul där kunden förbinder sig att inte använda personuppgifter från Rixlex för automatisk databehandling i strid med datalagen. I de fall en enskild person i sin egen dator lagrar uppgifter om riks- dagsledamöternas motioner och avser att använda dem annat än uteslutande för personligt bruk krävs tillstånd av Datainspektionen bl.a. med hänsyn till att motionerna innehåller uppgifter om politisk åskådning (jfr 2 a och 4  datalagen). I detta fall kan det tyckas att datalagens regler är alltför långtgående. Speciellt gäller detta eftersom registrering av uppgift om partibeteckning för en riksdagsledamot torde kunna anses ske med samtycke och i sig inte utgöra någon risk för otillbörligt intrång i ledamotens personliga integritet. I andra fall är dock registrering av politisk tillhörighet en nog så integritetskränkande åtgärd, något som kommer till uttryck genom 2 kap. 3  första stycket RF. Genom att ge Datainspektionen möjligheter att meddela föreskrifter för personregister som förs inom en viss verksamhet skapas förutsättningar för inspektionen att bl.a. utfärda föreskrifter för sådan registrering och bearbetning av t.ex. riksdagsmotioner som inte sker uteslutande för personligt bruk. Regeringens förslag skiljer sig något från Datalagsutredningens förslag. Enligt utredningen skulle Datainspektionens normgivningsrätt begränsas till sådan behandling av känsliga personuppgifter som ofta förekommer inom ett visst område för ett visst ändamål. Med känsliga personuppgifter avsåg utredningen i princip sådana uppgifter som anges i 4  och 6  andra stycket datalagen, dvs. uppgifter om brott, hälsotillstånd, politisk uppfattning, omdömen m.m. Datalagsutredningens förslag att begränsa inspektionens normgivningsrätt till att avse endast känsliga personuppgifter måste dock ses mot den bakgrunden att utredningen föreslog en helt ny datalag. I förslaget strävade utredningen efter att ge en utförlig och fyllig reglering av förutsättningarna för när ADB-hantering av personuppgifter skulle vara tillåten. Enligt utredningen fanns det därför inte något behov av en ytterligare normering av registreringen av de mindre känsliga personuppgifterna. Att inom ramen för det nuvarande regelsystemet i datalagen begränsa Datainspektionens normgivningskompetens till att endast avse behandling av känsliga personuppgifter skulle bl.a. omöjliggöra en generell reglering av personregister som är tillståndspliktiga på den grunden att de innehåller uppgifter om personer som den registeransvarige inte har någon naturlig anknytning till. Detta skulle innebära ett bibehållande av den masshantering av tillstånd som nu till viss del sker hos Datainspektionen med stöd av det förenklade ansökningsförfarandet t.ex. för direktreklamändamål. Något skäl att från integritetsskyddssynpunkt undanta den typen av mindre känsliga personregister från möjligheterna till en generell reglering finns inte. Snarare torde en generell reglering genom föreskrifter av vissa typer av personregister som innehåller mindre känsliga personuppgifter innebära stora vinster från effektivitetssynpunkt utan att integritetsskyddet åsidosätts. Det förhållandet att personregister som i dag förs med stöd av tillstånd kommer att kunna regleras genom generella föreskrifter skall inte innebära en minskning av integritetsskyddet. Detta innebär att liksom i tillståndsärenden skall det säkerställas att det inte uppstår otillbörligt intrång i den personliga integriteten vid förandet av personregister. Datainspektionens normgivningsrätt bör inte omfatta en rätt att utfärda generella föreskrifter om gallring av allmänna handlingar. Enligt 10  arkivlagen (1990:782) får allmänna handlingar gallras. Gallring skall dock alltid ske med beaktande av att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår tillgodoser vissa ändamål, nämligen rätten att ta del av allmän handling, rättskipningens och förvaltningens behov av information samt forskningens behov. Undantag från huvudregeln om gallring görs dock för det fall att det i en annan lag eller förordning finns avvikande regler om gallring. Dessa avvikande bestämmelser tar då över arkivlagens bestämmelser om gallring. Arkivlagens bestämmelser gäller dock enligt 10  framför bestämmelserna i 12  datalagen. Enligt 12  datalagen skall personuppgifter som inte längre behövs med hänsyn till registerändamålet utgå ur personregistret om de inte skall bevaras på grund av bestämmelser i författning eller i myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret. Datainspektionen kan i dag meddela beslut om gallring av personuppgifter i ett visst register med stöd av 6, 6 a eller 18  datalagen. Sådana beslut meddelas dels i enskilda tillstånds- eller tillsynsärenden, dels i av Datainspektionen meddelade föreskrifter om förenklat ansöknings- och tillståndsförfarande. Enligt 12  dataförordningen (1982:480) skall frågor om bevarande och gallring av personuppgifter i myndigheters personregister avgöras av Datainspektionen i samråd med Riksarkivet eller i vissa fall Krigsarkivet. Regeringen anser inte att det finns skäl att nu avvika från den reglering av gallringen av allmänna handlingar som fastlagts i arkivlagen. Principen om att undantag från huvudregeln i 10  arkivlagen skall göras i lag eller förordning bör inte ändras. Datainspektionens normgivningsmakt bör därför inte innefatta en rätt att utfärda generella gallringsföreskrifter avseende allmänna handlingar. Däremot har inspektionen rätt att i de dataskyddsföreskrifter som inte avser myndigheters personregister föra in regler om gallring. Datainspektionen bör samråda med Riksarkivet eller i förekommande fall Krigsarkivet när dataskydds- föreskrifter tas fram för personregister som kan antas vara allmänna handlingar hos statliga myndigheter, så att arkivmyndigheterna kan utfärda gallringsföre- skrifter som passar in i den reglering som inspektionen ämnar utfärda. En regel om samrådsskyldighet mellan Datainspektionen och dessa arkivmyndigheter vid ut- formningen av generella föreskrifter kan beslutas av regeringen genom för- ordning. För att göra tydligt att de föreskrifter med generell verkan som regeringen nu föreslår att regeringen eller Datainspektionen skall kunna utfärda är av annat slag än de föreskrifter som inspektionen meddelar bl.a. med stöd av 5 och 6  datalagen i de enskilda tillståndsbesluten bör vissa justeringar göras i lagtexten. Möjligheterna för Datainspektionen att utfärda dataskyddsföreskrifter måste syfta till att skapa enhetliga regler för ett starkt integritetsskydd oavsett var registreringen av personuppgifter sker. Detta inte minst mot bakgrund av det ökande informationsflödet i samhället. Det ligger också ett stort värde i att systemet är så beskaffat att det inte råder några oklarheter i konstitutionellt hänseende om i vilken utsträckning Datainspektionen har rätt att utfärda föreskrifter till datalagen. Möjligheterna att kunna delegera normgivningskompetensen på integritetsskyddsområdet bör således gälla såväl privat som statlig och kommunal verksamhet. Ett par remissinstanser har motsatt sig att Datainspektionen skall ges möjligheter att kunna utfärda generella föreskrifter för kommunerna. En sådan begränsning kan dock inte motiveras från integritetsskyddssynpunkt. Registreringen av de mest integritetskänsliga personuppgifterna sker till stor del inom den kommunala och landstingskommunala verksamheten t.ex. inom socialtjänsten och hälso- och sjukvården. Med de pågående organisations- och verksamhetsförändringar i form av decentralisering och konkurrensutsättning som sker inom dessa sektorer anser regeringen i likhet med Landstingsförbundet att det är viktigt att det skapas enhetliga förutsättningar för den närmare regleringen av integritetsskyddet vid registrering av personuppgifter oavsett om uppgifterna registreras i privat eller offentlig regi. Behovet av att förenkla tillståndshanteringen för kommunala personregister har också lett till att Datainspektionen bl.a. utfärdat föreskrifter om ett förenklat ansöknings- förfarande för vissa personregister i kommunal verksamhet. Vad det handlar om är närmast att förenkla hanteringen av personregister för bl.a. kommunerna. Som regeringen anfört i prop. 1993/94:116 kan den europeiska konventionen om kommunal självstyrelse inte ges en så vid tolkning som framförts av vissa remissinstanser. Konventionen, som syftar till att fastlägga de grundläggande förutsättningarna för kommunal självstyrelse, kan inte anses utgöra ett hinder mot att en statlig myndighet ges möjligheter att utfärda föreskrifter på ett område som i dag ligger utanför den kommunala föreskriftsmakten. Möjligheten för Datainspektionen att utfärda föreskrifter för vissa verksamheter bör kombineras med en bestämmelse som från tillståndsplikt undantar de personregister som inrättas och förs i enlighet med föreskrifterna. Datainspektionen kommer också att kunna ersätta eller ändra tidigare meddelade generella föreskrifter med nya föreskrifter. Om en sådan ändring sker i skärpande riktning blir konsekvensen för de registeransvariga som inte för register i enlighet med de nya föreskrifterna, att registret förs i strid med datalagen. De registeransvariga är alltid skyldiga att tillse att registren förs i enlighet med en gällande föreskrift. Av det nu sagda följer också att det kan vara nödvändigt att förena nya föreskrifter med övergångsbestämmelser som gör det möjligt för de registeransvariga att på ett rimligt sätt kunna anpassa sig till de nya reglerna. Regeringen anser inte att det finns skäl att i lagen införa krav på en speciell anmälningsskyldighet till Datainspektionen för de register som inrättas och förs i enlighet med inspektionens föreskrifter. En sådan reglering skulle motverka de syften som undantaget från tillståndsplikt innebär och skapa nya byråkratiska inslag i Datainspektionens arbete. Remissinstansernas kritik av Datalagsutredningens förslag till ett system med anmälningsskyldighet till Datainspektionen för vissa typer av behandling av känsliga personuppgifter visar att ett sådant system inte skulle skapa några direkta vinster ur integritetsskyddssynpunkt. Datainspektionen har i sitt remissvar i den delen bl.a. anfört att den inte ser något behov av en anmälningsskyldighet som underlag för inspektionens tillsynsverksamhet. Framtagandet av föreskrifter om ADB-registrering av personuppgifter förutsätter, som flera remissinstanser påtalat, ett ingående samråd med företrädare för de branscher och sektorer som skall regleras. Utan sådana kontakter med den verksamhet som skall regleras torde det inte vara möjligt för Datainspektionen att kunna utfärda preciserade och fungerande föreskrifter. Ett sådant samrådsförfarande måste även ske enligt reglerna i begränsningsförordningen (1987:1347). I förordningen föreskrivs att en myndighet, innan den beslutar en regel, skall utreda bl.a. dess kostnadsmässiga konsekvenser. Dessutom skall företrädare för dem vars verksamhet berörs av den tänkta regeln beredas tillfälle att yttra sig. Skulle regeln antas leda till inte oväsentligt ökade kostnader, måste myndigheten i princip inhämta medgivande från regeringen. Ett samrådsförfarande tillämpas redan i dag av Datainspektionen i betydande omfattning. Förutom att samråd bör ske med företrädare för de personregisteransvariga bör Datainspektionen hålla sig underrättad om den utveckling inom informationstekno- logibranschen som kan ha betydelse för föreskriftsverksamheten. Datainspektionen har här en viktig uppgift när det gäller att påverka branschens utveckling av nya produkter som uppfyller rimliga krav på säkerhet och kvalitet samtidigt som de underlättar för de personregisteransvariga att uppfylla sina skyldigheter enligt gällande föreskrifter. Ett exempel på en sådan påverkan utgör det s.k. "allterminalprojektet" där grundkraven på säkerhet för en persondator som kopp- las upp mot olika datorer har utarbetats av inspektionen i samarbete med andra intressenter. Datainspektionen har i sitt remissyttrande anfört att inspektionen bör ges ett bemyndigande att träffa branschöverenskommelser av samma slag som Konsumentverket har inom sitt tillsynsområde. De dataskyddsföreskrifter som Datainspektionen nu föreslås kunna meddela innebär att inspektionen ges möjligheter att genom egen regelgivning meddela generella föreskrifter som närmare reglerar vissa typer av personregister. Att härutöver särskilt ge Datainspektionen i uppgift att träffa branschöverenskommelser anser regeringen inte nödvändigt. Den föreslagna regelgivningen och det som sagts om samråd innebär just att Datainspektionen bör arbeta i samverkan med den bransch vars register skall regleras. Regeringen vill poängtera att möjligheten till en delegerad normgiv- ningskompetens på integritetsskyddsområdet inte kommer att påverka den nuvarande inriktningen på att ta fram särskilda registerförfattningar för integritetskänsliga personregister. I prop. 1990/91:60 om offentlighet, integritet och ADB uttalas att en målsättning bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (prop. s. 58). När propositionen behandlades av konstitutionsutskottet i betänkandet 1990/91:KU11 anförde utskottet att det allmänt sett är av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Utskottet delade den uppfattning som framfördes i propositionen om att register hos kommunerna, landstingskommunerna, Riksförsäkringsverket och Socialstyrelsen bör regleras i särskilda registerlagar. Likaså ansåg utskottet att det krävs ingående överväganden i fråga om vilka register inom dessa områden som bör lagregleras (bet. s. 11). Arbetet med att ta fram registerlagar för integritetskänsliga personregister fortgår. Senast har regeringen den 23 september 1993 med utgångspunkt i de återgivna uttalandena beslutat tillkalla en kommitté för att utreda och lägga fram förslag till en författningsreglering av personregister inom hälso- och sjukvårdens område (dir. 1993:111). Normgivningskompetens för Datainspektionen skall inte ses som en ersättning för dessa register- författningar utan som ett komplement till dem. Avsikten är inte att Datainspektionens bransch- och sektorsvisa regler måste reglera all personregistrering inom en verksamhet. I undantagsfall kan det finnas skäl för de registeransvariga att ansöka om tillstånd att få inrätta och föra ett personregister som ligger vid sidan av Datainspektionens generella reglering. Att låta bransch- och sektorsvisa föreskrifter uttömmande reglera personregistreringen inom ett visst område eller en viss verksamhet skulle motverka den flexibilitet och utveckling som kännetecknar den moderna informationsteknologin. Det förhållandet att föreskrifter meddelas inom en viss bransch eller sektor medför inte att tidigare givna tillstånd att föra personregister upphör att gälla. Skulle en generell föreskrift meddelas inom en verksamhet där det redan finns register som förs med stöd av tillstånd, blir det den registeransvarige som får avgöra om registret skall föras med stöd av tillståndet eller föreskriften. 6 Yttranden enligt 2 a  datalagen Regeringens förslag: Den särskilda skyldigheten att begära yttrande från Datainspektionen inför inrättandet av personregister som beslutas av riksdagen eller regeringen avskaffas. Utredningens förslag: Mot bakgrund av utredningens förslag till ny datalag med förhållandevis fyllig reglering av de förutsättningar som skulle gälla för behandlingen av personuppgifter, föreslog utredningen att yttrande från Datainspektionen i fråga om s.k. statsmaktsregister inte längre skulle vara obligatoriskt. Remissinstanserna: Få remissinstanser har berört just frågan om ett obligatoriskt yttrande från Datainspektionen inför inrättandet av s.k. statsmaktsregister. Centralnämnden för fastighetsdata uttalar sig för utredningens förslag att avskaffa det obligatoriska yttrandet. Sveriges Läkarförbund och Svenska Läkaresällskapet anför att utredningens förslag innebär att inrättandet av statsmaktsregister inte skall behöva föregås av remissprövning. Organisationerna är av uppfattningen att det är mycket angeläget med kontroller i flera instanser. Skälen för regeringens förslag: Skyldigheten för statsmakterna att innan de inrättar personregister höra Datainspektionen fanns med redan då datalagen infördes år 1973. Som framgår av förarbetena till datalagen förutsåg man då att statsmaktsregister skulle inrättas endast i sådana fall då det var starkt motiverat med hänsyn till registrets betydelse eller med hänsyn till övriga omständigheter (bet. 1973:KU9). Utvecklingen under de allra senaste åren har dock gått mot en ökad omfattning av statsmaktsregister. Denna utveckling har som regeringen berört under avsnitt 5 sitt stöd i uttalanden från regeringen och riksdagen där det har angetts som en målsättning att vissa myndighetsregister med känsligt innehåll bör författningsregleras (jfr prop. 1990/91:60 och bet. 1990/91:KU11). I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har regeringen anfört att i syfte att minska Datainspektionens arbetsbörda bör den nuvarande skyldigheten att inför inrättandet av statsmaktsregister inhämta inspektionens yttrande enligt 2 a  datalagen avskaffas. Inte bara arbetsbesparande skäl talar emellertid för att skyldigheten avskaffas. Integritetsaspekterna kan nämligen bli tillgodosedda även utan detta obligatorium. Datainspektionen får oavsett 2 a  datalagen tillfälle att avge synpunkter innan regeringen eller riksdagen fattar sitt beslut. Detta följer av den skyldighet som regeringen har att enligt 7 kap. 2  regeringsformen inhämta behövliga upplysningar och yttranden från berörda myndigheter. Vid inrättandet av statsmaktsregister som är särskilt känsliga ur integritetssynpunkt är det därför naturligt att regeringen inhämtar yttrande från bl.a. Datainspektionen. Det är också redan i dag vanligt att Datainspektionen deltar i beredningsarbetet långt tidigare än i den form som är angiven i 2 a  datalagen. Inspektionen anlägger därvid samma aspekter som myndigheten gör i sitt obligatoriska yttran- de. Till detta kommer att Datainspektionen regelmässigt är remissorgan i de lagstiftningsärenden som innefattar datarättsliga överväganden. Det förhållandet att stora, integritetskänsliga register enligt vad statsmakterna uttalat bör lagregleras, innebär i sig alltså att ett nogsamt beredningsarbete föregår registrens inrättande. Även den interna beredning som sker inom regerings- kansliet inför inrättandet av statsmaktsregister innebär att integritets- aspekterna får en god genomlysning. Sammantaget framstår den nuvarande ordningen ibland som onödigt stelbent och formell. Som regeringen påpekat i prop. 1993/94:116 förekommer det också att Datainspektionen strax innan ett yttrande inhämtas i ett remissvar tillstyrkt den ändring som föreslås. Ett avskaffande av yttranden enligt 2 a  datalagen innebär på intet sätt någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister. Det är därför regeringens uppfattning att de angelägna integritetsaspekter Datainspektionen har att bevaka väl så bra kan beaktas utan ett så formaliserat förfarande som den nuvarande regleringen innebär. Av dessa skäl föreslår regeringen att det obligatoriska inhämtandet av ett särskilt yttrande från Datainspektionen inför inrättandet av statsmaktsregister avskaffas. 7 Vite Regeringens förslag: Datainspektionens befogenheter att meddela föreskrifter för ett enskilt register och förbud mot fortsatt förande av personregister enligt 18  datalagen kompletteras med en möjlighet att förena en sådan föreskrift eller ett sådant förbud med ett vitesföreläggande. Utredningens förslag: I förslaget till ny datalag föreslog utredningen att Datainspektionen, om rättelse inte kunde åstadkommas på annat sätt, vid vite skulle kunna förbjuda den persondataansvarige att fortsättningsvis behandla personuppgifterna. Remissinstanserna: Endast ett fåtal remissinstanser har kommenterat denna fråga. Datainspektionen tillstyrker att dess befogenhet utökas med en möjlighet att förelägga vite. Skälen till regeringens förslag: Av 18  första stycket datalagen framgår att om ett förande av personregister lett till otillbörligt intrång i personlig integritet eller om det finns anledning anta att sådant intrång skall uppkomma, får Datainspektionen i mån av behov meddela föreskrifter i sådant avseende som anges i 5 eller 6  eller ändra föreskrifter som tidigare meddelats. Sådana föreskrifter får såvitt avser s.k. statsmaktsregister bara meddelas om föreskriften inte står i strid med beslut av riksdagen eller regeringen. Enligt 18  andra stycket datalagen får Datainspektionen, om skydd mot otillbörligt intrång i personlig integritet inte kan åstadkommas på annat sätt, förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Befogenheten att förbjuda fortsatt förande gäller alltså register för vilka tillstånd inte behövs. Statsmaktsregister är emellertid undantagna. Regeringens förslag om ökade möjligheter för Datainspektionen att reglera databehandlingen inom branscher och sektorer genom generella föreskrifter kommer att leda till en minskad tillståndshantering. Fler register kommer således att föras utan tillstånd. Det är inte uteslutet att detta på sikt kan leda till en ökad tillämpning av 18  andra stycket datalagen. I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har regeringen angett att förslag förbereds som skall ge Datainspektionen ökade möjligheter att kunna ingripa mot personregistrering som sker i strid med datalagen. Regeringen anförde vidare att för att skapa förutsättningar för inspektionen att på ett effektivt och kraftfullt sätt kunna förhindra pågående integritetsintrång bör inspektionen ha möjlighet att förena ett förbud mot fortsatt förande av personregister enligt 18  andra stycket datalagen med ett vitesföreläggande. Utdömande av ett förelagt vite förutsätter till skillnad från straff varken uppsåt eller oaktsamhet hos den som brutit mot en föreskrift eller ett förbud. Ett vitesföreläggande är därför i många fall mer effektivt än ett straffstadgande. Vitesmöjligheten bör således skapa avsevärt bättre förutsättningar än för närvarande att sätta stopp för otillbörliga intrång i personlig integritet. Som regeringen angav i prop. 1993/94:116 är en överträdelse av ett förbud enligt 18  andra stycket straffsanktionerat. Även för den som bryter mot en föreskrift enligt 18  första stycket är det föreskrivet straff. Datainspektionen har varken i fråga om föreskrift eller förbud någon möjlighet att förena dessa åtgärder med en sanktion. För att förhindra pågående integritetsintrång bör det enligt regeringens mening därför också bli möjligt att förena en föreskrift enligt 18  första stycket med ett vitesföreläggande. Ett sådant vitesföreläggande kan dessutom förutsättas få större praktisk betydelse för Datainspektionens möjligheter att verka mot pågående integritetsintrång än enbart ett vitesföreläggande med stöd av 18  andra stycket. Som framgår av 2  lagen (1985:206) om viten skall ett vitesföreläggande vara riktat till en eller flera namngivna fysiska eller juridiska personer (adressater). Även en kommun kan vara adressat för ett vitesföreläggande som Datainspektionen kommer att kunna meddela i samband med förbud om fortsatt förande av personregister. Utanför det marknadsrättsliga området har det ansetts att det krävs helt speciella undantagsfall för att ett vitesföreläggande skall kunna riktas mot staten (se prop. 1984/85:96 s. 24, 86 och 98 ff.). Frågan har dock inte lett till någon författningsmässig reglering i lagen om viten utan överlämnats åt rättstillämpningen. Det finns inte anledning att i detta ärende inta någon annan hållning i detta avseende än vad som gjorts i förarbetena till lagen om viten. Noteras kan dock att ett förbud enligt 18  andra stycket över huvud taget inte får meddelas i fråga om s.k. statsmaktsregister. Föreskrifter enligt 18  första stycket, som regeringen föreslår skall kunna förenas med vite, kan bara meddelas beträffande statsmaktsregister i den mån föreskriften inte strider mot beslut av regeringen eller riksdagen. Någon högsta gräns för vitesbeloppets storlek föreskrivs inte. Av detta följer att vitesbeloppet skall bestämmas i enlighet med vad som är föreskrivet i lagen om viten. Datainspektionens beslut om föreläggande av vite kan överklagas enligt 25  datalagen. Som framgår av avsnitt 8 föreslår regeringen att det i mål om viten skall krävas prövningstillstånd i ledet länsrätt-kammarrätt. Som nämnts ovan kan den som bryter mot en föreskrift eller ett förbud enligt 18  dömas till böter eller fängelse i högst ett år. När ett straff är utsatt, får vite i princip föreläggas bara med stöd av ett särskilt stadgande. Vidare bör samma gärning inte föranleda både vitespåföljd och straff. Denna ståndpunkt har svensk rätt sedan länge intagit. Syftet är att förhindra att någon drabbas av dubbla sanktioner för samma gärning. Som en erinran om detta föreslås att en bestämmelse tas in i 20  om att det inte döms till ansvar för den som överträder ett vites- föreläggande enligt 18  datalagen. 8 Överklagande Regeringens förslag: Regeringens prövning av överklaganden av ärenden enligt datalagen upphör. Datainspektionens beslut skall i stället överklagas till allmän förvaltningsdomstol. Utredningens förslag: I utredningens förslag till en ny datalag ingick att Datainspektionens beslut skulle överklagas till kammarrätt. Utredningen föreslog en särreglering för Högsta domstolen, Regeringsrätten och för kammarrätterna. Remissinstanserna: De remissinstanser som berört denna fråga är genomgående positiva till ett överflyttande av överklaganden till förvaltningsdomstol. Riksdagens ombudsmän, Justitiekanslern, Hovrätten över Skåne och Blekinge, Länsrätten i Stockholms län, Domstolsverket, Socialstyrelsen, Skattemyndigheten i Stockholms län, Patent- och registreringsverket, Sveriges advokatsamfund och DAFA Data AB menar dock att överklagade beslut bör handläggas av länsrätt som första instans. Kammarrätterna i Stockholm och Göteborg, Överåklagaren vid Regionåklagarmyndigheten i Linköping, Finansinspektionen och Kalmar läns landsting delar utredningens uppfattning om kammarrätt som första instans. Länsrätten i Stockholms län och Domstolsverket menar att en särreglering för Högsta domstolen, Regeringsrätten och kammarrätterna inte är nödvändig. Datainspektionen och Svenska Bankföreningen anser att Datainspektionens beslut om generella föreskrifter skall kunna överklagas till regeringen. Skälen för regeringens förslag: Redan vid datalagens tillkomst förekom diskussioner om till vilken instans Datainspektionens beslut borde överklagas. Av förarbetena (prop. 1973:33 s. 150) framgår att några remissinstanser ansåg att inspektionens beslut borde överklagas till Regeringsrätten. JO för sin del fann det ytterst angeläget med en möjlighet att få domstolsprövning av inspektionens ställningstaganden i tillståndsärenden och ärenden om föreläggande och föreskrifter. Föredragande statsrådet medgav att vissa skäl, bl.a. sambandet med offentlighets- och sekretessreglerna, talade för att Datainspektionens beslut skulle kunna överklagas hos Regeringsrätten men framhöll att de av- göranden som det kunde bli fråga om huvudsakligen var av sådan natur att de inte lämpligen borde prövas av domstol. Han menade att det i första hand var fråga om att avgöra hur man bäst skall förebygga riskerna för otillbörligt intrång i personlig integritet och att det vidare i vissa fall måste ske en avvägning mot samhällsekonomiska intressen. I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m. har regeringen angett som sin uppfattning att Datainspektionens beslut bör överklagas till allmän förvaltningsdomstol och att en sådan ordning ligger i linje med bl.a. det arbete som sedan flera år pågår inom regeringskansliet i syfte att minska regeringens befattning med förvaltningsärenden. En grundsats härvid är att överklaganden av förvaltningsbeslut i vilka rättsfrågan är huvudsak skall gå till domstol medan ärenden där lämplighetsbedömningar dominerar bör prövas i administrativ ordning. De överväganden som gjordes vid datalagens tillkomst har nu till stor del förlorat i aktualitet. För myndighetsregister med känsligt innehåll är det enligt vad statsmakterna uttalat (prop. 1990/91:60, bet. 1990/91:KU11) en bestämd målsättning att författ- ningsregleringen ökar. Särskilda registerförfattningar har också i ökad omfattning tillkommit under senare år. Den politiska styrning av utvecklingen inom ADB-området som statsmakterna kan och bör använda sig av bör således helt utövas genom att riksdagen eller regeringen fastställer normer, dvs. lagar och andra föreskrifter. För att ytterligare minska utrymmet för rena lämplighetsbedömningar och härigenom ge rättsfrågan ökad tyngd vid hanteringen av överklaganden, bör en strävan vara att på sikt låta datalagstiftningen innehålla än mer preciserade regler (jfr bet. 1988/89:KU28). Mot denna bakgrund bör överprövningen av Datainspektionens beslut flyttas från regeringen till domstol. Eftersom det är fråga om överklagande av förvaltningsbeslut är det naturligt att låta överprövningen ske i allmän förvaltningsdomstol. Det kan här påpekas att de generella föreskrifter som Datainspektionen enligt regeringens förslag kommer att kunna utfärda, enligt allmänna principer om normgivningsmakten torde kunna överprövas av regeringen oavsett om de överklagas eller inte (se t.ex. Hellners m.fl. Nya förvaltningslagen med kommentarer, tredje uppl., s. 296 ff.). Främst av detta skäl saknas anledning att, som Datainspektionen och Svenska Bankföreningen förordat, särskilt reglera möjligheterna till överklagande av Datainspektionens normbeslut. Som det har beskrivits i prop. 1993/94:133 Instansordningen i de allmänna förvaltningsdomstolarna, har en av grundtankarna i det reformarbete som bedrivits under senare år på rättsväsendets område varit att tyngdpunkten i rättskipningen skall ligga i första instans, dvs. den första domstolsprövningen skall ske i första instans. I 1993 års budgetproposition ställde sig regeringen bakom denna princip (prop. 1992/93:100 bil. 3, s. 24 f. och s. 93). Riksdagen har godkänt de i propositionen angivna riktlinjerna (bet. 1992/93:JuU24, rskr. 1992/93:289). Kammarrätt bör således endast i undantagsfall vara första domstolsinstans. Som en konsekvens av det principiella ställningstagandet har också i den ovannämnda prop. 1993/94:133 regeringen nyligen, som ett led i en första etapp, föreslagit överflyttande av en del måltyper från kammarrätt till länsrätt. Tyngdpunkten i rättskipningen skall alltså ligga i första instans. Hanteringen av de överklagade besluten från Datainspektionen kommer på grund av forumreglerna att handläggas av endast en domstol i första instans. Detta innebär att domstolen, oavsett om det är Länsrätten i Stockholms län eller Kammarrätten i Stockholm, kommer att kunna bygga upp en kompetent och effektiv hantering av sådana mål. Enligt regeringens uppfattning är inte dessa avgöranden så särpräglade eller speciella att de enbart av sådana skäl bör handläggas av kammarrätt i första instans. Avgörande skäl talar i stället för att den första domstolsprövningen bör ske i länsrätt. I den tidigare nämnda propositionen om instansordningen i de allmänna förvaltningsdomstolarna har regeringen också föreslagit att regler om prövningstillstånd i kammarrätt skall införas. Det förhållandet att över- klaganden av beslut enligt datalagen är en ny målgrupp för domstolarna, att en fast domstolspraxis därför inte finns, att målen ofta innefattar komplicerade ställningstaganden samt att målen inte kan förväntas utgöra en antalsmässigt stor målgrupp gör att regeringen inte för närvarande finner skäl att föreslå ett införande av prövningstillstånd i ledet länsrätt-kammarrätt. Däremot finner regeringen att prövningstillstånd bör införas i mål om vite. Sedan en tid krävs prövningstillstånd i hovrätten för bl.a. bötesmål. Det offentligrättsliga vitet påminner om böter. Vad som främst skiljer det individuella vitet från böter är att vitet i förväg bestäms till ett visst belopp. Såvitt avser frågan om prövningstillstånd finns inte anledning att behandla mål om vite på annat sätt än bötesmål. Med prövningstillstånd kan det förutses att vitesmål vinner laga kraft i ett tidigare skede än annars. Att så blir fallet har den fördelen att reaktionen mot den som bryter mot ett vitesföreläggande kommer relativt omgående. Även beslut som avser personregister hos statliga myndigheter bör överklagas till domstol. Som nämnts tidigare får statsmakternas behov av politisk styrning av ADB-registreringen anses bli tillgodosett genom de möjligheter som finns att genom författningsreglering inrätta s.k. statsmaktsregister. Inte heller framstår någon särreglering för de få situationer som kan beröra de högsta instanserna som nödvändig. Skulle det bli fråga om överprövning av ett beslut från Datainspektionen som rör personregister hos Högsta domstolen eller Regeringsrätten får de rättsliga instanserna förutsättas kunna hantera detta inom ramen för de generellt angivna reglerna för överklagande. Något bärande skäl för en särreglering för länsrätterna eller kammarrätterna har inte heller framkommit. Också i fortsättningen bör Justitiekanslern ha rätt att föra talan för att tillvarata allmänna intressen. Justitiekanslern bör kunna överklaga utan att hans talan är beroende av prövningstillstånd, vilket bör framgå av 34 a och 35  förvaltningsprocesslagen (1971:291). Förutom överklaganden av Datainspektionens beslut enligt datalagen handlägger regeringen överklaganden rörande befrielse från licensavgift enligt 3  förordningen (1982:481) om avgifter för Datainspektionens verksamhet. Dessa mål är till helt övervägande del av okomplicerad art och en fast praxis finns uppbyggd kring dessa avgöranden. Något skäl att inte även dessa mål förs över till allmän förvaltningsdomstol synes inte föreligga. Som nämnts är målen från juridisk synpunkt enkla. Mot denna bakgrund avser regeringen att låta dessa mål omfattas av krav på prövningstillstånd i ledet länsrätt-kammarrätt i enlighet med reglerna om sådant prövningstillstånd i prop. 1993/94:133. Ändringarna kommer att ske i förordningsform och kräver därför inte riksdagens medverkan. Regeringen är överinstans inte bara när Datainspektionens beslut överklagas enligt datalagen utan också bl.a. vid överklagande av beslut enligt kreditupplysningslagen (1973:1173). Kreditupplysningsutredningen har i sitt slutbetänkande Integritet och effektivitet på kreditupplysningsområdet (SOU 1993:110) föreslagit att överklaganden av Datainspektionens beslut enligt kreditupplysningslagen skall ske hos länsrätten. Betänkandet remissbehandlas för närvarande. 9 Kostnader Regeringens förslag innebär ett successivt överflyttande av resurser hos Datain- spektionen från tillståndshantering till ett författningsarbete. Varken denna ändring eller andra förslag i remissen förutsätts leda till ökade kostnader hos inspektionen. Inte heller förutses ökade kostnader för de registeransvariga. Förvaltningsdomstolarna tillförs en ny målgrupp vilket i sig kommer att leda till ökade kostnader. Antalet överklaganden till regeringen har under flera år legat kring ett tiotal årligen. På senare tid har en uppgång i antalet överklagandeärenden kunnat noteras men någon större omfattning av överklaganden kan inte förväntas. Det är regeringens bedömning att förslaget inte föranleder krav på ökade resurser hos de allmänna förvaltningsdomstolarna Det kan också påpekas att överflyttandet av överklaganden till förvaltningsdom- stolarna naturligtvis innebär något minskad arbetsbelastning inom regerings- kansliet. 10 Författningskommentar Förutom de materiella ändringar som regeringen nu föreslår finns det också skäl till flera språkliga ändringar i datalagen. Med tanke på att datalagen inom en relativt snar framtid kan komma att ersättas av ny lagstiftning har ändringarna begränsats till de mest nödvändiga. 10.1 Förslaget till lag om ändring i datalagen (1973:289) 2 a  Bestämmelsen behandlas i avsnitt 5 och 6. Ändringen i första stycket innebär ett avskaffande av skyldigheten för riksdag och regering att i särskild ordning inhämta Datainspektionens yttrande innan statsmakterna inrättar personregister. Inspektionens synpunkter skall dock på sedvanligt sätt inhämtas i beredningen av ärendet. Ändringen innebär också att de register som inrättas och förs i enlighet med föreskrifter som regeringen eller Datainspektionen beslutat med stöd av 19  undantas från tillståndsplikt. Detta förutsätter naturligtvis att den registeransvarige i alla avseenden för registret så att det uppfyller de föreskrifter som regeringen eller Datainspektionen meddelat. Skulle registret ändras så att det avviker från föreskrifterna får detta till följd att registret förs i strid med datalagen. Av bestämmelsen framgår avsikten att det är register som är tillståndspliktiga, eller som skulle kräva tillstånd om de inrättades, som skall kunna regleras genom den nya generella föreskriftsmöjligheten. 6  Bestämmelsen behandlas i avsnitt 5. Ändringarna är av redaktionell natur. De syftar till att klargöra skillnaden att föreskrifter som meddelas i ett enskilt tillståndsärende inte är normer, dvs. sådana dataskyddsföreskrifter som beslutats med stöd av 19 . 6 a  Samma tillägg av redaktionell natur som införts i 6 . Dessutom har en ändring skett som följd av att skyldigheten att inhämta yttrande från Datainspektionen enligt 2 a  avskaffas. 12  Ändringen är en följd av att skyldigheten att inhämta yttrande från Datainspektionen enligt 2 a  avskaffas. 18  Bestämmelsen behandlas i avsnitt 7. Någon möjlighet att meddela interimistiskt vitesföreläggande har inte införts. Frågor om utdömande av vitet prövas av Länsrätten i Stockholms län på ansökan av Datainspektionen. Av 4  lagen (1985:206) om viten framgår att vite kan föreläggas som löpande vite. Det innebär att vitet bestäms till ett visst belopp för varje tidsperiod av viss längd under vilken föreläggandet har överträtts. Vitet kan också bestämmas så att vitet skall betalas varje gång ett förbud eller någon liknande föreskrift överträds. Det nya tredje stycket medför att Datainspektionen får möjlighet att förena en föreskrift enligt paragrafen med vite. Ett vite behöver naturligvis inte alltid föreläggas. Särskilt gäller detta när en föreskrift meddelas första gången (jfr prop. 1974:42 s. 114). Även ett förbud mot fortsatt förande av personregister kan förenas med vite. 19  Den nya bestämmelsen behandlas i avsnitt 5. I bestämmelsen ges en möjlighet för regeringen eller, efter regeringens bemyndigande, Datainspektionen att meddela föreskrifter för personregister som förs inom en viss verksamhet, bransch eller sektor.En förutsättning för delegation är att det är fråga om personregister som ofta förekommer inom ett visst område eller en viss verksamhet. En reglering av endast enstaka personregister bör därför inte förekomma. Föreskrifterna skall utformas så att de faller inom ramarna för datalagens regler. Föreskrifterna skall säkerställa att inte otillbörligt intrång i den personliga integriteten uppkommer i samband med den avsedda registreringen och behandlingen av personuppgifter. Vid utformandet av föreskrifterna är således utgångspunkten att det inte blir ett sämre integritetsskydd än vid tillståndsprövningen för enskilda register. De bestämmelser i datalagen som i första hand blir tillämpliga vid utformandet av föreskrifterna är 5 och 6 . Registrens ändamål måste således preciseras och avgränsas väl. Det måste också noggrant prövas i vilken mån regleringen skall innefatta sådana föreskrifter som räknas upp i 6 . Även andra bestämmelser i datalagen kan komma i fråga för en mer generell reglering som t.ex. undantag från skyldigheten att tillhandahålla registerutdrag enligt 10  och utlämnande av personuppgifter till utlandet enligt 11 . Däremot skall, som nämnts i avsnitt 5, föreskrifterna inte omfatta gallring av allmänna handlingar. Det är emellertid av vikt att Datainspektionen och de statliga arkivmyndigheterna kan samråda om gallringsfrågor i anslutning till Datainspektionens generella föreskrifter. Som regeringen redogjort för i den allmänna motiveringen utesluter inte det förhållandet att föreskrifter meddelats för en viss bransch, att det hos skilda registeransvariga inom branschen undantagsvis ändå finns behov av register som inte täcks av föreskrifterna. I sådana fall kvarstår möjligheten att söka tillstånd för registret. 20  Det nya andra stycket ger uttryck för principen att inte ingripa med båda sanktionerna straff och vite när fråga är om samma gärning (jfr NJA 1982 s. 633 och RÅ 1992 ref. 25). 25  Av skäl som angetts i avsnitt 8, innebär ändringen i första stycket att Datainspektionens beslut skall överklagas till allmän förvaltningsdomstol i stället för till regeringen. Med allmän förvaltningsdomstol avses länsrätt enligt i prop. 1993/94:133 föreslagen lydelse av 14  lagen (1971:289) om allmänna förvaltningsdomstolar.Eftersom instansordningen ändras bör inte Justitiekanslerns möjlighet att föra talan vara begränsad till överklagande av Datainspektionens beslut. För att klargöra att Justitiekanslern kan överklaga förvaltningsdomstolarnas beslut anges i paragrafen att Justitiekanslern får föra talan för att tillvarata allmänna intressen. Justitiekanslerns möjligheter att föra talan oberoende av prövningstillstånd framgår av regeringens förslag till ändringar i 34 a och 35  förvaltningsprocesslagen (1971:291). Ändringen i andra stycket är en följd av nyligen beslutade ändringar i sekre- tesslagen (prop. 1993/94:48, bet. 1993/94:KU13, rskr. 1993/94:46, SFS 1993:1298). Det nya tredje stycket innebär att varken överklaganden av beslut om förelägganden av viten eller mål om utdömande av viten kan föras vidare från länsrätt till kammarrätt, såvida inte prövningstillstånd meddelas. 10.2 Förslaget till lag om ändring i förvaltningsprocesslagen (1971:291) 34 a  Den nya meningen i första stycket innebär att Justitieombudsmannen och Justitie- kanslern alltid kan föra talan mot länsrättens beslut utan prövningstillstånd. Ändringen är omedelbart föranledd av att prövningstillstånd införs i ledet länsrätt-kammarrätt såvitt avser mål om vite. Några andra situationer där bestämmelsen i dag blir tillämplig finns inte. 35  Ett överklagande av Justitiekanslern av ett beslut av en kammarrätt enligt datalagen skall prövas av Regeringsrätten utan prövningstillstånd. En ändring av denna innebörd har gjorts i denna paragraf. Sammanfattning av Datalagsutredningens betänkande En ny datalag (SOU 1993:10) Datalagsutredningen har haft i uppdrag att göra en översyn av datalagen (1973:289) från såväl saklig som lagteknisk synpunkt. Den svenska datalagen var den första nationella lagstiftningen i sitt slag och väckte berättigad uppmärk- samhet vid sin tillkomst. Sedan dess har 20 år gått, vilket i dessa sammanhang är en mycket lång tid, utan att lagens grundläggande struktur har ändrats. Lagen får såväl innehållsmässigt som till sin tekniska utformning anses vara ganska föråldrad. Den nuvarande datalagen reglerar användningen av personregister. Med personregister förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling (ADB) och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Avgörande för frågan om datalagen över huvud taget är tillämplig på ett register är således huruvida registret förs med ADB eller inte. Register som förs med hjälp av annan teknik än ADB faller i dag utanför datalagens tillämpningsområde. För varje register skall finnas en registeransvarig. Därmed förstås den för vars verksamhet personregistret förs, om han förfogar över registret. Såväl fysiska som juridiska personer och myndigheter kan vara registeransvariga. Med att förfoga över ett register avses närmast en befogenhet att överföra registrets innehåll till läsbar form. En registeransvarig måste också kunna påverka innehållet i registret genom att tillföra eller ändra de uppgifter som ingår i registret för att anses förfoga över det. Personregister får inrättas och föras endast av den som efter anmälan har fått licens av Datainspektionen. En sådan licens berättigar den registeransvarige att föra ett eller flera personregister. För vissa register, som bedöms innebära särskilda risker för otillbörligt intrång i enskilds personliga integritet, krävs utöver licens även ett särskilt tillstånd från Datainspektionen. Tillstånd behövs i regel för att inrätta och föra ett personregister som innehåller 1) känsliga personuppgifter, 2) omdömen om den registrerade, 3) uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande samt 4) personuppgifter som inhämtats från något annat personregister (s.k. samkörning). En grundläggande förutsättning för att Datainspektionen skall kunna ge tillstånd att inrätta och föra personregister är att det inte finns anledning att anta att registreringen medför otillbörligt intrång i de registrerades personliga integritet. Finns det anledning anta att personuppgifter skall användas för ADB i utlandet, får uppgifterna lämnas ut endast efter medgivande av Datainspektionen. Sådant medgivande får lämnas endast om det kan antas att utlämnandet av uppgifterna inte kommer att medföra otillbörligt intrång i personlig integritet. Något medgivande behövs dock inte, om personuppgifter skall användas för ADB enbart i en stat som har anslutit sig till Europarådets konvention om skydd för enskilda vid ADB-behandling av personuppgifter. I datalagen finns allmänna bestämmelser om gallring av personuppgifter. Datainspektionen utövar tillsyn över att automatisk databehandling inte medför otillbörligt intrång i registrerads personliga integritet. Har förande av personregister medfört eller kan antas medföra otillbörligt intrång i personlig integritet kan Datainspektionen meddela villkor eller, om rättelse inte på annat sätt kan åstadkommas, förbjuda fortsatt förande av personregister eller återkalla meddelat tillstånd. Datainspektionens beslut får överklagas hos regeringen genom besvär. Enligt Datalagsutredningens förslag skall datalagen även i fortsättningen bara reglera sådan informationshantering som sker med hjälp av ADB. Liksom hittills skall lagen gälla både för den privata och offentliga sektorn. I övrigt innebär den föreslagna lagen mycket betydande förändringar i förhållande till vad som gäller i dag. De viktigaste förändringarna och nyheterna är följande. * Personregisterbegreppet, som har gett upphov till en hel del tolknings- problem, slopas. Den nya datalagen blir tillämplig på behandling av perso- nuppgifter. Med behandling förstås varje åtgärd som vidtas med perso- nuppgifter genom ADB. Vissa undantag görs från huvudregeln, bl.a. tas ordbehandling och behandling som sker uteslutande för personligt bruk undan från lagens tillämpningsområde. * Det blir lättare att avgöra vem som är registeransvarig, persondataansvarig enligt utredningens terminologi, i system som används av flera. Endast den är persondataansvarig som bestämmer ändamålet med behandlingen, vilka personupp- gifter som skall behandlas och hur de skall behandlas. * Systemet med licens och tillstånd avskaffas. Trots olika försök att rationalisera tillståndshanteringen och begränsa antalet tillståndsärenden är arbetet med dessa ärenden så omfattande att Datainspektionen i stort sett inte hinner ägna sig åt några inspektioner ute på fältet. Den uteblivna tillsynen medför en bristande respekt för datalagens regler. Det kan t.ex. nämnas att det f.n. finns omkring 50 000 meddelade licenser. Enligt ut- redningens beräkningar hade antalet bort vara mellan 500 000 och 1 milj. * De resurser som frigörs genom att systemet med licens och tillstånd avskaffas skall användas för en intensifierad tillsyn, särskilt inspektioner ute på fältet. En sådan tillsyn är enligt utredningens uppfattning det bästa sättet att upprätthålla ett gott integritetsskydd. * En förutsättning för att man skall kunna övergå till ett renodlat till- synsförfarande är att datalagen ger en så utförlig reglering som möjligt av de förutsättningar som gäller för ADB-hantering av personuppgifter. Det nuva- rande begreppet otillbörligt intrång i personlig integritet, som aldrig har kunnat ges ett någorlunda preciserat innehåll, avskaffas. I stället införs regler för de olika momenten i informationsbehandlingen. I den nya datalagen finns bestämmelser om bl.a. den nödvändiga anknytningen till ett ändamål, förutsättningarna för behandling av personuppgifter, vilka personuppgifter som får behandlas, formen för samtycke från den enskilde, säkerhet och gallring. * Regleringen i den nya datalagen skall kunna kompletteras med bestämmelser som utfärdas av Datainspektionen och som avser olika branscher eller sektorer. * Ett system med anmälningsskyldighet för vissa persondataansvariga införs. En anmälan skall göras till Datainspektionen när vissa känsliga uppgifter behandlas med ADB. Anmälningarna skall ligga till grund för Datainspektionens tillsyn. Anmälningsförfarandet blir betydligt enklare och riktar sig mot betydligt färre persondataansvariga än det nuvarande tillståndssystemet. * Liksom i dag skall personuppgifter få ADB-behandlas bara för bestämda ändamål. Ändamålet skall dock enligt utredningens förslag anges med större precision än enligt nuvarande datalag. Möjligheterna begränsas att använda personuppgifter som samlats in för ett ändamål för andra ändamål. * I den föreslagna lagen anges i sex olika punkter de alternativa grunder som ger rätt att ADB-behandla personuppgifter. En av grunderna är samtycke från dem som berörs av behandlingen. * När den enskildes samtycke behövs för en viss ADB-behandling skall det vara ett uttryckligt samtycke. Passivitet eller s.k. konkludent handlande kommer inte att vara tillräckligt. * För känsliga personuppgifter, t.ex. politisk uppfattning, sjukdom, hälsotill- stånd eller olika slags omdömen, kommer särskilda regler att gälla. Enligt dessa bestämmelser får de känsliga uppgifterna ADB-behandlas bara om, när samtycke inte föreligger, det finns särskilt stöd i författning för be- handlingen. Det kommer att behövas åtskilliga sådana författningar, särskilt på den offentliga sidan. * I några paragrafer i den föreslagna datalagen ges sådant särskilt för- fattningsstöd i fråga om behandling av känsliga uppgifter på forskningsom- rådet och hos arbetsgivare. Dessa bestämmelser anger alltså de förutsättningar som måste föreligga för att känsliga uppgifter, utan samtycke från de berörda enskilda, skall få ADB-behandlas för forskningsändamål och i förhållandet mellan arbetsgivare samt arbetstagare och arbetssökande. På forskningsområdet avses bestämmelserna tillgodose den viktiga register- forskningen. * En uttrycklig regel om förbud för den persondataansvarige att ADB-behandla personuppgifter för direktreklamändamål i strid med den enskildes önskan tas in i datalagen. * Särskilda regler införs i datalagen som klargör hur de intressen som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall avvägas mot integritetsintressena. * Vid gallring av personuppgifter som utgör allmän handling hos myndigheter kan integritetsintressena komma i konflikt med intresset att bevara uppgifterna, t.ex. för framtida användning inom forskningen. En särskild bestämmelse i utredningens förslag till datalag anger hur den avvägningen skall ske. * Bestämmelserna i den gällande datalagen om överföring av personuppgifter till utlandet för ADB-behandling av uppgifterna där har berörts i det föregående. Enligt utredningens förslag skall överföring utan särskilt medgivande kunna ske till en stat som visserligen inte har anslutit sig till Europarådets konvention men som har ett integritetsskydd som motsvarar det som följer av konventionens regler. Den nya bestämmelsen bör få ganska stor praktisk be- tydelse. * Datainspektionens beslut skall i fortsättningen överklagas till domstol, inte som i dag till regeringen. EG-kommissionen antog i september 1990 ett förslag till direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet av sådana uppgifter. Sedan förslaget behandlats i EG:s ministerråd och EG-parlamentet har EG-kommissionen i oktober 1992 antagit ett nytt förslag till direktiv. Detta förslag har förelagts Ministerrådet och enligt tidsplanen skall Rådet ta slutlig ställning till det nya förslaget under år 1993. Åtskillig diskussion om hur integritetsskyddet skall vara utformat har förekommit i anslutning till det tidigare utkastet till direktiv från Kommissio- nen och EG-parlamentets behandling av detta utkast. Fortfarande förekommer inom EG, såvitt man kan bedöma, oenighet om hur ett framtida direktiv skall vara utformat. Detta har bl.a. lett till att tidsplanen för antagandet av direktivet har förskjutits. Enligt företrädare för Kommissionen kommer Ministerrådet troligen inte att kunna ta slutlig ställning till förslaget förrän sommaren 1994. I den debatt som förts efter det Kommissionen presenterade sitt reviderade förslag i oktober 1992 har vissa bl.a. pekat på den s.k. subsidiari- tetsprincipen. Vidare kan nämnas att vid Europeiska Rådets möte i Edinburgh den 11 - 12 december 1992 har Kommissionen förklarat att den avser att revidera ett antal förslag i syfte att göra dem mindre detaljerade. Sett i ljuset av att samtliga medlemsländer snart kommer att ha nationella dataskyddslagar och anslutit sig till Europarådets dataskyddskonvention har det från vissa håll ifrågasatts om behovet av att anta direktivförslaget kommer att kvarstå. Redovisningen i det följande bygger på det nuvarande direktivförslagets lydelse. Direktiv som beslutas av behöriga EG-organ är bindande i fråga om det resultat som skall uppnås men överlämnar åt medlemsländerna att välja form och metod för detta. I förslaget till EG-direktiv har man beaktat den utveckling på data-skyddsom- rådet som har skett och förslaget bygger på de integritetsskyddslagar och den internationella reglering som har kommit fram under de senaste åren. I förhållande till den svenska datalagen innefattar direktivförslaget i en hel del hänseenden en önskvärd skärpning av reglerna för integritetsskyddet. Av dessa och andra skäl, särskilt det intensifierade europeiska samarbetet, har utredningen eftersträvat att få i huvudsak samma regler för integritetsskyddet som de som kan komma att gälla inom EG. Utredningens förslag till materiella regler för dataskyddet ligger också nära motsvarande bestämmelser i direktivför- slaget. Det gäller bl.a. sådana frågor som ändamålsanknytning och byte av ändamål, förutsättningar för behandling av personuppgifter, hur samtycke från den enskilde skall lämnas, vilka personuppgifter som får behandlas, säkerhet, gallring och regleringen av känsliga personuppgifter. Vissa avvikelser förekommer emellertid i förhållande till förslaget till EG-direktiv. Som har nämnts i det föregående skall datalagen i motsats till vad som gäller enligt direktivförslaget även i fortsättningen bara reglera sådan informationshantering som sker med hjälp av ADB. Såvitt utredningen känner till är nämligen varken omfattningen av eller innehållet i den manuella registre- ringen av någon betydenhet och innebär inte några mera påtagliga in- tegritetsrisker. Vidare berör en del föreskrifter i direktivförslaget den svenska offentlighetsprincipen. De bestämmelser i förslaget till EG-direktiv som reglerar utlämnande av personuppgifter tillåter enligt utredningen inte något utlämnande enligt offentlighetsprincipen. Ett utlämnande av personuppgifter med stöd av offentlighetsprincipen kan heller inte anses förenlig med det sätt på vilket ändamålet för en viss ADB-behandling skall anges enligt direktivför- slaget. Förslaget till EG-direktiv påverkar vidare principen i tryckfrihets- förordningen att en sökande som begär att få ut en handling har rätt att vara anonym. Slutligen innehåller inte direktivförslaget något undantag från huvud- regeln om gallring som gör det möjligt att bevara personuppgifter med hänsyn till offentlighetsprincipen. I de hänseenden som nu har nämnts innebär utredningens lagförslag avvikelser från det föreslagna EG-direktivet för att offentlighetsprincipen skall lämnas orörd. Avvikelser i förhållande till förslaget till EG-direktiv förekommer också när det gäller information till den enskilde och underrättelser till dataskyddsmyn- digheten. Kraven på information till den enskilde är långtgående. Enligt direktivför- slaget skall den enskilde ha rätt att på begäran bli informerad om förekomsten av en viss ADB-behandling och om olika uppgifter som hänför sig till ADB-behandlingen. När en persondataansvarig lämnar ut personuppgifter skall vidare den enskilde vars personuppgifter det är fråga om i princip underrättas om utlämnandet. Tanken bakom dessa bestämmelser i direktivförslaget är att den enskilde skall bli medveten om att personuppgifter som rör honom ADB-behandlas och kunna göra sina rättigheter enligt dataskyddslagstiftningen gällande. Ett iakttagande av bestämmelserna skulle emellertid innebära en betungande in- formationsskyldighet för de persondataansvariga och en ganska betydande byråkratisering av kontrollsystemet. Utredningen har kommit till den slutsatsen att de skäl som från integritets- synpunkt talar för den angivna ordningen inte är tillräckligt starka för att väga över den byråkrati som skulle bli följden. Utredningen har då också beaktat att det finns goda möjligheter till insyn genom andra regler i den föreslagna datalagen och i sekretesslagen. Liksom i dag kommer den enskilde att få möjlighet att kontrollera om uppgifter som hänför sig till honom är föremål för ADB-behandling och, om så är fallet, att kontrollera om uppgifterna är riktiga, fullständiga och aktuella. Information om vilka känsliga personuppgifter som ADB-behandlas kan man vidare få hos Datainspektionen. Den persondataansvarige skall nämligen, innan han får börja att behandla sådana personuppgifter, göra en anmälan till Datainspektionen om ADB-behandlingen. Slutligen finns i sekretesslagen särskilda regler om dokumentationsskyldighet beträffande datasam- lingar som en myndighet har tillgång till. Reglerna syftar till att tillgodose allmänhetens intresse av överblick över och orientering i det ADB-material som finns hos myndigheterna. När det gäller underrättelser till dataskyddsmyndigheten är utgångspunkten i förslaget till EG-direktiv att all ADB-behandling skall anmälas. Vad som får tas undan från anmälningsskyldigheten är vissa slag av behandling som inte menligt påverkar de enskildas integritet. Åtgärder för att göra undantag från anmälningsskyldigheten förutsätter dataskyddsmyndighetens medverkan. Utredningen konstaterar att, även om många undantag görs från huvudregeln om anmälningsskyldighet, det finns en betydande risk för att ett mycket stort antal datasamlingar måste anmälas till dataskyddsmyndigheten, bl.a. beroende på den höga takten i datoriseringen här i landet. Antalet kan bli så stort att den överblick över den integritetskänsliga databehandlingen som dataskyddsmyndigheten bör ha helt går förlorad. De åtgärder som behövs för att göra undantag från anmälningsskyldigheten kommer vidare att innebära en betydande belastning på dataskyddsmyndigheten. Utredningen har samman- fattningsvis kommit till den slutsatsen att det sätt på vilket avgränsningen av anmälningsskyldigheten har gjorts och det förfarande för att göra undantag från anmälningsskyldigheten som anges i direktivförslaget är förenade med så betydande olägenheter att någon harmonisering med förslaget till EG-direktiv inte bör ske i denna del. I stället har i den nya datalagen anmälningsskyldig- heten avgränsats på samma sätt som tillståndsplikten enligt den gällande datalagen, dvs. det anges uttryckligen i lagen vilken behandling som måste anmälas till Datainspektionen. Anmälningsskyldigheten har begränsats till att avse ADB-behandling av i sig känsliga personuppgifter. Även i övrigt görs i olika frågor avvikelser från direktivförslaget. Den nya datalagen är avsedd att träda i kraft den 1 januari 1995. Förteckning över remissinstanser som yttrat sig över Datalagsutredningens förslag Remissyttranden över betänkandet har avgetts av Riksdagens ombudsmän, Justi- tiekanslern, Hovrätten över Skåne och Blekinge, Kammar-rätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholm, Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Kriminalvårdsstyrelsen, Datainspektionen, Överbefälhavaren, Värnpliktsverket, Överstyrelsen för civil beredskap, Vapenfristyrelsen, Riksförsäkringsverket, Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga forskningsrådet, Statskontoret, Statens person- och adressregisternämnd (SPAR-nämnden), Generaltullstyrelsen, Statistiska centralbyrån, Finansinspektionen, Riksrevisionsverket, Riksskatteverket, Stockholms universitet, Uppsala universitet, Lunds universitet, Umeå universitet, Chalmers tekniska högskola, Karolinska institutet, Högskolan i Karlstad, Forskningsråds- nämnden, Humanistisk-samhällsvetenskapliga forskningsrådet, Medicinska forskningsrådet, Naturvetenskapliga forskningsrådet, Vetenskapsakademien, Sveriges lantbruksuniversitet, Skogs- och jordbrukets forskningsråd, Arbetarskyddsstyrelsen, Arbetsmiljöinstitutet, Arbetsmiljöfonden, Arbetslivscentrum, Riksarkivet, Närings- och teknikutvecklingsverket, Konkurrensverket, Patent- och registreringsverket, Konsumentverket, Centralnämnden för fastighetsdata, Göteborgs kommun, Varbergs kommun, Härnösands kommun, Stockholms läns landsting, Landstinget i Kalmar län, Stiftelsen Riksbankens Jubileumsfond, Sveriges Författarförbund, Företagarnas Riksorganisation, Svenska Kommunförbundet, Landstingsförbundet, Sveriges advokatsamfund, Sveriges Köpmannaförbund, Sveriges Radio AB, Tjänstemännens Cen- tralorganisation TCO, Sveriges Akademikers Centralorganisation SACO, Landsorganisationen i Sverige LO, Tidningarnas Telegrambyrå, Svenska Journalistförbundet, Svenska Tidningsutgivareföreningen, DAFA Data AB, Dataföreningen i Sverige, DIK-förbundet, Företagens Uppgiftslämnardelegation, Kommundata AB (numera Dialogdata Informationssystem AB), Medborgarrättsrörelsen i Sverige, Sveriges Läkarförbund, Sveriges Psykologförbund, Sveriges Försäkringsförbund, Svenska Bankföreningen, Krigsarkivet, Jacob Palme, FALK Föreningen arkivverksamma i landsting och kommun, Affärsdata AB, Statens löne- och pensionsverk, Svenska Läkaresällskapet, Svenska kyrkans Församlings- och Pastoratförbund, Arkivrådet AAS, Kungl. Vitterhets Historie och Antikvitets Akademien, Svenska kyrkans centralstyrelse, Lantmäteriverket, Svenska Inkassoföreningen, Läkemedelsindustrins branschorganisationer och Representantföreningen för Utländska Farmacevtiska industrier samt AB Bonnierföretagen. Svenska Arbetsgivareföreningen och Sveriges Industriförbund har avgett ett gemensamt yttrande. Detsamma gäller Publicistklubben och Föreningen Grävande Journalister. Även Annonsörföreningen, Dagligvaruleverantörernas Förbund, Direkthandelsföretagens förening, Svenska Bokförläggareföreningen, Svenska Postorderföreningen, Sveriges Marknadsförbund, Sveriges Reklamförbund, Sveriges Telemarketing Förening och SWEDMA har avgett ett gemensamt yttrande. Riksåklagaren har överlämnat yttranden från överåklagaren vid Åkla- garmyndigheten i Göteborg samt överåklagarna vid Regionåklagarmyndigheterna i Linköping, Malmö och Härnösand. Rikspolisstyrelsen har bifogat yttranden från polismyndigheterna i Stockholm, Göteborg och Malmö. Riksskatteverket har till sitt yttrande bifogat ett utlåtande från Skatte- myndigheten i Stockholms län. Rektorsämbetet vid Stockholms universitet har överlämnat yttranden från den juridiska fakultetsnämnden och från den samhällsvetenskapliga fakulteten. Rektorsämbetet vid Uppsala universitet har överlämnat ett yttrande från den juridiska fakultetsstyrelsen vid universitetet. Rektorsämbetet vid Lunds universitet har överlämnat ett yttrande från den juridiska fakultetsstyrelsen vid universitetet. Riksarkivet har till sitt yttrande bifogat yttranden från samtliga landsarkiv och stadsarkiven i Stockholm och Malmö. Göteborgs kommun har bifogat en av folkpartiet i kommunstyrelsen avgiven skrivelse samt yttranden från Göteborgs servicenämnd, gruppen för integritetsfrågor inom dataområdet (GRIND) och stadsdelsnämnden Härlanda. Sveriges Akademikers Centralorganisation har utöver sitt yttrande hänvisat till de yttranden som avgetts av DIK-förbundet, Sveriges Läkarförbund och Sveriges Psykologförbund samt utan eget ställningstagande överlämnat ett yttrande från SACO-föreningen vid Datainspektionen. Lagrådsremissens lagförslag 1 Förslag till lag om ändring i datalagen (1973:289) Härigenom föreskrivs i fråga om datalagen (1973:289)[1] dels att 2 a, 6, 6 a, 12, 18, 20 och 25  skall ha följande lydelse, dels att det i lagen skall införas en ny paragraf, 19 , och närmast före nya 19  en ny rubrik av följande lydelse. Nuvarande lydelse Föreslagen lydelse 2 a  Tillstånd av Tillstånd av Datainspektionen behövs Datainspektionen behövs inte för personregister inte för personregister vars inrättande beslutas 1. vars inrättande av riksdagen eller beslutas av riksdagen regeringen. Innan sådant eller regeringen, beslut fattas skall 2. som inrättas och förs dock yttrande inhämtas i enlighet med från Datainspektionen i föreskrifter som fråga om register som beslutats med stöd av 19 skall innehålla , uppgifter som avses i 2  3. som har tagits emot andra stycket. för förvaring av en arkivmyndighet. Tillstånd behövs inte heller för personregister som har tagits emot för förvaring av en arkivmyndighet. Utan hinder av 2  andra stycket 1 får 1. sammanslutningar inrätta och föra personregister som innehåller sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro eller övertygelse i övrigt som utgör grunden för medlemskapet i sammanslutningen, 2. myndigheter inom hälso- och sjukvården för vård- eller behandlingsändamål inrätta och föra personregister som innehåller uppgifter om någons sjukdom eller hälsotillstånd i övrigt, 3. myndigheter inom socialtjänsten inrätta och föra personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten, 4. läkare och tandläkare inrätta och föra personregister som innehåller sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de har erfarit i sin yrkesverksamhet, 5. arbetsgivare inrätta och föra personregister, som innehåller sådana uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministrativa ändamål eller för att arbetsgivaren skall kunna avgöra om han skall påbörja en rehabiliteringsutredning enligt 22 kap. 3  andra stycket lagen (1962:381) om allmän försäkring. 6  Lämnas tillstånd till Lämnas tillstånd till inrättande och förande avinrättande och förande av personregister, skall personregister, skall Datainspektionen, i den Datainspektionen, i den mån det behövs för att mån det behövs för att förebygga risk för förebygga risk för otillbörligt intrång i otillbörligt intrång i personlig integritet, personlig integritet, meddela föreskrift om meddela föreskrift för registret om 1. inhämtande av uppgifter för personregistret, 2. vilka personuppgifter som får ingå i personregistret, 3. utförandet av den automatiska databehandlingen, 4. den tekniska utrustningen, 5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling, 6. underrättelse till berörda personer, 7. de personuppgifter som får göras tillgängliga, 8. utlämnande och annan användning av personuppgift, 9. bevarande och gallring av personuppgifter, 10. kontroll och säkerhet, 11. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter. Vid bedömandet av om Vid bedömandet av om föreskrift behövs skall föreskrift för ett visst särskilt beaktas huru- register behövs skall vida registret särskilt beaktas huruvida innehåller personuppgift registret innehåller som utgör omdöme eller personuppgift som utgör annan värderande omdöme eller annan upplysning om den värderande upplysning om registrerade. den registrerade. Föreskrift rörande Föreskrift för ett visst utlämnande av register rörande personuppgift får icke utlämnande av personupp- inskränka myndighets gift får inte inskränka en skyldigheter enligt myndighets skyldigheter tryckfrihetsförordningen.enligt tryckfri- hetsförordningen. **Fotnot** [1]Lagen omtryckt 1992:446. 6 a  Bestämmelserna i 5 och Bestämmelserna i 5 och 6  6  om skyldighet för om skyldighet för Datainspektionen att Datainspektionen att meddela föreskrift gällermeddela föreskrift för ett även i fråga om visst register gäller även personregister som i fråga om personregister avses i 2 a  första som avses i 2 a  första stycket andra meningen, stycket 1, om registret i den mån icke skall innehålla uppgifter regeringen eller som avses i 2  andra riksdagen har meddelat stycket och regeringen föreskrift i samma eller riksdagen inte har hänseende. meddelat föreskrift i samma hänseende. 12  Personuppgift som kan hänföras till den som avses med uppgiften skall utgå ur personregistret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Detsamma gäller då den registeransvarige upphör att föra personregistret. Upphör en Upphör en registeransvarig att registeransvarig att föra föra ett personregister ett personregister för för vilket vilket Datainspektionen Datainspektionen har har meddelat tillstånd, meddelat tillstånd, skall han anmäla detta skall han anmäla detta till inspektionen. till inspektionen. Detsamma gäller i fråga om Detsamma gäller i fråga sådant personregister som om sådant personregister avses i 2 a  första som avses i 2 a  första stycket 1, om registret stycket andra meningen. innehåller uppgifter som avses i 2  andra styck- et. 18  Har förandet av Har förandet av personregister lett personregister lett till till otillbörligt intrångotillbörligt intrång i i personlig integritet personlig integritet eller finns anledning eller finns anledning antaga att sådant intrångantaga att sådant intrång skall uppkomma, får skall uppkomma, får Datainspektionen i mån Datainspektionen för ett av behov meddela visst register i mån av föreskrift i sådant behov meddela föreskrift avseende som anges i 5 i sådant avseende som eller 6  eller ändra anges i 5 eller 6  eller föreskrift som tidigare ändra föreskrift som meddelats. I fråga om tidigare meddelats. I register som avses i fråga om register som 2 a  första stycket får avses i 2 a  första Datainspektionen vidta stycket 1 får åtgärd som nu nämnts Datainspektionen vidta endast i den mån den ej åtgärd som nu nämnts endast står i strid med beslut i den mån den ej står i av regeringen eller strid med beslut av riksdagen. regeringen eller riksdagen. Kan skydd mot Kan skydd mot otillbörligt intrång i otillbörligt intrång i personlig integritet ej personlig integritet åstadkommas på annat sätt,inte åstadkommas på annat får Datainspektionen sätt, får Datainspektionen förbjuda fortsatt förandeförbjuda fortsatt förande av personregister eller av personregister eller återkalla meddelat återkalla meddelat tillstånd. Detta gäller tillstånd. Detta gäller dock inte sådana dock inte sådana register register som avses i 2 som avses i 2 a  första a  första stycket. stycket 1. Föreskrift enligt första stycket och förbud enligt andra stycket får förenas med vite. Bemyndiganden 19  Regeringen eller, efter regeringens bemyndigande, Data- inspektionen får i anslutning till denna lag meddela närmare före- skrifter för personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål. 20 Till böter eller fängelse i högst ett år döms den som uppsåtligen eller av oaktsamhet 1. inrättar eller för personregister utan licens eller tillstånd enligt denna lag, när detta erfordras, 2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller 18 , 3. lämnar ut personuppgift i strid mot 11 , 4. bryter mot 12 , 5. lämnar osann uppgift 5. lämnar osann uppgift vid fullgörande av vid fullgörande av skyldighet att lämna skyldighet att lämna underrättelse enligt 10 underrättelse enligt 10 , , eller 6. lämnar osann uppgift 6. lämnar osann uppgift i fall som avses i 17 , i fall som avses i 17 . eller 7. bryter mot föreskrift som meddelats enligt 19 . Den som överträtt ett vitesföreläggande enligt 18  tredje stycket döms inte till ansvar för en gärning som omfattas av föreläggandet. Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot 7 a  första eller tredje stycket. 25  Datainspektionens Datainspektionens beslut enligt denna lag beslut enligt denna lag överklagas hos regering- får överklagas till allmän en. Justitiekanslern får förvaltningsdomstol. överklaga ett sådant Justitiekanslern får föra beslut för att talan för att tillvarata tillvarata allmänna allmänna intressen. intressen. Om en myndighet som är Om en myndighet som är registeransvarig avslår registeransvarig avslår en begäran om en begäran om underrättelse enligt 10 , underrättelse enligt 10 överklagas beslutet på , överklagas beslutet påsamma sätt som gäller ett samma sätt som gäller ettbeslut av myndigheten beslut av myndigheten att avslå en begäran om att avslå en begäran om utlämnande av allmän utlämnande av allmän handling. Med myndighet handling. Med myndighet jämställs därvid ett annat jämställs därvid ett annatorgan i den utsträckning organ i den utsträckning som anges i 1 kap. 8 och som anges i 1 kap. 8  9  sekretesslagen sekretesslagen (1980:100). (1980:100). Prövningstillstånd krävs vid överklagande av mål om viten till kammarrätten. _________________________ 1. Denna lag träder i kraft den 1 januari 1995. 2. Beslut som meddelats av Datainspektionen före ikraftträdandet överklagas enligt äldre bestämmelser. 3. Hänvisningen i 25  andra stycket till 1 kap. 9  sekretesslagen (1980:100) skall beträffande sådana aktiebolag i vilka kommuner eller landsting själva eller gemensamt innehar mindre än två tredjedelar av aktierna eller mindre än två tredjedelar av de med aktierna förenade rösterna och sådana ekonomiska föreningar i vilka det också finns andra medlemmar än kommuner eller landsting tillämpas från och med den 1 januari 1998. 2 Förslag till lag om ändring i förvaltningsprocesslagen (1971:291) Härigenom föreskrivs att 34 a och 35  förvaltningsprocesslagen (1971:291) skall ha följande lydelse. Lydelse enligt prop. Föreslagen lydelse 1993/94:133 34 a  I de fall det är I de fall det är särskilt särskilt föreskrivet får föreskrivet får kammarrätten pröva ett kammarrätten pröva ett överklagande från överklagande från länsrätten länsrätten endast om endast om kammarrätten kammarrätten har har meddelat pröv- meddelat pröv- ningstillstånd. Sådant ningstillstånd. tillstånd behövs dock aldrig när talan förs av Riksdagens ombudsmän eller Justitiekanslern. Prövningstillstånd meddelas om 1. det är av vikt för ledning av rättstillämpningen att överklagandet prövas av högre rätt, 2. anledning förekommer till ändring i det slut vartill länsrätten kommit eller 3. det annars finns synnerliga skäl att pröva överklagandet. Meddelas inte prövningstillstånd, står länsrättens beslut fast. En upplysning om detta skall tas in i kammarrättens beslut. 35  Ett överklagande av kammarrättens beslut i ett mål som har väckts hos kammarrätten genom överklagande eller underställning prövas av Regeringsrätten endast om Regeringsrätten har meddelat prövningstillstånd. Meddelas inte prövningstillstånd, står kammarrättens beslut fast. En upplysning om detta skall tas in i Regeringsrättens beslut. Vad som sägs i första stycket gäller inte 1. talan som Riksdagens ombudsmän eller Justitiekanslern för i mål om disciplinansvar eller om återkallelse eller begränsning av behörighet att utöva yrke inom hälso- och sjukvården, tandvården eller detaljhandeln med läkemedel eller om återkallelse av behörighet att utöva veterinäryrket, 2. talan som 2. talan som Justitiekanslern för i Justitiekanslern för i mål mål enligt lagen enligt datalagen (1990:484) om (1973:289) eller lagen övervakningskameror m.m. (1990:484) om över- vakningskameror m.m. ______________________ Denna lag träder i kraft den 1 januari 1995. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 1994-04-08 Närvarande: justitierådet Per Jermsten, justitierådet Lars Å Beckman, regeringsrådet Sigvard Holstad. Enligt en lagrådsremiss den 24 mars 1994 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till 1. lag om ändring i datalagen (1973:289), 2. lag om ändring i förvaltningsprocesslagen (1971:291). Förslagen har inför Lagrådet föredragits av kanslirådet Erik Göransson. Lagrådet lämnar förslagen utan erinran. Justitiedepartementet Utdrag ur protokoll vid regeringssammanträde den 14 april 1994 Närvarande: statsministern Bildt, ordförande, och statsråden B. Westerberg, Friggebo, Johansson, Laurén, Hörnlund, Olsson, Svensson, Thurdin, Hellsvik, Wibble, Björck, Davidson, Unckel, P. Westerberg, Ask Föredragande: statsrådet Laurén Regeringen beslutar proposition 1993/94:217 En reformerad datalag. Rättsdatablad Författningsrubrik Bestämmelser som Celexnummer för inför, ändrar, upp-bakomliggande EG- häver eller regler upprepar ett normgivnings- bemyndigande Datalagen 19  (1973:289)