Regeringen föreslår riksdagen att anta det förslag som har tagits upp i bifogade utdrag ur regeringsprotokollet den 19 mars 1987.

På regeringens vägnar Ingvar Carlsson

Sten Wickbom

Propositionens huvudsakliga innehåll

I propositionen föreslås ändringar i datalagen (1973:289) i syfte att stärka skyddet för den enskildes integritet. Den registeransvarige blir i ökad utsträckning skyldig att rätta felaktiga uppgifter i ett personregister. Den registeransvarige blir också skyldig att utse en eller flera kontaktpersoner som skall bistå de registrerade vid misstanke om att en personuppgift är felaktig. Vid dataintrång och annat brott som avses i datalagen skall den som har begått brottet vara skyldig att betala skadestånd även för s. k. ideell skada. De nya reglerna föreslås träda i kraft den 1 januari 1988.

1 Riksdagen 1986187. 1 saml. Nr 116

Förslag till Prop. 1986/87:116

Lag om ändring i datalagen (1973:289)

Härigenom föreskrivs att 6, 8 och 23 §§ datalagen (1973:289)' skall ha följande lydelse.

Nuvarande lyddse Föreslagen lydelse

6S Lämnas tillstånd till inrättande och förande av personregister, skall datainspektionen, i den mån det behövs för atl förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift om

1. inhämtande av uppgifter för personregistret,

2. vilka personuppgifter som får ingå i personregistret,

3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift,

9. bevarande och gallring av personuppgifter,

10. kontroll och säkerhet. 10. kontroll och säkerhet,

//. rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter.

Vid bedömandet av om föreskrift behövs skall särskilt beaktas huruvida registret innehåller personuppgift som utgör omdöme eller annan värderande upplysning om den registrerade.

Föreskrift rörande utlämnande av personuppgift får icke inskränka myndighels skyldigheter enligt tryckfrihetsförordningen.

8S
Förekommer anledning till miss- Förekommer anledning till miss
tanke att personuppgift som ingår i tanke att en personuppgift som in-
personregister är oriktig, skall den går i ett personregister är oriktig
registeransvarige utan dröjsmål vid- eller missvisande, skall den register-
taga skäliga åtgärder för att utröna ansvarige utan dröjsmål/orera 50-
uppgiftens riktighet och, om skäl lig utredning. En oriktig eller miss-
föreligger, rätta den eller utesluta visande uppgift skall rättas, ändras
den ur registret. eller utestutas, om det inte saknas

anledning att anta atl otUlbörligt intrång i den registrerades personUga integrUet skall uppkomma. Har uppgift som rättas eller utes- Har en uppgift som rättas, änd-lutes, lämnats ut till annan än den ras eller utesluts lämnats ut till /lä-registrerade, skall den registerans- gon annan än den registrerade, varige på begäran av den registre- skall den registeransvarige under-rade underrätta mottagaren om rät- rätta mottagaren om rättelsen, änd-telsen eller uteslutningen. Förelig- ringen eller uteslutningen, om den ger särskilda skäl, får dock dalain- registrerade begär det eller om det

Lagen omtryckt 1982:446.

Nuvarande lydelse

spektionen befria den regisleran-svarige från sådan underrättelseskyldighet.

Föreslagen lydelse

föreligger risk för otUlbörligt intrång i personlig integritet.

En registrerad som har anmält en misstanke om atl en personuppgift är oriklig eUer missvisande skall underrättas om vUken åtgärd anmälan föranleder.

Den registeransvarige skall utse en eller fiera personer som skall bistå de registrerade vid misstanke om oriklig eller missvisande personuppgift och som skall lämna underrättelse enligl tredje styckel. Cppgift om vem som har utsetts skall hållas tillgänglig för allmänheten.

Bestämmelserna i denna paragraf gäller inle register som har överlämnats till en arkivmyndighet förförvaring. Dalainspektionen får befria en registeransvarig från skyldighet enligl paragrafen.

Prop. 1986/87:116

Om registrerad tillfogas skada genom att personregister innehåller oriklig uppgift om honom, skall den registeransvarige ersätta skadan. Vid bedömande om och i vad mån skada har uppstått läges hänsyn även tUl lidande och andra omständigheter av annan än rent ekonomisk betydelse.

Om registrerad tillfogas skada genom att personregister innehåller oriktig eUer missvisande uppgift om honom, skall den registeransvarige ersätta skadan.

Om någon tillfogas skada genom brott som avses i 20 § första styckel eller 21 §, skall den som har gjort sig skyldig till brottet ersätta skadan.

Vid bedömande om och i vad mån skada enligt första eller andra Slycket har uppstått skall hänsyn även tas tUl lidande och andra omständigheter av annan än rent ekonomisk betydelse.

Justitiedepartementet Prop. 1986/87:116

Utdrag ur protokoll vid regeringssammanträde den 19 mars 1987

Närvarande; statsministern Carlsson, ordförande, och statsråden Sigurdsen, Gustafsson, Leijon, Peterson, S. Andersson, Bodström, Göransson, Gradin, Dahl, Holmberg, Hellström, Wickbom, Johansson, Lindqvist, G. Andersson, Lönnqvist

Föredragande: statsrådet Wickbom

Proposition om ändring i datalagen 1 Inledning

Data- och offentlighetskommittén (Ju 1984:06, DOK) tillkallades är 1984 för att utreda användningen av personnummer inom den offentliga och den enskilda sektorn. Kommittén fick i tilläggsdirektiv samma år uppdrag att utreda de problem som är förenade med offentlighetsprincipens tillämpning på ADB-upptagningar.

DOK (kammarrättspresidenten Carl Axel Petri, f. d. riksdagsledamoten Lilly Bergander, riksdagsledamoten Birgit Friggebo, ombudsmannen Hans-Eric Holmqvist, riksdagsledamöterna Gunnar Hökmark, Kurt Ove Johansson och Olof Johansson samt universitetslektorn Yngve Sundblad) avlämnade i april 1986 delbetänkandel (SOU 1986:24) Integritetsskyddet i informationssamhället I. I betänkandet föreslås dels ändringar i data- och skadeståndslagstiftningen som gäller rättelse av fel i personregister samt skadestånd vid fel i personregister och vid brott mot datalagen dels en ändring i sekretesslagstiftningen som gäller patientuppgifter i personregister.

Jag skall i del följande ta upp de frågor om rättelse av fel i personregister och om skadestånd vid brott mot datalagen som behandlas i betänkandet och som kräver lagstiftningsbeslul av riksdagen. DOK:s förslag om ändring i sekretesslagen bör däremot lämpligen tas upp tillsammans med förslag till vissa andra ändringar i sekretesslagen, som f n. förbereds inom justitiedepartementet, bl.a. på grundval av DOK:s belänkande (SOU 1986:46) Inlegritetsskyddet i informationssamhället 2.

Till protokollet bör som bilaga I fogas utredningens sammanfattning av sill betänkande i de delar som skall behandlas vid detta tillfälle. Utredningens lagförslag i dessa delar bör fogas till protokollet som bilaga 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna bör fogas till protokollet som bilaga 3. En sammanställning över remissyttrandena har upprättats inom justitiedepartementet och finns tillgänglig i lagstiftningsärendet (875-86).

Regeringen beslutade den 5 mars 1987 att inhämta lagrådels yttrande över förslag till lag om ändring i datalagen. Det till lagrådet remitterade

förslagel överensstämmer med lagförslaget i propositionen. Lagrådet har i Prop. 1986/87:116 sitt yUrande. som bör bifogas protokollet som /k/ bilaga 4, /-k/ inte haft någon erinran mol förslagel.

2 Allmän motivering

2.1 Mina allmänna utgångspunkter

Datateknikens utveckling och användning påverkar på många sätt de nuvarande och framtida förhållandena i del svenska samhället. Till de viktigaste frågorna hör otvivelakligl de som gäller integritetsskydd för enskilda personer på området. Dessa frågor uppmärksammades också särskilt när riksdagen på grundval av prop. 1984/85:220 fastställde riktlinjer för den framtida dalapolitiken (FiU 1985/86:5, rskr. 88).

Själv gav jag i den angivna propositionen (s. 39 ff.) en översikt över hur iniegritetsfrågorna har utvecklats på dataområdet. Jag redovisade också (s. 38 f) del initiativ som regeringen tog i början av 1985 och som ledde till all datainspektionen meddelade allmänna råd till myndigheterna i fräga om rättelser i deras register för automatisk databehandling (ADB).

1 enlighet med vad som anförde? i propositionen har en statsrådsgrupp för långsiktiga och övergripande dalafrågor bildats, i vilken bl. a. jag ingår. Till denna statsrådsgrupp är knutna en samrådsgrupp för sårbarhetsfrågor på ADB-området och en referensgrupp för datafrågor. Bland de frågor som statsrådsgruppen och referensgruppen skall ägna sig ål ulgör integritetsskyddsfrågorna en viktig del.

1 det jag nu har sagt ligger att regeringen tillmäter frågan om skydd för den personliga integriteten stor vikt på dataområdet och följer utvecklingen med stor uppmärksamhet. Det är angeläget att ha en hög beredskap så atl åtgärder vid behov snabbi kan vidtas för att förbättra integritetsskyddet och komma till rätta med eventuella missförhållanden på området. Ett uttryck för denna ambition är alt DOK tillkallades med uppdrag att se över personnummeranvändningen i samhället. Också det utvidgade uppdrag som DOK senare har fått rör bl. a integritetsskyddsområdet.

Anledningen till alt integritetsfrågorna har sådan vikt på ADB-området är att vår förmåga att skydda den personliga integriteten är av avgörande betydelse för utvecklingen på området. En grundförutsättning för att den nya tekniken skall kunna utnyttjas så att dess fördelar kan tas till vara är att medborgarna kan följa och påverka utvecklingen och att de inte känner främlingsskap och upplever tekniken som ett hot. Del är givet alt medborgarna får svårt att hysa förtroende för en teknik, om de anser att denna hotar deras personliga integritet.

Del är mot den bakgrund som jag nu har angett som jag behandlar DOK:s förslag om rättelse vid fel i personregister och om skadestånd. Förslagen innebär skärpningar på integritetsskyddets område och har i det stora hela mottagits gynnsamt av remissinstanserna. Jag vill redan här anmäla att jag delar uppfattningen att kommittéförslaget kan läggas till grund för sådana ändringar och att lagstiftningen bör ändras så att skyddet

för den enskildes personliga integritet förbättras i de här berörda hänseendena.

Jag vill också erinra om att de nu aktuella förslagen bara är det första resultatet av DOK:s arbete och att jag avser atl i samma anda som nu pröva också senare förslag på integriteisskyddeis område.

Det är alltså nu frågan om en av flera etapper i det arbete på att stärka skyddet för den personliga integriteten som har satts igång. Enligt min mening är del inte realistiskt alt räkna med atl man i ett slag kan förbättra integritetsskyddet genom någon eller nägra stora reformer, utan man måste arbeta stegvis med åtgärder som kan te sig ganska begränsade, om man ser dem var för sig. De ändringar i datalagen somjag förordar i det följande utgör ett sådant steg på vägen mot etl bättre inlegritelsskydd.

Prop. 1986/87:116

2.2 Rättelse av fel i personregister

Mitt förslag: Hos den som är registeransvarig för ett personregister skall det finnas en eller flera befattningshavare (kontaktpersoner), som bistår en registrerad vid misstanke om atl en personuppgift är oriktig eller missvisande. Kontaktpersonerna skall också svara för att registrerade som anmält fel i personregistret får underrättelse om vilken åtgärd anmälan föranleder från den registeransvariges sida.

Den registeransvariges skyldighet att utreda och rätta felaktiga registeruppgifter preciseras och skärps. Presumtionen skall vara att en oriktig eller missvisande uppgift skall rättas. Dessutom skärps skyldigheten att sända underrättelse om företagen rättelse till den som den felaktiga uppgiften har lämnats ut till.

Reglerna om rättelse skall inte gälla register som har överlämnats till en arkivmyndighet för förvaring. Datainspektionen skall i undantagsfall kunna befria också en annan registeransvarig från rättelseskyldighet.

Datainspektionen skall kunna meddela föreskrifter om tillämpningen av reglerna om rättelse av oriktig eller missvisande uppgift.

DOK:s förslag ligger i linje med mitt förslag men skiljer sig från detta i främst följande avseenden: Kontaktpersonen benämns dataansvarig och har vissa andra uppgifter än enligt mitt förslag. Kraven på att den registeransvarige skall rätta en personuppgift är olika beroende på om uppgiften är oriktig eller missvisande. En oriktig uppgift skall alllid rättas och en uppgift som är missvisande utan att vara oriktig skall rättas om det är motiverat av integritetsskäl. Datainspektionen kan inte befria en registeransvarig från rättelseskyldighet. Inte heller kan datainspektionen meddela någon särskild föreskrift om tillämpningen av reglerna om rättelse.

Remissinstanserna: Förslaget om dataansvarig tillstyrks av de flesta remissinstanser. Några har dock synpunkter pä detaljer, bl. a. benämningen "dataansvarig". En del instanser anser att ansvarsfördelningen mellan den

registeransvarige och den dalaansvarige är oklar eller atl en dataansvarig Prop. 1986/87; 116 bara behövs för vissa slag av register.

Alla remissinstanser som uttalat sig om obligatorisk rättelse av oriktiga uppgifter är positiva till förslaget. Några menar dock atl nuvarande ordning bör behållas för vissa slag av register, t. ex. forskningsregister, staii-stikregister och kortvariga register. Förslaget om villkoriig rättelse av missvisande uppgifter tillstyrks av de flesta instanser. JK och datainspektionen önskar gå längre än förslaget när det gäller skyldighet att rätta missvisande uppgifter, medan de tre kredilupplysningsföretag som ingår bland remissinstanserna är starkt kritiska. Del förekommer olika åsikter om det innebär en verklig eller bara en terminologisk nyhet alt föra in begreppet "missvisande uppgift" i lagen.

De flesta som uttalat sig om obligatorisk underrättelse om rättelse av uppgift är positiva till förslaget. JK, datainspektionen och LO förordar en längre gående underrättelseskyldighet.

Inget remissorgan motsätter sig ett undantag från reglerna om rättelse såvitt gäller register som har överlämnats lill arkivmyndighet. Några påpekar atl begreppet arkivmyndighet i regel inle omfattar kommunala arkiv.

Skälen för mitt förslag: Datalagen (1973:289, omtryckt 1982:446, ändrad senast 1986:1323) syftar till alt skydda den enskilde mot sådant intrång i den personliga integriteten som kan bli följden av atl personuppgifter registreras med hjälp av ADB. Lagens regler innebär bl. a. att vissa särskilt integritetskänsliga personregister får inrättas endast efter tillstånd av datainspektionen eller genom beslut av statsmakterna. För övriga personregister utom sädana som en enskild inrättar eller för uteslutande för personligt bruk krävs enbart anmälan till datainspektionen som utfärdar ett särskilt bevis om anmälningen (licens).

Datainspektionen utövar tillsyn över alla personregister och kan meddela föreskrifter för registren om det behövs för att förebygga otillbörligt integritetsinträng. Föreskrifterna kan beslutas antingen i samband med ett tillslåndsbeslut eller som ett led i datainspektionens tillsynsverksamhet.

Lagen innehåller dessutom allmänna regler om bl. a. skyldighet att rätta oriktiga uppgifter i personregister och om registeransvarigas skadestånds-skyldighet. Med registeransvarig menas den för vars verksamhet registret förs, om han förfogar över registret. Den registeransvarige kan vara en fysisk eller en juridisk person eller en myndighet.

Reglerna om rättelse av personuppgifter finns i 8 § datalagen. Reglerna gäller för alla register, alltså även dem som inte kräver tillstånd för att inrättas. Reglerna innebär följande. Om del finns anledning att misstänka att en personuppgift i ett personregister är oriktig, skall den registeransvarige utan dröjsmål vidta skäliga åtgärder för att ta reda på om uppgiften är riktig. Om det föreligger skäl, skall den registeransvarige rätta uppgiften eller utesluta den ur registret. Har en uppgift som rättas eller utesluts lämnats ut till någon annan än den registrerade, skall den registeransvarige på begäran av den registrerade underrätta mottagaren om rättelsen eller uteslutningen. Datainspektionen får dock befria den registeransvarige från underrättelseskyldigheten om det föreligger särskilda skäl.

Om en registeransvarig inte uppfyller de skyldigheter som åvilar honom 7

n Riksdagen 1986/87. 1 saml. Nr 116

enligt lagen i fråga om t. ex. rättelse av oriktiga uppgifter kan datainspek- Prop. 1986/87:116 tionen som nämnts besluta föreskrifter av visst slag (18 § första stycket datalagen). Inspektionen har vidare som nämnts på uppdrag av regeringen utfärdat allmänna råd för myndigheter vid tillämpningen av 8 § datalagen (se bilaga 6 i DOK;s betänkande).

Datalagen innehåller således regler för alt förebygga atl personuppgifter, som visar sig vara oriktiga, står kvar i register och vållar otillbörligt intrång i den personliga integriteten. Reglernas tillämpning i praktiken har dock visat sig vara förenad med en del problem. Erfarenheter från datainspektionen, JO och JK ger vid handen att de registeransvariga inte sällan saknar tillfredsställande rättelserutiner. Del kan vara svårt att snabbt och enkelt få en rättelse till stånd när ett fel har upptäckts. Genom att uppgifter i vissa fall överförs från ett register till ett annat kan en felaktighet i ett register få svåröverblickbara återverkningar i andra register. Bristerna har påpekats av såväl datainspektionen som JO.

Jag instämmer i DOK:s bedömning att de påtalade bristerna i fråga om rättelseförfarandel bör åtgärdas genom att datalagens regler på området skärps på flera punkter. Jag behandlar de olika delfrågorna var för sig när jag i del följande närmare redovisar mina förslag till ändringar i reglerna i dalalagen om rättelse av personuppgifter.

Kontaktperson m.m.

Personuppgifter av integritetskänsligt slag förekommer särskilt i personregister som förs av vissa stora bolag och myndigheter. För en enskild som misstänker att en uppgift om honom är felaktig kan det vara svårt att orientera sig inom den registeransvariges organisation och att veta vilken enhet eller vilka befattningshavare som misstanken bör anmälas till. Att del i praktiken kan vara svårt för enskilda att få kontakt med rätt person hos den registeransvarige har också visat sig i datainspektionens verksamhet. Svårigheterna kan leda till att den enskildes felanmälan inte blir behandlad på etl godtagbart sätt eller att den enskilde helt enkelt avstår från att anmäla del misstänkta felet.

Förhållandena uppmärksammades i elt tidigare lagstiftningsärende avseende datalagen. Föredragande statsrådet anförde därvid atl del borde vara av stort värde, om den registeransvarige på utdrag från ett dataregister angav telefonnummer till den enhet eller den tjänsteman som handlade den aktuella frågan eller kunde lämna upplysningar i saken (prop. 1981/82; 189 s. 27). Någon särskild regel om detta togs dock inte in i lagen, bl. a. därför atl saken inte ansågs vara tillräckligt utredd. Uppenbarligen har motivuttalandena inte lett till all förhållandena förbättrats på något avgörande sätt i praktiken.

Enligl min bedömning är svårigheterna för den enskilde att få tag på rätt
person vid felanmälan den kanske största praktiska olägenheten med nuva
rande ordning i fråga om rättelse av personuppgifter. Jag anser att tiden nu
är mogen att genom lagstiftning undanröja dessa svårigheter. En register
ansvarig bör i fortsättningen vara skyldig att ha en eller flera kontaktper
soner, till vilka de enskilda kan vända sig med misstankar om fel i registret. 8

Den enskilde skall alltså inte behöva råka ut för att hänvisas från person lill Prop. 1986/87:116 person, utan skall direki kunna fä besked om vem som har hand om felanmälningar i fråga om ett vissl register. Kontaktpersonen bör inte endast fungera som en passiv mottagare av felanmälningar utan bör på ett aktivt sätt bistå den enskilde med råd och upplysningar.

Inget bör hindra att en registeransvarig, som är en fysisk person, själv fungerar som kontaktperson. Det vanliga torde dock bli att den registeransvarige utser nägon eller några av sina anställda till kontaktpersoner. Det är angeläget att den registeransvarige därvid väljer personer med sådana kunskaper på området och en sådan ställning inom organisationen, att de kan bistå de enskilda med tillräcklig kraft och auktoritet. Bäst är givetvis om en kontaktperson själv har befogenhet att besluta om atl rätta eller på annat sätt åtgärda fel som upptäcks. Att generellt kräva sådana befogenheter för kontaktpersonen skulle dock föra för långt. Förhållandena hos olika myndigheter, företag och andra registeransvariga är så varierande att man bör undvika generella regleringar av rent interna förhållanden.

Om en viss befattningshavare har till uppgift att själv föra registret bör det i regel vara lämpligt att den befattningshavaren är kontaktperson. Den ordningen torde bli det vanliga hos åtskilliga smärre företag och föreningar. Hos myndigheter torde det i regel vara lämpligt att anförtro kontaktpersonens uppgifter ål den eller de befattningshavare som svarar för att lämna allmänheten upplysningar om myndighetens ADB-register (jfr 8 § allmänna verksstadgan 1965:600, 8 § ändrad senast 1982:274).

För vissa register finns flera gemensamt registeransvariga. Ett exempel på detta är det statliga löneuträkningssystemet SLÖR, för vilket statens löne- och pensionsverk är registeransvarig tillsammans med de myndigheter som är anslutna till systemet. I sådana fall kan det ibland vara lämpligt att de registeransvariga enas om atl använda sig av en eller flera gemensamma kontaktmän, som utses av de registeransvariga. Särskilt i system där registeransvariga saknar terminalanslutning kan en sådan ordning vara naturiig.

Med hänsyn till de varierande förhållandena som råder hos olika registeransvariga är det enligt min mening lämpligt att ge datainspektionen befogenhet atl vid behov meddela föreskrifter för tillämpningen av reglerna om kontaktperson. Eftersom sådana föreskrifter meddelas individuellt för resp. register kan de utformas på det sätt som är lämpligast med hänsyn till förhållandena i del särskilda fallet. Föreskrifterna bör alltså kunna avse l.ex. en kontaktpersons befogenheter att besluta om eller övervaka rättelse eller andra åtgärder eller om ansvarsfördelning mellan olika kontaktpersoner. Datainspektionen bör vidare ha möjlighet att meddela föreskrifter om rutiner i övrigl i fråga om rättelse av felaktiga personuppgifter.

På en punkt anser jag att man direkt i dalatagen bör bestämma en viss befogenhet för kontaktpersonerna. Det gäller ansvaret för att den registrerade får besked om vilka åtgärder som har vidtagits med anledning av hans eller hennes felanmälan. Jag går nu över till den frågan.

Datalagen innehåller i dag ingen regel om att den registeransvarige skall
underrätta den registrerade om atl en registeruppgift som rör honom eller 9

henne har rättats. I lagmotiven förutsattes att den registeransvarige i de fall Prop. 1986/87:116 en rättelse rör en omständighet som är av betydelse ur integritetssynpunkt självmant skulle upplysa den registrerade om rättelsen så att denne kan kräva att mottagare av den felaktiga uppgiften också underrättas (prop. 1973:33 s. 134). Det finns dock ingen undersökning om i vilken mån de registeransvariga rättar sig efter motivuttalandet. Enligt DOK;s bedömning är det troligt att personuppgifter då och då rättas utan att den registrerade får besked om detta. Datainspektionen har i sitt remissyttrande anfört att en regel om underrättelseskyldighet av detta slag bör tas in i datalagen.

Jag delar datainspektionens uppfattning. En registrerad som vänt sig till den registeransvarige med en misstanke om att en uppgift om honom är felaktig har självfallet ett berättigat krav på att få underrättelse om vilken åtgärd hans anmälan föranleder. Jag föreslår därför att man i datalagen tar in en regel om att den registeransvarige i dessa fall har skyldighet att lämna underrättelse till den registrerade.

I detta underrättelseförfarande bör kontaktpersonerna kunna ha en naturlig roll. Kontaktpersonerna kommer, enligt den ordning jag nyss föreslagit, att ta emot de flesta felanmälningarna från enskilda. I arbetsuppgifterna ingår också att på ett aktivt sätt ge råd och upplysningar till de enskilda. Det ligger i linje med detta att också ålägga kontaktpersonerna att underrätta de enskilda som anmält misstanke om fel om vilken åtgärd anmälan föranleder. Den föreslagna regeln i datalagen om kontaktpersoner bör därför kompletteras med en föreskrift om att en kontaktperson lämnar den enskilde en sådan underrättelse. Genom detta åliggande får kontaktpersonen anledning att följa den fortsatta handläggningen av en felanmälan som han tagit emot, även om han inte har befogenhet att besluta om rättelse. Kontaktpersonen bör kunna uppdra åt någon annan att rent faktiskt underrätta den enskilde på kontaktpersonens vägnar. Ytterst är det den registeransvarige som svarar för att den enskilde verkligen underrättas.

När det gäller kontaktpersoner föreslår jag alltså sammanfattningsvis att den registeransvarige skall utse en eller flera personer, som bistår den registrerade vid misstanke om att en personuppgift är oriktig eller missvisande och som underrättar den registrerade om vilken åtgärd anmälan föranleder. Regeln bör tas in bland övriga föreskrifter om rättelse i 8 § datalagen.

Mitt förslag om kontaktpersoner ansluter ganska nära till DOK;s förslag att det hos varje registeransvarig skall finnas en dataansvarig med uppgift bl.a. att bistå de registrerade vid misstanke om fel i personuppgifterna i personregistret. Jag har dock tagit intryck av kritik som framkommit under remissbehandlingen och som går ut på att förhällandet mellan den dataansvarige och den registeransvarige inte var helt klarlagt. Bl.a. skulle själva benämningen dataansvarig kunna leda tanken till atl den dataansvarige har ett självständigt ansvar vid sidan om den registeransvarige för att datalagens regler följs. Jag har därför funnit att termen dataansvarig inte bör användas som benämning i det sammanhang som det här gäller.

DOK har föreslagit att den som är dataansvarig skall ha vissa ytteriigare
uppgifter. Det gäller bevakningen av att lämpliga rättelseruliner utformas, 10

uppsikten över felfrekvens och tillämpningen av rättelserutiner, medver- Prop. 1986/87; 116 kan vid information och utbildning hos den registeransvarige och allmänt bistånd åt allmänheten. Många gånger kan naturligtvis delta vara lämpligt. Jag anser dock att några särskilda bestämmelser om detta inte bör meddelas utan att den registeransvarige, med det ansvar som åvilar honom, själv bör få avgöra om dessa uppgifter skall läggas på kontaktpersonen eller på nägon annan lämplig person.

Förslaget om kontaktpersoner innebär inte att en kontaktperson själv skall bära ett straff- eller skadeslåndsrättsligt ansvar enligl datalagen. Kontaktpersonen bör ansvara för sina åtgärder enligl vanliga regler om ansvar i arbetslagar- eller uppdragsförhållanden. Ansvaret enligt datalagen för att reglerna i den lagen följs i fräga om ett visst personregister bör däremot även i fortsättningen åvila den registeransvarige.

Det ligger i sakens natur atl den registeransvarige är skyldig att instruera sin personal så att en enskild som vill anmäla elt misstänkt registerfel snabbt och enkelt kan fä kontakt med en kontaktperson. Särskilt viktigt är det givetvis att personalen i telefonväxeln och i eventuell reception eller motsvarande vet vem eller vilka som är kontaktpersoner. Ofta kan det också vara lämpligt att sätta ut kontaktpersoners namn i telefonkatalogen och på registerutdrag eller andra handlingar som innehåller uppgifter från personregistret. En bestämmelse bör därför införas som ålägger den registeransvarige att hålla uppgiften om vem eller vilka som är kontaktpersoner tillgänglig för allmänheten. Den blir då tillgänglig också för datainspektionen och det behöver inle föreskrivas att uppgiften skall ingå i en sådan förteckning som avses i 7 a § datalagen. Datainspektionen bör kunna meddela föreskrifter om detta inom ramen för sin nyss föreslagna rätt att meddela föreskrifter om rättelseförfarandet.

Skyldighet att utreda och åtgärda felaktigheter i ett personregister

Om det finns anledning atl misstänka att en personuppgift är oriktig, är den registeransvarige skyldig att utan dröjsmål vidta skäliga åtgärder för att utröna om uppgiften är riktig. Om det föreligger skäl, skall den registeransvarige rätta eller utesluta uppgiften ur registret (8 § första stycket datalagen).

Den registeransvariges skyldigheter hänför sig alltså till oriktiga personuppgifter. Innebörden av begreppet oriktig har inte berörts i datalagens förarbeten. Olika meningar om den rätta innebörden har framkommit, inte minst vid remissbehandlingen av DOK:s betänkande. Tveksamheterna gäller bl. a. om en uppgift skall anses oriklig på grund av förhållanden, som inträtt efter del att uppgiften registrerades. Det har även diskuterats om en uppgift skall anses oriktig om den visserligen är riktig i och för sig men förekommer i ett sammanhang där den gör etl missvisande intryck.

Utredningsmaterialet tillåter inte någon säker slutsats om den exakta innebörden av begreppet oriktig uppgift. Rättsläget synes vara oklart. Även om oklarheten inte tycks ha lett till nägra allvarligare problem finns det enligt min mening skäl atl precisera lagen på denna punkt. Man bör därvid utforma lagtexten sä att den täcker inte bara det fallet att en uppgift

i sig är felaktig ulan även det fallet atl intrycket blir missvisande på grund Prop. 1986/87; 116 av det sammanhang i vilket uppgiften förekommer. Delta har betydelse inle minst med tanke på de tillfällen då en uppgift förs över till ett nytt register med annal ändamål än del register, där uppgiften ursprungligen förekom. Den önskvärda klarheten bör uppnås, om man kompletterar det redan befintliga begreppet oriktig uppgift med ett nytt begrepp, missvisande uppgift. Den regisieransvariges skyldigheter enligt 8 § första stycket datalagen bör alltså i fortsättningen hänföra sig lill de fall då en uppgift i ett personregister är eller misslänks vara oriktig eller missvisande. Om en uppgift skall anses vara oriktig eller missvisande, får bedömas från fall till fall mol bakgrund bl.a. av registrets ändamål. Det bör i princip vara likgiliigi om de förhållanden, som gör en uppgift oriktig eller missvisande, förelåg redan då uppgiften registrerades eller har inträtt först därefter. Ett undantag kan givetvis vara om registrets ändamål är att avspegla förhållanden som rådde vid en viss tidpunkt eller att återge det exakta innehållet i etl vissl dokumenl. Förhållanden som inträtt därefter bör i så fall i regel inte göra atl de registrerade uppgifterna anses oriktiga eller missvisande.

Med atl en uppgift är oriklig bör i första hand avses alt uppgiften i sig är felaktig. Begreppet missvisande tar däremot främst sikte på det intryck som uppgiften skapar i sill sammanhang. Eftersom rättsföljderna — som strax skall framgå - enligt mitt förslag i princip är lika oavsett om en uppgift är oriktig eller missvisande finns dock i regel inte. skäl att mera exakt de*finiera gränsen mellan vad som är en oriktig och vad som är en missvisande uppgift. Enligt min mening går det inte heller i praktiken att dra en klar gräns mellan dessa två begrepp.

Ändringen får alltså till följd atl den registeransvarige blir skyldig att företa skälig utredning om det finns anledning att misstänka att en personuppgift i elt personregister är oriktig eller missvisande.

I fråga om den registeransvariges skyldigheter att rätta en uppgift som har visat sig oriktig eller missvisande finns det enligt min mening skäl att göra ytterligare lagändringar i syfte att stärka den enskildes ställning. Den regisleransvarige skall i dag rätta eller utesluta en oriktig personuppgift om skäl föreligger. Skyldigheten är alltså villkorlig. Avgörande bör enligt lagförarbetena vara bl.a. uppgiftens betydelse från integritetssynpunkt. Om uppgiften saknar belydelse från integritetssynpunkt bör rättelse eller uteslutning kunna underlåtas, även om uppgiften är oriktig. Det bör också vara av viss betydelse om den registrerade begärt att uppgiften skall rättas eller uteslutas (prop. 1973:33 s. 132).

Den registeransvariges skyldigheter omfattar alltså nu dels rättning, dels uteslutning av uppgiften. Till detta bör enligt min mening fogas en skyldighet alt vid behov ändra uppgiften. Ändringen kan t.ex. innebära att en missvisande uppgift ges ett innehåll eller kompletteras så att man inte längre får ett missvisande intryck.

Rälielseåigärder skall enligt lagens nuvarande lydelse vidtas när skäl
föreligger. Delta innebär att presumtionen är att rättelse inte skall ske. Om
utredningen inte visar atl skäl föreligger, behöver uppgiften alltså inte
rättas eller uteslutas. Detta tycks ha medfört att rättelse inte alltid har skett
i önskvärd utsträckning. Datainspektionens rekommendationer i ämnet 12

har enligl DOK inte alltid fungerat hos de regisleransvariga. Detta förhål- Prop. 1986/87; 116 lande bör enligt min mening inte längre godtas. Regeln om rättelseskyl-dighel bör därför skärpas.

En möjlighet kunde därvid vara all göra räiielse obligatorisk. Delta vore dock enligl min mening atl skjuta över målel. Del finns fall då det uppenbarligen saknar belydelse ur integrilelssynpunkl alt en registeruppgift är oriktig eller missvisande. En regel om obligatorisk rättelse skulle också passa mindre väl för missvisande uppgifter. 1 fråga om dessa bör finnas etl visst utrymme för olika bedömningar i fråga om åtgärder.

Jag föreslår i stället att regeln om rältelseskyldighet ändras så. all en oriktig eller missvisande uppgift skall rättas, ändras eller uteslutas, om del inle saknas anledning att anta att otillbörligt intrång i den registrerades personliga integritet skall uppkomma. Detta innebär en presumtion för all rätlelse skall ske. Rättelse får alltså underlåtas endast om utredningen eller omständigheterna i övrigt klart visar att detta kan ske utan otillbörlig! intrång i personlig integritet.

Möjligheten att underlåta atl räiia en felaktig uppgift bör i första hand kunna användas när del gäller stavfel och andra liknande misskrivningar. Beträffande felaktigheter som rör sakförhållanden finns däremot mera sällan grund för att med säkerhet konstatera atl uppgiften saknar betydelse från integritetssynpunkt. En sådan felaktighet bör därför rättas utom i undantagsfall, såsom då den felaktiga uppgiften finns i ett tillfälligt register och uppgiften dessutom framstår som helt harmlös. Rättelse bör i. ex. kunna underlåtas när del gäller en oriktig adressuppgift i elt register för forsknings- eller statistikändamäl eller en oriklig uppgift om bilinnehav i etl tillfälligt direktreklamregister. Om den registrerade har begärt all en uppgift skall rättas, ändras eller uteslutas, bör den registeransvarige endast i ännu mer utpräglade undantagsfall kunna underlåta atl vidta rälielseåigärder i fråga om en uppgift som befunnits oriktig eller missvisande.

I detta sammanhang vill jag beröra frågan om en rätielseåtgärd bör dokumenteras, t. ex. genom en aktanteckning eller liknande. Rätlelse av sakuppgifter av betydelse ur integrilelssynpunkl bör enligl min mening i regel dokumenteras. Sä torde ocksä ske i dag. Jag instämmer i DOK:s bedömning att någon uttrycklig regel om saken i dalalagen inte behövs. När del gäller rättelse i myndigheters register följer dokumentalionsskyl-digheten i de flesta fall redan av allmänna regler (jfr KU 1982/83:12 s. 22). För övrigt bör datainspektionen vid behov kunna meddela föreskrifter om dokumentationsskyldighet inom ramen för den tidigare föreslagna befogenheten att meddela föreskrifter om rättelseförfarandel.

Underrättelse lill annan än den registrerade

Om en personuppgift, som rättas eller utesluts, har lämnats ut till nägon annan än den registrerade, skall den registeransvarige på begäran av den registrerade underrätta mottagaren om rättelsen eller uteslutningen (8 § andra slycket datalagen).

Den föreskrivna underrättelseskyldigheten skall ses mot bakgrund av att
uppgifter i ett personregister i vissa fall kan lämnas ut för att användas i etl 13

annal personregister eller på annat sålt. En felaktighet i fråga om en viss Prop. 1986/87:116 registeruppgift kan på så sätt följa med till den som uppgiften lämnas ut till. En underrättelse om atl en utlämnad uppgift är felaktig gör att även mottagaren kan rätta uppgiften.

Underrättelseskyldigheten enligt datalagen gäller endast om den registrerade har begärt all mollagaren av uppgiften skall underrättas. 1 datainspektionens allmänna råd för myndigheter vid tillämpningen av 8 § datalagen rekommenderas myndigheterna alt vid behov lämna underrättelse även om den registrerade inte har begärt detta.

Det föreliggande utredningsmaterialet utvisar inte atl nuvarande ordning skulle ha gett upphov lill några egentliga missförhållanden. Den av mig nyss föreslagna regeln om alt en registrerad som anmält ett fel skall få besked om vilken åtgärd som anmälan föranleder bör också förbättra förutsättningarna för de registrerade att kunna utnyttja rätten att begära att mottagaren av registeruppgifter underrättas om företagna rättelser.

Trots detta instämmer jag i DOK;s bedömning all den registrerades ställning bör stärkas ytterligare även på denna punkt. Det utbyte av uppgifter mellan olika register som numera förekommer i inte obetydlig omfattning har enligt min mening ökat behovet av atl felaktigheter som upptäcks i ett register rättas även i andra register eller i andra sammanhang där uppgifterna förekommer. Jag anser att det inte längre är rimligt att datalagen kräver en åtgärd från den registrerade för atl så skall ske. Dalainspektionens rekommendation till myndigheterna att vid integritetsrisk självmant underrätta mottagare av registeruppgifter om rättelsen ligger bättre i linje med de krav jag anser att man måste ställa på integritetsskyddet.

Jag förordar därför atl en regel som molsvarar datainspektionens rekommendation tas in i dalalagen. Regeln bör gälla alla register, oberoende av om de förs av en myndighet eller av en enskild registeransvarig.

Datalagen innehåller i dag en regel som gör det möjligt för datainspektionen att ge dispens från skyldigheten atl underrätta en uppgiflsmottagare om alt en uppgift rättas. DOK har funnit att dispensregeln aldrig utnyttjas i praktiken och därför kan upphävas. För min del anser jag, som strax kommer all framgå, alt det behövs en möjlighet för datainspektionen att medge undantag från bestämmelserna om rättelse m. m. i 8 § datalagen. Bestämmelsen bör omfatta också underrättelseskyldigheten.

Undantag från rättelseskyldighet m. m.

Reglerna i 8 § datalagen om rättelse av oriktiga personuppgifter gäller i dag
för alla personregister. De träffar därmed också register, som har överläm
nats lill en arkivmyndighet för förvaring. Sådana register skiljer sig dock
från andra personregister genom att de inte används för sitt ursprungliga
ändamål utan för mer begränsade syften. Detta har föranlett att register
som överiämnats till arkivmyndighet redan i tidigare sammanhang har
undantagils från lillslåndsplikl (2 a §), förteckningsskyldighel (7 a §) och
skyldighet att lämna underrättelse om registerinnehållet enligt 10 § data
lagen. I samband med dessa bestämmelsers tillkomst förklarade sig före- 14

dragande statsrådet inle beredd att föreslå att arkivregister borde undantas Prop. 1986/87:116 från dalalagens tillämpning i ytterligare några avseenden (prop. 1981/82; 189 s. 38),

DOK har nu föreslagil atl register som har överlämnats till arkivmyndighet för förvaring skall undantas även från tillämpningen av reglerna i 8 § dalalagen om rättelse m,m. Jag instämmer i detta. Genom att register av delta slag inte längre är "aktiva" är risken för atl en felaktig registeruppgift skulle vålla etl otillbörligt iniegritetsintrång liten. Det skulle också te sig främmande för en arkivmyndighets funktion att ändra i det historiska material som tagits emot för förvaring. En undantagsregel för sådana register bör därför tas in i 8 § dalalagen.

Det bör emellertid betonas att datalagen avses gälla fullt ut för t. ex. register som för särskilda forskningsprojekt byggs upp med hjälp av uppgifter från arkivregister.

Begreppet arkivmyndighet är inte preciserat vare sig i dalalagen eller dess förarbeten Ofr prop, 1981/82:189 s, 35 ff). Del får dock anses klart att begreppet innefattar åtminstone riksarkivet, krigsarkivet och landsarkiven saml stadsarkiven i Stockholm och Malmö (6 och 8—10 §§ allmänna arkivstadgan 1961:590, 8 § ändrad senast 1978:778).

Under remissbehandlingen har från olika håll tagits upp frågan om undantaget i 8 § datalagen bör omfatta även vissa andra register, säsom register som överlämnats till etl annat kommunalt arkiv. Även register som används endast för statislikframslällning eller forskning har nämnts i detta sammanhang. Jag är emellertid inte beredd att nu föreslå ett generellt undantag för andra register än dem som överlämnats till arkivmyndigheter (jft prop. 1984/85:133 s. 16).

Detta utesluter emellertid inle alt ett undantag kan vara miotiverat i fråga om enstaka andra register. En möjlighet bör därför öppnas för datainspektionen att medge undanlag från tillämpningen av 8 § datalagen för ett visst register. Denna dispensmöjlighet bör kunna utnyttjas då ett undantag frän rätlelseskyldigheten framstår som lika motiverat som i fråga om register som har överlämnats lill en arkivmyndighet.

Datainspektionens uppgifter Ifråga om rättelse

Mina förslag i det föregående innefattar vissa nya uppgifter för datainspektionen. Inspektionen skall kunna meddela föreskrifter om rättelse och andra åtgärder i fråga om oriktiga eller missvisande uppgifter. Föreskrifterna kan t. ex. avse kontaktmännens uppgifter och befogenheter eller förfarandel i övrigt vid utredning, rättelse eller underrättelse enligt 8 § datalagen. En bestämmelse om sådan föreskriftsrätt bör tas in i 6 § datalagen bland övriga regler om datainspektionens föreskriftsrätt.

Det ankommer naturligtvis också på dalainspektionen atl liksom hittills i
sin tillsynsverksamhet kontrollera att reglerna om rättelse efterlevs av de
regisleransvariga. I första hand bör inspektionen givetvis söka åstadkom
ma efterrättelse på frivillig väg. Om förandet av ett personregister har lett
till etl otillbörligt iniegriletsintrång eller om det finns anledning att anta att
ett sådant intrång skall uppkomma, får dock inspektionen tillgripa de 15

2.3 Skadestånd

Mitt förslag: Skadeståndsskyldigheten enligt datalagen utvidgas till att avse skada som vållats genom att ett personregister innehåller missvisande personuppgift. En särskild föreskrift införs om atl ersättning för ideell skada skall kunna utdömas vid brott som avses i datalagen.

Utredningens förslag överensstämmer i huvudsak med mitt.

Remissinstanserna: Förslager om utvidgning av skadeståndsansvaret till fall där en personuppgift varit missvisande tillstyrks av drygt hälften av de instanser som uttalat sig. JK menar dock att datalagens skadeståndsregel skulle kunna upphävas eftersom skadeståndslagen ger tillräckligt skydd. Några remissinstanser anser att den föreslagna utvidgningen är oacceptabel. De flesta som uttalat sig om att ersättning för ideell skada skall kunna utdömas vid brott mot datalagen är positiva till förslaget.

Skälen för mitt förslag: I 23 § datalagen finns regler om skadestånd för skada som tillfogas genom att ett personregister innehåller en oriktig uppgift. Vid brott enligt 20 § datalagen aktualiseras frågan om skadestånd enligt allmänna regler i skadeståndslagen (1972:207, omtryckt 1975:404, ändrad senast 1986:445) om skadestånd på grund av brott. Detsamma gäller beträffande dataintrång (21 § datalagen). Jag skall i det följande behandla behovet av ändringar i reglerna för bägge dessa former av skadestånd i datasammanhang.

Skadestånd enligl 23 § datalagen

Om en registrerad tillfogas skada genom att ett personregister innehåller oriktig uppgift om honom skall den registeransvarige enligt 23 § datalagen ersätta skadan. Vid bedömande om och i vad mån skada har uppstått skall man ta hänsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse.

En liknande skadeståndsregel finns i 21 § kreditupplysningslagen (1973:1173, omtryckt 1981:737). I de fall eU kreditupplysningsregister förs med hjälp av ADB blir dock även skadeståndsregeln i datalagen tillämplig (jfr prop. 1973:155 s. 122).

Skadeståndsregeln i 23 § datalagen innebär att skadeståndsskyldighet föreligger även om den skadeståndsansvarige inte har orsakat skadan avsiktligt eller genom vårdslöshet. Ett sådant s. k. strikt skadeståndsansvar går utöver vad som gäller i allmänhet enligt skadeståndslagen, enligt vilken skadeståndsskyldighet som huvudregel förutsätter att skadan orsa-

kals avsiktligt eller genom vårdslöshet. Som motiv för att införa ett strikt Prop. 1986/87; 116 skadeståndsansvar anfördes vid dalalagens tillkomst bl.a. att skadeverkningarna av en oriklig registeruppgift kan bli betydande genom den stora spridning av en uppgift som datatekniken möjliggör och den särskilda tilltro som datauppgifter i många fall åtnjuter. Som ett ytteriigare motiv anfördes att faktiska fel kan uppkomma i elt dataregister genom missöden som inte kan låggas någon till last som vållande (prop. 1973:33 s. 148).

Kritik framfördes vid datalagens tillkomst mot att införa en så långt gående skadeståndsskyldighel för den regisleransvarige. Bl.a. framhölls alt det kan inträffa att en viss oriklighet i etl personregister inte är hänförlig till den registeransvariges handläggning utan härstammar från annat håll, t. ex. från elt annat personregister. Föredragande statsrådet ansåg dock att skadeståndsansvaret gentemot den enskilde borde åvila den som sist haft hand om uppgiften, dvs. den registeransvarige som lämnat ut den oriktiga uppgiften eller på annal sätl orsakat skadan. En sådan registeransvarig kunde enligt föredraganden i vissa fall ha rätt att regressvis återkräva utgiven ersättning av annan (prop. 1973:33 s. 149).

Under de år som datalagen funnits synes skadeståndsregeln i 23 § ha tillämpats ganska sällan. Viss kritik har i olika sammanhang riktats mot regeln och dess tillämpning. Kritiken är dock inte entydig utan går i både skärpande och lindrande riktning. En del av kritiken går ut på att de skadeståndsbelopp som dömts ut varil alltför låga. Å andra sidan har röster höjts för att skadeståndsregeln är alltför sträng mot en registeransvarig som endast vidarebefordrat en oriklig uppgift från ett annat register.

Jag kan för min del inte finna att den framförda kritiken eller utredningen i övrigt ger underiag för några genomgripande ändringar i paragrafen. De motiv som åberopades vid datalagens tillkomst till stöd för paragrafen har enligt min mening alltjäm.t bärkraft.

På en punkt finns dock skäl att komplettera reglerna om ersättning för skada som tillfogas genom att en personuppgift är oriktig. Jag har tidigare (avsnitt 2.2) föreslagit atl reglerna i 8 § datalagen om rättelse ändras bl.a. så alt rätlelseskyldigheten omfattar både orikliga och missvisande uppgifter. Mot bakgrund härav skulle skadeståndsregeln i 23 § datalagen bli hallande om skadestånd endast skulle utgå för skada som orsakats av att en uppgift är oriktig. Jag föreslår därför att regeln ändras sä, att den registeransvarige skall ersätta skada som en registrerad tillfogats genom atl ett personregister innehåller oriktig eller missvisande uppgift om den registrerade.

Skadestånd vid brott mot dalalagen

I 20 § datalagen finns regler om straff för överträdelser av vissa bestämmelser i datalagen. Enligl första stycket döms till böter eller fängelse den som uppsåtligen eller av oaktsamhel

1. inrättar eller för personregister utan licens eller tillstånd enligt datala
gen, när detta erfordras,

2. bryter mot föreskrift eller förbud som datainspektionen har meddelat

enligl 5, 6 eller 18 §, 17

3. lämnar en personuppgift i strid mot ullämnandeförbudet i 11 §, Prop. 1986/87; 116

4. bryter mol gallringsregeln i 12 §,

5. lämnar en osann uppgift vid fullgörande av skyldigheten atl lämna underrättelse enligl 10 §,

6. lämnar en osann uppgift i sådana fall som avses i 17 §.

Enligt andra stycket döms till böter den som uppsåtligen eller av oaktsamhel bryter mot 7 a § första eller tredje stycket.

En straffbestämmelse finns också i 21 § dalalagen. Där föreskrivs att den som olovligen bereder sig tillgång till en upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i ett register för in en sådan upptagning skall dömas för dataintrång till böter eller fängelse i högst tvä är, om inle gärningen är belagd med straff i brottsbalken. Med upptagning avses här sedan den I juli 1986 (SFS 1986; 122) även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas vid automatisk dalabehandling. Brottet år straffbart även på försöks- och förberedelsestadiet, om det inte är ringa.

Vid brott mol datalagen kan i princip skadestånd utgå enligt allmänna regler i skadeståndslagen. Enligt dessa regler skall var och en som avsiktligt eller av vårdslöshet vållar person- eller sakskada ersätta skadan (2 kap. 1 § skadeståndslagen). När skadan har orsakats genom brott ersätts även ren förmögenhelsskada (se 2 kap. 4 §).

Skadeståndsskyldighelen innebär alltså i första hand en skyldighet att ersätta personskada, sakskada och ren förmögenhelsskada. Om personskada föreligger kan vissa ideella skador som har samband med personskadan ersättas (se 5 kap. I § skadeståndslagen). Däremot synes det inte vara hell klart om ideell skada ulan samband med personskada kan ersättas vid brott mol dalalagen eller vid dataintrång.

Regler om skyldighet alt ersätta ideell skada även om personskada inle föreligger finns i 1 kap. 3 § skadeståndslagen. Där sägs att bestämmelserna i skadeståndslagen om skyldighet att ersätta personskada också tillämpas i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten, genom annal ofredande som innefattar brott, genom brytande av post- eller telehemlighet, intrång i förvar, olovlig avlyssning eller olaga diskriminering eller genom ärekränkning eller dylik brottslig gärning.

Föreskrifterna om ersättning för lidande togs vid skadeståndslagens tillkomst in i 5 kap. 1 S. Uppräkningen av brott, vid vilka ersättning för ideell skada ulgår, omfattade då ett mindre antal brottstyper än vad som nu är fallet. I lagförarbetena uttalades att uppräkningen inte var fullständig utan atl del fick ankomma på domstolarna att avgöra hur långt man borde gå när det gäller atl genom skadeståndsansvar ingripa mot straffbara förfaranden, som innefattar angrepp på den personliga integriteten (prop. 1972:5 s. 571). I motiven till datalagen påföljande år anförde departementschefen dock atl han inte var beredd alt utsträcka rätten till ersättning för ideell skada även till fall då brottslig handling har begåtts med avseende på datalagrat material utan att personuppgift fåll oriktigt innehåll (prop. 1973:33 s. 149).

Del är alltså oklart om de regler om ersättning för lidande sOm numera
finns i I kap. 3 § skadeståndslagen ger rätt till ersättning för ideell skada 18

även vid brott som avses i datalagen.

Enligl min mening bör man nu bringa klarhet i rättsläget genom atl Prop. 1986/87:116 uttryckligen föreskriva att ersättning för ideell skada kan utgå vid brott som avses i datalagen. Möjligheten alt få ersättning för en ideell skada är naturlig på ett område som detta, där skada ofta kan drabba i form av intrång i den personliga integriteten. Atl ge rätt till ersättning för ideell skada vid brott som avses i datalagen ligger också i linje med den allmänna utvecklingen på skadeståndsräitens område.

Ersättning för ideell skada bör kunna utgå vid sådan brottslighet som avses i 20 § första styckel och 21 S dalalagen. Däremot har brotten enligt 20 § andra stycket karaktär av ordningsförseclser, vid vilka skadestånd över huvud taget inle ulgår.

Med hänsyn till de intressen som datalagen är avsedd att skydda torde det i första hand vara de registrerade som kan bli berättigade lill ersättning för ideell skada vid brott som avses i nämnda lagrum. För atl skadestånd skall utgå i ett konkret fall bör givelvis krävas att målsäganden har blivit utsatt för en integriielskränkning som inte är obetydlig. En sådan integritetskränkning kan t.ex. bestå i au en inlegritetskänslig uppgift om målsäganden kommit till obehörigas kännedom genom det brottsliga förfarandet. Även en påtaglig risk för detta bör kunna beaktas. Ett integritetsintrång av detta slag torde kunna uppkomma t. ex. i vissa fall när ett register förs ulan tillstånd (jfr 20 § första slyckel 1 datalagen) eller när en personuppgift registreras, lämnas ut eller bevaras i strid med en bestämmelse i datalagen eller en föreskrift som meddelats av datainspektionen (jfr 20 § första stycket 2-4). Motsvarande lorde kunna bli fallet om någon olovligen bereder sig tillgång lill en personuppgift (jfr 21 §).

Ersättning för ideell skada bör också kunna utgå när den registrerade genom det brottsliga förfarandet blir utsatt för en påtaglig risk för atl bli föremål för felaktiga ingripanden från myndigheter eller för att inte kunna tillvarata sina lagliga rättigheter i etl visst avseende. Ett sådant integritetsintrång torde kunna uppkomma 1. ex. i vissa fall då någon olovligen ändrar, utplånar eller för in en personuppgift i elt register (jfr 21 § datalagen). Skadestånd bör också kunna utgå om en registrerad blir ur stånd att tillvarata sin rätt i en angelägenhet på grund av att en registeransvarig har lämnat osann uppgift vid fullgörande av sin skyldighet att lämna en underrättelse enligt 10 § (jfr 20 § första slycket 5). Även i vissa andra fall torde ett brott mot dalalagen kunna ge upphov lill etl integritetsintrång som berättigar till ersättning för ideell skada. Särskilt gäller detta vid sådan s. k. wiretapping som avses med den år 1986 utvidgade gärningsbeskrivningen i fråga om dataintrång och som ligger brytande av telehemlighet nära (prop. 1985/86:65 s. 30 ff).

Det får ankomma på rättstillämpningen att bedöma uppkommande ska-deständsfall mot bakgrund av allmänna skadeslåndsrältsliga principer och de intressen som datalagen skall skydda.

DOK har föreslagil att en regel om ersättning för ideell skada vid brott
som avses i datalagen tas in i I kap. 3 § skadeståndslagen. Skadeståndsla
gen bör dock enligt min mening i första hand reserveras för regler av mera
allmän räckvidd. Regler som endast berör elt speciellt område bör däremot
tas in i den särskilda lagstiftning som gäller för del området. Jag förordar 19

därför alt en regel om ersättning för ideell skada vid brott som avses i Prop. 1986/87; 116 datalagen tas in i själva dalalagen. Bestämmelsen bör lämpligen tas in i 23 S. som redan nu innehåller en regel om skadestånd på grund av oriktig personuppgift.

3 Upprättat lagförslag

I enlighet med vad jag nu har anfört har inom jusliliedeparlemeniel upprättals förslag lill lag om ändring i datalagen (1973:289).

4 Specialmotivering till förslaget till lag om ändring i datalagen (1973:289)

6§

Paragrafen behandlar datainspektionens befogenhet att meddela föreskrifter för ett personregister. Föreskrifterna får avse de ämnen som räknas upp i första styckel.

Ändringen innebär att det i uppräkningen i första styckel har lagts till en ny punkt 11. Enligt denna får föreskrifter meddelas om rättelse och annat som avses i 8 § datalagen. 1 den paragrafen behandlas rättelser och andra åtgärder i fråga om orikliga och missvisande uppgifter. Ändringen har behandlats i avsnitt 2.2.

8§

Paragrafen behandlar rättelser och andra åtgärder i fräga om oriktiga eller missvisande uppgifter i ett personregister. Ändringarna har behandlats i avsnitt 2.2.

1 första stycket behandlas den registeransvariges skyldighet atl utreda om en uppgift är oriktig eller missvisande samt, om så visar sig vara fallet, rätta uppgiften eller vidta andra åtgärder. Att detta gäller även missvisande uppgifter år en nyhet. Som framhållits i avsnitt 2.2 får frågan om en uppgift är missvisande bedömas från fall till fall mot bakgrund av bl.a. registrets ändamål. Atl ett vissl sakförhållande har ändrats sedan det registrerats behöver inte nödvändigtvis betyda att den registrerade uppgiften anses missvisande. Ändringen i paragrafen är inle avsedd att innebära någon förändring i exempelvis kreditupplysningsföretags rätt att behålla en registrerad uppgift om en beialningsförsummelse även efter det att skulden har betalats (jfr prop. 1980/81; 10 s. 64).

Andra slycket innehåller regler om skyldighet att i vissa fall ge underrät
telse om vidtagen rättelse till den som tidigare har fått del av uppgiften.
Sådan underrättelse skall i fortsättningen ges även om den registrerade inte
har begärt det, förutsatt att det föreligger risk för otillbörligt integritetsin
trång. En dispensregel i stycket har ersatts av en ny dispensregel i femte
stycket. 20

Tredje stycket är nytt. Enligt detta stycke skall en registrerad som har Prop. 1986/87:116 anmält en misstanke om att en personuppgift är oriktig eller missvisande underrättas om vilken åtgärd anmälan föranleder. Ansvaret för att underrättelse ges åvilar givetvis den regisleransvarige. Rent praktiskt ankommer del i princip på den i fjärde slycket omnämnda kontaktpersonen att svara för underrättelsen. Underrättelsen kan ges muntligt eller skriftligt allt efter omsländighetema. Det är inle nödvändigt att kontaktpersonen faktiskt själv underrättar den registrerade. Han kan uppdra åt någon annan att göra det. Det är också möjligt alt ordna det sä att underrättelsen sker automatiskt med utnyttjande av tekniken. Om en registrerad exempelvis anmäler sin misstanke per telefon och saken framstår som klar, är det naturligtvis inget som hindrar att den registrerade redan vid det samtalet får besked om vilken åtgärd som kommer att vidtas.

Enligt fiärde styckel, som är nytt, skall den registeransvarige utse en eller flera befattningshavare med uppgift bl. a. att bistå den registrerade vid misstanke om att en personuppgift är oriktig eller missvisande. Den som utses skall alltså vara en kontaktperson, som de registrerade kan vända sig till om de misstänker alt en personuppgift är oriktig eller missvisande. Kontaktpersonen skall emellertid också ge bistånd på ett aktivt sätt till dem som vänder sig till honom. Även skriftliga felanmälningar bör handläggas av kontaktpersonen. Kontaktpersonen behöver inte vara anställd e.d. hos den regisleransvarige utan kan t.ex. arbeta hos ett daiaserviceföreiag som har hand om den tekniska bearbetningen av registret. Uppgift om vem eller vilka som är utsedda till kontaktpersoner skall hållas tillgänglig för allmänheten. Om inte datainspektionen meddelar en föreskrift om sättet (enligt 6 §), avgör den registeransvarige själv om uppgiften skall anges i telefonkatalogen, pä anslagstavla osv.

Femte styckel är nyll och behandlar undantag frän skyldigheterna i paragrafen. Som framgår av vad jag har anfört i den allmänna motiveringen tar den möjlighet alt meddela dispens som föreslås ankomma på datainspektionen främst sikte på fall som sakligt sett är i det närmaste jämställda med dem som avses i styckets första mening, dvs. då ett register har lämnats till en arkivmyndighet för förvaring. Jag vill emellertid inte utesluta att det kan förekomma andra mera särpräglade fall i vilka dispens kan vara motiverad.

Datainspektionen får med stöd av den föreslagna nya regeln i 6 § datalagen meddela föreskrifter om rättelse och annat som avses i 8 §.

23 §

Paragrafen reglerar skadeståndsansvar i vissa fall.

Enligl Jörsta stycket skall den registeransvarige ersätta skada som registrerad tillfogas genom att ett personregister innehåller en oriktig eller missvisande uppgift. Atl lagen anger att skadeståndsskyldighet kan förekomma även då en uppgift är missvisande är en nyhet. Begreppet missvisande har samma innebörd som enligt 8 § (jfr avsnitt 2.2). En bestämmelse om ersättning för lidande har flyttats till det nya tredje stycket.

Andra styckel är nytt. Enligt detta stycke skall, om någon tillfogas skada 21

genom brott mot 20 § första stycket eller 21 § datalagen, den som gjort sig Prop. 1986/87:116

skyldig till brottet ersätta skadan. Regeln överensstämmer med vad som

redan i dag torde följa av skadeståndslagen. Genom att ta in regeln i

datalagen får man möjlighet att - i därpå följande stycke — på ett enhetligt

sätt reglera frågan om ersättning för ideell skada vid brott som avses i

datalagen samt på grund av oriktig eller missvisande personuppgift.

Skadeståndsreglerna i första och andra styckena ger rätt lill ersättning för personskada, sakskada och ren förmögenhelsskada. I det nya Iredje stycket finns en särskild regel om atl man vid bedömande om och i vad mån skada enligt paragrafens första eller andra stycke har uppstått skall ta hånsyn även till lidande och andra omständigheter av annan än rent ekonomisk betydelse. När del gäller ersättning för skada enligt första stycket innebär detta ingen annan nyhet än alt regeln om ersättning för ideell skada har flyttats från första stycket. Däremot är det en ny regel att ersättning för ideell skada kan utgå enligt andra slycket, dvs. vid brott som avses i datalagen.

Att skadestånd i ett visst fall skall utgå enligl paragrafens andra stycke behöver inte utesluta att skadestånd kan utgå även enligt första stycket för samma förfarande. Som exempel kan nämnas att en regisleransvarig registrerar en personuppgift, som dels är oriktig eller missvisande och dels inte får registreras enligt vad datainspektionen föreskrivit för registret. Att uppgiften är oriktig eller missvisande kan grunda skadeståndsskyldighet enligt 23 § första stycket datalagen. Brottet mot datainspektionens föreskrift faller under straffbestämmelsen i 20 § första stycket datalagen och kan grunda skadeståndsskyldighet enligt 23 § andra stycket. I bägge fallen kan ersättning utgå även för ideell skada enligt tredje stycket.

Ikraftträdande

Ändringarna i datalagen innebär bl.a. att de registeransvariga i vissa fall måste utarbeta nya rutiner för rättelse av felaktiga uppgifter. Bl.a. skall kontaktmän utses och deras verksamhet organiseras. Detta motiverar att de registeransvariga får en relativt lång förberedelsetid, nämligen till den 1 januari 1988, innan ändringarna träder i kraft.

5 Hemställan

Jag hemställer att regeringen föreslär riksdagen att anta förslaget till lag om ändring i datalagen (1973:289).

6 Beslut

Regeringen ansluter sig till föredragandens överväganden och beslutar alt genom proposition föreslå riksdagen atl anta det förslag som föredraganden har lagt fram.

Bilaga I Prop. 1986/87:116

Data- och offentlighetskommitténs sammanfattning av betänkandet (SOU 1986:24) Integritesskyddet i informationssamhället 1

våra förslag i korthet

Inledning

Dala- och offentlighetskommitténs uppdrag omfattar elt slort anlal frågor. Vi har därför funnit att det är lämpligt att presentera våra förslag i form av delbetänkanden.

Vi lägger i vårt första delbetänkande fram förslag till ändringar i datalagen, skadeståndslagen och sekretesslagen. Förslagen gäller bl.a. den enskildes möjligheter att få rättelse och skadestånd när datorbaserade personregister innehåller uppgifter som är oriktiga eller missvisande. Förslagen gäller också bl. a. den enskildes skydd när patientuppgifter lämnas till olika personregister inom hälso- och sjukvården.

Rättelse

De föreslagna lagändringarna syftar till att göra del läitare för den som är registrerad i etl personregister som förs med hjälp av ADB att få rättelse när uppgifter som rör honom är felaktiga.

Vi föreslår att det hos varje regisleransvarig skall finnas en dataapsvarig som allmänheten kan få kontakt med. Den dalaansvarige skall hjälpa de registrerade att få rätlelse vid fel i registren. Vidare skall han övervaka rättelseruliner. Den dataansvarige skall också se lill all allmänheten fär behövlig information.

Vi föreslär även atl den regisieransvariges skyldighet atl rätta oriktiga uppgifter skall skärpas till den registrerades förmån. Bl. a. skall en oriktig uppgift alltid rättas i fortsättningen. Någon sådan skyldighet föreligger inte i dag. Dessutom skall uppgift som är missvisande utan atl vara oriktig, som hittills, rättas om det är motiverat med hänsyn till den registrerades personliga integritet. Förslaget innebär också atl den regisleransvarige, i större omfattning än hittills, skall underrätta den eller de som har fåll en oriktig uppgift frän registret.

Skadestånd

Vi föreslår ett tillägg i skadeståndslagen för att säkerställa möjligheten för den som blir utsatt för databrotl atl få ersättning för lidande m. m., dvs. ideellt skadestånd.

Nuvarande lydelse

Förekommer anledning till misstanke att personuppgift som ingår i personregister är oriktig, skall den regisleransvarige utan dröjsmål vidtaga skäliga åtgärder för att utröna uppgiftens riktighet och, om skäl föreligger, rätta den eller utesluta den ur registret.

Har uppgift, som rättas eller uteslutes, lämnats ut till annan än den registrerade, skall den registeransvarige på begäran av den registrerade underrätta mottagaren om rättelsen eller uteslutningen. Föreligger särskilda skäl, får dock datainspektionen befria den registeransvarige från sådan underrättelseskyldighet.

8§

Föreslagen lydelse

Förekommer anledning till misstanke att personuppgift som ingår i personregister är oriktig eller missvisande skall den registeransvarige utan dröjsmål vidta skäliga åtgärder för att utröna uppgiftens riktighet och tjänlighet för sitt ändamål. Oriklig uppgift skall rättas eller uteslutas. Missvisande uppgift skall rättas, ändras eller uteslutas om risk för olillböriigt intrång i personlig integritet föreligger.

Har uppgift, som rättas, ändras eller utesluts lämnats ut till annan än den registrerade, skall den registeransvarige pä begäran av den registrerade underrätta mottagaren om rättelsen, ändringen eller uteslutningen. Om risk för otillbörligt intrång i personlig integritet förehgger skaU sådan underrättelse alllid ske.

Hos den registeransvarige skall finnas en dataansvarig som bistår den registrerade vid misstanke om att personuppgift i personregister är oriktig eller missvisande och som övervakar att rättelse, ändring eller uteslutning enligt första stycket kommer till stånd.

Bestämmelserna i denna paragraf gäller inle register som har överlämnats till arkivmyndighet för förvaring.

Bestämmelserna i denna lag om skyldighet att ersätta personskada tillämpas också i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten, genom annat ofredande som innefattar brott, genom brytande av post- eller telehemlighet, intrång i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brottslig gärning. Lag (1975:404).

Bestämmelserna i denna lag om skyldighet att ersätta personskada tillämpas också i fråga om lidande som någon tillfogar annan genom brott mot den personliga friheten, genom annat ofredande som innefattar brott, genom brytande av post- eller telehemlighet, inträng i förvar eller olovlig avlyssning eller genom ärekränkning eller dylik brottslig gärning, eller genom brott mot datalagen.

Bilaga 3 Prop. 1986/87:116

Förteckning över remissinstanser som yttrat sig över data- och offentlighetskommitténs betänkande (SOU 1986:24) Integritetsskyddet i informationssamhället 1

Remissyttranden har avgelts av justitiekanslern (JK), Göta hovrätt, kammarrätten i Slockholm, Malmö tingsräu. dalainspeklionen. socialstyrelsen, riksskattéverket, riksarkivet, statskontoret, statistiska centralbyrån, länsstyrelserna i Värmlands län och Norrbollens län, riksdagens ombudsmän (JO). Svenska kommunförbundet, Göteborgs kommun, Malmö stad. Landstingsförbundet, Stockholms läns landsting, landslingei i Älvsborg, Landsorganisationen i Sverige (LO). Tjänstemännens centralorganisation (TCO), Centralorganisationen SACO/SR, Sveriges Industriförbund/ Svenska Arbetsgivareföreningen. Svenska Läkaresällskapet, Sveriges läkarförbund. Medicinska Forskningsrådei (MFR), Karolinska Institutet, Handikappförbundens Centralkommillé. Riksförbundet för Social och Mental Hälsa (RSMH), Esselte Soliditet AB, UC Upplysningscentralen AB, AB Svensk Upplysningsijänsl, Föreningen Arkivverksamma i Landsting och Kommun, Synskadades Riksförbund (SRF) och Medborgarrätts-rörelsen (MRR).

Riksarkivet har bifogat yttranden av landsarkiven i Uppsala, Visby och Härnösand samt Stockholms stadsarkiv.

Bilaga 4 Prop. 1986/87:116

Lagrådet

Utdrag ur protokoll vid sammanlräde 1987-03-13

Närvarande: f d. justitierådet Hesser. regeringsrådet Voss, jusiiiierådei Broomé.

Enligl protokoll vid regeringssammanträde den 5 mars 1987 har regeringen på hemställan av statsrådet Wickbom beslutat inhämta lagrådets yttrande över förslag till om ändring i dalalagen (1973; 289),

Förslagel har i lagrådet föredragits av hovrättsassessorn Claes Kring.

Lagrådet lämnar förslaget ulan erinran.

Sid. Prop. 1986/87:116

Innehållsförteckning

Proposition......................................................................... ...... I

Propositionens huvudsakliga innehåll................................ ...... I

Propositionens lagförslag................................................... ..... 2

Utdrag ur protokoll vid regeringssammanträde den 19 mars 1987 , , . . 4

1 Inledning......................................................................... 4

2 Allmän motivering............................................................ 5

2.1 Mina allmänna utgångspunkter................................. ..... 5

2.2 Rättelse av fel i personregister.................................. ..... 6

2.3 Skadestånd............................................................... ... 16

3 Upprättat lagförslag........................................................ 20

4 Specialmotivering............................................................ ... 20

5 Hemställan...................................................................... ... 22

6 Beslut.............................................................................. ... 22

Bilaga I DOK;s sammanfattning ...................................... ... 23

Bilaga 2 DOK:s lagförslag................................................... ... 24

Bilaga 3 Förteckning över remissinstanser......................... 26

Bilaga 4 Lagrådets yttrande ............................................ ... 27

Norstedts Trvckeri, Stockholm 1987 28