Motion till riksdagen
1989/90:K434
av Anders Björck m.fl. (m)
Personlig integritet i datasamhället
Inledning
Sverige framstår allt mera som den totala dataregistreringens förlovade land.
Ständigt växer antalet dataregister och oupphörligt ställer myndigheter krav
på att få samla in uppgifter och information om medborgarna.
På 1970-talet ansågs Sverige vara ett föregångsland när det gällde att upprätthålla
rimlig hulans mellan personlig integritet och dataregistrering. Sedan
dess har mycket hänt. Inget annat land har så mycket information om
enskilda individer samlade på dataregister. Inget annat land tillåter samkörning
mellan olika register i samma omfattning. Inget annat land har ett registersystem
som är så tillgängligt för vem som helst som det svenska. I vårt
land säljer myndigheter information som i andra länder betraktas som ytterst
personlig och i behov av integritetsskydd.
Visst kan det uppfattas som positivt att slippa sitta med den krångliga allmänna
självdeklarationen, som också har blivit allt mera invecklad. Många
människor känner säkert en stor lättnad över att sedan ett par år tillbaka få
använda den förenklade deklarationsblanketten. Det gäller miljoner
svenskar.
Hur många tänker på att detta blivit möjligt tack vare myndigheters allt
större insyn i människors privatliv? Datorer tar över, och i centrala och regionala
register finns sedan uppgifter lagrade. Hur mycket insyn i sitt privata
liv och i sina personliga förhållanden tål egentligen det svenska folket?
Moderata samlingspartiet har starkt varnat för utvecklingen som lett fram
till den situation där medborgarnas integritet allt mer urholkas. Vi har föreslagit
åtgärder avsedda att stärka den enskilda människans position. Våra
förslag har syftat till att människor skall få disponera en större personlig sfär,
att utrymmet för den personliga integriteten skall öka.
Våra förslag i denna motion har samma syfte. Vi redovisar här våra principiella
ståndpunkter i ett antal frågor av stor betydelse för medborgarnas integritet
och för deras situation i förhållande till myndigheter.
I bilaga 4 till budgetpropositionen 1990 har regeringen genom justitieministern
aviserat en proposition på grundval av data- och offentlighetskommitténs
olika betänkanden. Den beräknas komma att överlämnas till riksda
1* Riksdagen 1989/90. 3 sami. Nr K433-435
gen under våren 1990.1 det sammanhanget avser vi att föra fram våra ytterli- Mot. 1989/90
gare förslag om hur medborgarna kan få en starkare och mera integritets- K434
skyddad ställning i samhället.
Ny teknik väcker oro
Ny teknik väcker alltid oro hos en del människor. Fruktan för förändringens
eventuella negativa sidor ställer ibland krav på kontroll som kan leda till att
utvecklingens möjligheter försummas.
I ett land som Sverige med västvärldens mest omfattande offentliga sektor
är risken för detta betydande. Datatekniken ses av vissa snarare som ett medel
för kollektivets kontroll och planering av samhället, än som ett medel för
att stärka medborgarnas möjligheter att både kunna kontrollera den offentliga
makten och utnyttja ett ökat växande utrymme för den egna kreativiteten.
Detta har gett Sverige en i vissa delar bakvänd politik i frågor som rört
datateknikens användning. I stället för att stifta lagar till skydd för den enskildes
rättssäkerhet och integritet, har statsmakterna inte bara utnyttjat datatekniken
till att ytterligare utvidga ett redan omfattande uppgiftsinsamlande
och registrerande utan också till att underblåsa en föreställning om att
det åvilar statsmakterna att planera för datoranvändandet i det svenska samhället.
Datatekniken har snarare använts för centralisering än för det decentraliserade
och öppna samhälle den ger möjlighet till.
Det finns betydande skäl att vända sig emot en sådan utveckling. Statsmakternas
uppgift bör primärt vara att tillse att ny teknik - det må vara såväl
datorteknik som annan ny teknik - inte inkräktar på medborgarnas rätt till
liv, egendom eller integritet. Det är huvudsakligen inom dessa områden som
vi i denna motion för fram konkreta krav på förändringar.
Offentlighetsprincipen och sekretessen
Det är angeläget att skapa en ökad förutsebarhet vad gäller innehållet i
ADB-baserade offentliga handlingar genom att hårdare än i dag knyta myndigheternas
ADB-hantering till ändamålet för de insamlade uppgifterna.
Detta kan ske på följande sätt:
- genom registerlagar kan de enskilda myndigheternas ADB-register och
ADB-hantering regleras. Genom att myndighetens ADB-hantering i lag
preciseras till myndighetsutövningen begränsas myndighetens möjlighet
att sammanställa nya handlingar. Denna begränsning gäller givetvis mot
den enskilde om den också gäller gentemot myndigheten.
- datainspektionen bör genom föreskrifter reglera vilka handlingar och samkörningar
som en myndighet får göra. Dessa föreskrifter kan komplettera
registerlagar, eller i vissa fall ersätta dem.
- insamlade uppgifter skall användas av den myndighet som insamlat dem.
Ändamålsknytningen bör leda till att utbytet av information mellan myndigheter
begränsas. Sekretesslagen bör skärpas i detta avseende. Myndigheter
bör som princip själva samla in de uppgifter de behöver för sin myndighetsutövning
i stället för att använda sig av den offentlighetsprincip som
skall vara medborgarnas möjlighet att kontrollera myndigheterna.
Det finns enligt vår mening starka skäl för att en myndighet skall inhämta Mot. 1989/90
personuppgifter direkt från den enskilde och inte från andra myndigheter. K434
Detta bör framgå i berörda myndigheters instruktioner. Vad som här anförts
angående en mer precis knytning av myndigheters dataanvändning till den
egna myndighetsutövningen och ändamålet med insamlade personuppgifter
bör riksdagen som sin mening ge regeringen tillkänna.
Det finns utöver detta anledning att diskutera formerna för hur sekretessbelagd
information på data skyddas samt under vilka former sekretessbelagd
information lämnas ut.
De tekniska möjligheterna till intrång ger anledning till oro. Vid ett antal
olika fall har det funnits anledning att rikta kritik mot vissa myndigheters
sätt att hantera sekretesslagen, när de lämnar ut sekretessbelagda uppgifter
till olika register.
Hälso- och sjukvårdssekretessen ställer krav på en menbedömning för
varje person som man lämnar ut uppgifter om. Detta sker uppenbarligen
inte i de fall då stora informationsmängder överföres från ett register till ett
annat.
Den mest uppseendeväckande nonchalansen av de krav som sekretesslagen
ställer är delar av den uppgiftslämning som idag sker till socialstyrelsens
forskning- och statistikregister från landstingen. Sedan data- och offentlighetskommittén
i sitt betänkande SOU 1986:24 påtalat att den uppgiftsöverföring
det här gäller inte är förenlig med sekretesslagen, har inget påtagligt
skett från vare sig regeringens eller myndigheternas sida.
Dock förs ej längre nya uppgifter till det slutenvårdsregister vid socialstyrelsen
till vilket uppgifter tidigare insamlades från landstingen. Uppgiftsinsamlingen
upphörde sedan först Älvsborgs och därefter ytterligare landsting
protesterat mot förfarandet.
Uppgiftslämnandet inom och mellan hälso- och sjukvårdens olika myndigheter
måste följa gällande sekretesslag. Regeringen bör därför omgående ta
initiativ till nya informationsrutiner mellan socialstyrelsen och sjukvårdens
olika myndigheter. En förutsättning för centrala register av det slag det här
gäller bör vara att de har stöd i en särskild registerlag.
Enligt budgetpropositionen 1990 avses den proposition om sekretessfrågor
som aviseras till våren 1990 bland annat innehålla en översyn av möjligheterna
att lämna sekretessbelagda uppgifter mellan myndigheterna inom
hälso- och sjukvården. P.g.a. den tid som förflutit sedan det klargjordes att
delar av landstingens uppgiftslämnande till socialstyrelsen inte är förenligt
med sekretesslagen, är det nu nödvändigt att detta arbete sker skyndsamt
och att människors berättigade intresse av personlig integritet tillvaratages.
Riksdagen bör ge regeringen till känna vad som här anförts.
Den bristande överensstämmelsen mellan sekretesslag och tillämpning i
detta fall - där verksamheten är organiserad och noga planlagd och utredd ger
anledning att misstänka att en bristande överensstämmelse föreligger
även i andra fall, där bedömningen görs från fall till fall i en betydligt svårare
beslutssituation i det vardagliga arbetet.
I detta sammanhang skall noteras att det kan finnas vissa nödvändiga sekretessgenombrottskrav
inom hälso- och sjukvården. Det kan exempelvis
5
gälla när sekretessen skyddar läkemedelsmissbrukare från att få avbrott i sin Mot. 1989/90
läkemedelsförsörjning. K434
Regeringen bör ta initiativ till en översyn av hur svenska myndigheter tilllämpar
sekretesslagstiftningen. Det finns två viktiga skäl till detta. Dels
skulle en sådan översyn leda till en bättre tillämpning, dels skulle regering
och riksdag få en bättre bild av hur den sekretess fungerar som ibland är en
förutsättning för inrättandet av vissa datasystem. Vad som här sagts om en
översyn av myndigheternas tillämpning av sekretesslagstiftningen bör riksdagen
som sin mening ge regeringen tillkänna.
Kryptering
Det finns emellertid ytterligare ett annat problem som följer av kommunikationen
i stora datasystem och sekretessbelagda informationer.
Risken för att hemliga uppgifter kan tappas ur olika dataregister kommer
troligtvis aldrig att kunna förebyggas helt samtidigt som vissa register måste
finnas till. Frågan om kryptering av sådan känslig information är därvid av
stort intresse. Inom statistiska centralbyrån har man arbetat med att utveckla
olika ”säkra” krypteringsmetoder.
Enligt vår mening är emellertid säker och trovärdig kryptering endast en
metod för bättre säkerhet. Kryptering kan därför inte användas som argument
för inrättandet av fler register och insamlande av fler uppgifter. Däremot
bör sådana metoder användas när de kan ge större säkerhet åt information
som finns insamlad i befintliga register. Det bör inte nödvändigtvis gälla
enbart forsknings- och statistikregister. Ett alternativ till kryptering ärutgallring
av känsliga uppgifter efter en viss tid eller när myndigheten inte längre
behöver uppgiften i sådana verksamheter som inte främst rör traditionell
myndighetsutövning utan där den enskilde snarare står i ett slags kundförhållande
till myndigheten. Den typen av register bör i görligaste mån avidentifieras
när så är möjligt. Ett exempel på denna typ av register är biblioteksverksamheten.
Utlåningsregister bör sekretessbeläggas och gallras kontinuerligt.
Ytterligare ett alternativ för att skydda känsliga personuppgifter är att den
enskilde bär dem med sig. Inte minst inom sjukvården skulle detta kunna
vara ett alternativ med hjälp av s.k. ”smärt cards”.
Ett förfarande där sådana elektroniska kort blir bärare av vissa patientuppgifter
skulle kunna kombineras med datasystem som är decentraliserade
för varje sjukvårdsklinik. Genom ett sådant system skulle de som är närmast
berörda i vården av en patient - patienten och den aktuella kliniken - ha en
kontroll över patientjournalens uppgifter. Samtidigt skulle man genom ett
system med elektronisk post - men med beaktande av sekretesslagens krav möjliggöra
överföring av information till och från kliniker.
Formerna för uppgiftslämnandet enligt sekretesslagen lämnar ur den enskildes
perspektiv mycket i övrigt att önska. Beslut om uppgiftslämnande
fattas av myndigheten utan möjlighet för den registrerade - som lämnat uppgifter
i tron att dessa skall stanna hos myndigheten - att reagera. Det finns
därför anledning att överväga dels en underrättelse till den registrerande,
6
dels en besvärsrätt, så att prövning kan ske av annan instans än den utläm- Mot. 1989/90
nande myndigheten. Vad sorn i frågan om underrättelse till enskild och be- K434
svärsrätt anförts bör ges regeringen till känna.
Datalagen räcker inte!
Den nuvarande datalagen trädde i kraft 1973. Den är avsedd att vara ett
skydd gentemot otillbörliga intrång i den enskildes integritet vad avser
ADB-baserade personregister. Lagen slår bl.a. fast vad gäller begreppet
otillbörligt intrång att inställningen som föreligger, eller kan antas föreligga,
hos dem som kan registreras skall beaktas vid bedömningen av vad som är
otillbörligt intrång.
Den svenska datalagstiftningen bygger i grunden på att det allmänna anses
ha en rätt att insamla information om den enskilde och lagra samt sprida
denna information på det sätt som det allmänna anser vara i den enskildes
eller i det allmännas intresse. Den enskildes integritetsskydd bygger på principen
att ett offentligt organ - datainspektionen - slår vakt om den enskildes
intresse och uttolkar vad som är att betrakta som otillbörligt intrång.
Denna lagstiftning skiljer sig från en lagstiftningssyn som bygger på att den
enskilde ges en rätt att själv avgöra hur personliga uppgifter skall hanteras.
Denna syn har i stället kommit att dominera internationell debatt om t.ex.
forskningens tillgång till känslig information. Informerat samtycke har som
begrepp sina rötter i en rättighetsbaserad integritetssyn som skiljer sig från
den i Sverige dominerande.
Den oro och den debatt som präglat diskussionen om dataanvändning har
inte bara sin grund i att det i Sverige finns många centrala datasystem utan
också i att den enskilde faktiskt inte har någon annan rätt som han själv kan
utöva annat än rätten till sk §10-utdrag. Det skydd datalagen ger den enskildes
integritet har i praktiken genom utvecklingen mot allt fler stora register
och en alltmer omfattande offentlig registrering försvagats i sådan omfattning
att den inte fungerar som ett skydd för den enskildes integritet längre.
Datalagens bristande förmåga att ge ett skydd för den enskildes integritet
leder till att utrymmet för den enskildes integritet och personliga sfär steg
för steg blir allt mindre. Myndigheternas kunskaper om den enskildes privatliv
är redan i dag större i Sverige än i något annat land. Orsaken till detta är
att den normale medborgaren för den större och den viktigare delen av sin
välfärd är beroende av den offentliga sektorns utformning och dess fördelning
av välfärden.
Enligt datainspektionens bedömningar uppgick redan för något år sedan
det totala antalet personregister i kommunal regi till 8 000. Dessa register
innehåller till en mycket stor del integritetskänsliga uppgifter. Landets socialnämnder
har t.ex. 1 500 register, skolstyrelserna 1 200. Det handlar om inkomster,
förmögenheter, sociala problem, flyktingars förhållanden, elevers
betyg och mycket mer. Landstingen har register för sjukvården, omsorgsverksamheten
och tandvården. Syftena är administration, den medicinska
vården eller omsorgen som sådan samt forskning, planering och statistik.
Av allt att döma kommer personregistreringen på bara det landstingskommunal
och kommunala området att expandera kraftigt. Under perioden 1/7
1987 till mars 1988 fick datainspektionen 170 ansökningar om tillståndspliktiga
register. Det gäller alltså här register som innehåller uppgifter som enligt
datalagen är att anse som integritetskänsliga.
Datainspektionen konstaterar i sin redovisning av tillsynsprojektet ”Personregister
i kommuner och landstingskommuner 1987” att detta motsvarar
en årlig tillväxt av 210 integritetskänsliga register i landet.
Detta är dock bara en del av den offentliga registeruppbyggnaden. En lång
rad olika centrala register är under uppbyggnad eller drift.
- för ett par år sedan lagstiftades om kronfogdemyndigheternas utsökningsregister,
som ger terminalåtgång över hela landet med ett delat registeransvar
mellan Riksskatteverket och de enskilda kronofogdemyndigheterna
- fritidsbåtsregistret har till dyra kostnader - som överstiger intäkterna - tagits
i drift
- socialstyrelsens centrala slutenvårdsregister för hela riket väntar på ett
klartecken
- inom riksförsäkringsverket driver man på för att få ta i bruk ett yrkesregister
över hela befolkningen
- starka krafter är i gång för att tillskapa ett lägenhetsregister över befolkningen
inom ramen för centralnämnden för fastighetsdata. Avsikten är att
folkbokföringen i fortsättningen ska kunna föras på lägenhet
- inom landstingssidan är en uppbyggnad av patientadministrativa register
under gång, vilka i många fall medför att journaluppgifter inte längre står
under den enskilda klinikens kontroll
Inom i stort sett varje samhällssektor är centrala register under fortsatt uppbyggnad.
Det sker utifrån en situation där vi i Sverige redan i dag torde ha
världens mest omfattande personregistrering.
- rättsväsendet har ett omfattande rättsinformationssystem, som bland annat
innefattar databehandling av domar och beslut i brottmål, uppgifter
om misstänkta för brott
- polisväsendet har numera bland annat polisens förspaningsregister
- inom försvaret finns register för inskrivning och redovisning av värnpliktig
personal
- vid våra universitet och högskolor finns bland annat ett system för studiedokumentation,
statistik och lokal antagning, STUDOK, som liksom STIS
(studiestödets informationssystem) innehåller uppgifter i betydande uppfattning
om de studerande
- statens person- och adressregister (SPAR) innehåller 22 olika uppgifter
förutom namn och innefattar i princip landets alla medborgare. Registret
har som ändamål att så mycket som möjligt sprida personuppgifter som
kommit in som en följd av olika myndigheters verksamhet. Registret finns
nämligen enbart för kommersiella syften.
- inom den allmänna försäkringen finns hos Riksförsäkringsverket register
för bidrag, pensioner och sjukförsäkring. På grund av de olika bidragssystemens
komplexitet finns en betydande mängd uppgifter registrerade.
Från dessa register lämnas kontinuerligt uppgifter genom ADB bl.a. till:
- arbetsmarknadsstyrelsen - Bankgirocentralen - bostadsstyrelsen - cen
Mot. 1989/90
K434
8
trala studiestödsnämnden - civilförvarsstyrelsen - DAFA - Kommun-Data Mot. 1989/90
Aktiebolag - kommuner och landsting - Kommunernas pensionsanstalt - K434
kriminalvårdsstyrelsen - skattemyndigheter, socialförvaltningar och ett 20tal
andra myndigheter och organisationer.
Det finns förutom de här angivna registren ett ytterligare stort antal andra.
I mycket stor utsträckning bygger de på att uppgifter förs från ett register till
ett annat. De bildar därmed ett nästintill oöverskådligt nätverk som för den
enskilde är i det närmaste ogenomträngligt. Statens försäljning av personuppgifter
ökar spridningen av dessa uppgifter, som ursprungligen insamlats
för helt andra ändamål.
Registrens syfte är framförallt kontroll
Syftet med alla dessa register, och de informationssystem som de i olika konstellationer
skapar, är i huvudsak kontroll och administration. I betydande
utsträckning används de också för att bygga upp forsknings- och statistikregister.
Inom SCB finns till exempel många olika personregister för statistik och
forskning. Det gäller undersökningen om levnadsförhållanden (ULF), register
om skatter och inkomster, förmögenheter eller utbildningsnivåer. De regelbundna
folk- och bostadsräkningarna finns också med som en viktig del i
uppbyggnaden av statistikregister.
Felaktig föreställning
Listan på register kan göras betydligt längre. Det finns emellertid inget ont
uppsåt i alla dessa register som definitionsmässigt skadar den enskildes integritet.
I de allra flesta fall leder de till att en nödvändig hantering av information
görs på ett effektivt och säkert sätt. De bygger däremot på den i grunden
principiellt felaktiga föreställningen om att medborgarna skall kontrolleras
och att deras välfärd skall administreras.
De bidrar därmed till framväxten av ett välfärdssystem som bygger på planering
och politisk hushållning under former som i grunden ingen längre tror
på - inte ens vad gäller effektiviteten - och som ytterligt få vill ha.
Medborgarnas inställning till den ständiga utbyggnaden av stora register
är enkel och klar. En mycket stor majoritet uppger vid olika opinionsundersökningar
att de känner en olust eller känner sig skrämda inför myndigheternas
register.
Datalagens brister
- Samtidigt som datalagen uppenbarligen inte förmår skydda den enskilde
mot ständigt nya krav leder den också till absurda effekter som står i en
motsats till en förnuftig och rimlig databehandling. Diskussionen om huruvida
Dagens Eko skulle få lov att ha ett sändningsregister på data är ett
sådant exempel.
- Den moderna text- och ordbehandlingen leder i praktiken till att ständigt
nya personregister uppstår utan att detta rimligtvis kan skapa intrång i enskildas
integritet. Problemet är att datalagen hanterar den omöjliga uppgiften
att reglera hur en viss teknik skall användas.
- I stället för att precisera och skydda den enskildes rätt anger datalagen snarare
under vilka former som tillstånd skall beviljas eller avslås. En annan
betydande svaghet är att datalagen inte skiljer mellan den information som
sprids som ett naturligt och självklart led i det öppna samhället och de uppgifter
som vi i förtroende, för särskilda ändamål eller under tvång, lämnar
ifrån oss.
- Datalagen ger inte den enskilde en rättslig ställning i skyddet av sitt privatliv
utan ger istället ett beroende till datainspektionens, och i besvärsfall
regeringens, avvägningar mellan den enskildes och andras intressen. Långsiktigt
leder detta till att information om den enskilde insamlas, behandlas
och används för ett ständigt växande antal ändamål.
Datalagen fungerar inte längre. Den ger inte det skydd som den enskildes
rätt och integritet kräver.
Lagar i motsatsställning
Ett tämligen färskt exempel av annat slag som visar att datalagen inte fungerar
- och dessutom står i motsatsställning till annan lagstiftning - utgör datainspektionens
beslut under 1989 att ej medge Vestmanlands Läns Tidning
tillstånd att använda registret ”VLT Data-klipp” som en databas för allmänhetens
bruk. Detta drabbar den enskilde medborgarens möjligheter att
orientera sig i samhällsdebatten på villkor som är likvärdiga med journalisters
och politiska makthavares motsvarande möjligheter.
Eftersom datalagen här står i motsats till tryckfrihets- och yttrandefrihetsprincipen
så måste datalagen ändras. I det här fallet är det datatekniken som
sådan och lagens utgångspunkt just i denna teknik som förorsakar konflikten.
Lagen måste i mindre utsträckning baseras på tekniken och i högre grad
inriktas på att ge enskilda människor möjlighet att få tillgång till sådan information
som yttrande- och tryckfrihetslagstiftningen föreskriver.
Konsekvenserna av datainspektionens beslut är att den enskilde får en
sämre ställning i det framväxande informationssamhället än vad massmedia
och det politiska etablissemanget kommer att ha. I praktiken kommer beslutet
att medföra att informationsdatabaser med modern datateknologi inte
kommer att vara möjliga i Sverige. Detta anser vi vara till ett betydande men
för svensk samhällsdebatt och för svenska medborgares tillgång till information.
Enligt vår mening strider datainspektionens beslut mot ett betydande allmänintresse
som i andra sammanhang kommer till uttryck genom tryckfrihetens
och yttrandefrihetens principer. Datainspektionens beslut innebär nämligen
inte bara en begränsning av nya medias möjligheter att med tryckfriheten
och yttrandefriheten som grund förmedla information. Beslutet kommer
att försvåra för den enskilde i informationssamhället utan att det för den
skull ger något egentligt integritetsskydd.
Det finns två skäl för varför datainspektionens beslut inte kommer att
medföra något egentligt integritetsskydd. För det första innebär beslutet
ingen begränsning vad gäller tillgången till textdatabaser för den grupp som
yrkesmässigt kan ha anledning att samla information och i vissa fall inhämta
Mot. 1989/90
K434
10
känsliga personuppgifter om enskilda medborgare, och som har möjlighet Mot. 1989/90
att ge information vid spridning. Beslutet berör inte den yrkesmässige publi- K434
eisten, bara den enskilde medborgaren.
För det andra är innehållet i tidningarnas textdatabaser material som redan
tidigare har publicerats inom ramen för tryckfrihetslagstiftningen. Det
innebär att det är offentliggjort och allmänt känt. Till skillnad från offentliga
personregister bygger uppgifterna inte på personuppgifter som den enskilde
obligatoriskt haft att lämna ifrån sig, under laglig tvång eller under vissa förutsättningar.
De uppgifter som publicerats är till den allra största delen uppgifter,
som över huvud taget inte har med den enskildes integritet att göra.
Tvärtom handlar det till den största delen om uppgifter som naturligen eller
frivilligt blivit offentliga, t.ex. genom intervjuer, artiklar, anföranden eller
referat från offentliga arrangemang.
Det är en paradox att sådana uppgifter, som den enskilde tvingas lämna
ifrån sig, kan komma att bli offentligt tillgängliga - inom ramen för offentlighetsprincipen
- t.ex. i statens person- och addressregister (SPAR) medan
statsministerns offentliga löften om skattetryck och momshöjningar kan
komma att skyddas av datalagen från enskilda medborgares insyn.
För oberoende grupper och för enskilda medborgare, som står utanför de
etablerade institutionerna i vårt samhälle, kommer denna tillämpning av datalagen
att medföra ett underläge som enligt vår mening strider mot väsentliga
allmänna intressen. Dessa allmänintressen är av den betydelsen att datainspektionen
borde ha beviljat tillstånd för Vestmanlands Läns Tidning även
i den del som gäller allmänhetens tillgång till databasmaterialet.
Tryckfrihetsprincipen och yttrandefriheten måste nämligen anses vara
tyngre vägande i sådant här fall än datalagens bestämmelser. Skyddet av
känsliga personuppgifter kan åstadkommas genom föreskrifter som i dessa
fall begränsar sökbarhet och som anger när gallring skall ske. Detta kan göras
på motsvarande sätt som görs gentemot tidningens egna användare. Då
kommer den enskilde medborgaren inte i en sämre ställning, vad gäller tillgången
till information, än massmedia och offentliga makthavare.
Vad är integritet?
Begreppet integritet i dess snävare perspektiv, så som det används vid diskussionen
om data och integritet, löper parallellt med begreppets egentliga
betydelse. Hoten mot den enskildes dataintegritet uppkommer ju därför att
hans integritet i vidare bemärkelse är inskränkt vad gäller hans förmåga att
själv styra över sin välfärd. När den enskilde blir ett objekt för det offentligas
värderingar och åtgärder ställs krav på information och offentlig insyn i privatlivet.
Denna insyn blir ett intrång i medborgarens integritet. Den omvända bevisbörda
som registerlösningar leder till försätter den enskilde i underläge.
Ovissheten om vad andra vet skapar rädsla för en Storebror som vet allt.
Beroendet av den offentligt fördelade välfärden och beroendet av att leva
upp till vissa kriterier, för att få del av välfärden, är intrång i den personliga
integriteten.
Det är emellertid ofrånkomligt att integriteten til syvende og sidst är en
subjektiv upplevelse. Vad som kan kännas kränkande och känsligt för en kan Mot. 1989/90
vara likgiligt för en annan. Mot den bakgrunden kan man för de samman- K434
hang som här avses definiera integriteten som:
- graden av den enskildes förmåga att själv avgöra andras insyn i den personliga
sfären samt
- graden av den enskildes möjlighet att kontrollera var lämnade uppgifter lämnad
insyn - tar vägen och vem som därmed tar del av dem.
Med denna definition är det enkelt att se att frågan om den enskildes integritet
inte nödvändigtvis beror av datatekniken som sådan, även om denna sätter
viktiga frågeställningar i fokus.
Det är formerna för överföringen från den enskilde och behandlingen av
uppgifter som är det intressanta, inte tekniken och programmen. Kommunikationen
mellan myndigheter av olika uppgifter är till exempel mer relevant
att diskutera än den teknik som uppgifterna är lagrade på, även om vi kan
konstatera att denna kommunikation inte hade kunnat ske utan datatekniken.
En lag som reglerar tekniken blir för trubbig. Den kan inte skydda tillräckligt
samtidigt som den hindrar sådan användning av datatekniken som knappast
kan anses vara ett hot mot den enskildes personliga sfär. Uppgifter på
data blir inte integritetskränkande bara för att de förs på data. Datalagen
behöver därför ersättas med en integritetslag.
En ny integritetslag
Det verkar i dag finnas en utbredd medvetenhet om att datalagen i dess nuvarande
form inte längre fungerar. Inte minst utvecklingen av datatekniken
har gjort lagen svårhanterlig. Enligt vår mening räcker det inte med att reformera
datalagen. Istället bör den ersättas av en vidare integritetslag. En ny
integritetslag bör bygga på följande element:
Reglera den enskildes rätt
En ny integritetslag bör i första hand ta sikte på att reglera den enskildes rätt
över den information som han i olika sammanhang lämnar i från sig. Den
bör därför göra skillnad på normala personuppgifter som exponeras för
andra genom vardagslivets normala aktiviteter eller genom det offentliga livets
villkor och sådana personliga uppgifter som den enskilde lämnar under
vissa förutsättningar och för ett visst ändamål.
Det är viktigt att användningen av uppgifter av det förra slaget regleras
utan att yttrandefrihet och tryckfrihet sätts ur spel i datoriserade informationssystem.
En författare eller journalist måste inom ramen för vår tryckfrihetslagstiftning
kunna hantera allmänt känd personinformation även med
den nya informationsteknologin utan att han för den skull bryter mot lagen.
Det skydd som datalagen i dag ger vad gäller registrering av uppgifter av
mer känslig och privat natur bör givetvis finnas även i en integritetslag. Skyddet
bör framförallt ta sikte på spridningen och tillgängligheten av sådana
uppgifter och avse såväl privata som offentliga registeransvariga. Register 12
med uppgifter av denna typ bör i princip enbart förekomma om de reglerats
i lag eller byggts upp genom informerat samtycke.
Uppgifter som den enskilde själv lämnat ställer däremot andra krav på den
enskildes rättsliga ställning. Sådana uppgifter som den enskilde lämnar ifrån
sig lämnas under vissa förutsättningar, det må vara inom ramen för avtal, ett
förtroende eller myndighetsutövning. De bör kunna ses som hans ”egendom”
och han bör kunna ha en stark ställning i frågan om hur sådana uppgifter
skall användas.
Ändamålet skall styra användningen
Oavsett om uppgifter lämnats till privat eller offentlig verksamhet bör det
ursprungliga ändamålet vara styrande för hur uppgiften får användas och behandlas.
Datalagens nuvarande ändamålsstyrning bör i en ny integritetslag
vara central och betydligt fastare än i dag ange hur insamlade uppgifter får
användas.
Informerat samtycke
Information skall endast få användas på annat sätt än det ursprungliga ändamålet
under förutsättning att den enskilde samtycker eller om det föreskrivs
i lag. I forskningssammanhang skall passivt samtycke under vissa förutsättningar
kunna användas.
Uppgifter direkt från medborgaren
En klarare ändamålsstyrning leder till att myndigheter inte som i dag får utbyta
uppgifter om den enskilde om det inte anges i lag. Principen bör vara
att den som skall använda uppgifter - i privat eller i offentlig verksamhet också
skall samla in dem från medborgarna.
Användarens ansvar
Användarens ansvar för att insamlade uppgifter används för ändamålet och
inget annat bör stärkas. Statlig försäljning av personuppgifter bör till exempel
inte kunna vara möjlig.
Den enskildes rätt
Den enskildes rätt att själv bestämma över hur personliga uppgifter används
och sprids måste bli större. Den enskilde bör till exempel ha rätt att överklaga
utlämnandet av egna personuppgifter om de är sekretessbelagda eller
om utlämnandet sker myndigheter emellan. Han skall också kunna vidtaga
rättsliga åtgärder mot registeransvariga i den enskilda sektorn, som använder
insamlade uppgifter för ett annat ändamål och utan samtycke.
En ny integritetslag bör bygga på datalagens grundläggande principer och
syften. Den bör syfta till att ge den enskilde en stark rättslig ställning i det
moderna informationssamhället i stället för att som i dag vara beroende av
avvägningar som görs av andra. Vad som här anförts angående en ny integritetslag
bör riksdagen ge regeringen till känna.
Mot. 1989/90
K434
13
Mot. 1989/90
K434
Begränsa uppgiftslämnandet
Det avgörande hotet mot den enskildes integritet är när han eller hon tvingas
lämna ifrån sig personliga uppgifter. När uppgifterna väl är lämnade har den
enskilde inte längre någon kontroll eller egentlig kunskap om hur de används.
Ny lagstiftning kan t.ex. tillkomma som medger nya användningsområden
av insamlade uppgifter. Intrång i integriteten kan ske genom att sekretesskyddet
fungerar dåligt. Tillstånd till nya samkörningar mellan olika dataregister
kan lämnas. Behörighetssystem kan vara bristfälliga. Sekretess, som
tidigare har rått, kan hävas. Mot denna bakgrund är det nödvändigt att
minska myndigheternas rätt att insamla, registrera, lagra och vidarebefordra
personuppgifter.
Regeringen bör därför tillsätta en delegation med uppgift att föreslå
minskningar i medborgarnas uppgiftsskyldigheter.
Grundlagsskydd
Frågan om ett grundlagsskydd för den enskildes integritet ligger på riksdagens
bord. Den överenskommelse som förslaget bygger på skulle enligt vår
mening kunnat vara mer långtgående vad gäller att styra användningen av
insamlade uppgifter i ett register till det ändamål de insamlats för. Det finns
dock ett betydande symbolvärde och även en praktisk betydelse i det nu liggande
förslaget som motiverar vår uppslutning bakom det.
Undantag från tillståndskravet
Datainspektionen har i särskild skrivelse till regeringen lämnat förslag till
vissa ändringar i datalagen syftande till undantag från kravet på tillstånd i
sådana fall där såväl tillstånd som föreskrifter meddelas enligt praxis. Enligt
vår uppfattning skall dessa undantag göras av riksdagen genom ändringar i
datalagen och ej genom att regering eller datainspektion ges rätt att bevilja
undantag från datalagens tillämpning. Vi återkommer i denna fråga i den
mån regeringen lämnar riksdagen förslag om sådana undantag.
Särskilda och synnerliga skäl
Samtidigt vill vi påpeka att det idag finns skäl att utnyttja den praxis som
utvecklats sedan datalagens tillkomst till att precisera datalagen och därmed
ge den en starkare ställning.
Förändringar i nuvarande lagstiftning
Vi vill i det följande peka på åtgärder som vi, i avvaktan på en ny integritetslag,
bedömer som angelägna i syfte att anpassa datalagen och annan lagstiftning
till de problem som idag möter skyddet av den enskildes integritet. En
stor del av dessa frågor ligger idag på regeringens bord. Detta gäller frågan
om en personnummerbegränsning, försäljningen av personuppgifter och
metoden att med särskilda registerlagar ge riksdagen kontroll över stora centrala
register. Det gäller också frågan om undantag från datalagens krav på
tillstånd.
Detta kan ske genom att man bättre än idag definierar begreppen sär- Mot. 1989/90
skilda och synnerliga skäl för tillstånd enligt datalagen. Härigenom kan man K434
på en gång uppnå en bättre ändamålsstyrning och samtidigt vinna en ökad
klarhet i datalagen. Sådana förändringar av datalagen kan ske samtidigt som
riksdagen beslutar om undantag från tillståndskravet.
Provning av datainspektionens beslut
Vad gäller prövningen av datainspektionens beslut menar vi att denna bör
ske strikt enligt datalagen utan politiska avvägningar. Det finns idag en sådan
erfarenhet och praxis av datalagens tillämpning att regeringsrätten och
inte regeringen bör vara besvärsinstans. Datalagens skydd av den enskildes
integritet blir starkare om prövningen av datainspektionens beslut enbart
sker efter datalagen, utan de politiska värderingar en regering tenderar att
göra.
Registerlagar
Vi har tidigare pekat på det angelägna i särskilda registerlagar, som dels ger
det lagliga stödet till uppgiftsinsamlingen som sådan och dels beskriver under
vilka former de insamlade uppgifterna får registreras och användas. Genom
ett system med registerlagar får riksdagen kontroll över utvecklingen
inom området.
I sådana registerlagar kan anges om uppgifterna får lämnas ut utan den
enskildes informerade samtycke och om uppgifterna får samköras med
andra register utan informerat samtycke.
Begränsa personnummeranvändningen
Personnumret har för många kommit att bli en symbol för ett datasamhälle
där den enskilde anonymiseras och blir till ett nummer utan namn, ständigt
utsatt för myndigheters kontroll och insyn, utan någon annan identitet än sitt
personnummer. Förekomsten av denna känsla behöver inte överdrivas. Den
är ändå ett skäl till försiktighet med personnummeranvändningen.
Det finns också betydligt mer konkreta skäl att begränsa personnummeranvändandet.
Som identifikationsbegrepp har personnumret en särställning.
Den utbredda användningen av personnumret - där personnumret faktiskt i
många fall fått ersätta namnet - leder till att den enskilde i en mängd sammanhang
lämnar efter sig ett unikt identifikationsbegrepp, tillsammans med
känsliga eller okänsliga personuppgifter, när namn och adress hade räckt för
det syfte man lämnar uppgifterna till. Genom att detta unika identifikationsbegrepp
används inom alla samhällsområden skapas en möjlighet till insyn,
kontroll och spårning av enskilda personer som ur många perspektiv är
skrämmande. Detta är inte en följd av personnumrets tekniska uppbyggnad
utan av dess effektivitet att helt entydigt identifiera en individ.
Personnumret ger dessutom tekniska förutsättningar som underlättar
samköming även om det inte alltid är en förutsättning för detta. Det är betecknande
att de som starkast understryker hur lätt det är att samköra med
andra identifikationsbegrepp ofta samtidigt pekar på de svårigheter en begränsning
av personnummeranvändningen skulle innebära.
Enligt vår mening är det inte fråga om att avskaffa personnumret utan att Mot. 1989/90
begränsa dess användning. Det är ett effektivt identifikationsbegrepp som K434
ska användas där den typen av säker identifikation är nödvändig. En begränsning
av personnummeranvändningen bör i stället bygga på att endast
vissa registeransvariga, genom särskilt lagstöd, får kräva personnummer. I
övrigt bör användningen av personnummer vara frivillig.
Trots utredningsförslag i denna fråga har regeringen ännu inte lämnat något
förslag angående personnummerbegränsning. Riksdagen borde ge regeringen
till känna vad som här anförts.
Försäljning av personuppgifter
Stat och kommun ägnar sig idag åt att aktivt sprida insamlade uppgifter genom
att kommersiellt försälja dem.
Vi anser det principiellt felaktigt att det offentliga på detta vis säljer delar
av enskilda medborgares privatliv. Offentlighetsprincipen ger inget stöd för
en sådan försäljning. Tvärtom riskerar försäljningsverksamheten att skapa
en ”lyxklass” där vissa medborgare kan köpa offentliga handlingar i en form
som offentlighetsprincipen inte ger den enskilde möjlighet att kräva.
Data- och offentlighetskommittén har lämnat förslag om en begränsning
av försäljningen ur personregister. Begränsningen innebär i själva verket en
legalisering av nuvarande försäljningsverksamhet. Genom att man inte tagit
ställning till offentlighetsprincipens handlingsbegrepp innebär kommitténs
förslag vare sig någon begränsning eller kontroll av vilka uppgifter och vilken
information som får säljas.
Det är enligt vår mening ytterst betänkligt att myndigheter försäljer uppgifter
som insamlats för speicella myndighetsändamål.
För det första innebor försäljningen att myndigheten ägnar sig åt en verksamhet
som inte ingår i själva myndighetsuppgiften. För det andra leder försäljningen
till en uppenbar risk att man blandar ihop behovet av uppgifter
för myndighetsutövningen med den efterfrågan försäljningen ger. Det finns
påtagliga integritetshot i detta, samtidigt som denna risk negativt kan påverka
medborgarnas förtroende för myndigheten och dess sätt att hantera
insamlade uppgifter.
För det tredje strider försäljningen mot syftet med datalagens ändamålsparagraf.
Insamlade personuppgifter ska enbart användas för de ändamål de
insamlats för. Existensen av SPAR-registret - som har stöd i datalagen - och
försäljningen ur andra register strider mot denna paragrafs syfte att skydda
den enskildes integritet. Försäljningen ur myndigheters personregister bör
därför inte tillåtas. Riksdagen bör ge regeringen detta till känna.
Statens person- och adressregister bygger på uppgifter som insamlats för
helt andra ändamål än för försäljning. Med sin mängd av olika uppgifter som
kan levereras i olika, förutsedda och oförutsedda, sammanställningar tillhör
SPAR-registret ett av de mer integritetskänsliga registren i Sverige. Försäljningen
ur detta register i dess nuvarande form bär därför inte heller få ske.
Därmed försvinner motivet för detta registers särställning. Behovet av ett
register för t.ex. uppdatering kan fyllas genom att SPAR omvandlas till ett
renodlat adressregister som i vanlig ordning lyder under datalagen. Riksdagen
bör därför fatta beslut om att avveckla SPAR i dess nuvarande form.
Skydd av företagsuppgifter
Den svenska integritetsdebatten har nästan uteslutande rört de enskilda individerna
och det hot som datoriseringen - främst hos myndigheterna-inneburit
för intrång i den personliga integriteten. Det mycket omfattande ADBstöd
som numera är en normal del i myndighetsutövningen, innebär av
samma skäl som ovan redovisats vad avser den enskilde medborgarens integritet.
Det förekommer idag ett omfattande uppgiftsinsamlande från företagen
till den offentliga sektorn. Uppgiftsinsamlandet har under åren vuxit till oerhörda
volymer. Enligt beräkningar, som gjordes för flera år sedan, sänder
näringslivet in mer än 50 miljoner blanketter till olika myndigheter under ett
år. Volymen har snarare ökat än minskat sedan dess. Insamlandet syftar till
att tillgodose samhällsapparatens underlag för styrning, kontroll och statistik.
Hanteringen av dessa oerhörda volymer av data är endast möjlig med
hjälp av ADB-teknik hos myndigheterna.
Lagringen av dessa data i myndigheternas databaser representerar de
facto en potentiell risk för oförutsedda och obehöriga informationsuttag.
Dessa risker måste elimineras. En första förutsättning för att nå detta mål är
att man i högre grad än för närvarande är medveten om de sårbarhets- och
integritetsrisker som dessa baser medför.
Myndigheternas insamling av företagsuppgifter medför emellertid även
ytterligare risker, som i första hand sammanhänger med hur insynsreglerna
enligt offentlighetsprincipen och de gällande reglerna i sekretesslagen tillämpas.
Som ovan redovisats kommer t.ex. det skydd som sekretesslagen är tänkt
att ge vad gäller uppgiftsöverföringar från en myndighet till en annan att i
stor utsträckning sättas ur spel genom nuvarande praxis enligt tryckfrihetsförordningen
och sekretesslagen - framför allt genom tillämpningen av informationsbegreppet
”potentiell handling” vid uppgiftslagring på ADBmedium.
Denna utveckling av praxis är ännu så länge bara inledd, men den
kan leda till ytterst obehagliga konsekvenser om den tillåts fortsätta.
För skyddet av företagens integritet krävs emellertid också andra särskilda
åtgärder. I första hand bör dessa avse insatser för att begränsa det uppgiftsinsamlande,
som nu förekommer hos ambitiösa myndigheter som i detta avseende
givits ganska fria händer genom den s.k. ramlagstiftningstekniken.
Uppgiftsinsamlandet borde i mycket större utsträckning förutsätta direkt
och tydligt stöd i lag för att få förekomma. För kontrolländamål borde t.ex.
endast stickprov göras även om datatekniken gör det billigt för den uppgiftsinsamlande
myndigheten att bearbeta uppgifter från den totala populationen.
Det borde också klarare slås fast - såsom gäller för uppgifter om enskilda
individer - att uppgifter som insamlats för ett bestämt ändamål inte skall få
användas för andra ändamål än som avsågs vid uppgiftsinsamlingen - varken
hos den insamlande myndigheten eller annan myndighet.
I de fall då det blir aktuellt att överlämna uppgifter rörande ett visst företag
från t.ex. en myndighet till en annan - och detta inte kunnat förutses vid
uppgiftsinsamlandet - bör regler övervägas som skyddar företagen genom
att dessas samtycke skall inhämtas.
Det synes också vara nödvändigt att tillförsäkra företagen en laglig insyns- Mot. 1989/90
rätt med avseende på de uppgifter som registrerats om dessa hos någon myn- K434
dighet. Insynsrätten skulle kunna utformas med ledning av den särskilda paragraf
i datalagen som tillförsäkrar medborgarna en insynsrätt av detta slag.
Det är också angeläget att överväga integritetsskyddsregler som förhindrar
att företagen avtvingas uppgifter om affärsidéer, planer och liknande företagshemligheter
som i orätta händer skulle kunna lända företaget till
skada.
Behovet a. skydd av företagshemligheer bör utredas i särskild ordning.
Riksdagen bör ge regeringen detta till känna.
Hemställan
Med hänvic-.ing till det anförda hemställs
1. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om en knytning av myndigheternas dataanvändning till
myndighetsutövningen,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående informationsrutiner mellan socialstyrelsen
och sjukvårdens olika enheter,
3. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående översyn av myndigheters tillämpning av sekretesslagstiftningen
,
4. att riksdagen hos regeringen begär en redovisning av användning
av kryptering i enlighet med vad i motionen anförts,
5. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående utgallring och sekretessbeläggning av uppgifter
i register som inte nyttjas för myndighetsutövning,
6. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående besvärsrätt vid utlämnande av uppgift,
7. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående datalagens motsatsförhållande till tryckfrihets-
och yttrandefrihetslagstiftning och därav följande behov av förändringar
i lagstiftningen,
8. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om behovet av en ny integritetslag,
[att riksdagen hos regeringen begär tillsättande av en delegation
i syfte att föreslå minskningar av uppgiftslämnandet i enlighet med
vad i motionen anförts,1]
9. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående prövning av datainspektionens beslut,
10. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående en begränsning av personnummeranvändningen,
11. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts angående försäljning av uppgifter från statliga dataregister,
[att riksdagen hos regeringen begär förslag till avveckling av
SPAR i enlighet med vad i motionen anförts,1]
12. att riksdagen som sin mening ger regeringen till känna vad i mo- Mot. 1989/90
tionen anförts angående behovet av skydd för företagshemligheter. K434
Stockholm den 25 januari 1990
Anders Björck (m)
Hans Nyhage (m)
Stig Bertilsson (m)
Göran Ericsson (m)
Gunnar Hökmark (m)
Elisabeth Fleetwood (m)
Birger Hagård (m)
Göran Åstrand (m)
1 1989/90: Fi520