Regeringens proposition

1993/94:217

En reformerad datalag

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 14 april 1994

Prop.

1993/94:217

Carl Bildt

Reidunn Laurén

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

I propositionen läggs fram sådana förslag som bygger på Datalags-
utredningens arbete och som bör genomföras innan frågan om en ny
datalag kan beredas vidare.

I enlighet med innehållet i grundlagspropositionen 1993/94:116
Normgivningsffågor på dataskyddsområdet, m.m. föreslås att regeringen
ges möjlighet att bemyndiga Datainspektionen att utfärda generella
föreskrifter om personregister inom bestämda verksamheter. Register
som inrättas och förs i enlighet med sådana regler skall undantas från
tillståndsplikt.

Den i datalagen särskilt angivna skyldigheten att begära Datainspek-
tionens yttrande inför inrättandet av personregister som beslutas av
riksdag eller regering avskaffas. I stället skall den allmänna regeln om
beredningsunderlag i regeringsärenden tillämpas.

För att mer effektivt kunna ingripa mot pågående intrång i enskilds
personliga integritet föreslås att Datainspektionen ges möjligheter att
förena föreskrifter och förbud med vite.

Vidare föreslås, i linje med ett sedan länge pågående arbete inom
regeringskansliet, att Datainspektionens beslut enligt datalagen inte längre
skall överklagas till regeringen utan till allmän förvaltningsdomstol.

De nya reglerna föreslås träda i kraft den 1 januari 1995, dvs. samti-
digt med föreslagna grundlagsändringar på området.

1 Riksdagen 1993194. 1 saml. Nr 217

Innehållsförteckning

Prop. 1993/94:217

1 Förslag till riksdagsbeslut.........................3

2 Lagtext....................................4

2.1 Förslag till lag om ändring i

datalagen (1973:289) ...........................4

2.2 Förslag till lag om ändring i förvaltnings-

processlagen (1971:291) .........................9

3 Ärendet och dess beredning ...................... 10

4 Förhållandet mellan datalagen samt tryckfrihetsförordningen och

yttrandefrihetsgrundlagen......................... 12

5 Normgivningsmakten på dataskyddsområdet ............ 13

6 Yttranden enligt 2 a § datalagen....................22

7 Vite .....................................24

8 Överklagande ...............................26

9 Kostnader..................................29

10 Författningskommentar.........................30

10.1 Förslaget till lag om ändring i data-
lagen (1973:289) ............................. 30

10.2 Förslaget till lag om ändring i förvaltnings-

processlagen (1971:291) ........................ 32

Bilaga 1 Sammanfattning av Datalagsutredningens betänkande
En ny datalag (SOU 1993:10) ................ 33

Bilaga 2 Förteckning över remissinstanser som yttrat

sig över Datalagsutredningens förslag............39

Bilaga 3 Lagrådsremissens lagförslag .................41

Bilaga 4 Lagrådets yttrande .......................47

Utdrag ur protokoll vid regeringssammanträde

den 14 april 1994 .............................. 48

Rättsdatablad.................................49

1 Förslag till riksdagsbeslut

Prop. 1993/94:217

Regeringen föreslår att riksdagen

antar regeringens förslag till

1. lag om ändring i datalagen (1973:289),

2. lag om ändring i forvaltningsprocesslagen (1971:291).

2 Lagtext

Regeringen har följande förslag till lagtext.

2.1 Förslag till lag om ändring i datalagen (1973:289)

Prop. 1993/94:217

Härigenom föreskrivs i fråga om datalagen (1973:289)'

dels att 2 a, 6, 6 a, 12, 18, 20 och 25 §§ skall ha följande lydelse,

dels att det i lagen skall införas en ny paragraf, 19 §, och närmast före
nya 19 § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2
Tillstånd av Datainspektionen
behövs inte för personregister
vars inrättande beslutas av riks-
dagen eller regeringen. Innan
sådant beslut fattas skall dock
yttrande inhämtas från Data-
inspektionen i fråga om register
som skall innehålla uppgifter som
avses i 2 § andra stycket.

a §

Tillstånd av Datainspektionen
behövs inte för personregister

1.  vars inrättande beslutas av
riksdagen eller regeringen,

2. som inrättas och förs i enlighet
med föreskrifter som beslutats med
stöd av 19 §,

3. som har tagits emot för för-
varing av en arkivmyndighet.

Tillstånd behövs inte heller för
personregister som har tagits emot
för förvaring av en arkivmyndig-
het.

Utan hinder av 2 § andra stycket 1 får

1. sammanslutningar inrätta och föra personregister som innehåller
sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro
eller övertygelse i övrigt som utgör grunden för medlemskapet i sam-
manslutningen,

2. myndigheter inom hälso- och sjukvården för vård- eller behand-
lingsändamål inrätta och föra personregister som innehåller uppgifter om
någons sjukdom eller hälsotillstånd i övrigt,

3. myndigheter inom socialtjänsten inrätta och föra personregister som
innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten,

4. läkare och tandläkare inrätta och föra personregister som innehåller
sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de
har erfarit i sin yrkesverksamhet,

‘Lagen omtryckt 1992:446.

5. arbetsgivare inrätta och föra personregister, som innehåller sådana Prop. 1993/94:217
uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om
uppgifterna används för löneadministrativa ändamål eller för att arbets-
givaren skall kunna avgöra om han skall påbörja en rehabiliteringsutred-
ning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän för-
säkring.

Lämnas tillstånd till inrättande
och förande av personregister,
skall Datainspektionen, i den mån
det behövs för att förebygga risk
för otillbörligt intrång i personlig
integritet, meddela föreskrift om

Lämnas tillstånd till inrättande
och förande av personregister,
skall Datainspektionen, i den mån
det behövs för att förebygga risk
för otillbörligt intrång i personlig
integritet, meddela föreskrift for
registret om

1. inhämtande av uppgifter för personregistret,

2. vilka personuppgifter som får ingå i personregistret,

3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av personuppgifterna i registret som får göras med
automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift,

9. bevarande och gallring av personuppgifter,

10. kontroll och säkerhet,

11. rättelse och andra åtgärder i fråga om oriktiga och missvisande
uppgifter.

Vid bedömandet av om föreskrift
behövs skall särskilt beaktas huru-
vida registret innehåller person-
uppgift som utgör omdöme eller
annan värderande upplysning om
den registrerade.

Föreskrift rörande utlämnande av
personuppgift får icke inskränka
myndighets skyldigheter enligt
tryckfrihetsförordningen.

Vid bedömandet av om föreskrift
för ett visst register behövs skall
särskilt beaktas huruvida registret
innehåller personuppgift som utgör
omdöme eller annan värderande
upplysning om den registrerade.

Föreskrift för ett visst register
rörande utlämnande av personupp-
gift får inte inskränka en myndig-
hets skyldigheter enligt tryckfri-
hetsförordningen.

Bestämmelserna i 5 och 6 §§ om
skyldighet for Datainspektionen att
meddela föreskrift gäller även i
fråga om personregister som avses
i 2 a § första stycket andra me-
ningen, i den mån icke regeringen
eller riksdagen har meddelat före-
skrift i samma hänseende.

Bestämmelserna i 5 och 6 §§ om
skyldighet för Datainspektionen att
meddela föreskrift för ett visst
register gäller även i fråga om
personregister som avses i 2 a §
första stycket 1, om registret skall
innehålla uppgifter som avses i 2 §
andra stycket och regeringen eller
riksdagen inte har meddelat före-
skrift i samma hänseende.

Prop. 1993/94:217

12 §

Personuppgift som kan hänföras till den som avses med uppgiften skall
utgå ur personregistret då uppgiften inte längre behövs med hänsyn till
ändamålet med registret, om inte uppgiften även därefter skall bevaras
på grund av bestämmelse i lag eller annan författning eller enligt
myndighets beslut som meddelats med stöd av författning. Detsamma
gäller då den registeransvarige upphör att föra personregistret.

Upphör en registeransvarig att
föra ett personregister för vilket
Datainspektionen har meddelat
tillstånd, skall han anmäla detta till
inspektionen. Detsamma gäller i
fråga om sådant personregister som
avses i 2 a § första stycket andra
meningen.

18

Har förandet av personregister
lett till otillbörligt intrång i per-
sonlig integritet eller finns an-
ledning antaga att sådant intrång
skall uppkomma, får Datainspek-
tionen i mån av behov meddela
föreskrift i sådant avseende som
anges i 5 eller 6 § eller ändra
föreskrift som tidigare meddelats.
I fråga om register som avses i 2 a
§ första stycket får Datainspek-
tionen vidta åtgärd som nu nämnts
endast i den mån den ej står i strid
med beslut av regeringen eller
riksdagen.

Upphör en registeransvarig att
föra ett personregister för vilket
Datainspektionen har meddelat
tillstånd, skall han anmäla detta till
inspektionen. Detsamma gäller i
fråga om sådant personregister som
avses i 2 a § första stycket 1, om
registret innehåller uppgifter som
avses i 2 § andra stycket.

§

Har förandet av personregister
lett till otillbörligt intrång i per-
sonlig integritet eller finns an-
ledning antaga att sådant intrång
skall uppkomma, får Datainspek-
tionen för ett visst register i mån
av behov meddela föreskrift i
sådant avseende som anges i 5
eller 6 § eller ändra föreskrift som
tidigare meddelats. I fråga om
register som avses i 2 a § första
stycket 1 får Datainspektionen
vidta åtgärd som nu nämnts endast
i den mån den ej står i strid med
beslut av regeringen eller riks-
dagen.

Kan skydd mot otillbörligt in-
trång i personlig integritet ej åstad-
kommas på annat sätt, får Data-
inspektionen förbjuda fortsatt
förande av personregister eller
återkalla meddelat tillstånd. Detta

Kan skydd mot otillbörligt in- Prop. 1993/94:217
trång i personlig integritet inte
åstadkommas på annat sätt, får
Datainspektionen förbjuda fortsatt
förande av personregister eller
återkalla meddelat tillstånd. Detta

gäller dock inte sådana register
som avses i 2 a § första stycket.

gäller dock inte sådana register
som avses i 2 a § första stycket 1.

Föreskrift enligt första stycket
och förbud enligt andra stycket får
förenas med vite.

Bemyndiganden

19 §

Regeringen eller, efter rege-
ringens bemyndigande, Datainspek-
tionen får inom ramen för denna
lag meddela närmare föreskrifter
for personregister som ofta före-
kommer inom en viss verksamhet
för ett visst ändamål.

20 §

Till böter eller fängelse i högst ett år döms den som uppsåtligen eller
av oaktsamhet

1. inrättar eller för personregister utan licens eller tillstånd enligt denna
lag, när detta erfordras,

2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller

18 §,

3. lämnar ut personuppgift i strid mot 11 §,

4. bryter mot 12 §,

5.  lämnar osann uppgift vid
fullgörande av skyldighet att lämna
underrättelse enligt 10 §, eller

6. lämnar osann uppgift i fall
som avses i 17 §.

5. lämnar osann uppgift vid full-
görande av skyldighet att lämna
underrättelse enligt 10 §,

6. lämnar osann uppgift i fall som
avses i 17 §, eller

7. bryter mot föreskrift som med-
delats enligt 19 §.

Den som överträtt ett vitesföre-
läggande enligt 18 § tredje stycket
döms inte till ansvar för en gärning
som omfattas av föreläggandet.

Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot
7 a § första eller tredje stycket.

25 §

Datainspektionens beslut enligt
denna lag överklagas hos regering-
en. Justitiekanslem får överklaga
ett sådant beslut för att tillvarata
allmänna intressen.

Om en myndighet som är regis-
teransvarig avslår en begäran om
underrättelse enligt 10 §, över-
klagas beslutet på samma sätt som
gäller ett beslut av myndigheten att
avslå en begäran om utlämnande
av allmän handling. Med myndig-
het jämställs därvid ett annat organ
i den utsträckning som anges i
1 kap.8 sekretesslagen (1980:100).

Datainspektionens beslut enligt
denna lag får överklagas hos all-
män förvaltningsdomstol. Justitie-
kanslem får föra talan för att
tillvarata allmänna intressen.

Om en myndighet som är regis-
teransvarig avslår en begäran om
underrättelse enligt 10 §, över-
klagas beslutet på samma sätt som
gäller ett beslut av myndigheten att
avslå en begäran om utlämnande
av allmän handling. Med myndig-
het jämställs därvid ett annat organ
i den utsträckning som anges i
1 kap. 8 och 9 §§ sekretesslagen
(1980:100).

Prövningstillstånd krävs vid över-
klagande av mål om viten till
kammarrätten.

Prop. 1993/94:217

1. Denna lag träder i kraft den 1 januari 1995.

2. Beslut som meddelats av Datainspektionen före ikraftträdandet över-
klagas enligt äldre bestämmelser.

3. Hänvisningen i 25 § andra stycket till 1 kap. 9 § sekretesslagen
(1980:100) skall beträffande sådana aktiebolag i vilka kommuner eller
landsting själva eller gemensamt innehar mindre än två tredjedelar av
aktierna eller mindre än två tredjedelar av de med aktierna förenade
rösterna och sådana ekonomiska föreningar i vilka det också finns andra
medlemmar än kommuner eller landsting tillämpas från och med den

1 januari 1998.

2.2 Förslag till lag om ändring i forvaltningsprocesslagen
(1971:291)

Prop. 1993/94:217

Härigenom föreskrivs att 34 a och 35 §§ forvaltningsprocesslagen
(1971:291) skall ha följande lydelse.

Lydelse enligt prop. 1993/94:133 Föreslagen lydelse

34 a §

I de fall det är särskilt föreskrivet
får kammarrätten pröva ett över-
klagande från länsrätten endast om
kammarrätten har meddelat pröv-
ningstillstånd.

I de fall det är särskilt föreskrivet
får kammarrätten pröva ett över-
klagande från länsrätten endast om
kammarrätten har meddelat pröv-
ningstillstånd. Sådant tillstånd
behövs dock inte när talan förs av
Riksdagens ombudsmän eller
Justitiekanslem.

Prövningstillstånd meddelas om

1. det är av vikt för ledning av rättstillämpningen att överklagandet
prövas av högre rätt,

2. anledning förekommer till ändring i det slut vartill länsrätten kommit
eller

3. det annars finns synnerliga skäl att pröva överklagandet.

Meddelas inte prövningstillstånd, står länsrättens beslut fest. En upp-
lysning om detta skall tas in i kammarrättens beslut.

35 §

Ett överklagande av kammarrättens beslut i ett mål som har väckts hos
kammarrätten genom överklagande eller underställning prövas av Rege-
ringsrätten endast om Regeringsrätten har meddelat prövningstillstånd.

Meddelas inte prövningstillstånd, står kammarrättens beslut fest. En
upplysning om detta skall tas in i Regeringsrättens beslut.

Vad som sägs i första stycket gäller inte

1. talan som Riksdagens ombudsmän eller Justitiekanslem för i mål om
disciplinansvar eller om återkallelse eller begränsning av behörighet att
utöva yrke inom hälso- och sjukvården, tandvården eller detaljhandeln
med läkemedel eller om återkallelse av behörighet att utöva veteri-
näryrket,

2. talan som Justitiekanslem för 2. talan som Justitiekanslem för

i mål enligt lagen (1990:484) om i mål enligt datalagen (1973:289)
övervakningskameror m.m.         eller lagen (1990:484) om över-

vakningskameror m.m.

Denna lag träder i kraft den 1 januari 1995.

3 Ärendet och dess beredning

Datalagen (1973:289, omtryckt 1992:446) syftar till att skydda den
enskilde mot otillbörligt intrång i den personliga integriteten till följd av
att personuppgifter registreras med hjälp av automatisk databehandling
(ADB). Datainspektionen har till uppgift att pröva ansökningar om
tillstånd och utöva tillsyn enligt denna lag.

Lagen kom till år 1973 och var den första lagen i världen av denna typ
med nationell räckvidd. Redan vid dess tillkomst förutsattes att lagen
skulle ses över inom en snar framtid. År 1976 tillsattes Datalagstiftnings-
kommittén (DALK) med ett sådant uppdrag. Kommittén avslutade
emellertid sitt arbete år 1984 utan att detta slutförts. Samma år tillsattes
en ny kommitté, Data- och offentlighetskommittén (DOK), för att utreda
vissa frågor på angränsande områden men också inom datalagens ram.
Kommittén avslutade sitt arbete år 1988. De båda kommittéernas förslag
har delvis genomförts. Bl.a. beslutade riksdagen år 1982 om ändringar
i datalagen av innebörd att det tidigare generella kravet på tillstånd av
Datainspektionen för att inrätta och föra personregister ersattes med ett
anmälningssystem med licenser och med bibehållet tillståndskrav endast
för register där integritetsriskema generellt ansågs påtagliga samt för
sambearbetning av register.

År 1989 förordnade dåvarande chefen för Justitiedepartementet efter
regeringens bemyndigande en särskild utredare för att göra en översyn
av datalagen från såväl saklig som lagteknisk synpunkt. Utredningen,
som antog namnet Datalagsutredningen, har arbetat i två etapper. I den
första etappen identifierade den särskilde utredaren de reformbehov som
förelåg och angav hur dessa kunde tänkas bli tillgodosedda. Under denna
etapp avlämnade utredningen tre delbetänkanden, Skärpt tillsyn -
huvuddrag i en reformerad datalag (SOU 1990:61), Personregistrering
inom arbetslivs-, forsknings- och massmedieområdena m.m. (SOU
1991:21) och Vissa särskilda frågor beträffande integritetsskyddet på
ADB-området (SOU 1991:62). De tre delbetänkandena har remissbehand-
lats. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr 90-
2155, 91-755 och 91-2850).

Den avslutande etappen av utredningens arbete har bedrivits under
parlamentarisk medverkan med den särskilde utredaren som ordförande.
I detta arbete har utredningen haft att beakta de remissyttranden som
avgetts över delbetänkandena. I februari 1993 lämnade utredningen över
sitt slutbetänkande En ny datalag (SOU 1993:10). Utredningens sam-
manfattning av betänkandet återfinns i bilaga 1. Betänkandet har
remissbehandlats. En förteckning över remissinstanserna finns i bilaga
2. En sammanställning av remissyttrandena finns tillgänglig i Justitie-
departementet (dnr 93-860).

I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m.
tar regeringen upp en grundlagsfråga som behandlas i betänkandet En ny
datalag. Sålunda föreslår regeringen att det område inom vilket riksdagen
enligt 8 kap. 7 § regeringsformen (RF) i lag kan bemyndiga regeringen
att utfärda föreskrifter utvidgas. Förslaget innebär att regeringen efter
bemyndigande i lag skall till Datainspektionen kunna delegera norm-

Prop. 1993/94:217

10

givningskompetens avseende skyddet för den personliga integriteten vid Prop. 1993/94:217
ADB-behandling av personuppgifter. Regeringen har i propositionen
vidare uttalat sig för att en ny datalag bör anstå till dess att ett slutligt
ställningstagande av EG föreligger till det förslag till direktiv EG-
kommissionen presenterat. Däremot menade regeringen att det var
angeläget att vidta en del ändringar i det nuvarande systemet. De
ändringar som regeringen aviserade var ändringar i datalagen med
närmare precisering av förutsättningarna för att Datainspektionen skall
kunna meddela bransch- eller sektorsföreskrifter, frågan om ett avskaf-
fande av skyldigheten att inhämta yttrande enligt 2 a § datalagen, ökade
möjligheter för Datainspektionen att tillgripa vitessanktioner och föränd-
ringar i instansordningen vid överklaganden av Datainspektionens beslut.

Regeringen tar i detta lagstiftningsärende upp huvudsakligen de änd-
ringar i datalagen som regeringen förutskickat i prop. 1993/94:116.
Dessutom redovisas i avsnitt 4 en fråga som har behandlats av Datalags-
utredningen och som varit aktuell i ett enskilt ärende enligt datalagen.
Den gäller förhållandet mellan datalagen samt tryckfrihetsförordningen
och yttrandefrihetsgrundlagen.

Lagrådet

Regeringen beslutade den 24 mars 1994 att inhämta Lagrådets yttrande
över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga

4. Vissa redaktionella ändringar har gjorts i lagtexten i förhållande till de
till Lagrådet remitterade lagförslagen.

11

4 Förhållandet mellan datalagen samt tryckfrihetsför- Prop. 1993/94:217
ordningen och yttrandefrihetsgrundlagen

En fråga som med tiden fått allt större aktualitet är hur datalagen
förhåller sig till tryckfrihetsförordningen (TF) och yttrandefrihetsgrund-
lagen (YGL).

Datalagsutredningen konstaterade i sitt slutbetänkande att konflikter kan
uppstå vid tillämpningen av TF och YGL samt datalagstiftningen dels
genom att datalagstiftningen i viss utsträckning kan verka försvårande för
framställningen av skrifter, dels till följd av grundlagarnas regler om
anonymitetsskydd. Utredningen behandlade frågan bl.a. ur den syn-
vinkeln att det i 2 kap. 3 § andra stycket regeringsformen (RF)
föreskrivs att varje medborgare skall, i den utsträckning som närmare
anges i lag, skyddas mot att hans personliga integritet kränks genom att
uppgifter om honom registreras med hjälp av ADB. Enligt utredningen
finns det en principiell skillnad mellan föreskrifterna om förbud och
hindrande åtgärder i TF och YGL samt bestämmelserna i 2 kap. 3 § RF.
Föreskriften i RF riktar sig till riksdagen, medan TF och YGL förbjuder
alla myndigheter och allmänna organ att vidta någon som helst åtgärd
som kan verka hindrande för framställandet eller spridningen av tryckta
skrifter eller andra grundlagsskyddade informationsbärare. Enligt
utredningen måste man utgå från att Datainspektionen, såväl i enskilda
fall som vid normgivning, måste böja sig för TF och YGL, trots
föreskriften i 2 kap. 3 § RF. Utredningen utgick också från att TF och
YGL vid en eventuell normkonflikt tar över datalagstiftningen.
Utredningen föreslog därför att vissa typer av personregister som har
samband med framställningen av tryckta skrifter eller yttranden som
avses i YGL skulle undantas från datalagens tillämpning.

Remissinstanserna har genomgående instämt i utredningens bedömning
att TF och YGL vid en normkonflikt tar över datalagens regler. Däremot
har utredningens förslag till uppdelning av massmediernas register i olika
kategorier varav vissa skulle omfettas av datalagens regler kritiserats av
flera remissinstanser. Bl.a. har majoriteten av de remissinstanser som
närmare berört frågan velat ha längre gående undantag från datalagens
tillämpning på massmediernas register.

Regeringen har i dag avgjort ett överklagat ärende enligt datalagen där
frågan om datalagens förhållande till grundlagarna aktualiserats (dnr 93-
3260).

Beslutet avsåg en ansökan om tillstånd enligt datalagen att få inrätta
och föra ett personregister för att skriva en bok på en persondator med
hjälp av ett ordbehandlingsprogram. Registret skulle innehålla sådana
känsliga uppgifter som det enligt 4 och 6 §§ datalagen krävs synnerliga
eller särskilda skäl för att få registrera. Uppgifterna i registret skulle
bearbetas på alla sätt som ett modernt ordbehandlingsprogram möjliggör.
Sedan texten färdigställts skulle den överlämnas - via diskett eller ledning
- till ett boktryckeri.

Regeringen har i beslutet konstaterat att registret i och för sig utgör ett
personregister som enligt datalagen är tillståndspliktigt. Tillståndskravet
enligt datalagen skall emellertid prövas mot det i 1 kap. 2 § angivna

12

förbudet i TF mot hindrande åtgärder inför tryckning, utgivning och Prop. 1993/94:217
spridning av en tryckt skrift. Bestämmelsen i 2 kap. 3 § RF om att det
skall finnas en dataskyddslagstiftning hindrar enligt regeringen inte att TF
tar över datalagen vid en konflikt dem emellan.

I beslutet har regeringen funnit att om ett enligt datalagen tillstånds-
pliktigt personregister inrättas, förs och står i tekniskt samband med
sättnings- och tryckprocessen, dvs. används som ett direkt tekniskt
hjälpmedel for att framställa en tryckt skrift, är det utan tvekan så att
förbudet mot hindrande åtgärder i TF gäller detta register. Regeringen
har därför undanröjt Datainspektionens avslagsbeslut i ärendet och
förklarat att det inte krävs något tillstånd enligt datalagen för att få föra
det aktuella registret.

5 Normgivningsmakten på dataskyddsområdet

Regeringens förslag: Regeringen, eller efter regeringens bemyndi-
gande, Datainspektionen får rätt att utfärda generella regler för
sådan databehandling av personuppgifter som sker inom en viss
verksamhet för ett visst ändamål. Register som inrättas och förs i
enlighet med sådana regler skall undantas från tillståndsplikt.

Utredningens förslag: Datainspektionen ges rätt att utfärda generella
föreskrifter avseende olika branscher och sektorer för sådan behandling
av känsliga personuppgifter som ofta förekommer inom ett visst område
och för ett visst ändamål. Rätten att utfärda generella föreskrifter omfat-
tar inte gallring.

Remissinstanserna: Majoriteten av de få remissinstanser som berört
denna fråga, bl.a. Datainspektionen, Finansinspektionen, Svenska Köp-
mannaförbundet och Svenska Bankföreningen, är positiva till att Data-
inspektionen ges möjlighet att utfärda generella föreskrifter enligt
förslaget. Domstolsverket anför att integritetsskyddet för den enskilde
och förutsebarheten för den registeransvarige skulle vinna betydligt på en
regelutfyllnad på lägre nivå. Svenska Bankföreningen framhåller att
normering genom myndighetsföreskrifter syftar till att stärka den enskil-
des integritetsskydd.

Några remissinstanser uttrycker viss tveksamhet mot förslaget. Uppsala
universitets juridiska fakultetsstyrelse påtalar riskerna för en författnings-
mässig uttunning om Datainspektionen ges en omfattande förordnings-
makt. Statskontoret är tveksamt till att delegera föreskriftsrätt till
Datainspektionen vad avser verksamhet inom stat och kommun och
förordar att sådan verksamhet regleras i lag eller förordning. Andra
pekar på vikten av att integritetskänsliga register inom den offentliga
verksamheten författningsregleras. Landstingsförbundet har i detta
sammanhang påpekat att det är viktigt att samma bestämmelser gäller,
oavsett om uppgifterna registreras i offentlig eller privat regi.

13

Göteborgs och Härnösands kommuner anser att Datainspektionen inte Prop. 1993/94:217
skall ges forordningsmakt över kommunerna. Enligt Härnösands kommun
medger inte Europarådskonventionen om kommunal självstyrelse en
sådan ordning. Även Svenska Kommunförbundet, som principiellt
motsätter sig att normgivningskompetens delegeras till statliga myndig-
heter, ifrågasätter om förslaget står i överensstämmelse med denna
konvention. Industriförbundet och Svenska Arbetsgivareföreningen
avstyrker en omfettande detaljreglering och ett överdrivet införande av
tvingande regler och anför att allmänna råd många gånger torde kunna
ersätta föreskrifter.

Flera remissinstanser, bl.a. Finansinspektionen och Svenska Bank-
föreningen, pekar på vikten av att Datainspektionens föreskrifter tas fram
i samråd med den bransch som skall regleras.

Domstolsverket anser att Datainspektionens föreskriftsmakt även skall
omfetta behandling av icke-känsliga personuppgifter. DAFA Data AB
däremot anför att Datainspektionens generella föreskrifter endast bör avse
behandling av känsliga uppgifter.

Få remissinstanser har berört förslaget att Datainspektionens generella
föreskrifter inte skall få gälla gallring. Flertalet av dem, bl.a. Kammar-
rätten i Stockholm, Riksförsäkringsverket och Riksarkivet, tillstyrker
förslaget. Endast tre instanser, Domstolsverket, Datainspektionen och
Arbetsmiljöinstitutet, förordar att Datainspektionen skall ha rätt att
utfärda generella gallringsföreskrifter. Flera instanser betonar vikten av
att arkivlagens bestämmelser efterföljs.

Skälen för regeringens förslag: Ordningen med tillståndskrav enligt
datalagen har med tiden kommit att framstå som alltmer ohanterlig.
Datainspektionen tvingas lägga ned med hänsyn till integritetsaspekter
onödiga resurser på tillståndsprövning. Förutom att de registeransvariga
många gånger nog inte inser omfettningen av den detaljerade prövning
som datalagen förutsätter i tillståndsförferandet, tar en ansökan ofta på
grund av kompletteringar m.m. lång tid att behandla. Det nuvarande
systemet innebär att inspektionen inte kan avsätta önskade resurser för
tillsynsverksamheten. Detta leder till att inspektionens tillsyn över den
ständigt ökande datoriseringen i samhället och därigenom också den
alltmer utbredda registreringen av personuppgifter inte kan prioriteras i
önskad omfattning. Följden kan bli en bristande respekt för datalagens
regler. Det kan t.ex. nämnas att det för närvarande finns ca 50 000
meddelade licenser. Enligt Datalagsutredningens beräkningar hade antalet
bort vara mellan 500 000 och 1 milj. Otvivelaktigt tyder detta förhållande
beträffande datalagens regler om anmälningsskyldighet på att det finns en
risk för att även de materiella regler i datalagen som skall skydda de
registrerades personliga integritet inte efterföljs.

När datalagen trädde i kraft år 1973 innehöll den ett generellt krav på
tillstånd för att få föra i princip alla typer av personregister med ADB.
Den ökade datoriseringen av samhället ledde snart till att Datainspektio-
nen erhöll en tilltagande ström av ansökningar att få inrätta och föra
personregister. Tillståndsprövningen tog stora resurser i anspråk och
antalet inspektioner, som hela tiden hade legat på en låg nivå, minskade                  14

kraftigt.

För att underlätta hanteringen av tillstånd införde Datainspektionen med Prop. 1993/94:217
början år 1979 ett förenklat ansöknings- och tillståndsförfarande för vissa
typer av register. Det gäller ansökningar om tillstånd i vilka Datainspek-
tionen utvecklat en fast praxis. De närmare bestämmelserna om vilka
register som omfattas och vilka särskilda villkor som måste vara
uppfyllda finns i Datainspektionens författningssamling (DIFS). Före-
skrifter angående förenklat ansökningsförfarande har under åren tagits
fram bl.a. för vissa direktreklamregister och statistikregister samt för
vissa personregister inom kommunernas och Svenska kyrkans verk-
samhet. Datainspektionen har också utfärdat föreskrifter för ett förenklat
ansökningsförfarande for vissa personregister inom statlig och lands-
tingskommunal forskningsverksamhet.

Det förenklade förfarandet innebär i praktiken att vissa slag av register
inom en sektor i förväg normerats av Datainspektionen och att den
registeransvarige, som vill inrätta ett register på vilka föreskrifterna är
tillämpliga, på en särskild blankett ansöker om tillstånd hos inspektionen.
Denna ger sedan efter en enkel kontroll tillstånd och beslutar bl.a. att
innehållet i föreskrifterna skall gälla såsom särskilda villkor för registret.

År 1982 togs ytterligare ett steg mot att begränsa tillståndshanteringen
hos Datainspektionen. Genom ändringar i datalagen den 1 juli 1982
slopades det generella tillståndskravet för att inrätta och föra person-
register med hjälp av ADB. I stället infördes en skyldighet för dem som
vill föra personregister att anmäla detta till Datainspektionen som utfärdar
en licens. Tillståndskravet begränsades till register som innehåller
uppgifter av känslig art, avser personer som saknar anknytning till den
registeransvarige eller innehåller uppgifter som hämtas från ett annat
personregister. Huvudsyftet med ändringarna var att begränsa mängden
tillståndsärenden och därigenom göra det möjligt för Datainspektionen att
koncentrera sig på de mest integritetskänsliga registren och kunna
intensifiera sin tillsynsverksamhet.

Effekten av dessa åtgärder i syfte att minska tillståndshanteringen har
dock endast i begränsad omfattning kunnat uppnås, eftersom antalet
tillståndsärenden hos Datainspektionen med den tilltagande datoriseringen
i samhället fortsatt att öka. Att pröva tillstånd san sökningar innebär inte
endast att säga ja eller nej utan även att, när tillstånd lämnas, förena detta
med nödvändiga föreskrifter i det enskilda fallet. Även om Datainspek-
tionen genom rationalisering och betydande arbetsinsatser lyckats hålla
tillståndshanteringen på en någorlunda rimlig nivå tar denna del av
verksamheten alltför stor andel av inspektionens resurser. Detta har lett
till att den för integritetsskyddet så viktiga delen av Datainspektionens
verksamhet som består i tillsyn inte kan prioriteras i önskvärd
omfattning.

Av bl.a. dessa skäl är det angeläget att sträva efter att tillståndshante-
ring av personregister i ökad utsträckning skall ersättas av ett tillsyns-
förfarande.

Regeringen har därför i prop. 1993/94:116 Normgivningsffågor på
dataskyddsområdet, m.m. föreslagit en ändring i regeringsformen (RF)
som skall skapa möjligheter för Datainspektionen att utfärda generella                  15

föreskrifter för databehandling av personuppgifter. Förslaget syftar till att

ytterligare minska området för Datainspektionens tillståndshantering och Prop. 1993/94:217
därigenom på sikt skapa förutsättningar för en mer intensifierad tillsyn
av databehandlingen av personuppgifter. I propositionen anges att
grundlagsändringen kommer att följas upp med ett förslag till ändringar
i datalagen där det noga anges inom vilka ramar normgivningsmakten
skall kunna delegeras.

Bestämmelsen i 2 kap. 3 § andra stycket RF sätter en gräns för i vilken
utsträckning normgivningsmakten kan delegeras till Datainspektionen.
Enligt bestämmelsen skall varje medborgare i den utsträckning som
närmare anges i lag skyddas mot att hans personliga integritet kränks
genom att uppgifter om honom registreras med hjälp av ADB. Av
förarbetena framgår att bestämmelsen riktar sig till lagstiftaren som
åläggs att vara aktiv genom att stifta och vidmakthålla en datalagstiftning.
Det uttalas vidare att grundlagsbestämmelsen inte hindrar regeringen och
andra myndigheter från att meddela dataskyddsbestämmelser (prop.
1987/88:57 s. 11).

Grundlagsbestämmelsen anger den yttre ramen för den normgivnings-
kompetens som kan delegeras till Datainspektionen. Enligt bestämmelsen
skall integritetsskyddet vid databehandling av personuppgifter anges i lag.
Den normgivningskompetens som delegeras till Datainspektionen bör
således inskränkas till att avse en regelutfyllnad av datalagens
bestämmelser. Föreskrifterna från Datainspektionen är således att
betrakta som ett komplement till datalagens skydd för den personliga
integriteten. Utgångspunkten är att generella föreskrifter inte skall
medföra ett sämre integritetsskydd än vid tillståndsprövningen. Detta
medför att föreskrifterna måste vara tämligen detaljerade och i sak ligga
nära enskilda tillståndsbeslut. I första hand kommer de generella före-
skrifterna avse sådana register som i dag är tillståndspliktiga. Detta
utesluter inte att det i regelgivningen kan uppstå situationer där även
tillståndsfria register omfattas av en generell föreskrift.

Det är naturligt att Datainspektionens normering tar sikte på områden
och verksamheter där det finns många och likartade personregister.
Bemyndigandet i datalagen bör därför avse grupper av sådana register
som ofta förekommer och som är av en enhetlig karaktär. En sådan
normering ökar förutsebarheten om vilka krav som ur integritetsskydds-
synpunkt ställs på de registeransvariga. Den skapar även förutsättningar
för en jämn och hög nivå på skyddet för de registrerades personliga
integritet. Möjligheter till en generell normgivning leder också till att
Datainspektionens tillsyn underlättas på breda områden. En generell
reglering som endast avser några enstaka personregister bör däremot inte
förekomma.

Regeringen föreslår därför att den normgivningskompetens som skall
kunna delegeras till Datainspektionen skall begränsas till att avse per-
sonregister som ofta förekommer inom en viss verksamhet och för ett
visst ändamål. Vad som närmast åsyftas är föreskrifter som skall gälla
för personregister som förs för ett visst ändamål inom olika branscher
och sektorer. Som exempel på personregister som kan komma i fråga kan
nämnas sjukhusens patientregister, forskningsregister, direktreklam-                  16

register samt register inom försäkringsbranschen och bankväsendet.

Normgivningsrätten bör dock inte inskränkas till enbart en reglering av Prop. 1993/94:217
personregister for vissa branscher och sektorer. I vissa fåll förs samma
typ av register inom flera branscher eller sektorer. Exempel på en sådan
bransch- och sektorsövergripande registrering av personuppgifter som
sker för ett visst ändamål är arbetsgivarnas löne- och personal-
administrativa system och de adressregister som förs av myndigheter och
företag. Visserligen är flertalet sådana register i dag inte tillstånds-
pliktiga. Det kan dock inte uteslutas att det i framtiden uppkommer
behov av att använda dessa register för andra ändamål eller tillföra dem
ytterligare uppgifter vilket skulle medföra att de blir tillståndspliktiga. Ett
exempel på att nya användningsområden för tidigare tillståndsfria register
kan uppkomma är de ändringar som infördes år 1992 beträffande
arbetsgivarnas ökade ansvar för de anställdas rehabilitering. I samband
med det ändrades datalagens tillståndsregler för arbetsgivarnas personal-
administrativa register (prop. 1991/92:126, bet. 1991/92:KU 22, rskr.
1991/92:290).

Genom att Datainspektionen ges möjligheter att utfärda generella regler
för personregister som förs inom en viss verksamhet och inte enbart för
vissa branscher och sektorer skapas således förutsättningar för att
Datainspektionen skall kunna möta de integritetsskyddsproblem som
uppkommer genom den ständigt ökande datoriseringen i samhället och
därigenom den alltmer utbredda registreringen av personuppgifter.

Datalagens regler kan i vissa fall anses utgöra ett hinder mot utveck-
lingen av den moderna informationsteknologin. Bl.a. innebär de ökade
möjligheterna att sprida information via data- och telenäten att stora
mängder personuppgifter kan överföras från en dator till en annan på ett
snabbt och billigt sätt. Detta leder till att frågor om tillstånd enligt
datalagen erfordras för att föra ett visst register aktualiseras i en allt
vidare krets. Som ett exempel på behovet av en ökad spridning av
personuppgifter på datamedium kan nämnas att riksdagen i juli 1993 i
syfte att bl.a. informera allmänheten om riksdagens beslut och dess
beslutsfattare gjorde informationssystemet Rixlex tillgängligt för allmän-
heten. Rixlex innehåller bl.a. riksdagstrycket och information om riks-
dagsledamöterna. I de avtal om abonnemang på Rixlex som träffas
mellan Riksdagens förvaltningskontor och kunderna har intagits en
klausul där kunden förbinder sig att inte använda personuppgifter från
Rixlex för automatisk databehandling i strid med datalagen.

I de fall en enskild person i sin egen dator lagrar uppgifter om riks-
dagsledamöternas motioner och avser att använda dem annat än uteslu-
tande för personligt bruk krävs tillstånd av Datainspektionen bl.a. med
hänsyn till att motionerna innehåller uppgifter om politisk åskådning (jfr
2 a och 4 §§ datalagen). I detta fall kan det tyckas att datalagens regler
är alltför långtgående. Speciellt gäller detta eftersom registrering av upp-
gift om partibeteckning för en riksdagsledamot torde kunna anses ske
med samtycke och i sig inte utgöra någon risk för otillbörligt intrång i
ledamotens personliga integritet. I andra fall är dock registrering av
politisk tillhörighet en nog så integritetskränkande åtgärd, något som
kommer till uttryck genom 2 kap. 3 § första stycket RF. Genom att ge                  17

Datainspektionen möjligheter att meddela föreskrifter för personregister

2 Riksdagen 1993/94. 1 samt. Nr 217

som förs inom en viss verksamhet skapas förutsättningar for inspektionen Prop. 1993/94:217
att bl.a. utfärda föreskrifter för sådan registrering och bearbetning av
t.ex. riksdagsmotioner som inte sker uteslutande för personligt bruk.

Regeringens förslag skiljer sig något från Datalagsutredningens förslag.
Enligt utredningen skulle Datainspektionens normgivningsrätt begränsas
till sådan behandling av känsliga personuppgifter som ofta förekommer
inom ett visst område för ett visst ändamål. Med känsliga personuppgifter
avsåg utredningen i princip sådana uppgifter som anges i 4 § och 6 §
andra stycket datalagen, dvs. uppgifter om brott, hälsotillstånd, politisk
uppfattning, omdömen m.m. Datalagsutredningens förslag att begränsa
inspektionens normgivningsrätt till att avse endast känsliga person-
uppgifter måste dock ses mot den bakgrunden att utredningen föreslog en
helt ny datalag. I förslaget strävade utredningen efter att ge en utförlig
och fyllig reglering av förutsättningarna för när ADB-hantering av
personuppgifter skulle vara tillåten. Enligt utredningen fanns det därför
inte något behov av en ytterligare normering av registreringen av de
mindre känsliga personuppgifterna. Att inom ramen för det nuvarande
regelsystemet i datalagen begränsa Datainspektionens normgivnings-
kompetens till att endast avse behandling av känsliga personuppgifter
skulle bl.a. omöjliggöra en generell reglering av personregister som är
tillståndspliktiga på den grunden att de innehåller uppgifter om personer
som den registeransvarige inte har någon naturlig anknytning till. Detta
skulle innebära ett bibehållande av den masshantering av tillstånd som nu
till viss del sker hos Datainspektionen med stöd av det förenklade
ansökningsförfarandet t.ex. för direktreklamändamål. Något skäl att från
integritetsskyddssynpunkt undanta den typen av mindre känsliga
personregister från möjligheterna till en generell reglering finns inte.
Snarare torde en generell reglering genom föreskrifter av vissa typer av
personregister som innehåller mindre känsliga personuppgifter innebära
stora vinster från effektivitetssynpunkt utan att integritetsskyddet
åsidosätts. Det förhållandet att personregister som i dag förs med stöd av
tillstånd kommer att kunna regleras genom generella föreskrifter skall
inte innebära en minskning av integritetsskyddet. Detta innebär att liksom
i tillståndsärenden skall det säkerställas att det inte uppstår otillbörligt
intrång i den personliga integriteten vid förandet av personregister.

Datainspektionens normgivningsrätt bör inte omfatta en rätt att utfärda
generella föreskrifter om gallring av allmänna handlingar. Enligt 10 §
arkivlagen (1990:782) får allmänna handlingar gallras. Gallring skall
dock alltid ske med beaktande av att arkiven utgör en del av kulturarvet
och att det arkivmaterial som återstår tillgodoser vissa ändamål, nämligen
rätten att ta del av allmän handling, rättskipningens och förvaltningens
behov av information samt forskningens behov. Undantag från huvud-
regeln om gallring görs dock för det fall att det i en annan lag eller
förordning finns avvikande regler om gallring. Dessa avvikande
bestämmelser tar då över arkivlagens bestämmelser om gallring.
Arkivlagens bestämmelser gäller dock enligt 10 § framför bestämmel-
serna i 12 § datalagen.

Enligt 12 § datalagen skall personuppgifter som inte längre behövs med
hänsyn till registerändamålet utgå ur personregistret om de inte skall

18

bevaras på grund av bestämmelser i författning eller i myndighets beslut Prop. 1993/94:217
som meddelats med stöd av författning. Detsamma gäller då den
registeransvarige upphör att föra personregistret.

Datainspektionen kan i dag meddela beslut om gallring av personupp-
gifter i ett visst register med stöd av 6, 6 a eller 18 § datalagen. Sådana
beslut meddelas dels i enskilda tillstånds- eller tillsynsärenden, dels i av
Datainspektionen meddelade föreskrifter om förenklat ansöknings- och
tillstånd sförfarande. Enligt 12 § dataförordningen (1982:480) skall frågor
om bevarande och gallring av personuppgifter i myndigheters person-
register avgöras av Datainspektionen i samråd med Riksarkivet eller i
vissa fall Krigsarkivet.

Regeringen anser inte att det finns skäl att nu avvika från den reglering
av gallringen av allmänna handlingar som festlagts i arkivlagen.
Principen om att undantag från huvudregeln i 10 § arkivlagen skall göras
i lag eller förordning bör inte ändras. Datainspektionens normgivnings-
makt bör därför inte innefatta en rätt att utfärda generella gallrings-
föreskrifter avseende allmänna handlingar. Däremot har inspektionen rätt
att i de dataskyddsföreskrifter som inte avser myndigheters personregister
föra in regler om gallring. Datainspektionen bör samråda med Riksarki-
vet eller i förekommande fell Krigsarkivet när dataskyddsföreskrifter tas
fram för personregister som kan antas vara allmänna handlingar hos
statliga myndigheter, så att arkivmyndigheterna kan utfärda gallringsföre-
skrifter som passar in i den reglering som inspektionen ämnar utfärda.
En regel om samrådsskyldighet mellan Datainspektionen och dessa arkiv-
myndigheter vid utformningen av generella föreskrifter kan beslutas av
regeringen genom förordning.

För att göra tydligt att de föreskrifter med generell verkan som rege-
ringen nu föreslår att regeringen eller Datainspektionen skall kunna
utfärda är av annat slag än de föreskrifter som inspektionen meddelar
bl.a. med stöd av 5 och 6 §§ datalagen i de enskilda tillståndsbesluten
bör vissa justeringar göras i lagtexten.

Möjligheterna för Datainspektionen att utfärda dataskyddsföreskrifter
måste syfta till att skapa enhetliga regler för ett starkt integritetsskydd
oavsett var registreringen av personuppgifter sker. Detta inte minst mot
bakgrund av det ökande informationsflödet i samhället. Det ligger också
ett stort värde i att systemet är så beskaffat att det inte råder några
oklarheter i konstitutionellt hänseende om i vilken utsträckning Data-
inspektionen har rätt att utfärda föreskrifter till datalagen. Möjligheterna
att kunna delegera normgivningskompetensen på integritetsskyddsområdet
bör således gälla såväl privat som statlig och kommunal verksamhet.

Ett par remissinstanser har motsatt sig att Datainspektionen skall ges
möjligheter att kunna utfärda generella föreskrifter för kommunerna. En
sådan begränsning kan dock inte motiveras från integritetsskydds-
synpunkt. Registreringen av de mest integritetskänsliga personuppgifterna
sker till stor del inom den kommunala och landstingskommunala
verksamheten t.ex. inom socialtjänsten och hälso- och sjukvården. Med
de pågående organisations- och verksamhetsförändringar i form av
decentralisering och konkurrensutsättning som sker inom dessa sektorer                  19

anser regeringen i likhet med Landstingsförbundet att det är viktigt att

det skapas enhetliga förutsättningar för den närmare regleringen av Prop. 1993/94:217
integritetsskyddet vid registrering av personuppgifter oavsett om uppgif-
terna registreras i privat eller offentlig regi. Behovet av att förenkla
tillståndshanteringen för kommunala personregister har också lett till att
Datainspektionen bl.a. utfärdat föreskrifter om ett förenklat ansöknings-
förfarande för vissa personregister i kommunal verksamhet. Vad det
handlar om är närmast att förenkla hanteringen av personregister för bl.a.
kommunerna.

Som regeringen anfört i prop. 1993/94:116 kan den europeiska
konventionen om kommunal självstyrelse inte ges en så vid tolkning som
framförts av vissa remissinstanser. Konventionen, som syftar till att
fastlägga de grundläggande förutsättningarna för kommunal självstyrelse,
kan inte anses utgöra ett hinder mot att en statlig myndighet ges
möjligheter att utfärda föreskrifter på ett område som i dag ligger utanför
den kommunala föreskriftsmakten.

Möjligheten för Datainspektionen att utfärda föreskrifter för vissa
verksamheter bör kombineras med en bestämmelse som från tillstånds-
plikt undantar de personregister som inrättas och förs i enlighet med
föreskrifterna.

Datainspektionen kommer också att kunna ersätta eller ändra tidigare
meddelade generella föreskrifter med nya föreskrifter. Om en sådan
ändring sker i skärpande riktning blir konsekvensen för de register-
ansvariga som inte för register i enlighet med de nya föreskrifterna, att
registret förs i strid med datalagen. De registeransvariga är alltid skyldi-
ga att tillse att registren förs i enlighet med en gällande föreskrift. Av det
nu sagda följer också att det kan vara nödvändigt att förena nya
föreskrifter med övergångsbestämmelser som gör det möjligt för de
registeransvariga att på ett rimligt sätt kunna anpassa sig till de nya
reglerna.

Regeringen anser inte att det finns skäl att i lagen införa krav på en
speciell anmälningsskyldighet till Datainspektionen för de register som
inrättas och förs i enlighet med inspektionens föreskrifter. En sådan
reglering skulle motverka de syften som undantaget från tillståndsplikt
innebär och skapa nya byråkratiska inslag i Datainspektionens arbete.
Remissinstansernas kritik av Datalagsutredningens förslag till ett system
med anmälningsskyldighet till Datainspektionen för vissa typer av be-
handling av känsliga personuppgifter visar att ett sådant system inte
skulle skapa några direkta vinster ur integritetsskyddssynpunkt. Data-
inspektionen har i sitt remissvar i den delen bl.a. anfört att den inte ser
något behov av en anmälningsskyldighet som underlag för inspektionens
tillsynsverksamhet.

Framtagandet av föreskrifter om ADB-registrering av personuppgifter
förutsätter, som flera remissinstanser påtalat, ett ingående samråd med
företrädare för de branscher och sektorer som skall regleras. Utan sådana
kontakter med den verksamhet som skall regleras torde det inte vara
möjligt för Datainspektionen att kunna utfärda preciserade och
fungerande föreskrifter. Ett sådant samrådsförfarande måste även ske
enligt reglerna i begränsningsförordningen (1987:1347). I förordningen                  20

föreskrivs att en myndighet, innan den beslutar en regel, skall utreda

bl.a. dess kostnadsmässiga konsekvenser. Dessutom skall företrädare för Prop. 1993/94:217
dem vars verksamhet berörs av den tänkta regeln beredas tillfälle att yttra
sig. Skulle regeln antas leda till inte oväsentligt ökade kostnader, måste
myndigheten i princip inhämta medgivande från regeringen. Ett
samrådsförfarande tillämpas redan i dag av Datainspektionen i betydande
omfattning.

Förutom att samråd bör ske med företrädare för de personregister-
ansvariga bör Datainspektionen hålla sig underrättad om den utveckling
inom informationsteknologibranschen som kan ha betydelse för före-
skriftsverksamheten. Datainspektionen har här en viktig uppgift när det
gäller att påverka branschens utveckling av nya produkter som uppfyller
rimliga krav på säkerhet och kvalitet samtidigt som de underlättar för de
personregisteransvariga att uppfylla sina skyldigheter enligt gällande
föreskrifter. Ett exempel på en sådan påverkan utgör det s.k. "alltermi-
nalprojektet" där grundkraven på säkerhet för en persondator som kopp-
las upp mot olika datorer har utarbetats av inspektionen i samarbete med
andra intressenter.

Datainspektionen har i sitt remissyttrande anfört att inspektionen bör
ges ett bemyndigande att träffa branschöverenskommelser av samma slag
som Konsumentverket har inom sitt tillsynsområde. De dataskydds-
föreskrifter som Datainspektionen nu föreslås kunna meddela innebär att
inspektionen ges möjligheter att genom egen regelgivning meddela
generella föreskrifter som närmare reglerar vissa typer av personregister.
Att härutöver särskilt ge Datainspektionen i uppgift att träffa
branschöverenskommelser anser regeringen inte nödvändigt. Den före-
slagna regelgivningen och det som sagts om samråd innebär just att
Datainspektionen bör arbeta i samverkan med den bransch vars register
skall regleras.

Regeringen vill poängtera att möjligheten till en delegerad normgiv-
ningskompetens på integritetsskyddsområdet inte kommer att påverka den
nuvarande inriktningen på att ta fram särskilda registerförfättningar för
integritetskänsliga personregister. I prop. 1990/91:60 om offentlighet,
integritet och ADB uttalas att en målsättning bör vara att register med ett
stort antal registrerade och ett särskilt känsligt innehåll skall regleras i
lag (prop. s. 58). När propositionen behandlades av konstitutionsutskottet
i betänkandet 1990/91 :KU11 anförde utskottet att det allmänt sett är av
stor betydelse att en författningsreglering av ADB-register kommer till
stånd i syfte att stärka skyddet för de registrerades integritet i samband
med nödvändig registrering av känsliga uppgifter i myndighetsregister.
Utskottet delade den uppfattning som framfördes i propositionen om att
register hos kommunerna, landstingskommunerna, Riksförsäkringsverket
och Socialstyrelsen bör regleras i särskilda registerlagar. Likaså ansåg
utskottet att det krävs ingående överväganden i fråga om vilka register
inom dessa områden som bör lagregleras (bet. s. 11). Arbetet med att ta
fram registerlagar för integritetskänsliga personregister fortgår. Senast
har regeringen den 23 september 1993 med utgångspunkt i de återgivna
uttalandena beslutat tillkalla en kommitté för att utreda och lägga fram
förslag till en författningsreglering av personregister inom hälso- och                   21

sjukvårdens område (dir. 1993:111). Normgivningskompetens för

Datainspektionen skall inte ses som en ersättning för dessa register-
författningar utan som ett komplement till dem.

Avsikten är inte att Datainspektionens bransch- och sektorsvisa regler
måste reglera all personregistrering inom en verksamhet. I undantagsfall
kan det finnas skäl för de registeransvariga att ansöka om tillstånd att få
inrätta och föra ett personregister som ligger vid sidan av Datainspek-
tionens generella reglering. Att låta bransch- och sektorsvisa föreskrifter
uttömmande reglera personregistreringen inom ett visst område eller en
viss verksamhet skulle motverka den flexibilitet och utveckling som
kännetecknar den modema informationsteknologin.

Det förhållandet att föreskrifter meddelas inom en viss bransch eller
sektor medför inte att tidigare givna tillstånd att föra personregister
upphör att gälla. Skulle en generell föreskrift meddelas inom en verk-
samhet där det redan finns register som förs med stöd av tillstånd, blir
det den registeransvarige som får avgöra om registret skall foras med
stöd av tillståndet eller föreskriften.

6 Yttranden enligt 2 a § datalagen

Regeringens förslag: Den särskilda skyldigheten att begära
yttrande från Datainspektionen infor inrättandet av personregister
som beslutas av riksdagen eller regeringen avskaffas.

Utredningens förslag: Mot bakgrund av utredningens förslag till ny
datalag med förhållandevis fyllig reglering av de förutsättningar som
skulle gälla för behandlingen av personuppgifter, föreslog utredningen att
yttrande från Datainspektionen i fråga om s.k. statsmaktsregister inte
längre skulle vara obligatoriskt.

Remissinstanserna: Få remissinstanser har berört just frågan om ett
obligatoriskt yttrande från Datainspektionen inför inrättandet av s.k.
statsmaktsregister. Centralnämnden för fastighetsdata uttalar sig för
utredningens förslag att avskaffa det obligatoriska yttrandet. Sveriges
Läkarförbund och Svenska Läkaresällskapet anför att utredningens förslag
innebär att inrättandet av statsmaktsregister inte skall behöva föregås av
remissprövning. Organisationerna är av uppfattningen att det är mycket
angeläget med kontroller i flera instanser.

Skälen för regeringens förslag: Skyldigheten för statsmakterna att innan
de inrättar personregister höra Datainspektionen fanns med redan då
datalagen infördes år 1973. Som framgår av förarbetena till datalagen
förutsåg man då att statsmaktsregister skulle inrättas endast i sådana fall
då det var starkt motiverat med hänsyn till registrets betydelse eller med
hänsyn till övriga omständigheter (bet. 1973:KU9). Utvecklingen under
de allra senaste åren har dock gått mot en ökad omfattning av statsmakts-
register. Denna utveckling har som regeringen berört under avsnitt 5 sitt
stöd i uttalanden från regeringen och riksdagen där det har angetts som

Prop. 1993/94:217

22

en målsättning att vissa myndighetsregister med känsligt innehåll bör Prop. 1993/94:217
förfåttningsregleras (jfr prop. 1990/91:60 och bet. 1990/91 :KU 11).

I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m.
har regeringen anfört att i syfte att minska Datainspektionens arbetsbörda
bör den nuvarande skyldigheten att inför inrättandet av statsmaktsregister
inhämta inspektionens yttrande enligt 2 a § datalagen avskaffas. Inte bara
arbetsbesparande skäl talar emellertid för att skyldigheten avskaffas.
Integritetsaspektema kan nämligen bli tillgodosedda även utan detta
obligatorium. Datainspektionen får oavsett 2 a § datalagen tillfälle att
avge synpunkter innan regeringen eller riksdagen lättar sitt beslut. Detta
följer av den skyldighet som regeringen har att enligt 7 kap. 2 §
regeringsformen inhämta behövliga upplysningar och yttranden från
berörda myndigheter. Vid inrättandet av statsmaktsregister som är särskilt
känsliga ur integritetssynpunkt är det därför naturligt att regeringen
inhämtar yttrande från bl.a. Datainspektionen. Det är också redan i dag
vanligt att Datainspektionen deltar i beredningsarbetet långt tidigare än
i den form som är angiven i 2 a § datalagen. Inspektionen anlägger där-
vid samma aspekter som myndigheten gör i sitt obligatoriska yttrande.
Till detta kommer att Datainspektionen regelmässigt är remissorgan i de
lagstiftningsärenden som innefattar datarättsliga överväganden. Det
förhållandet att stora, integritetskänsliga register enligt vad statsmakterna
uttalat bör lagregleras, innebär i sig alltså att ett nogsamt berednings-
arbete föregår registrens inrättande. Även den interna beredning som sker
inom regeringskansliet inför inrättandet av statsmaktsregister innebär att
integritetsaspektema får en god genomlysning. Sammantaget framstår den
nuvarande ordningen ibland som onödigt stelbent och formell. Som
regeringen påpekat i prop. 1993/94:116 förekommer det också att Data-
inspektionen strax innan ett yttrande inhämtas i ett remissvar tillstyrkt
den ändring som föreslås. Ett avskaffande av yttranden enligt 2 a §
datalagen innebär på intet sätt någon lättnad i kravet på remissbehandling
av förslag till nya statsmaktsregister. Det är därför regeringens upp-
fattning att de angelägna integritetsaspekter Datainspektionen har att
bevaka väl så bra kan beaktas utan ett så formaliserat förfarande som den
nuvarande regleringen innebär. Av dessa skäl föreslår regeringen att det
obligatoriska inhämtandet av ett särskilt yttrande från Datainspektionen
inför inrättandet av statsmaktsregister avskaffas.

23

7 Vite

Prop. 1993/94:217

Regeringens förslag: Datainspektionens befogenheter att meddela
föreskrifter för ett enskilt register och förbud mot fortsatt förande
av personregister enligt 18 § datalagen kompletteras med en möj-
lighet att förena en sådan föreskrift eller ett sådant förbud med ett
vitesföreläggande.

Utredningens förslag: I förslaget till ny datalag föreslog utredningen att
Datainspektionen, om rättelse inte kunde åstadkommas på annat sätt, vid
vite skulle kunna förbjuda den persondataansvarige att fortsättningsvis
behandla personuppgifterna.

Remissinstanserna: Endast ett fåtal remissinstanser har kommenterat
denna fråga. Datainspektionen tillstyrker att dess befogenhet utökas med
en möjlighet att förelägga vite.

Skälen till regeringens förslag: Av 18 § första stycket datalagen
framgår att om ett förande av personregister lett till otillbörligt intrång
i personlig integritet eller om det finns anledning anta att sådant intrång
skall uppkomma, får Datainspektionen i mån av behov meddela före-
skrifter i sådant avseende som anges i 5 eller 6 § eller ändra föreskrifter
som tidigare meddelats. Sådana föreskrifter får såvitt avser s.k. stats-
maktsregister bara meddelas om föreskriften inte står i strid med beslut
av riksdagen eller regeringen. Enligt 18 § andra stycket datalagen får
Datainspektionen, om skydd mot otillbörligt intrång i personlig integritet
inte kan åstadkommas på annat sätt, förbjuda fortsatt förande av
personregister eller återkalla meddelat tillstånd. Befogenheten att förbjuda
fortsatt förande gäller alltså register för vilka tillstånd inte behövs.
Statsmaktsregister är emellertid undantagna.

Regeringens förslag om ökade möjligheter för Datainspektionen att
reglera databehandlingen inom branscher och sektorer genom generella
föreskrifter kommer att leda till en minskad tillståndshantering. Fler
register kommer således att föras utan tillstånd. Det är inte uteslutet att
detta på sikt kan leda till en ökad tillämpning av 18 § andra stycket
datalagen. I prop. 1993/94:116 Normgivningsfrågor på dataskyddsom-
rådet, m.m. har regeringen angett att förslag förbereds som skall ge
Datainspektionen ökade möjligheter att kunna ingripa mot person-
registrering som sker i strid med datalagen. Regeringen anförde vidare
att för att skapa förutsättningar för inspektionen att på ett effektivt och
kraftfullt sätt kunna förhindra pågående integritetsintrång bör inspektio-
nen ha möjlighet att förena ett förbud mot fortsatt förande av person-
register enligt 18 § andra stycket datalagen med ett vitesföreläggande.

Utdömande av ett förelagt vite förutsätter till skillnad från straff varken
uppsåt eller oaktsamhet hos den som brutit mot en föreskrift eller ett
förbud. Ett vitesföreläggande är därför i många fall mer effektivt än ett
straffstadgande. Vitesmöjligheten bör således skapa avsevärt bättre
förutsättningar än för närvarande att sätta stopp för otillbörliga intrång
i personlig integritet. Som regeringen angav i prop. 1993/94:116 är en

24

överträdelse av ett förbud enligt 18 § andra stycket straffsanktionerat. Prop. 1993/94:217
Även för den som bryter mot en föreskrift enligt 18 § första stycket är
det föreskrivet straff. Datainspektionen har varken i fråga om föreskrift
eller förbud någon möjlighet att förena dessa åtgärder med en sanktion.

För att förhindra pågående integritetsintrång bör det enligt regeringens
mening därför också bli möjligt att förena en föreskrift enligt 18 § första
stycket med ett vitesföreläggande. Ett sådant vitesföreläggande kan
dessutom förutsättas få större praktisk betydelse för Datainspektionens
möjligheter att verka mot pågående integritetsintrång än enbart ett
vitesföreläggande med stöd av 18 § andra stycket.

Som framgår av 2 § lagen (1985:206) om viten skall ett vitesföreläg-
gande vara riktat till en eller flera namngivna fysiska eller juridiska
personer (adressater). Även en kommun kan vara adressat för ett vites-
föreläggande som Datainspektionen kommer att kunna meddela i sam-
band med förbud om fortsatt förande av personregister. Utanför det
marknadsrättsliga området har det ansetts att det krävs helt speciella
undantagsfall för att ett vitesföreläggande skall kunna riktas mot staten
(se prop. 1984/85:96 s. 24, 86 och 98 ff.). Frågan har dock inte lett till
någon författningsmässig reglering i lagen om viten utan överlämnats åt
rättstillämpningen. Det finns inte anledning att i detta ärende inta någon
annan hållning i detta avseende än vad som gjorts i förarbetena till lagen
om viten. Noteras kan dock att ett förbud enligt 18 § andra stycket över
huvud taget inte får meddelas i fråga om s.k. statsmaktsregister.
Föreskrifter enligt 18 § första stycket, som regeringen föreslår skall
kunna förenas med vite, kan bara meddelas beträffande statsmaktsregister
i den mån föreskriften inte strider mot beslut av regeringen eller
riksdagen.

Någon högsta gräns för vitesbeloppets storlek föreskrivs inte. Av detta
följer att vitesbeloppet skall bestämmas i enlighet med vad som är
föreskrivet i lagen om viten. Datainspektionens beslut om föreläggande
av vite kan överklagas enligt 25 § datalagen. Som framgår av avsnitt 8
föreslår regeringen att det i mål om viten skall krävas prövningstillstånd
i ledet länsrätt-kammarrätt.

Som nämnts ovan kan den som bryter mot en föreskrift eller ett förbud
enligt 18 § dömas till böter eller fängelse i högst ett år. När ett straff är
utsatt, får vite i princip föreläggas bara med stöd av ett särskilt
stadgande. Vidare bör samma gärning inte föranleda både vitespåföljd
och straff. Denna ståndpunkt har svensk rätt sedan länge intagit. Syftet
är att förhindra att någon drabbas av dubbla sanktioner för samma
gärning. Som en erinran om detta föreslås att en bestämmelse tas in i
20 § om att det inte döms till ansvar för den som överträder ett vites-
föreläggande enligt 18 § datalagen.

25

8 Överklagande

Prop. 1993/94:217

Regeringens forslag: Regeringens prövning av överklaganden av
ärenden enligt datalagen upphör. Datainspektionens beslut skall i
stället överklagas till allmän förvaltningsdomstol.

Utredningens förslag: I utredningens förslag till en ny datalag ingick
att Datainspektionens beslut skulle överklagas till kammarrätt. Utred-
ningen föreslog en särreglering för Högsta domstolen, Regeringsrätten
och för kammarrätterna.

Remissinstanserna: De remissinstanser som berört denna fråga är
genomgående positiva till ett överflyttande av överklaganden till för-
valtningsdomstol. Riksdagens ombudsmän, Justitiekanslem, Hovrätten
över Skåne och Blekinge, Länsrätten i Stockholms län, Domstolsverket,
Socialstyrelsen, Skattemyndigheten i Stockholms län, Patent- och regi-
streringsverket, Sveriges advokatsamfund och DAFA Data AB menar
dock att överklagade beslut bör handläggas av länsrätt som första instans.
Kammarrätterna i Stockholm och Göteborg, Överåklagaren vid
Regionåklagarmyndigheten i Linköping, Finansinspektionen och Kalmar
läns landsting delar utredningens uppfattning om kammarrätt som första
instans. Länsrätten i Stockholms län och Domstolsverket menar att en
särreglering för Högsta domstolen, Regeringsrätten och kammarrätterna
inte är nödvändig.

Datainspektionen och Svenska Bankföreningen anser att Datainspek-
tionens beslut om generella föreskrifter skall kunna överklagas till
regeringen.

Skälen för regeringens förslag: Redan vid datalagens tillkomst förekom
diskussioner om till vilken instans Datainspektionens beslut borde
överklagas. Av förarbetena (prop. 1973:33 s. 150) framgår att några
remissinstanser ansåg att inspektionens beslut borde överklagas till
Regeringsrätten. JO för sin del fann det ytterst angeläget med en
möjlighet att få domstolsprövning av inspektionens ställningstaganden i
tillståndsärenden och ärenden om föreläggande och föreskrifter. Före-
dragande statsrådet medgav att vissa skäl, bl.a. sambandet med offent-
lighets- och sekretessreglerna, talade för att Datainspektionens beslut
skulle kunna överklagas hos Regeringsrätten men framhöll att de av-
göranden som det kunde bli fråga om huvudsakligen var av sådan natur
att de inte lämpligen borde prövas av domstol. Han menade att det i
första hand var fråga om att avgöra hur man bäst skall förebygga risker-
na för otillbörligt intrång i personlig integritet och att det vidare i vissa
fall måste ske en avvägning mot samhällsekonomiska intressen.

I prop. 1993/94:116 Normgivningsfrågor på dataskyddsområdet, m.m.
har regeringen angett som sin uppfattning att Datainspektionens beslut
bör överklagas till allmän förvaltningsdomstol och att en sådan ordning
ligger i linje med bl.a. det arbete som sedan flera år pågår inom
regeringskansliet i syfte att minska regeringens befattning med för-
valtningsärenden. En grundsats härvid är att överklaganden av för-

26

valtningsbeslut i vilka rättsfrågan är huvudsak skall gå till domstol medan Prop. 1993/94:217
ärenden där lämplighetsbedömningar dominerar bör prövas i admini-
strativ ordning. De överväganden som gjordes vid datalagens tillkomst
har nu till stor del förlorat i aktualitet. För myndighetsregister med
känsligt innehåll är det enligt vad statsmakterna uttalat (prop.
1990/91:60, bet. 1990/91 :KU11) en bestämd målsättning att författ-
ningsregleringen ökar. Särskilda registerförfattningar har också i ökad
omfattning tillkommit under senare år. Den politiska styrning av ut-
vecklingen inom ADB-området som statsmakterna kan och bör använda
sig av bör således helt utövas genom att riksdagen eller regeringen
festställer normer, dvs. lagar och andra föreskrifter. För att ytterligare
minska utrymmet för rena lämplighetsbedömningar och härigenom ge
rättsfrågan ökad tyngd vid hanteringen av överklaganden, bör en strävan
vara att på sikt låta datalagstiftningen innehålla än mer preciserade regler
(jfr bet. 1988/89:KU28).

Mot denna bakgrund bör överprövningen av Datainspektionens beslut
flyttas från regeringen till domstol. Eftersom det är fråga om överkla-
gande av förvaltningsbeslut är det naturligt att låta överprövningen ske
i allmän förvaltningsdomstol.

Det kan här påpekas att de generella föreskrifter som Datainspektionen
enligt regeringens förslag kommer att kunna utfärda, enligt allmänna
principer om normgivningsmakten torde kunna överprövas av regeringen
oavsett om de överklagas eller inte (se t.ex. Hellners m.fl. Nya
förvaltningslagen med kommentarer, tredje uppl., s. 296 ff.). Främst av
detta skäl saknas anledning att, som Datainspektionen och Svenska
Bankföreningen förordat, särskilt reglera möjligheterna till överklagande
av Datainspektionens normbeslut.

Som det har beskrivits i prop. 1993/94:133 Instansordningen i de
allmänna förvaltningsdomstolarna, har en av grundtankarna i det re-
formarbete som bedrivits under senare år på rättsväsendets område varit
att tyngdpunkten i rättskipningen skall ligga i första instans, dvs. den
första domstolsprövningen skall ske i första instans. I 1993 års budget-
proposition ställde sig regeringen bakom denna princip (prop.
1992/93:100 bil. 3, s. 24 f. och s. 93). Riksdagen har godkänt de i
propositionen angivna riktlinjerna (bet. 1992/93 :JuU24, rskr.
1992/93:289). Kammarrätt bör således endast i undantagsfall vara första
domstolsinstans. Som en konsekvens av det principiella ställningstagandet
har också i den ovannämnda prop. 1993/94:133 regeringen nyligen, som
ett led i en första etapp, föreslagit överflyttande av en del måltyper från
kammarrätt till länsrätt.

Tyngdpunkten i rättskipningen skall alltså ligga i första instans. Han-
teringen av de överklagade besluten från Datainspektionen kommer på
grund av forumreglema att handläggas av endast en domstol i första
instans. Detta innebär att domstolen, oavsett om det är Länsrätten i
Stockholms län eller Kammarrätten i Stockholm, kommer att kunna
bygga upp en kompetent och effektiv hantering av sådana mål. Enligt
regeringens uppfettning är inte dessa avgöranden så särpräglade eller
speciella att de enbart av sådana skäl bör handläggas av kammarrätt i

27

första instans. Avgörande skäl talar i stället för att den första dom- Prop. 1993/94:217
stolsprövningen bör ske i länsrätt.

I den tidigare nämnda propositionen om instansordningen i de allmänna
förvaltningsdomstolarna har regeringen också föreslagit att regler om
prövningstillstånd i kammarrätt skall införas. Det förhållandet att över-
klaganden av beslut enligt datalagen är en ny målgrupp för domstolarna,
att en fest domstolspraxis därför inte finns, att målen ofta innefattar
komplicerade ställningstaganden samt att målen inte kan förväntas utgöra
en antalsmässigt stor målgrupp gör att regeringen inte för närvarande
finner skäl att föreslå ett införande av prövningstillstånd i ledet länsrätt-
kammarrätt.

Däremot finner regeringen att prövningstillstånd bör införas i mål om
vite. Sedan en tid krävs prövningstillstånd i hovrätten för bl.a. bötesmål.
Det offentligrättsliga vitet påminner om böter. Vad som främst skiljer det
individuella vitet från böter är att vitet i förväg bestäms till ett visst
belopp. Såvitt avser frågan om prövningstillstånd finns inte anledning att
behandla mål om vite på annat sätt än bötesmål. Med prövningstillstånd
kan det förutses att vitesmål vinner laga kraft i ett tidigare skede än
annars. Att så blir fellet har den fördelen att reaktionen mot den som
bryter mot ett vitesföreläggande kommer relativt omgående.

Även beslut som avser personregister hos statliga myndigheter bör
överklagas till domstol. Som nämnts tidigare får statsmakternas behov av
politisk styrning av ADB-registreringen anses bli tillgodosett genom de
möjligheter som finns att genom författningsreglering inrätta s.k.
statsmaktsregister. Inte heller framstår någon särreglering för de få
situationer som kan beröra de högsta instanserna som nödvändig. Skulle
det bli fråga om överprövning av ett beslut från Datainspektionen som
rör personregister hos Högsta domstolen eller Regeringsrätten får de
rättsliga instanserna förutsättas kunna hantera detta inom ramen för de
generellt angivna reglerna för överklagande. Något bärande skäl för en
särreglering för länsrätterna eller kammarrätterna har inte heller fram-
kommit.

Också i fortsättningen bör Justitiekanslem ha rätt att föra talan för att
tillvarata allmänna intressen. Justitiekanslem bör kunna överklaga utan
att hans talan är beroende av prövningstillstånd, vilket bör framgå av
34 a och 35 §§ forvaltningsprocesslagen (1971:291).

Förutom överklaganden av Datainspektionens beslut enligt datalagen
handlägger regeringen överklaganden rörande befrielse från licensavgift
enligt 3 § förordningen (1982:481) om avgifter för Datainspektionens
verksamhet. Dessa mål är till helt övervägande del av okomplicerad art
och en fest praxis finns uppbyggd kring dessa avgöranden. Något skäl att
inte även dessa mål förs över till allmän förvaltningsdomstol synes inte
föreligga. Som nämnts är målen från juridisk synpunkt enkla. Mot denna
bakgrund avser regeringen att låta dessa mål omfettas av krav på
prövningstillstånd i ledet länsrätt-kammarrätt i enlighet med reglerna om
sådant prövningstillstånd i prop. 1993/94:133. Ändringarna kommer att
ske i förordningsform och kräver därför inte riksdagens medverkan.

Regeringen är överinstans inte bara när Datainspektionens beslut                  28

överklagas enligt datalagen utan också bl.a. vid överklagande av beslut

enligt kreditupplysningslagen (1973:1173). Kreditupplysningsutredningen Prop. 1993/94:217
har i sitt slutbetänkande Integritet och effektivitet på kreditupplysnings-
området (SOU 1993:110) föreslagit att överklaganden av Datainspek-
tionens beslut enligt kreditupplysningslagen skall ske hos länsrätten.

Betänkandet remissbehandlas for närvarande.

9 Kostnader

Regeringens förslag innebär ett successivt överflyttande av resurser hos
Datainspektionen från tillståndshantering till ett författningsarbete. Var-
ken denna ändring eller andra förslag i remissen förutsätts leda till ökade
kostnader hos inspektionen. Inte heller förutses ökade kostnader för de
registeransvariga.

Förvaltningsdomstolarna tillförs en ny målgrupp vilket i sig kommer
att leda till ökade kostnader. Antalet överklaganden till regeringen har
under flera år legat kring ett tiotal årligen. På senare tid har en uppgång
i antalet överklagandeärenden kunnat noteras men någon större omfatt-
ning av överklaganden kan inte förväntas. Det är regeringens bedömning
att förslaget inte föranleder krav på ökade resurser hos de allmänna
förvaltningsdomstolarna

Det kan också påpekas att överflyttandet av överklaganden till för-
valtningsdomstolarna naturligtvis innebär något minskad arbetsbelastning
inom regeringskansliet.

29

10 Författningskommentar

Prop. 1993/94:217

Förutom de materiella ändringar som regeringen nu föreslår finns det
också skäl till flera språkliga ändringar i datalagen. Med tanke på att
datalagen inom en relativt snar framtid kan komma att ersättas av ny
lagstiftning har ändringarna begränsats till de mest nödvändiga.

10.1 Förslaget till lag om ändring i datalagen (1973:289)

2a §

Bestämmelsen behandlas i avsnitt 5 och 6.

Ändringen i första stycket innebär ett avskaffande av skyldigheten for
riksdag och regering att i särskild ordning inhämta Datainspektionens
yttrande innan statsmakterna inrättar personregister. Inspektionens
synpunkter skall dock på sedvanligt sätt inhämtas i beredningen av
ärendet.

Ändringen innebär också att de register som inrättas och förs i enlighet
med föreskrifter som regeringen eller Datainspektionen beslutat med stöd
av 19 § undantas från tillståndsplikt. Detta förutsätter naturligtvis att den
registeransvarige i alla avseenden för registret så att det uppfyller de
föreskrifter som regeringen eller Datainspektionen meddelat. Skulle
registret ändras så att det avviker från föreskrifterna får detta till följd att
registret förs i strid med datalagen.

Av bestämmelsen framgår avsikten att det är register som är till-
ståndspliktiga, eller som skulle kräva tillstånd om de inrättades, som skall
kunna regleras genom den nya generella föreskriftsmöjligheten.

Bestämmelsen behandlas i avsnitt 5.

Ändringarna är av redaktionell natur. De syftar till att klargöra
skillnaden att föreskrifter som meddelas i ett enskilt tillståndsärende inte
är normer, dvs. sådana dataskyddsföreskrifter som beslutats med stöd av
19 §.

6a §

Samma tillägg av redaktionell natur som införts i 6 §. Dessutom har en
ändring skett som följd av att skyldigheten att inhämta yttrande från
Datainspektionen enligt 2 a § avskaffas.

12 §

Ändringen är en följd av att skyldigheten att inhämta yttrande från
Datainspektionen enligt 2 a § avskaffas.

30

18 §

Bestämmelsen behandlas i avsnitt 7.

Någon möjlighet att meddela interimistiskt vitesföreläggande har inte
införts. Frågor om utdömande av vitet prövas av Länsrätten i Stockholms
län på ansökan av Datainspektionen. Av 4 § lagen (1985:206) om viten
framgår att vite kan föreläggas som löpande vite. Det innebär att vitet
bestäms till ett visst belopp för varje tidsperiod av viss längd under
vilken föreläggandet har överträtts. Vitet kan också bestämmas så att
vitet skall betalas varje gång ett förbud eller någon liknande föreskrift
överträds.

Det nya tredje stycket medför att Datainspektionen får möjlighet att
förena en föreskrift enligt paragrafen med vite. Ett vite behöver
naturligvis inte alltid föreläggas. Särskilt gäller detta när en föreskrift
meddelas första gången (jfr prop. 1974:42 s. 114). Även ett förbud mot
fortsatt förande av personregister kan förenas med vite.

19 §

Den nya bestämmelsen behandlas i avsnitt 5.

I bestämmelsen ges en möjlighet för regeringen eller, efter regeringens
bemyndigande, Datainspektionen att meddela föreskrifter för person-
register som förs inom en viss verksamhet, bransch eller sektor. E n
förutsättning för delegation är att det är fråga om personregister som ofta
förekommer inom ett visst område eller en viss verksamhet. En
reglering av endast enstaka personregister bör därför inte förekomma.

Föreskrifterna skall utformas så att de faller inom ramarna för datala-
gens regler. Föreskrifterna skall säkerställa att inte otillbörligt intrång i
den personliga integriteten uppkommer i samband med den avsedda
registreringen och behandlingen av personuppgifter.

Vid utformandet av föreskrifterna är således utgångspunkten att det inte
blir ett sämre integritetsskydd än vid tillståndsprövningen för enskilda
register. De bestämmelser i datalagen som i första hand blir tillämpliga
vid utformandet av föreskrifterna är 5 och 6 §§. Registrens ändamål
måste således preciseras och avgränsas väl. Det måste också noggrant
prövas i vilken mån regleringen skall innefatta sådana föreskrifter som
räknas upp i 6 §. Även andra bestämmelser i datalagen kan komma i
fråga för en mer generell reglering som t.ex. undantag från skyldigheten
att tillhandahålla registerutdrag enligt 10 § och utlämnande av person-
uppgifter till utlandet enligt 11 §. Däremot skall, som nämnts i avsnitt 5,
föreskrifterna inte omfatta gallring av allmänna handlingar. Det är
emellertid av vikt att Datainspektionen och de statliga arkivmyndig-
heterna kan samråda om gallringsfrågor i anslutning till Data-
inspektionens generella föreskrifter.

Som regeringen redogjort för i den allmänna motiveringen utesluter
inte det förhållandet att föreskrifter meddelats för en viss bransch, att det
hos skilda registeransvariga inom branschen undantagsvis ändå finns
behov av register som inte täcks av föreskrifterna. I sådana fäll kvarstår
möjligheten att söka tillstånd för registret.

Prop. 1993/94:217

31

20 §

Det nya andra stycket ger uttryck för principen att inte ingripa med båda
sanktionerna straff och vite när fråga är om samma gärning (jfr NJA
1982 s. 633 och RÅ 1992 ref. 25).

25 §

Av skäl som angetts i avsnitt 8, innebär ändringen i första stycket att
Datainspektionens beslut skall överklagas till allmän förvaltningsdomstol
i stället för till regeringen. Med allmän förvaltningsdomstol avses länsrätt
enligt i prop. 1993/94:133 föreslagen lydelse av 14 § lagen (1971:289)
om allmänna förvaltningsdomstolar. Eftersom instansordningen ändras
bör inte Justitiekanslems möjlighet att föra talan vara begränsad till
överklagande av Datainspektionens beslut. För att klargöra att Justitie-
kanslem kan överklaga förvaltningsdomstolarnas beslut anges i paragra-
fen att Justitiekanslem får föra talan for att tillvarata allmänna intressen.
Justitiekanslems möjligheter att föra talan oberoende av prövningstillstånd
framgår av regeringens förslag till ändringar i 34 a och 35 §§ för-
valtningsprocesslagen (1971:291).

Ändringen i andra stycket är en följd av nyligen beslutade ändringar i
sekretesslagen (prop. 1993/94:48, bet. 1993/94:KU13, rskr. 1993/94:46,
SFS 1993:1298).

Det nya tredje stycket innebär att varken överklaganden av beslut om
förelägganden av viten eller mål om utdömande av viten kan föras vidare
från länsrätt till kammarrätt, såvida inte prövningstillstånd meddelas.

10.2 Förslaget till lag om ändring i forvaltningsprocesslagen
(1971:291)

34 a §

Den nya meningen i första stycket innebär att Justitieombudsmannen och
Justitiekanslem alltid kan föra talan mot länsrättens beslut utan
prövningstillstånd. Ändringen är omedelbart föranledd av att
prövningstillstånd införs i ledet länsrätt-kammarrätt såvitt avser mål om
vite. Några andra situationer där bestämmelsen i dag blir tillämplig finns
inte.

35 §

Ett överklagande av Justitiekanslem av ett beslut av en kammarrätt enligt
datalagen skall prövas av Regeringsrätten utan prövningstillstånd. En
ändring av denna innebörd har gjorts i denna paragraf.

Prop. 1993/94:217

Sammanfattning av Datalagsutredningens betänkande
En ny datalag (SOU 1993:10)

Datalagsutredningen har haft i uppdrag att göra en översyn av datalagen
(1973:289) från såväl saklig som lagteknisk synpunkt. Den svenska
datalagen var den första nationella lagstiftningen i sitt slag och väckte
berättigad uppmärksamhet vid sin tillkomst. Sedan dess har 20 år gått,
vilket i dessa sammanhang är en mycket lång tid, utan att lagens grund-
läggande struktur har ändrats. Lagen får såväl innehållsmässigt som till
sin tekniska utformning anses vara ganska föråldrad.

Den nuvarande datalagen reglerar användningen av personregister.
Med personregister förstås register, förteckning eller andra anteckningar
som förs med hjälp av automatisk databehandling (ADB) och som inne-
håller personuppgift som kan hänföras till den som avses med uppgiften.
Avgörande för frågan om datalagen över huvud taget är tillämplig på ett
register är således huruvida registret förs med ADB eller inte. Register
som förs med hjälp av annan teknik än ADB folier i dag utanför
datalagens tillämpningsområde.

För varje register skall finnas en registeransvarig. Därmed förstås den
för vars verksamhet personregistret förs, om han förfogar över registret.
Såväl fysiska som juridiska personer och myndigheter kan vara register-
ansvariga. Med att förfoga över ett register avses närmast en befogenhet
att överföra registrets innehåll till läsbar form. En registeransvarig måste
också kunna påverka innehållet i registret genom att tillföra eller ändra
de uppgifter som ingår i registret för att anses förfoga över det.

Personregister får inrättas och föras endast av den som efter anmälan
har fått licens av Datainspektionen. En sådan licens berättigar den
registeransvarige att föra ett eller flera personregister.

För vissa register, som bedöms innebära särskilda risker för otillbörligt
intrång i enskilds personliga integritet, krävs utöver licens även ett
särskilt tillstånd från Datainspektionen.

Tillstånd behövs i regel för att inrätta och föra ett personregister som
innehåller

1) känsliga personuppgifter,

2) omdömen om den registrerade,

3) uppgifter om personer som saknar sådan anknytning till den register-
ansvarige som följer av medlemskap, anställning, kundförhållande eller
något därmed jämförligt förhållande samt

4) personuppgifter som inhämtats från något annat personregister (s.k.
samköming).

En grundläggande förutsättning för att Datainspektionen skall kunna ge
tillstånd att inrätta och föra personregister är att det inte finns anledning
att anta att registreringen medför otillbörligt intrång i de registrerades
personliga integritet.

Finns det anledning anta att personuppgifter skall användas för ADB
i utlandet, får uppgifterna lämnas ut endast efter medgivande av Data-
inspektionen. Sådant medgivande får lämnas endast om det kan antas att
utlämnandet av uppgifterna inte kommer att medföra otillbörligt intrång
i personlig integritet. Något medgivande behövs dock inte, om person-

Prop. 1993/94:217

Bilaga 1

3 Riksdagen 1993/94. 1 saml. Nr 217

uppgifter skall användas för ADB enbart i en stat som har anslutit sig till
Europarådets konvention om skydd for enskilda vid ADB-behandling av
personuppgifter.

I datalagen finns allmänna bestämmelser om gallring av personuppgif-
ter.

Datainspektionen utövar tillsyn över att automatisk databehandling inte
medför otillbörligt intrång i registrerads personliga integritet.

Har förande av personregister medfört eller kan antas medföra otill-
börligt intrång i personlig integritet kan Datainspektionen meddela villkor
eller, om rättelse inte på annat sätt kan åstadkommas, förbjuda fortsatt
förande av personregister eller återkalla meddelat tillstånd.

Datainspektionens beslut får överklagas hos regeringen genom besvär.

Enligt Datalagsutredningens förslag skall datalagen även i fortsätt-
ningen bara reglera sådan informationshantering som sker med hjälp av
ADB. Liksom hittills skall lagen gälla både för den privata och offentliga
sektorn. I övrigt innebär den föreslagna lagen mycket betydande
förändringar i förhållande till vad som gäller i dag. De viktigaste för-
ändringarna och nyheterna är följande.

*  Personregisterbegreppet, som har gett upphov till en hel del tolk-
ningsproblem, slopas. Den nya datalagen blir tillämplig på behand-
ling av personuppgifter. Med behandling förstås varje åtgärd som
vidtas med personuppgifter genom ADB. Vissa undantag görs från
huvudregeln, bl.a. tas ordbehandling och behandling som sker uteslu-
tande för personligt bruk undan från lagens tillämpningsområde.

*  Det blir lättare att avgöra vem som är registeransvarig, persondata-
ansvarig enligt utredningens terminologi, i system som används av
flera. Endast den är persondataansvarig som bestämmer ändamålet
med behandlingen, vilka personuppgifter som skall behandlas och hur
de skall behandlas.

*  Systemet med licens och tillstånd avskaffas. Trots olika försök att
rationalisera tillståndshanteringen och begränsa antalet tillståndsären-
den är arbetet med dessa ärenden så omfattande att Datainspektionen
i stort sett inte hinner ägna sig åt några inspektioner ute på fältet.
Den uteblivna tillsynen medför en bristande respekt för datalagens
regler. Det kan t.ex. nämnas att det f.n. finns omkring 50 000 med-
delade licenser. Enligt utredningens beräkningar hade antalet bort
vara mellan 500 000 och 1 milj.

*  De resurser som frigörs genom att systemet med licens och tillstånd
avskaffas skall användas för en intensifierad tillsyn, särskilt in-
spektioner ute på fältet. En sådan tillsyn är enligt utredningens
uppfattning det bästa sättet att upprätthålla ett gott integritetsskydd.

*  En förutsättning för att man skall kunna övergå till ett renodlat till-
synsforfärande är att datalagen ger en så utförlig reglering som möj-
ligt av de förutsättningar som gäller för ADB-hantering av person-

Prop. 1993/94:217

Bilaga 1

34

uppgifter. Det nuvarande begreppet otillbörligt intrång i personlig
integritet, som aldrig har kunnat ges ett någorlunda preciserat in-
nehåll, avskaffas. I stället infors regler för de olika momenten i
informationsbehandlingen. I den nya datalagen finns bestämmelser
om bl.a. den nödvändiga anknytningen till ett ändamål, förutsättning-
arna för behandling av personuppgifter, vilka personuppgifter som
får behandlas, formen för samtycke från den enskilde, säkerhet och
gallring.

*  Regleringen i den nya datalagen skall kunna kompletteras med be-
stämmelser som utfärdas av Datainspektionen och som avser olika
branscher eller sektorer.

*  Ett system med anmälningsskyldighet för vissa persondataansvariga
införs. En anmälan skall göras till Datainspektionen när vissa käns-
liga uppgifter behandlas med ADB. Anmälningarna skall ligga till
grund för Datainspektionens tillsyn. Anmälningsförfarandet blir
betydligt enklare och riktar sig mot betydligt färre persondataan-
svariga än det nuvarande tillståndssystemet.

*  Liksom i dag skall personuppgifter få ADB-behandlas bara för be-
stämda ändamål. Ändamålet skall dock enligt utredningens förslag
anges med större precision än enligt nuvarande datalag. Möjligheter-
na begränsas att använda personuppgifter som samlats in för ett
ändamål för andra ändamål.

*  I den föreslagna lagen anges i sex olika punkter de alternativa grun-
der som ger rätt att ADB-behandla personuppgifter. En av grunderna
är samtycke från dem som berörs av behandlingen.

*  När den enskildes samtycke behövs för en viss ADB-behandling skall
det vara ett uttryckligt samtycke. Passivitet eller s.k. konkludent
handlande kommer inte att vara tillräckligt.

*  För känsliga personuppgifter, t.ex. politisk uppfattning, sjukdom,
hälsotillstånd eller olika slags omdömen, kommer särskilda regler att
gälla. Enligt dessa bestämmelser får de känsliga uppgifterna ADB-
behandlas bara om, när samtycke inte föreligger, det finns särskilt
stöd i författning for behandlingen. Det kommer att behövas
åtskilliga sådana författningar, särskilt på den offentliga sidan.

*   I några paragrafer i den föreslagna datalagen ges sådant särskilt för-
fättningsstöd i fråga om behandling av känsliga uppgifter på forsk-
ningsområdet och hos arbetsgivare. Dessa bestämmelser anger alltså
de förutsättningar som måste föreligga for att känsliga uppgifter, utan
samtycke från de berörda enskilda, skall få ADB-behandlas för forsk-
ningsändamål och i förhållandet mellan arbetsgivare samt arbets-
tagare och arbetssökande. På forskningsområdet avses be-
stämmelserna tillgodose den viktiga registerforskningen.

Prop. 1993/94:217

Bilaga 1

*  En uttrycklig regel om förbud för den persondataansvarige att ADB-
behandla personuppgifter för direktreklamändamål i strid med den
enskildes önskan tas in i datalagen.

*  Särskilda regler införs i datalagen som klargör hur de intressen som
följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen skall
avvägas mot integritetsintressena.

*  Vid gallring av personuppgifter som utgör allmän handling hos myn-
digheter kan integritetsintressena komma i konflikt med intresset att
bevara uppgifterna, t.ex. för framtida användning inom forskningen.
En särskild bestämmelse i utredningens förslag till datalag anger hur
den avvägningen skall ske.

*  Bestämmelserna i den gällande datalagen om överföring av person-
uppgifter till utlandet för ADB-behandling av uppgifterna där har
berörts i det föregående. Enligt utredningens förslag skall överföring
utan särskilt medgivande kunna ske till en stat som visserligen inte
har anslutit sig till Europarådets konvention men som har ett integri-
tetsskydd som motsvarar det som följer av konventionens regler. Den
nya bestämmelsen bör få ganska stor praktisk betydelse.

*   Datainspektionens beslut skall i fortsättningen överklagas till domstol,
inte som i dag till regeringen.

EG-kommissionen antog i september 1990 ett förslag till direktiv om
skydd för enskilda vid behandling av personuppgifter och om det fria
flödet av sådana uppgifter. Sedan förslaget behandlats i EG:s ministerråd
och EG-parlamentet har EG-kommissionen i oktober 1992 antagit ett nytt
förslag till direktiv. Detta förslag har förelagts Ministerrådet och enligt
tidsplanen skall Rådet ta slutlig ställning till det nya förslaget under år
1993.

Åtskillig diskussion om hur integritetsskyddet skall vara utformat har
förekommit i anslutning till det tidigare utkastet till direktiv från Kom-
missionen och EG-parlamentets behandling av detta utkast. Fortfarande
förekommer inom EG, såvitt man kan bedöma, oenighet om hur ett
framtida direktiv skall vara utformat. Detta har bl.a. lett till att tidsplanen
för antagandet av direktivet har förskjutits. Enligt företrädare för
Kommissionen kommer Ministerrådet troligen inte att kunna ta slutlig
ställning till förslaget förrän sommaren 1994. I den debatt som förts efter
det Kommissionen presenterade sitt reviderade förslag i oktober 1992 har
vissa bl.a. pekat på den s.k. subsidiaritetsprincipen. Vidare kan nämnas
att vid Europeiska Rådets möte i Edinburgh den 11-12 december 1992
har Kommissionen förklarat att den avser att revidera ett antal förslag i
syfte att göra dem mindre detaljerade. Sett i ljuset av att samtliga
medlemsländer snart kommer att ha nationella dataskyddslagar och
anslutit sig till Europarådets dataskyddskonvention har det från vissa håll
ifrågasatts om behovet av att anta direktivförslaget kommer att kvarstå.

Prop. 1993/94:217

Bilaga 1

36

Redovisningen i det följande bygger på det nuvarande direktivförslagets
lydelse.

Direktiv som beslutas av behöriga EG-organ är bindande i fråga om det
resultat som skall uppnås men överlämnar åt medlemsländerna att välja
form och metod för detta.

I förslaget till EG-direktiv har man beaktat den utveckling på data-
skyddsområdet som har skett och förslaget bygger på de integritets-
skyddslagar och den internationella reglering som har kommit fram under
de senaste åren. I förhållande till den svenska datalagen innefattar
direktivförslaget i en hel del hänseenden en önskvärd skärpning av
reglerna för integritetsskyddet. Av dessa och andra skäl, särskilt det
intensifierade europeiska samarbetet, har utredningen eftersträvat att få
i huvudsak samma regler för integritetsskyddet som de som kan komma
att gälla inom EG. Utredningens förslag till materiella regler för data-
skyddet ligger också nära motsvarande bestämmelser i direktivförslaget.
Det gäller bl.a. sådana frågor som ändamålsanknytning och byte av
ändamål, förutsättningar för behandling av personuppgifter, hur samtycke
från den enskilde skall lämnas, vilka personuppgifter som får behandlas,
säkerhet, gallring och regleringen av känsliga personuppgifter.

Vissa avvikelser förekommer emellertid i förhållande till förslaget till
EG-direktiv. Som har nämnts i det föregående skall datalagen i motsats
till vad som gäller enligt direktivförslaget även i fortsättningen bara
reglera sådan informationshantering som sker med hjälp av ADB. Såvitt
utredningen känner till är nämligen varken omfattningen av eller in-
nehållet i den manuella registreringen av någon betydenhet och innebär
inte några mera påtagliga integritetsrisker. Vidare berör en del före-
skrifter i direktivförslaget den svenska offentlighetsprincipen. De be-
stämmelser i förslaget till EG-direktiv som reglerar utlämnande av per-
sonuppgifter tillåter enligt utredningen inte något utlämnande enligt
offentlighetsprincipen. Ett utlämnande av personuppgifter med stöd av
offentlighetsprincipen kan heller inte anses förenlig med det sätt på vilket
ändamålet för en viss ADB-behandling skall anges enligt direktivför-
slaget. Förslaget till EG-direktiv påverkar vidare principen i tryckfrihets-
förordningen att en sökande som begär att få ut en handling har rätt att
vara anonym. Slutligen innehåller inte direktivförslaget något undantag
från huvudregeln om gallring som gör det möjligt att bevara personupp-
gifter med hänsyn till offentlighetsprincipen. I de hänseenden som nu har
nämnts innebär utredningens lagförslag avvikelser från det föreslagna
EG-direktivet för att offentlighetsprincipen skall lämnas orörd.

Avvikelser i förhållande till förslaget till EG-direktiv förekommer
också när det gäller information till den enskilde och underrättelser till
dataskyddsmyndigheten.

Kraven på information till den enskilde är långtgående. Enligt direk-
tivförslaget skall den enskilde ha rätt att på begäran bli informerad om
förekomsten av en viss ADB-behandling och om olika uppgifter som
hänför sig till ADB-behandlingen. När en persondataansvarig lämnar ut
personuppgifter skall vidare den enskilde vars personuppgifter det är
fråga om i princip underrättas om utlämnandet. Tanken bakom dessa
bestämmelser i direktivförslaget är att den enskilde skall bli medveten om

Prop. 1993/94:217

Bilaga 1

4 Riksdagen 1993/94. 1 saml. Nr 217

att personuppgifter som rör honom ADB-behandlas och kunna göra sina
rättigheter enligt dataskyddslagstiftningen gällande. Ett iakttagande av be-
stämmelserna skulle emellertid innebära en betungande informations-
skyldighet för de persondataansvariga och en ganska betydande byråkrati-
sering av kontrollsystemet.

Utredningen har kommit till den slutsatsen att de skäl som från in-
tegritetssynpunkt talar för den angivna ordningen inte är tillräckligt starka
för att väga över den byråkrati som skulle bli följden. Utredningen har
då också beaktat att det finns goda möjligheter till insyn genom andra
regler i den föreslagna datalagen och i sekretesslagen. Liksom i dag
kommer den enskilde att få möjlighet att kontrollera om uppgifter som
hänför sig till honom är föremål för ADB-behandling och, om så är
fellet, att kontrollera om uppgifterna är riktiga, fullständiga och aktuella.
Information om vilka känsliga personuppgifter som ADB-behandlas kan
man vidare få hos Datainspektionen. Den persondataansvarige skall
nämligen, innan han får börja att behandla sådana personuppgifter, göra
en anmälan till Datainspektionen om ADB-behandlingen. Slutligen finns
i sekretesslagen särskilda regler om dokumentationsskyldighet beträffande
datasamlingar som en myndighet har tillgång till. Reglerna syftar till att
tillgodose allmänhetens intresse av överblick över och orientering i det
ADB-material som finns hos myndigheterna.

När det gäller underrättelser till dataskyddsmyndigheten är utgångs-
punkten i förslaget till EG-direktiv att all ADB-behandling skall anmälas.
Vad som får tas undan från anmälningsskyldigheten är vissa slag av
behandling som inte menligt påverkar de enskildas integritet. Åtgärder
för att göra undantag från anmälningsskyldigheten förutsätter dataskydds-
myndighetens medverkan.

Utredningen konstaterar att, även om många undantag görs från
huvudregeln om anmälningsskyldighet, det finns en betydande risk för att
ett mycket stort antal datasamlingar måste anmälas till dataskydds-
myndigheten, bl.a. beroende på den höga takten i datoriseringen här i
landet. Antalet kan bli så stort att den överblick över den integritetskäns-
liga databehandlingen som dataskyddsmyndigheten bör ha helt går
förlorad. De åtgärder som behövs för att göra undantag från anmälnings-
skyldigheten kommer vidare att innebära en betydande belastning på
dataskyddsmyndigheten. Utredningen har sammanfattningsvis kommit till
den slutsatsen att det sätt på vilket avgränsningen av anmälningsskyldig-
heten har gjorts och det förfarande för att göra undantag från an-
mälningsskyldigheten som anges i direktivförslaget är förenade med så
betydande olägenheter att någon harmonisering med förslaget till EG-
direktiv inte bör ske i denna del. I stället har i den nya datalagen an-
mälningsskyldigheten avgränsats på samma sätt som tillståndsplikten
enligt den gällande datalagen, dvs. det anges uttryckligen i lagen vilken
behandling som måste anmälas till Datainspektionen. Anmälningsskyl-
digheten har begränsats till att avse ADB-behandling av i sig känsliga
personuppgifter.

Även i övrigt görs i olika frågor avvikelser från direktivförslaget.

Den nya datalagen är avsedd att träda i kraft den 1 januari 1995.

Prop. 1993/94:217

Bilaga 1

38

Förteckning över remissinstanser som yttrat sig
över Datalagsutredningens förslag

Prop. 1993/94:217

Bilaga 2

Remissyttranden över betänkandet har avgetts av Riksdagens ombuds-
män, Justitiekanslem, Hovrätten över Skåne och Blekinge, Kammar-
rätten i Stockholm, Kammarrätten i Göteborg, Länsrätten i Stockholm,
Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Kriminalvårdsstyrel-
sen, Datainspektionen, Överbefälhavaren, Vämpliktsverket, Överstyrel-
sen för civil beredskap, Vapenfristyrelsen, Riksförsäkringsverket,
Socialstyrelsen, Folkhälsoinstitutet, Socialvetenskapliga forskningsrådet,
Statskontoret, Statens person- och adressregistemämnd (SPAR-nämnden),
Generaltullstyrelsen, Statistiska centralbyrån, Finansinspektionen,
Riksrevisionsverket, Riksskatteverket, Stockholms universitet, Uppsala
universitet, Lunds universitet, Umeå universitet, Chalmers tekniska
högskola, Karolinska institutet, Högskolan i Karlstad, Forskningsråds-
nämnden, Humanistisk-samhällsvetenskapliga forskningsrådet,
Medicinska forskningsrådet, Naturvetenskapliga forskningsrådet, Veten-
skapsakademien, Sveriges lantbruksuniversitet, Skogs- och jordbrukets
forskningsråd, Arbetarskyddsstyrelsen, Arbetsmiljöinstitutet, Arbets-
miljöfonden, Arbetslivscentrum, Riksarkivet, Närings- och teknik-
utvecklingsverket, Konkurrensverket, Patent- och registreringsverket,
Konsumentverket, Centralnämnden för fastighetsdata, Göteborgs kom-
mun, Varbergs kommun, Härnösands kommun, Stockholms läns lands-
ting, Landstinget i Kalmar län, Stiftelsen Riksbankens Jubileumsfond,
Sveriges Författarförbund, Företagarnas Riksorganisation, Svenska
Kommunförbundet, Landstingsförbundet, Sveriges advokatsamfund,
Sveriges Köpmannaförbund, Sveriges Radio AB, Tjänstemännens Cen-
tralorganisation TCO, Sveriges Akademikers Centralorganisation SACO,
Landsorganisationen i Sverige LO, Tidningarnas Telegrambyrå, Svenska
Journalistförbundet, Svenska Tidningsutgivareföreningen, DAFA Data
AB, Dataföreningen i Sverige, DIK-förbundet, Företagens Uppgifts-
lämnardelegation, Kommundata AB (numera Dialogdata Informations-
system AB), Medborgarrättsrörelsen i Sverige, Sveriges Läkarförbund,
Sveriges Psykologförbund, Sveriges Försäkringsförbund, Svenska Bank-
föreningen, Krigsarkivet, Jacob Palme, FALK Föreningen arkivverk-
samma i landsting och kommun, Affärsdata AB, Statens löne- och
pensionsverk, Svenska Läkaresällskapet, Svenska kyrkans Församlings-
och Pastoratförbund, Arkivrådet AAS, Kungl. Vitterhets Historie och
Antikvitets Akademien, Svenska kyrkans centralstyrelse, Lantmäteri-
verket, Svenska Inkassoföreningen, Läkemedelsindustrins branschorga-
nisationer och Representantföreningen för Utländska Farmacevtiska
industrier samt AB Bonnierföretagen.

Svenska Arbetsgivareföreningen och Sveriges Industriförbund har
avgett ett gemensamt yttrande. Detsamma gäller Publicistklubben och
Föreningen Grävande Journalister.

Även Annonsörföreningen, Dagligvaruleverantöremas Förbund,
Direkthandelsföretagens förening, Svenska Bokförläggareföreningen,
Svenska Postorderföreningen, Sveriges Marknadsförbund, Sveriges

39

Reklamförbund, Sveriges Telemarketing Förening och SWEDMA har
avgett ett gemensamt yttrande.

Riksåklagaren har överlämnat yttranden från överåklagaren vid Åkla-
garmyndigheten i Göteborg samt överåklagarna vid Regionåklagarmyn-
dighetema i Linköping, Malmö och Härnösand.

Rikspolisstyrelsen har bifogat yttranden från polismyndigheterna i
Stockholm, Göteborg och Malmö.

Riksskatteverket har till sitt yttrande bifogat ett utlåtande från Skatte-
myndigheten i Stockholms län.

Rektorsämbetet vid Stockholms universitet har överlämnat yttranden
från den juridiska fakultetsnämnden och från den samhällsvetenskapliga
fakulteten. Rektorsämbetet vid Uppsala universitet har överlämnat ett
yttrande från den juridiska fåkultetsstyrelsen vid universitetet. Rektors-
ämbetet vid Lunds universitet har överlämnat ett yttrande från den
juridiska fåkultetsstyrelsen vid universitetet.

Riksarkivet har till sitt yttrande bifogat yttranden från samtliga lands-
arkiv och stadsarkiven i Stockholm och Malmö.

Göteborgs kommun har bifogat en av folkpartiet i kommunstyrelsen
avgiven skrivelse samt yttranden från Göteboigs servicenämnd, gruppen
för integritetsfrågor inom dataområdet (GRIND) och stadsdelsnämnden
Härianda.

Sveriges Akademikers Centralotganisation har utöver sitt yttrande
hänvisat till de yttranden som avgetts av DIK-förbundet, Sveriges Läkar-
förbund och Sveriges Psykologförbund samt utan eget ställningstagande
överlämnat ett yttrande från SACO-föreningen vid Datainspektionen.

Prop. 1993/94:217

Bilaga 2

40

Lagrådsremissens lagförslag

1 Förslag till lag om ändring i datalagen (1973:289)

Härigenom föreskrivs i fråga om datalagen (1973:289)'

dels att 2 a, 6, 6 a, 12, 18, 20 och 25 §§ skall ha följande lydelse,

dels att det i lagen skall införas en ny paragraf, 19 §, och närmast före
nya 19 § en ny rubrik av följande lydelse.

Prop. 1993/94:217

Bilaga 3

Nuvarande lydelse                  Föreslagen lydelse

2
Tillstånd av Datainspektionen
behövs inte för personregister
vars inrättande beslutas av riks-
dagen eller regeringen. Innan
sådant beslut fattas skall dock
yttrande inhämtas från Data-
inspektionen i fråga om register
som skall innehålla uppgifter som
avses i 2 § andra stycket.

a §

Tillstånd av Datainspektionen
behövs inte för personregister

1.  vars inrättande beslutas av
riksdagen eller regeringen,

2. som inrättas och förs i enlighet
med föreskrifter som beslutats med
stöd av 19 §,

3. som har tagits emot för för-
varing av en arkivmyndighet.

Tillstånd behövs inte heller för
personregister som har tagits emot
för förvaring av en arkivmyndig-
het.

Utan hinder av 2 § andra stycket 1 får

1. sammanslutningar inrätta och föra personregister som innehåller
sådana uppgifter om medlemmarnas politiska uppfattning, religiösa tro
eller övertygelse i övrigt som utgör grunden för medlemskapet i sam-
manslutningen,

2. myndigheter inom hälso- och sjukvården för vård- eller behand-
lingsändamål inrätta och föra personregister som innehåller uppgifter om
någons sjukdom eller hälsotillstånd i övrigt,

3. myndigheter inom socialtjänsten inrätta och föra personregister som
innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten,

4. läkare och tandläkare inrätta och fora personregister som innehåller
sådana uppgifter om någons sjukdom eller hälsotillstånd i övrigt som de
har erfarit i sin yrkesverksamhet,

5. arbetsgivare inrätta och föra personregister, som innehåller sådana
uppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om
uppgifterna används för löneadministrativa ändamål eller for att arbets-
givaren skall kunna avgöra om han skall påbörja en rehabiliteringsutred-

'Lagen omtryckt 1992:446.

41

ning enligt 22 kap. 3 § andra stycket lagen (1962:381) om allmän för-
säkring.

Prop. 1993/94:217

Bilaga 3

Lämnas tillstånd till inrättande
och förande av personregister,
skall Datainspektionen, i den mån
det behövs för att förebygga risk
för otillbörligt intrång i personlig
integritet, meddela föreskrift om

Lämnas tillstånd till inrättande
och förande av personregister,
skall Datainspektionen, i den mån
det behövs för att förebygga risk
för otillbörligt intrång i personlig
integritet, meddela föreskrift för
registret om

1. inhämtande av uppgifter för personregistret,

2. vilka personuppgifter som får ingå i personregistret,

3. utförandet av den automatiska databehandlingen,

4. den tekniska utrustningen,

5. de bearbetningar av personuppgifterna i registret som får göras med
automatisk databehandling,

6. underrättelse till berörda personer,

7. de personuppgifter som får göras tillgängliga,

8. utlämnande och annan användning av personuppgift,

9. bevarande och gallring av personuppgifter,

10. kontroll och säkerhet,

11. rättelse och andra åtgärder i fråga om oriktiga och missvisande
uppgifter.

Vid bedömandet av om föreskrift
behövs skall särskilt beaktas huru-
vida registret innehåller person-
uppgift som utgör omdöme eller
annan värderande upplysning om
den registrerade.

Föreskrift rörande utlämnande av
personuppgift får icke inskränka
myndighets skyldigheter enligt
tryckfrihetsförordningen.

Vid bedömandet av om föreskrift
för ett visst register behövs skall
särskilt beaktas huruvida registret
innehåller personuppgift som utgör
omdöme eller annan värderande
upplysning om den registrerade.

Föreskrift för ett visst register
rörande utlämnande av personupp-
gift får inte inskränka en myndig-
hets skyldigheter enligt tryckfri-
hetsförordningen.

42

6a §

Bestämmelserna i 5 och 6 §§ om
skyldighet för Datainspektionen att
meddela föreskrift gäller även i
fråga om personregister som avses
i 2 a § första stycket andra me-
ningen, i den mån icke regeringen
eller riksdagen har meddelat före-
skrift i samma hänseende.

Bestämmelserna i 5 och 6 §§ om
skyldighet för Datainspektionen att
meddela föreskrift för ett visst
register gäller även i fråga om
personregister som avses i 2 a §
första stycket 1, om registret skall
innehålla uppgifter som avses i 2 §
andra stycket och regeringen eller
riksdagen inte har meddelat före-
skrift i samma hänseende.

Prop. 1993/94:217

Bilaga 3

12 §

Personuppgift som kan hänföras till den som avses med uppgiften skall
utgå ur personregistret då uppgiften inte längre behövs med hänsyn till
ändamålet med registret, om inte uppgiften även därefter skall bevaras
på grund av bestämmelse i lag eller annan författning eller enligt
myndighets beslut som meddelats med stöd av författning. Detsamma
gäller då den registeransvarige upphör att föra personregistret.

Upphör en registeransvarig att
föra ett personregister för vilket
Datainspektionen har meddelat
tillstånd, skall han anmäla detta till
inspektionen. Detsamma gäller i
fråga om sådant personregister som
avses i 2 a § första stycket andra
meningen.

18

Har förandet av personregister
lett till otillbörligt intrång i per-
sonlig integritet eller finns an-
ledning antaga att sådant intrång
skall uppkomma, får Datainspek-
tionen i mån av behov meddela
föreskrift i sådant avseende som
anges i 5 eller 6 § eller ändra
föreskrift som tidigare meddelats.

1 fråga om register som avses i

2 a § första stycket får Datainspek-
tionen vidta åtgärd som nu nämnts
endast i den mån den ej står i strid
med beslut av regeringen eller
riksdagen.

Upphör en registeransvarig att
föra ett personregister för vilket
Datainspektionen har meddelat
tillstånd, skall han anmäla detta till
inspektionen. Detsamma gäller i
fråga om sådant personregister som
avses i 2 a § första stycket 1, om
registret innehåller uppgifter som
avses i 2 § andra stycket.

§

Har förandet av personregister
lett till otillbörligt intrång i per-
sonlig integritet eller finns an-
ledning antaga att sådant intrång
skall uppkomma, får Datainspek-
tionen för ett visst register i mån
av behov meddela föreskrift i
sådant avseende som anges i 5
eller 6 § eller ändra föreskrift som
tidigare meddelats. I fråga om
register som avses i 2 a § första
stycket 1 får Datainspektionen
vidta åtgärd som nu nämnts endast
i den mån den ej står i strid med
beslut av regeringen eller
riksdagen.

43

Kan skydd mot otillbörligt
intrång i personlig integritet ej
åstadkommas på annat sätt, får
Datainspektionen förbjuda fortsatt
förande av personregister eller
återkalla meddelat tillstånd. Detta
gäller dock inte sådana register
som avses i 2 a § första stycket.

Kan skydd mot otillbörligt in-
trång i personlig integritet inte
åstadkommas på annat sätt, får
Datainspektionen förbjuda fortsatt
förande av personregister eller
återkalla meddelat tillstånd. Detta
gäller dock inte sådana register
som avses i 2 a § första stycket 1.

Föreskrift enligt första stycket
och förbud enligt andra stycket får
förenas med vite.

Bemyndiganden

19 §

Regeringen eller, efter rege-
ringens bemyndigande, Data-
inspektionen får i anslutning till
denna lag meddela närmare före-
skrifter för personregister som ofta
förekommer inom en viss verk-
samhet for ett visst ändamål.

Prop. 1993/94:217

Bilaga 3

20 §

Till böter eller fängelse i högst ett år döms den som uppsåtligen eller
av oaktsamhet

1. inrättar eller för personregister utan licens eller tillstånd enligt denna
lag, när detta erfordras,

2. bryter mot föreskrift eller förbud som meddelats enligt 5, 6 eller

18 §,

3. lämnar ut personuppgift i strid mot 11 §,

4. bryter mot 12 §,

5.  lämnar osann uppgift vid
fullgörande av skyldighet att lämna
underrättelse enligt 10 §, eller

6. lämnar osann uppgift i fall
som avses i 17 §.

5. lämnar osann uppgift vid full-
görande av skyldighet att lämna
underrättelse enligt 10 §,

6. lämnar osann uppgift i fall
som avses i 17 §, eller

7. bryter mot föreskrift som med-
delats enligt 19 §.

Den som överträtt ett vitesföre-
läggande enligt IS § tredje stycket
döms inte till ansvar för en gärning
som omfattas av föreläggandet.

44

Till böter döms den som uppsåtligen eller av oaktsamhet bryter mot
7 a § första eller tredje stycket.

25 §

Prop. 1993/94:217

Bilaga 3

Datainspektionens beslut enligt
denna lag överklagas hos regering-
en. Justitiekanslem får överklaga
ett sådant beslut för att tillvarata
allmänna intressen.

Om en myndighet som är regis-
teransvarig avslår en begäran om
underrättelse enligt 10 §, över-
klagas beslutet på samma sätt som
gäller ett beslut av myndigheten att
avslå en begäran om utlämnande
av allmän handling. Med
myndighet jämställs därvid ett
annat organ i den utsträckning som
anges i 1 kap. 8 § sekretesslagen
(1980:100).

Datainspektionens beslut enligt
denna lag får överklagas till allmän
förvaltningsdomstol. Justitie-
kanslem får föra talan för att
tillvarata allmänna intressen.

Om en myndighet som är regis-
teransvarig avslår en begäran om
underrättelse enligt 10 §, över-
klagas beslutet på samma sätt som
gäller ett beslut av myndigheten att
avslå en begäran om utlämnande
av allmän handling. Med
myndighet jämställs därvid ett
annat organ i den utsträckning som
anges i 1 kap. 8 och 9 §§ sekre-
tesslagen (1980:100).

Prövningstillstånd krävs vid över-
klagande av mål om viten till kam-
marrätten.

1. Denna lag träder i kraft den 1 januari 1995.

2. Beslut som meddelats av Datainspektionen före ikraftträdandet över-
klagas enligt äldre bestämmelser.

3. Hänvisningen i 25 § andra stycket till 1 kap. 9 § sekretesslagen
(1980:100) skall beträffande sådana aktiebolag i vilka kommuner eller
landsting själva eller gemensamt innehar mindre än två tredjedelar av
aktierna eller mindre än två tredjedelar av de med aktierna förenade
rösterna och sådana ekonomiska föreningar i vilka det också finns andra
medlemmar än kommuner eller landsting tillämpas från och med den

1 januari 1998.

45

2 Förslag till lag om ändring i forvaltningsprocesslagen
(1971:291)

Härigenom föreskrivs att 34 a och 35 §§ forvaltningsprocesslagen
(1971:291) skall ha följande lydelse.

Lydelse enligt prop. 1993/94:133

I de fall det är särskilt föreskrivet
får kammarrätten pröva ett över-
klagande från länsrätten endast om
kammarrätten har meddelat pröv-
ningstillstånd.

Föreslagen lydelse

34 a §

I de fall det är särskilt föreskrivet
får kammarrätten pröva ett över-
klagande från länsrätten endast om
kammarrätten har meddelat pröv-
ningstillstånd. Sådant tillstånd
behövs dock aldrig när talan förs
av Riksdagens ombudsmän eller
Justitiekanslem.

Prövningstillstånd meddelas om

1.  det är av vikt för ledning av rättstillämpningen att överklagandet
prövas av högre rätt,

2.  anledning förekommer till ändring i det slut vartill länsrätten kom-
mit eller

3.  det annars finns synnerliga skäl att pröva överklagandet.

Meddelas inte prövningstillstånd, står länsrättens beslut fest. En upp-
lysning om detta skall tas in i kammarrättens beslut.

35 §

Ett överklagande av kammarrättens beslut i ett mål som har väckts hos
kammarrätten genom överklagande eller underställning prövas av Rege-
ringsrätten endast om Regeringsrätten har meddelat prövningstillstånd.

Meddelas inte prövningstillstånd, står kammarrättens beslut fest. En
upplysning om detta skall tas in i Regeringsrättens beslut.

Vad som sägs i första stycket gäller inte

1. talan som Riksdagens ombudsmän eller Justitiekanslem för i mål om
disciplinansvar eller om återkallelse eller begränsning av behörighet att
utöva yrke inom hälso- och sjukvården, tandvården eller detaljhandeln
med läkemedel eller om återkallelse av behörighet att utöva veteri-
näryrket,

2. talan som Justitiekanslem för 2. talan som Justitiekanslem för

i mål enligt lagen (1990:484) om i mål enligt datalagen (1973:289)
övervakningskameror m.m.         eller lagen (1990:484) om över-

vakningskameror m.m.

Denna lag träder i kraft den 1 januari 1995.

Prop. 1993/94:217

Bilaga 3

46

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 1994-04-08

Närvarande: justitierådet Per Jermsten, justitierådet Lars Å Beckman,
regeringsrådet Sigvard Holstad.

Enligt en lagrådsremiss den 24 mars 1994 (Justitiedepartementet) har
regeringen beslutat inhämta Lagrådets yttrande över förslag till

1. lag om ändring i datalagen (1973:289),

2. lag om ändring i forvaltningsprocesslagen (1971:291).

Förslagen har inför Lagrådet föredragits av kanslirådet Erik Göransson.

Lagrådet lämnar förslagen utan erinran.

Prop. 1993/94:217

Bilaga 4

47

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 14 april 1994

Prop. 1993/94:217

Närvarande: statsministern Bildt, ordförande, och statsråden

B. Westerberg, Friggebo, Johansson, Laurén, Hörnlund, Olsson,
Svensson, Thurdin, Hellsvik, Wibble, Björck, Davidson, Unckel,
P. Westerberg, Ask

Föredragande: statsrådet Laurén

Regeringen beslutar proposition 1993/94:217 En reformerad datalag.

48

Rättsdatablad

Prop. 1993/94:217

Författnings rubrik

Bestämmelser som inför, Celexnummer för bak-
ändrar, upphäver eller     omliggande EG-regler

upprepar ett normgiv-
ningsbemyndigande

Datalagen (1973:289)

19 §

49

gotab 46411, Stockholm 1994