Regeringens proposition 2014/15:148

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 3 september 2015

Stefan Löfven

Morgan Johansson

(Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår en lag om behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet.

Syftet med lagen är att ge domstolarna och nämnderna möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel lag som innehåller de bestämmelser som är av central betydelse för integritetsskyddet, däribland ändamålen med behandlingen och de begränsningar som ska gälla för behandlingen av vissa uppgifter.

Lagen ska gälla i stället för personuppgiftslagen (1998:204), men innehåller hänvisningar till de bestämmelser i personuppgiftslagen som ska vara tillämpliga i domstolarnas och nämndernas verksamhet.

Den nya lagen föreslås träda i kraft den 1 januari 2016.

1

Prop. 2014/15:148

Innehållsförteckning

3

Prop. 2014/15:148

1 Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till domstolsdatalag.

4

Härigenom föreskrivs följande.

Lagens syfte

1 § Syftet med denna lag är att ge de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin rättskipande och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

3 § Om det i lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen eller i föreskrifter som regeringen har meddelat i anslutning till den lagen finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Förhållandet till personuppgiftslagen

4 § Om inte något annat anges i 5 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

5 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § om grundläggande krav på behandling av personuppgifter,

4.22 § om behandling av personnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.38, 40 och 41 §§ om personuppgiftsombud m.m.,

10.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens

Prop. 2014/15:148 11. 48 § om skadestånd.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

Ändamål

6 § Personuppgifter får behandlas om det behövs för handläggning av mål och ärenden.

7 § Personuppgifter som behandlas enligt 6 § får även behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Tillgången till personuppgifter

8 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tillgången till personuppgifter.

Personuppgiftsansvar

9 § En allmän domstol, en allmän förvaltningsdomstol eller en hyres- och arrendenämnd är personuppgiftsansvarig för den behandling av personuppgifter som den domstolen eller nämnden utför.

Personuppgiftsombud

10 § Den personuppgiftsansvarige ska utse ett eller flera personuppgiftsombud.

Den personuppgiftsansvarige ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Förteckning över personuppgiftsbehandlingar

11 § Den som är personuppgiftsombud ska föra en förteckning över de behandlingar som utförs med stöd av denna lag.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla.

Upplysningar till allmänheten

uppgifter som en förteckning enligt 11 § ska innehålla. Den person- Prop. 2014/15:148 uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda

uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits.

Behandling av känsliga personuppgifter

13 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Sökbegränsningar

14 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar

1.ras eller etniskt ursprung,

2.politiska åsikter,

3.religiös eller filosofisk övertygelse,

4.medlemskap i fackförening,

5.hälsa,

6.sexualliv,

7.nationell anknytning, eller

8.brott eller misstanke om brott.

Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket.

15 § Förbudet i 14 § första stycket gäller inte användning

1.i allmän domstol av sökbegrepp som avslöjar brott eller misstanke om brott, och

2.i allmän förvaltningsdomstol av sökbegrepp som avslöjar hälsa, brott eller misstanke om brott.

Förbudet i 14 § första stycket gäller inte heller vid sökning i en viss handling eller i ett visst mål eller ärende.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att använda de sökbegrepp som anges i första stycket.

Elektroniskt utlämnande av personuppgifter

16 § Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling.

7

Prop. 2014/15:148 17 § Direktåtkomst får endast medges

1.en allmän domstol,

2.en allmän förvaltningsdomstol,

3.en hyres- och arrendenämnd, eller

4.en part eller partens ombud, biträde eller försvarare.

Direktåtkomst enligt första stycket 4 får endast avse personuppgifter i partens mål eller ärende.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av direktåtkomst enligt första stycket och om behörighet och säkerhet vid sådan åtkomst.

Personuppgifter i avgjorda mål och ärenden

18 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft.

Överklagande

19 § Tillsynsmyndighetens beslut enligt denna lag eller enligt de bestämmelser i personuppgiftslagen (1998:204) som anges i 5 § om annat än föreskrifter får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

20 § En hovrätts, tingsrätts eller förvaltningsrätts beslut om upplysningar enligt 12 § eller om information till den registrerade enligt 26 § personuppgiftslagen (1998:204) och om rättelse och underrättelse till tredje man enligt 28 § samma lag får överklagas till kammarrätten. En kammarrätts beslut i sådana frågor får överklagas till Högsta förvaltningsdomstolen.

Högsta domstolens och Högsta förvaltningsdomstolens beslut i frågor som avses i första stycket får inte överklagas.

21 § En hyres- och arrendenämnds beslut i frågor som avses i 20 § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

22 § Andra beslut än sådana som avses i 19–21 §§ eller i 47 § personuppgiftslagen (1998:204) får inte överklagas.

Vid överklagande av förvaltningsrättens beslut i frågor som avses i 47 § personuppgiftslagen krävs prövningstillstånd vid överklagande till kammarrätten.

Denna lag träder i kraft den 1 januari 2016.

8

Sedan flera år är modern informationsteknik en naturlig del av de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas verksamhet. Den nuvarande regleringen av den automatiserade behandlingen av personuppgifter vid domstolarna och nämnderna tillkom år 2001 som en provisorisk lösning för att tillgodose de behov av regler som uppstod då datalagen (1973:289) upphörde att gälla. Sedan dess har de sätt på vilka personuppgifter behandlas i domstolarnas och nämndernas verksamhet förändrats. Mot bakgrund av den digitala teknikens utveckling finns ett behov av att modernisera det nuvarande regelverket som styr den automatiserade behandlingen av personuppgifter i domstolarnas och nämndernas verksamhet. Inom Justitiedepartementet har därför upprättats en departementspromemoria (Ds 2013:10 Domstolsdatalag) med förslag till en ny lag om behandling av personuppgifter i domstolarna och nämnderna. Syftet med regleringen är att ge domstolarna och nämnderna möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i den rättskipande och rättsvårdande verksamheten och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En sammanfattning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2.

Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Justitiedepartementet (Ju2013/01684/DOM).

I februari 2015 anordnande Domstolsverket ett seminarium för att kartlägga behovet av att kunna utföra sökningar med integritetskänsliga sökbegrepp i domstolarnas och nämndernas verksamhet. Minnesanteckningar från seminariet finns tillgängliga i Justitiedepartementet (Ju2013/01684/DOM).

Lagrådet

Regeringen beslutade den 11 juni 2015 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet lämnade förslaget utan erinran.

Vissa språkliga ändringar har gjorts i förhållande till lagrådsremissens lagförslag.

4 Övergripande rättslig reglering

4.1Regeringsformen

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Av 2 kap.

6 § andra stycket följer att var och en gentemot det allmänna är skyddad

9

Prop. 2014/15:148 mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av denna fri- och rättighet får dock under vissa förutsättningar göras i lag (2 kap. 20 och 21 §§). I en övergångsbestämmelse anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Efter detta datum kommer det således inte vara möjligt att behålla förordningsregler som är av den angivna karaktären i förhållande till den personliga integriteten.

4.2Internationella konventioner

Europakonventionen

Enligt artikel 8 i den europiska konventionen om skydd för de mänskliga rättigheterna och grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

När det gäller laglighetskriteriet krävs bl.a. att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar och den ska vara allmänt tillgänglig. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, dvs. den ska stå i rimlig relation till det intresse åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och få rättelse. Prövningen kan göras av domstol, men även prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräcklig.

Europakonventionen gäller som lag i Sverige. Av regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 §).

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

10

4.3 EU-rättslig reglering

Prop. 2014/15:148 för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Lagen trädde i kraft den 1 juli 2013.

Som en del av det förslag till genomgripande reform av EU:s regler om skydd för personuppgifter som Europeiska kommissionen presenterade den 25 januari 2012 har kommissionen föreslagit att rambeslutet ska ersättas av ett särskilt dataskyddsdirektiv för de brottsbekämpande myndigheterna (KOM(2012) 10). Förhandlingarna om direktivet pågår.

4.4Personuppgiftslagen

Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Genom lagen, som trädde i kraft den 24 oktober 1998, genomfördes dataskyddsdirektivet i svensk rätt. Personuppgiftslagen kompletteras av personuppgiftsförordningen (1998:1191).

Personuppgiftslagen syftar till att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter (1 §). Lagen är teknikneutral och tillämpas på helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, exempelvis att samla in, bearbeta, lagra, sammanställa och förstöra (3 §).

I personuppgiftslagen anges vissa grundläggande krav för all behandling av personuppgifter. Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och de får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (den s.k. finalitetsprincipen). De personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen, och fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till behandlingen. Vidare ska de personuppgifter som behandlas vara riktiga och, om nödvändigt, aktuella och alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får som regel inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 §).

I lagen finns en uppräkning av under vilka förutsättningar behandling av personuppgifter är tillåten. Personuppgifter får alltid behandlas om den registrerade har gett sitt samtycke. I vissa fall får personuppgifter behandlas även utan samtycke. En förutsättning i dessa fall är att behandlingen är nödvändig för ändamålen.

Personuppgiftslagen innehåller ett förbud att behandla känsliga personuppgifter. Med känsliga uppgifter avses ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en

14

5.1Inledning

Sveriges Domstolar utgörs av de allmänna domstolarnas (tingsrätt, hovrätt och Högsta domstolen) och de allmänna förvaltningsdomstolarna (förvaltningsrätt, kammarrätt och Högsta förvaltningsdomstolen). I Sveriges Domstolar ingår även hyres- och arrendenämnderna, Domstolsverket, Rättshjälpsmyndigheten och Rättshjälpsnämnden. I Sveriges Domstolar ingår däremot inte de fyra specialdomstolarna Försvarsunderrättelsedomstolen, Patentbesvärsrätten, Marknadsdomstolen och Arbetsdomstolen.

5.2Vera-förordningarna

Tillämpningsområde

Sedan den 1 oktober 2001 regleras all automatiserad behandling av personuppgifter – i register eller på annat sätt – i den rättskipande och rättsvårdande verksamheten vid de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna i fyra förordningar, de s.k. Vera-förordningarna:

1förordningen (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling,

2förordningen (2001:640) om registerföring m.m. vid förvaltningsrätt med hjälp av automatiserad behandling,

3förordningen (2001:641) om registerföring m.m. vid Högsta förvaltningsdomstolen och kammarrätterna med hjälp av automatiserad behandling, och

4förordningen (2001:642) om registerföring m.m. vid hyres- och

arrendenämnderna med hjälp av automatiserad behandling. Förordningarna är sinsemellan likartat uppbyggda och överensstämmer

i flera avseenden helt med varandra.

Samtliga fyra förordningar gäller utöver personuppgiftslagen (1998:204) vid automatiserad behandling i den rättskipande och rättsvårdande verksamheten. Manuella register eller den administrativa verksamheten omfattas således inte av regleringarna. Att förordningarna gäller utöver personuppgiftslagen innebär att bestämmelserna i den lagen ska tillämpas i de fall någon särskild reglering inte finns i förordningarna.

Personuppgiftsansvarig för den behandling som omfattas av förordningarna är respektive domstol eller nämnd och Domstolsverket. När en viss behandling utförs av en domstol eller nämnd ansvarar denna för den behandlingen. Det gäller det mesta av den dagliga hanteringen av

personuppgifter i domstolen och nämnden, t.ex. registrering av uppgifter

16

Prop. 2014/15:148 angivna måltyper, bl.a. skattemål, gallras senast nio år efter avgörandeåret medan övriga mål ska gallras senast efter fem år. För Högsta förvaltningsdomstolens, kammarrätternas och nämndernas del hänvisas i förordningarna avseende dessa till de gallringsföreskrifter från Riksarkivet som gäller för domstolarna eller nämnderna.

Rättsfallsregister

Enligt förordningarna får domstolarna och nämnderna vid sidan av sina mål- och ärenderegister föra automatiserade rättsfallsregister för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant register får endast innehålla de uppgifter som anges i en detaljerad bilaga till förordningarna, bl.a. uppgifter om beteckning på handling, mål- eller ärendenummer, avgörandedatum, sökord, författningshänvisning och problembeskrivning (sammanfattning). Personuppgiftslagens regler om gallring tillämpas på registren.

Annan automatiserad behandling av personuppgifter

Förordningarna innehåller också bestämmelser om att domstolarna och nämnderna vid sidan av eller i anslutning till registren får behandla personuppgifter automatiserat i löpande text (t.ex. ordbehandling och e- post), ljudupptagningar och ljud- och bildupptagningar. Den begränsning för sådan behandling som föreskrivs i förordningarna gäller känsliga personuppgifter och uppgifter om lagöverträdelser m.m. Sådana uppgifter får behandlas endast om uppgifterna har lämnats i eller behövs för handläggningen av ett mål eller ärende.

För personuppgifter som behandlas vid sidan av eller i anslutning till registren gäller personuppgiftslagens bestämmelser om bevarande och gallring, om inte något annat är särskilt föreskrivet, vilket innebär att de inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Särskilda föreskrifter finns för ljudupptagningar och ljud- och bildupptagningar. Sådana upptagningar ska gallras senast sex veckor efter det att målet eller ärendet har avgjorts genom en dom eller ett beslut som har fått laga kraft (se t.ex. 20 § förordningen [1996:271] om mål och ärenden i allmän domstol).

Rättigheter för enskilda

Förordningarna för domstolarna och nämnderna innehåller i huvudsak bestämmelser som reglerar hur uppgifter får behandlas och riktar sig i första hand till de personuppgiftsansvariga domstolarna och nämnderna. Förordningarna innehåller dock även vissa bestämmelser som rör enskildas rättigheter i form av rättelse och skadestånd.

En personuppgiftsansvarig är enligt personuppgiftslagen skyldig att på begäran av en registrerad rätta, blockera eller utplåna uppgifter som inte har behandlats i enlighet med lagen (28 §). I förordningarna anges att den bestämmelsen gäller även i de fall då personuppgifter har behandlats i strid med de från personuppgiftslagen avvikande bestämmelserna i förordningarna. På motsvarande sätt som i fråga om rättelse, anges i förordningarna att personuppgiftslagens bestämmelser om enskildas rätt

18

till skadestånd (48 §) gäller även när personuppgifter behandlats i strid Prop. 2014/15:148 med förordningarna.

Överklagande

Vissa beslut av personuppgiftsansvariga domstolar och nämnder kan överklagas av en enskild. Det gäller beslut om att inte meddela rättelse eller att inte lämna information till enskild.

Beslut av en tingsrätt, en hovrätt eller en förvaltningsrätt överklagas till kammarrätt och ett beslut av en kammarrätt överklagas till Högsta förvaltningsdomstolen. Beslut av Högsta domstolen eller Högsta förvaltningsdomstolen får inte överklagas. Beslut av en hyres- och arrendenämnd och Domstolsverket överklagas i den för myndigheters förvaltningsbeslut vanliga ordningen, nämligen till förvaltningsrätt med krav på prövningstillstånd vid överklagande till kammarrätten.

6En lag om domstolarnas behandling av personuppgifter

6.1Behovet av en ny reglering

Regeringens förslag: Personuppgiftsbehandling i de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna regleras i en ny, flexibel och teknikneutral lag som anger ramarna och de grundläggande principerna för personuppgiftsbehandlingen. Lagen benämns domstolsdatalag.

promemorians förslag eller har ingen invändning mot det, med undantag av Förvaltningsrätten i Härnösand som anser att integritetsskyddssyftet bör kunna tillgodoses genom en ytterligare utveckling av nuvarande Vera-förordningar och föreskrifter tillsammans med personuppgiftslagen (1998:204, PUL). Vidare kan det enligt förvaltningsrätten ifrågasättas om förslaget till ny lag bör aktualiseras i nuvarande skede mot bakgrund av den pågående tekniska utvecklingen och andra utredningar. Förvaltningsrätten ser dock positivt på att lagstiftningen ges en flexibel och teknikneutral utformning.

regeringsformen om förstärkt skydd mot intrång i den personliga integri- Prop. 2014/15:148 teten (2 kap. 6 § RF). Som redovisas ovan gör regeringen bedömningen

att en stor del av den personuppgiftsbehandling som behöver ske i domstolarna och nämnderna omfattas av denna integritetsskyddsbestämmelse. Behandlingar som innebär begränsningar i detta integritetsskydd kan endast tillåtas genom bestämmelser i lag (2 kap. 20 § första stycket 2 RF).

Det innebär att ramarna för domstolarnas och nämndernas personuppgiftsbehandling måste slås fast i lag, liksom att de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Härigenom åstadkoms ett förstärkt integritetsskydd i förhållande till vad som gäller för närvarande. Samtidigt är det enligt regeringen olämpligt att tynga lagen med alltför detaljerade bestämmelser. Lagregleringen avseende domstolarnas och nämndernas personuppgiftsbehandling bör därför kompletteras med bestämmelser som meddelas genom förordning. De föreskrifter regeringen meddelar får dock inte innebära ett betydande intrång i den personliga integriteten (2 kap. 6 § andra stycket RF).

Regleringen bör vara flexibel och teknikneutral

De nuvarande Vera-förordningarna utgår i stor utsträckning från att personuppgifter lagras och struktureras i särskilda register. I förordningarna anges exakt vilka uppgifter som får behandlas i registren. Regleringen är alltså inte teknikneutral utan förutsätter att vissa tekniska lösningar används.

Med hänsyn till den utveckling som nu sker är det inte möjligt att förutse hur de tekniska lösningarna och den elektroniska kommunikationen kommer att se ut framöver inom domstolarna eller vid hyres- och arrendenämnderna. Inte desto mindre måste ambitionen vara att den reglering som föreslås ska kunna fungera inte bara under de närmaste åren utan under lång tid. Lagstiftningen bör därför inte vara beroende av att vissa tekniska lösningar används, utan ska tillåta användningen av ny teknik. Det krävs alltså att regleringen under skiftande förhållanden effektivt kan styra användandet av ny teknik i verksamheten utan att den i onödan försvårar önskvärda effektiviseringar inom och mellan myndigheter eller tillgänglighet för allmänheten. Likaså bör den vara flexibel såtillvida att den i möjligaste mån ska vara oberoende av nya faktiska, organisatoriska eller rättsliga förutsättningar som påverkar domstolarnas och nämndernas verksamhet. Regeringen anser sammanfattningsvis att det bör skapas ett rättsligt utrymme för att välja olika tekniska lösningar, arbetssätt och kommunikationsvägar inom verksamheterna.

Att lagstiftningen är teknikneutral och flexibel är särskilt viktigt ur ett integritetsskyddsperspektiv. Om regleringen i alltför hög grad byggs upp kring att informationshanteringen organiseras på ett visst sätt och med vissa tekniska lösningar, finns det en risk att bestämmelserna i praktiken förlorar sin förmåga att skydda mot integritetskränkande personuppgiftsbehandling då verksamheterna utvecklas och nya tekniska lösningar tas i bruk. Regleringen bör utformas så att den under skiftande förutsättningar

23

Prop. 2014/15:148 kan säkerställa ett effektivt och långsiktigt hållbart skydd för den personliga integriteten.

Att användningen av datorstöd redan nu är normen för all skriftlig informationshantering, bör enligt regeringen återspeglas i hur lagen utformas. Till skillnad från nuvarande registerförordningar bör lagen ta sin utgångspunkt i att personuppgiftsbehandling är tillåten inom vissa ramar. I likhet med Borås tingsrätt anser regeringen därför att regeringens förslag i första hand bör ta sikte på vilka former av personuppgiftsbehandling som ska begränsas eller förbjudas i stället för att i detalj peka ut vilka behandlingar som är tillåtna. Detta innebär att den nya regleringen bör vara uppbyggd på ett i grunden annat sätt än Vera-förordningarna. En sådan reform kan enligt regeringen inte åstadkommas om den nuvarande regleringen i Vera-förordningarna skulle behållas och utvecklas, såsom Förvaltningsrätten i Härnösand föreslår.

Domstolsdatalagen – en gemensam lag för domstolar och hyres- och arrendenämnder

Personuppgiftsbehandlingen i de allmänna domstolarna, de allmänna förvaltningsdomstolarna och i hyres- och arrendenämnderna regleras i dag i Vera-förordningarna (se avsnitt 5.2). Dessa fyra förordningar är i stort sett identiska. Hyres- och arrendenämnderna fullgör rättskipande och rättsvårdande uppgifter. De ingår i Sveriges Domstolar och flera hyres- och arrendenämnders administration är sedan år 2006 samordnad med en tingsrätt på samma ort och nämnderna använder samma datorsystem som domstolarna. Även om hyres- och arrendenämnderna inte är domstolar i formell mening anser regeringen mot denna bakgrund att den nya regleringen också i fortsättningen bör omfatta dessa nämnder.

För enkelhetens skull används i fortsättningen domstolarna som samlingsbegrepp. Om inget annat särskilt anges så avses med detta de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna. Den reglering som nu föreslås bör enligt regeringen samlas i en enda gemensam lag. Därigenom undviks att i princip identiska bestämmelser upprepas i olika lagar och det blir lättare att tillämpa reglerna på ett enhetligt sätt.

Vad gäller namnet på den nya lagen anser regeringen att den bör benämnas domstolsdatalag. Detta ligger i linje med de korta men informativa namn på lagar inom personuppgiftsområdet som tillkommit under senare år, t.ex. patientdatalagen (2008:355), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).

6.2Lagens tillämpningsområde

Regeringens förslag: Domstolsdatalagen gäller vid behandling av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i domstolarnas administrativa verksamhet för att lämnas ut efter begäran.

24

regeringen ta sin utgångspunkt i om de aktuella personuppgifterna har Prop. 2014/15:148 samlats in i eller behandlats på annat sätt i den rättskipande och

rättsvårdande verksamheten. Begreppet rättskipande och rättsvårdande verksamhet inskränker sig i detta sammanhang inte enbart till handläggningsåtgärder som vidtas enligt en processuell bestämmelse, utan är avsett att ha en vidare innebörd. Exempelvis är hanteringen av ansökningsavgifter, liksom omlottning och förtursförklaring av mål, åtgärder som har en omedelbar koppling till mål- och ärendehantering och som därför bör betraktas som en del av den rättskipande och rättsvårdande verksamheten. Detta gäller både insamlandet av personuppgifter och den vidare hanteringen av uppgifterna. Insamling av personuppgifter avseende ombud, tolkar, vittnen och andra aktörer samt den fortsatta hanteringen av dessa uppgifter i samband med registerföring, kallelser och utbetalning av ersättningar är andra exempel på personuppgiftsbehandlingar som också är avsedda att rymmas i begreppet rättskipande och rättsvårdande verksamhet.

Personuppgifter avseende anställda vid domstolen behandlas enligt regeringens bedömning såväl i den administrativa som i den rättskipande och rättsvårdande verksamheten. I den administrativa verksamheten hanteras sådana personuppgifter exempelvis i samband med löneutbetalning, vid indelning på avdelningar eller enheter och när beredskapslistor upprättas. Sådan behandling är inte avsedd att omfattas av den nya lagen. Personuppgifter som avser domstolens anställda behandlas emellertid också i direkt anslutning till hanteringen av mål och ärenden, exempelvis i domar, uppropslistor och förelägganden. Behandlingen av personuppgifter i sådana fall får enligt regeringen anses ske i den rättskipande och rättsvårdande verksamheten.

När det gäller nämndemän behandlar domstolarna också personuppgifter i flera olika sammanhang. Insamling av sådana personuppgifter, liksom den fortsatta hanteringen i form av exempelvis behörighetskontroller, kontroll av utdrag ur belastningsregistret, upprättande av adressregister och indelningsbeslut sker i den administrativa verksamheten som styrs av personuppgiftslagen. Samma sak gäller utbetalning av ersättning till nämndemän för deras medverkan i handläggningen. Nämndemäns personuppgifter behandlas emellertid också i direkt anslutning till hanteringen av mål och ärenden, t.ex. vid upprättande av domar. Denna behandling sker i den rättsvårdande och rättskipande verksamheten och i dessa fall blir således domstolsdatalagen tillämplig.

Utlämnande efter begäran

Flera remissinstanser, bl.a. Svea hovrätt och Domstolsverket, lyfter fram frågan om domstolsdatalagen ska fortsätta att vara tillämplig när en domstol vidarebehandlar personuppgifter från den rättskipande och rättsvårdande verksamheten i den administrativa verksamheten i syfte att på begäran lämna ut uppgifterna till en enskild eller en myndighet. Ett typexempel är utlämnande av en allmän handling från ett mål, t.ex. en partsinlaga eller en dom med stöd av offentlighetsprincipen. Denna hantering – inklusive avsändande av handlingarna och debitering av

27

Prop. 2014/15:148 eventuella avgifter – brukar anses hänförlig till den administrativa verksamheten.

Regeringen anser att sådan vidarebehandling av personuppgifter som nu beskrivits bör omfattas av domstolsdatalagen. Skälet till det är att domstolsdatalagens bestämmelser om sökning och utlämnande på medium för automatiserad behandling (se avsnitt 11 respektive 12) bör gälla vid utlämnande av personuppgifter som behandlas i den rättskipande och rättsvårdande verksamheten. Såsom Sundsvalls tingsrätt, Kammarrätten i Stockholm och Domstolsverket uppmärksammar framgår det också indirekt av promemorian att domstolsdatalagen är avsedd att tillämpas även när en domstol vidarebehandlar personuppgifter i sin administrativa verksamhet för att efter en begäran lämna ut uppgifterna. Lagens tillämpningsområde bör förtydligas så att det framgår att den gäller även i dessa fall.

Automatiserade behandlingar och manuella register

Domstolsdatalagen bör omfatta sådan behandling av personuppgifter som är helt eller delvis automatiserad eller viss manuell behandling, närmare bestämt sådan manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. En sådan reglering stämmer överens med vad som gäller enligt personuppgiftslagen, polisdatalagen och flertalet andra registerförfattningar samt de krav som följer av dataskyddsdirektivet.

Personuppgiftslagen innehåller sedan år 2007 en särskild regel om behandling av personuppgifter i ostrukturerat material som gör undantag från ett flertal av lagens bestämmelser, samtidigt som bestämmelsen innehåller ett generellt skydd mot att den registrerades personliga integritet kränks (5 a §). Samtliga bestämmelser i domstolsdatalagen bör utformas med hänsyn till domstolarnas behov av att kunna behandla personuppgifter effektivt, inte minst i ostrukturerat material såsom i domar, protokoll och andra ordbehandlingsdokument. Regeringen anser därför att det undantag som bestämmelsen i 5 a § PUL innebär inte behövs i domstolsdatalagen.

6.3Lagens syfte

Regeringens förslag: Syftet med domstolsdatalagen är att ge domstolarna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin rättskipande och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser tillstyrker promemo-

rians förslag eller har ingen invändning mot det.

Skälen för regeringens förslag: En utgångspunkt vid utformningen av bestämmelserna i domstolsdatalagen är bestämmelsen i 2 kap. 21 § RF.

Av denna bestämmelse följer att begränsningar av det grundlagsfästa

28

skyddet mot integritetsintrång inte får gå utöver vad som är nödvändigt Prop. 2014/15:148 med hänsyn till det ändamål som föranlett dem. I domstolarnas

rättskipande och rättsvårdande verksamhet måste personuppgifter kunna få behandlas på ett ändamålsenligt sätt, vilket bl.a. innefattar användandet av ett modernt och rationellt datorstöd. Detta är nödvändigt för att samhällets rättmätiga krav på en rättssäker och effektiv dömande verksamhet ska kunna tillgodoses. Samtidigt måste det beaktas att hanteringen av personuppgifter kan medföra en risk för intrång i den personliga integriteten. Skyddet för den enskildes personliga integritet måste därför värnas genom bestämmelserna i domstolsdatalagen. Vid utformningen av den närmare regleringen i domstolsdatalagen är det viktigt att hitta en väl avvägd balans mellan å ena sidan skyddet för den personliga integriteten och å andra sidan behovet av att på ett effektivt och rättssäkert sätt kunna handlägga och avgöra mål och ärenden i domstolarna.

Mot den angivna bakgrunden kan syftet med domstolsdatalagen sägas vara tvådelat: att möjliggöra en ändamålsenlig personuppgiftsbehandling i domstolarna och att skydda enskilda mot integritetsintrång. Regeringen anser att detta dubbla syfte bör komma till tydligt uttryck i lagen.

Prop. 2014/15:148 uppgiftslagen bör det i domstolsdatalagen tas in en uttrycklig hänvisning till den aktuella bestämmelsen i personuppgiftslagen. Såsom framhålls i promemorian innebär denna lagtekniska lösning att regleringen blir tydlig och att förutsättningarna för en enhetlig rättstillämpning blir goda. Den lagtekniska lösningen är i linje med vad som gäller enligt lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, polisdatalagen och kustbevakningsdatalagen.

6.5Lagens förhållande till offentlighetsprincipen

Regeringens förslag: I likhet med personuppgiftslagen ska domstolsdatalagen inte tillämpas i den utsträckning det skulle inskränka skyldigheten att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser tillstyrker prome-

morians förslag eller har ingen invändning mot det.

Skälen för regeringens förslag: Bestämmelsen i 8 § första stycket PUL innebär att personuppgiftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen, såsom den kommer till uttryck i 2 kap. tryckfrihetsförordningen. Bestämmelsen i 8 § PUL har tillkommit för att tydliggöra det som i och för sig ändå gäller, nämligen att bestämmelser i grundlag alltid har företräde framför bestämmelser i vanlig lag (prop. 1997/98:44 s. 46). Enligt regeringen bör det av tydlighetsskäl komma till uttryck att detta även gäller i fråga om domstolsdatalagen genom att lagen innehåller en hänvisning till 8 § första stycket PUL.

Offentlighetsprincipen innebär ingen rätt för enskilda att ta del av allmänna handlingar i elektroniskt format. I vilken utsträckning domstolsdatalagen ska tillåta domstolarna att lämna ut handlingar elektroniskt behandlas i avsnitt 12.

I avsnitt 13 behandlas frågan om huruvida domstolsdatalagen även bör hänvisa till 8 § andra stycket PUL, enligt vilken myndigheter ges möjlighet att bevara allmänna handlingar.

Personuppgifter definieras som ”[a]ll slags information som direkt eller Prop. 2014/15:148 indirekt kan hänföras till en fysisk person som är i livet”. Personuppgifter

kan utgöras av namn, personnummer, målnummer, registreringsnummer för fordon, fastighetsbeteckningar etc. Beteckningen personuppgift omfattar såväl objektiva upplysningar som subjektiva bedömningar och åsikter. Även bild- och ljudupptagningar kan utgöra personuppgifter. Med behandling avses ”[v]arje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”. Detta innebär att det är fråga om behandling av personuppgifter t.ex. även när sådana skrivs ut på papper.

För en enhetlig rättstillämpning är det viktigt att domstolsdatalagens terminologi överensstämmer med personuppgiftslagens. Regeringen föreslår därför att en hänvisning till 3 § PUL tas in i domstolsdatalagen

6.7Lagens förhållande till viss annan lagstiftning

Regeringens förslag: Det anges i domstolsdatalagen att avvikande bestämmelser i lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen har företräde framför bestämmelserna i domstolsdatalagen.

Prop. 2014/15:148 nationella organ. Svenska myndigheter är därför skyldiga att följa de villkor om användningen av personuppgifter som ställts upp av den som överfört uppgifterna eller gjort dem tillgängliga.

Den aktuella lagen har tillkommit för att genomföra rambeslutet 2008/977/RIF om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. I de fall den aktuella lagen avviker från domstolsdatalagens bestämmelser ska den först nämnda lagen därför ges företräde. Enligt regeringen bör detta förhållande komma till tydligt uttryck i domstolsdatalagen genom en bestämmelse som klargör att avvikande bestämmelser i den aktuella lagen eller föreskrifter som regeringen har meddelat i anslutning till den lagen har företräde framför domstolsdatalagens bestämmelser. Som Kammarrätten i Stockholm konstaterar blir en sådan bestämmelse mindre användarvänlig än den bestämmelse i domstolsdatalagen som innehåller hänvisningar till personuppgiftslagen. Samtidigt är det en fördel om regleringen på den här punkten överensstämmer med motsvarande bestämmelser för andra myndigheter som berörs av den aktuella lagen. På så sätt blir det tydligt att det är fråga om ett enhetligt regelsystem. Regeringen föreslår därför att den aktuella bestämmelsen i sak utformas i enlighet med vad som även gäller enligt bl.a. polisdatalagen. Med hänsyn till att bestämmelsen inte torde aktualiseras lika ofta i domstolarnas verksamhet som i t.ex. polisens, kan bestämmelsen i domstolsdatalagen ges en mer kortfattad utformning, dvs. på det i promemorian föreslagna sättet.

7Personuppgiftsansvarig och personuppgiftsbiträden

7.1Varje domstol är personuppgiftsansvarig

Regeringens förslag: Varje domstol är personuppgiftsansvarig för den behandling som den utför.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna tillstyrker

promemorians förslag eller har ingen invändning mot det. Flera remissinstanser, bl.a. Göta hovrätt, Hovrätten för Västra Sverige, Attunda tingsrätt, Kammarrätten i Göteborg och Datainspektionen, framhåller att domstolarnas faktiska möjligheter att påverka om och hur en enskild personuppgiftsbehandling ska företas kan vara begränsade eftersom det är Domstolsverket som utformar datorsystemen. Datainspektionen anser att promemorians förslag inte helt stämmer med grundtanken att det är den som styr över behandlingen som också har ansvaret. Vidare efterlyser Datainspektionen en analys av de enskilda myndigheternas faktiska möjligheter att leva upp till de krav som ställs på personuppgiftsansvariga i fråga om säkerheten vid personuppgiftsbehandling. Göta hovrätt föreslår, i likhet med Kammarrätten i

32

Prop. 2014/15:148 Attunda tingsrätt anser att Domstolsverkets roll som personuppgiftsbiträde kan komma i konflikt med verkets roll som systemansvarig för de verksamhetsstöd som domstolarna använder och med en möjlig föreskriftsrätt för verket. Enligt regeringen finns det inga principiella hinder mot att två offentligrättsliga organ ingår ett sådant avtal, även om den ena parten har föreskriftsrätt. Ett personuppgiftsbiträde är en fysisk eller juridisk person som utför uppgifter på grundval av ett uppdragsavtal. Det ligger i själva definitionen av ett personuppgiftsbiträde att det är en funktion som skapas genom avtal mellan den personuppgiftsansvarige och den som ska behandla personuppgifter för den personuppgiftsansvariges räkning. Det finns även ett värde i att dokumentera instruktionerna och relationen i övrigt mellan den personuppgiftsansvarige och personuppgiftsbiträdet i det aktuella avtalet. Att som Attunda tingsrätt föreslår reglera rollen som personuppgiftsbiträde i författning framstår därför inte som lämpligt. Något sådant förslag lämnas således inte.

8Ramarna för domstolarnas personuppgiftsbehandling

8.1Grundläggande krav på domstolarnas personuppgiftsbehandling

Regeringens förslag: Domstolsdatalagen hänvisar till personuppgiftslagens bestämmelser om grundläggande krav för personuppgiftsbehandling. Det innebär bl.a. att

•de behandlingar som utförs måste vara lagliga och göras på ett korrekt sätt och i enlighet med god sed,

•personuppgifterna som behandlas måste vara nödvändiga, adekvata, relevanta och riktiga,

•personuppgifter får samlas in endast för särskilda och uttryckligt angivna ändamål, och

•insamlade personuppgifter inte får vidarebehandlas för ett ändamål som är oförenligt med det ändamål som uppgifterna samlades in för.

Promemorians förslag överensstämmer med regeringens.

Remissinstanserna: Hovrätten för Västra Sverige påpekar att de verksamhetsspecifika ändamålsbestämmelserna i domstolsdatalagen torde täcka in flertalet av de grundläggande krav som personuppgiftslagen (1998:204, PUL) ställer på personuppgiftsbehandlingar. Stockholms universitet har liknande synpunkter. I övrigt ställer sig samtliga remissinstanser bakom promemorians förslag eller har ingen invändning mot det.

Skälen för regeringens förslag: I personuppgiftslagen slås det fast ett antal grundläggande krav som gäller för all behandling av person-

uppgifter. Syftet med dessa krav är att behandlingar som på ett

36

verksamhet.

De aktuella kraven riktar sig mot den personuppgiftsansvarige, som ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed (9 § första stycket a och b PUL). Den personuppgiftsansvarige ska vidare se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att fler personuppgifter än vad som är nödvändigt inte behandlas, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, och att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen (9 § första stycket e–h PUL). Ett ytterligare grundläggande krav är att personuppgifter får samlas in endast för särskilda och uttryckligt angivna ändamål (9 § första stycket c PUL). Slutligen är det otillåtet att behandla personuppgifter för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (9 § första stycket d PUL). Detta brukar kallas finalitetsprincipen. Denna princip begränsar dock inte möjligheterna att behandla personuppgifter för historiska, statistiska eller vetenskapliga ändamål (9 § andra stycket PUL).

Regeringen anser, i likhet med promemorian, att de nu redovisade grundläggande kraven bör gälla för sådan personuppgiftsbehandling som sker med stöd av domstolsdatalagen och att detta bör åstadkommas genom att det i domstolsdatalagen tas in hänvisningar till de relevanta bestämmelserna i personuppgiftslagen.

Hovrätten för Västra Sverige påpekar att flertalet av bestämmelserna om grundläggande krav också torde täckas av de verksamhetsspecifika ändamålsbestämmelserna som föreslås i avsnitt 8.2. Stockholms universitet har liknande synpunkter. Även om dessa olika bestämmelser i viss mån kan sägas överlappa varandra anser regeringen att bestämmelserna fyller en funktion var för sig. De grundläggande kraven utgör de yttre gränserna för vilken behandling som får ske samtidigt som de verksamhetsspecifika ändamålsbestämmelserna klargör att bestämmelserna om grundläggande krav ska tillämpas på ett sätt som är anpassat till den rättskipande och rättsvårdande verksamheten. Det kan tilläggas att både polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145) är uppbyggda enligt denna struktur.

8.2Verksamhetsspecifika ändamålsbestämmelser

Regeringens förslag: Personuppgifter får behandlas om det behövs för handläggning av mål och ärenden. Personuppgifter som behandlas på denna grund får även vidarebehandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Det är vanligt att i registerförfattningar dela upp ändamålen i primära Prop. 2014/15:148 och sekundära. Bestämmelserna om primära ändamål utformas för att

tillgodose behoven av att behandla personuppgifter i de berörda myndigheternas egen verksamhet. Registerförfattningarna brukar innehålla ändamålsbestämmelser som innebär att uppgifter inte får samlas in för annat än primära ändamål. Uttrycket insamling avser inte bara situationer då uppgifter lämnas till en domstol på begäran av domstolen, utan även andra tillvägagångssätt genom vilka domstolen får del av personuppgifter. Exempel på sådana situationer är att en åklagare skickar in stämningsansökan eller att en enskild lämnar in ett överklagande. Bestämmelser om primära ändamål ger rättsligt stöd både för insamling av uppgifter och för vidarebehandling av uppgifterna, exempelvis genom lagring eller utlämning. Bestämmelser om sekundära ändamål medger inte insamling, utan tillåter endast att uppgifter som redan behandlas i verksamheten får vidarebehandlas. Bestämmelserna i domstolsdatalagen bör utformas utifrån denna distinktion mellan primära och sekundära ändamål.

Primära ändamål

Som framgår av avsnitt 6.2 ska domstolsdatalagen gälla för den rättskipande och rättsvårdande verksamheten, som är domstolarnas kärnverksamhet. Domstolarna behöver samla in och vidarebehandla personuppgifter i de fall då handläggningen av mål och ärenden kräver det. Insamlingen kan exempelvis bestå i att en part med e-post skickar in uppgifter till domstolen eller att en myndighet skickar uppgifter till domstolen med hjälp av de kanaler som har etablerats genom RIF- samarbetet. En väsentlig skillnad mot t.ex. polisens verksamhet är att domstolarnas insamlande av personuppgifter i hög grad styrs av andra regelverk än personuppgiftsregleringen såsom rättegångsbalken, förvaltningsprocesslagen (1971:291) och lagen (1996:242) om domstolsärenden samt tillhörande regler och principer. Vilka uppgifter som domstolarna ska samla in i mål och ärenden och hur de fortsatt ska hanteras inom ramen för handläggning av mål och ärenden är frågor som således styrs främst av processrätten och som inte ska regleras genom domstolsdatalagen eller andra personuppgiftsbestämmelser. Detta gör att det varken är möjligt eller lämpligt att i domstolsdatalagen i detalj ange för vilka ändamål personuppgifter ska få samlas in och vidarebehandlas. I domstolsdatalagen bör det därför anges att domstolarna får behandla (dvs. samla in eller vidarebehandla) personuppgifter om det behövs för handläggning av mål och ärenden. En sådan bestämmelse är tillräckligt flexibel för att domstolarnas organisation och arbetssätt ska kunna fortsätta att utvecklas och för att domstolarna ska kunna hantera nya måltyper. Samtidigt innebär bestämmelsen ett skydd mot integritetskränkning genom att bestämmelsen inte medger behandling av personuppgifter som inte är befogad i domstolarnas verksamhet.

Avsikten är inte att en bestämmelse med det beskrivna innehållet ska tolkas alltför snävt. Göta hovrätt och Hovrätten för Västra Sverige befarar att bestämmelsen inte i tillräcklig utsträckning skulle medge sökning efter tidigare avgöranden eller hantering av sådana avgöranden i

samband med praxisdiskussioner, domskrivningsarbete eller annat

39

Prop. 2014/15:148 kompetensutvecklingsarbete. Regeringen delar inte denna farhåga, bl.a. eftersom det av bestämmelsens utformning kommer framgå att bedömningen av om en viss behandling är nödvändig ska göras i förhållande till mål- och ärendehandläggningen i stort och inte i förhållande till handläggningen av ett specifikt mål eller ärende. Sökning efter tidigare avgöranden och hantering av sådana avgöranden kommer således att rymmas inom vad som är tillåtet enligt ändamålsbestämmelserna, oavsett om åtgärderna sker i syfte att underlätta praxisdiskussioner, domskrivningsarbete eller annat kompetensutvecklingsarbete.

Domstolsverket påpekar att det ofta ges in handlingar till domstolarna som saknar betydelse för handläggningen utan att de är att betrakta som felskickade. Verket menar att det inte vore rimligt att domstolarna ska sålla bland det ingivna materialet så att endast det som är av faktisk betydelse för handläggning behandlas automatiserat. Regeringen gör samma bedömning. Den föreslagna bestämmelsen bör ge utrymme för domstolarna att elektroniskt hantera personuppgifter i handlingar som ges in i mål och ärenden utan att det i det enskilda fallet sker någon bedömning av hur relevant uppgiften är för ett visst mål eller ärende.

Regeringen har i fråga om bl.a. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och polisdatalagen gjort bedömningen att personuppgifter som får användas i myndighetens verksamhet också får användas för planering, uppföljning och utvärdering av verksamheten utan att detta uttryckligen anges i lagen, se propositionerna Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 66 f.) och Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 116). Någon särskild bestämmelse om att planering m.m. är ett tillåtet ändamål finns därför inte i dessa lagar. Datainspektionen föreslår att en sådan bestämmelse ändå ska tas in i domstolsdatalagen för att det ska bli tydligt för enskilda att deras personuppgifter kan komma att användas för planering, uppföljning och utvärdering. Det saknas enligt regeringen skäl att reglera denna fråga annorlunda i domstolsdatalagen än vad som har skett i exempelvis lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och polisdatalagen. Någon särskild ändamålsbestämmelse om planering m.m. föreslås därför inte.

En del tingsrätter använder målregistret för att söka information i syfte att kontrollera nämndemäns behörighet och JO väcker frågan om det bör införas någon särskild bestämmelse som uttryckligen tillåter sådan behandling. Stockholms tingsrätt uppmärksammar att domstolarna kan behöva behandla personuppgifter för att bl.a. hantera in- och utbetalningar. Såsom anförs i avsnitt 6.2 bör behandling av sådana personuppgifter räknas till den administrativa verksamheten. Behandlingen kommer därmed inte att omfattas av domstolsdatalagens tillämpningsområde utan av personuppgiftslagen.

Det saknas enligt regeringen skäl att tillåta insamlande av personuppgifter för andra ändamål och den nu föreslagna bestämmelsen innebär således en uttömmande reglering av de primära ändamål för vilka personuppgifter får behandlas i domstolarnas rättskipande och rättsvårdande verksamhet. Ändamålsregleringen innebär att den styrning

40

av domstolarnas verksamhet som följer av processrätten får genomslag Prop. 2014/15:148 även i personuppgiftshänseende.

Sekundära ändamål

Domstolarna behöver i många olika sammanhang tillhandahålla information till myndigheter, till andra utomstående eller internt inom domstolen. En allt större del av domstolarnas uppgiftshantering datoriseras och genom RIF-samarbetet utvecklas informationsflödena mellan rättskedjans olika myndigheter. När personuppgifter ska lämnas ut behöver därför domstolarna i allt större utsträckning ta fram dessa uppgifter från sina datorsystem, vare sig uppgifterna ska lämnas ut i fysisk form eller elektroniskt. I båda fallen innebär framtagandet en automatiserad behandling av personuppgifter. Det som beskrivs är sekundära ändamål, eftersom behandlingarna endast avser redan insamlade uppgifter.

De utlämnanden som behöver ske i anslutning till handläggningen av mål och ärenden, t.ex. kommunicering med parterna, kallelser osv. täcks av den ovan föreslagna ändamålsbestämmelsen som gäller handläggning av mål och ärenden. Därutöver finns det en rad situationer då domstolen behöver kunna behandla personuppgifter automatiserat för att lämna uppgifter till andra, och för vilka det behövs en regel som uttryckligen tillåter behandling för sådana ändamål.

En allmän förutsättning för sådan behandling som sker för utlämnande till andra bör vara att uppgiftslämnandet sker i överenstämmelse med lag eller förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter utlämnande. När bestämmelser som påbjuder eller tillåter utlämnande har införts får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, och att man vid denna avvägning funnit att uppgiften ska eller får lämnas ut, jfr propositionen Patientdatalag m.m. (prop. 2007/08:126 s. 60). Bestämmelser av detta slag som berör domstolarnas verksamhet finns i många olika sammanhang, vilket framgår av det följande.

För det första är domstolarna enligt olika författningsbestämmelser skyldiga att på begäran lämna ut uppgifter. Domstolarna är t.ex. enligt 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) skyldiga att på begäran av en annan myndighet lämna uppgifter som domstolen förfogar över under förutsättning att uppgifterna inte är sekretessbelagda och att det inte skulle hindra arbetets behöriga gång.

För det andra är domstolarna enligt bestämmelser i olika författningar skyldiga att lämna uppgifter till utpekade myndigheter. Genom de reformer som följer av RIF-samarbetet kommer en del av denna hantering att bli helt automatiserad. Som Rikspolisstyrelsen och Brottsförebyggande rådet påpekar är det viktigt att domstolsdatalagens ändamålsbestämmelser inte förhindrar en sådan effektivisering.

För det tredje bör de situationer beaktas i vilka det inte finns någon skyldighet att lämna uppgifter men där det ändå kan anses påbjudet eller önskvärt att en domstol lämnar uppgifter till andra domstolar, myndigheter eller andra utomstående. Det kan t.ex. vara fråga om en

åtgärd som vidtas för att fullgöra serviceskyldigheten gentemot enskilda

41

Prop. 2014/15:148 enligt 4 § förvaltningslagen (1986:223). Såsom Stockholms tingsrätt påpekar kan också exempelvis växeltelefonister – vid en viss domstol eller vid en växel som är gemensam för flera domstolar – behöva ta fram uppgifter ur målhanteringssystemen.

Domstolsdatalagens bestämmelse om sekundära ändamål bör enligt regeringen formuleras så att den ger stöd för samtliga dessa former av utlämnande. Det kan konstateras att domstolarnas uppgiftsutlämnande styrs av flera andra regelverk med mer eller mindre detaljerade bestämmelser om utlämnande. För att undvika dubbelreglering är det därför lämpligast att bestämmelsen om uppgiftslämnande som sekundärt ändamål i domstolsdatalagen får en generell utformning, i likhet med regleringen i t.ex. patientdatalagen (2008:355). Med en generellt formulerad bestämmelse blir det överflödigt att uttryckligen nämna RIF- samarbetet som ett tillåtet ändamål på sätt som Rikspolisstyrelsen efterlyser. Regeringen föreslår mot denna bakgrund, i likhet med promemorian, en sekundär ändamålsbestämmelse med innebörden att uppgifter som behandlas för ett primärt ändamål, också får behandlas för uppgiftslämnande som sker i enlighet med gällande lagar och förordningar. Därmed omfattas alla de former av utlämnande som redovisas ovan av den sekundära ändamålsbestämmelsen.

Avslutningsvis bör det av tydlighetsskäl framhållas att övervägandena i detta avsnitt avser frågan i vilken utsträckning personuppgifter bör få behandlas för att uppgiftslämnande ska kunna ske, oavsett om behandlingen leder till att personuppgifter skrivs ut på ett papper som lämnas ut i fysisk form eller om uppgiftslämnandet fullföljs genom utlämnande i elektroniskt format, exempelvis genom ett e-postmeddelande. I vilken utsträckning själva utlämnandet ska få ske i elektroniskt format övervägs i avsnitt 12. Det bör också sägas, såsom Västmanlands tingsrätt påpekar, att varken ändamålsbestämmelserna eller några andra bestämmelser i domstolsdatagen kan förhindra sådana åtgärder som är nödvändiga för att leva upp till offentlighetsprincipen enligt 2 kap. tryckfrihetsförordningen (se avsnitt 6.5).

9 Säkerhet och intern åtkomst

9.1Säkerheten vid behandlingen

Regeringens förslag: Den personuppgiftsansvarige ansvarar, på samma sätt som enligt personuppgiftslagen, för säkerheten vid personuppgiftsbehandlingen.

Promemorians förslag överensstämmer med regeringens.

Remissinstanserna: De flesta remissinstanserna tillstyrker

promemorians förslag eller har ingen invändning mot det. Enligt Göta hovrätt aktualiserar förslaget frågan om avgränsningen av ansvar mellan domstolarna och Domstolsverket, eftersom verket tillhandahåller de system för personuppgiftsbehandling som domstolarna använder.

Hovrätten menar att det med hänsyn till domstolarnas beroende av

42

Domstolsverkets system inte är möjligt för domstolarna att fullgöra Prop. 2014/15:148 personuppgiftsansvaret utan verkets medverkan.

Skälen för regeringens förslag: I 30 och 31 §§ personuppgiftslagen (1998:204, PUL) finns regler om hur den personuppgiftsansvarige ska organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Den personuppgiftsansvarige ska bl.a. ge instruktioner till personalen om hur personuppgifter får behandlas. Vidare ska den personuppgiftsansvarige genom tekniska och organisatoriska åtgärder se till att personuppgifter skyddas och att det åstadkoms en säkerhetsnivå som är lämplig med hänsyn till tillgänglig teknik, kostnader, särskilda risker och uppgifternas känslighet.

Bestämmelserna i 30 och 31 §§ PUL ger uttryck för viktiga och allmängiltiga datorsäkerhetsprinciper. Regeringen anser, i likhet med vad som anförs i promemorian, att dessa principer även bör gälla i domstolarnas rättskipande och rättsvårdande verksamhet. En hänvisning till dessa bestämmelser bör därför tas in i domstolsdatalagen. Detta innebär att ansvaret för säkerheten vid personuppgiftsbehandlingen kommer att ligga på respektive personuppgiftsansvarig domstol som utför behandlingen (avsnitt 7.1). Göta hovrätt anser att domstolarna inte kan fullgöra sitt personuppgiftsansvar utan Domstolsverkets medverkan eftersom det är verket som konstruerar och ansvarar för driften av de itsystem som domstolarna använder. Frågan om förhållandet mellan de personuppgiftsansvariga domstolarna och Domstolsverkets funktion som konstruktör och driftsansvarig för systemen behandlas i avsnitt 7.1. Såsom anförs i det avsnittet förväntas varje domstol samarbeta med Domstolsverket för att uppfylla de krav som ställs på den personuppgiftsansvarige enligt domstolsdatalagen. Om exempelvis en domstol inte på egen hand kan vidta lämpliga säkerhetsåtgärder i enlighet med kraven i 30 och 31 §§ PUL till följd av brister i Domstolsverkets datorsystem får domstolen alltså kontakta verket för att få hjälp med att lösa denna situation. På så sätt bör den frågeställning som Göta hovrätt väcker kunna hanteras.

I avsnitt 14.2 föreslås att domstolsdatalagen ska hänvisa till 32 § PUL, vilket innebär att Datainspektionen i enskilda fall ska kunna besluta om vilka säkerhetsåtgärder som domstolarna ska vidta enligt 31 § PUL. I andra lagstiftningsärenden har regeringen konstaterat att närmare riktlinjer för informationssäkerhetsarbetet inte bör ges i lag utan vid behov bör ges på lägre föreskriftsnivå (prop. 2007/08:126 s. 149 och 2009/10:85 s. 271). Det bör mot den bakgrunden inte införas några särskilda bestämmelser om informationssäkerhet i domstolsdatalagen, vid sidan av hänvisningen till personuppgiftslagens bestämmelser om säkerheten vid behandlingen.

43

Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att fullgöra sina arbetsuppgifter i domstolarna. I lagen upplyses det om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter.

Promemorians förslag överensstämmer i huvudsak med regeringens.

I promemorians förslag används uttrycket ”varje anställd” i stället för ”varje tjänsteman”.

Remissinstanserna: En del remissinstanser, bl.a. Västmanlands tingsrätt, Kammarrätten i Stockholm och Domstolsverket, är positivt inställda till att en begränsningsregel tas in i domstolsdatalagen men poängterar samtidigt att regleringen inte får förhindra ett rationellt arbetssätt vid domstolarna. Många remissinstanser, bl.a. Göta hovrätt,

Hovrätten för Västra Sverige och Domstolsverket ser svårigheter med hur bestämmelsen ska tillämpas eftersom flera personalkategorier inom domstolarna vid skilda tidpunkter kan behöva åtkomst till personuppgifter för att fullgöra sina arbetsuppgifter. Bland dessa remissinstanser poängteras det att den föreslagna regleringen inte bör få medföra en begränsning av de anställdas möjligheter att få tillgång till de personuppgifter som behövs för att de effektivt ska kunna fullgöra sina arbetsuppgifter. Vidare framhålls att behovet av en bestämmelse om att begränsa tillgången till personuppgifter, som bygger på motsvarande reglering i polisdatalagen (2010:361), är mindre i domstolarnas verksamhet än i polisens verksamhet. Göta hovrätt, Attunda tingsrätt och Ekobrottsmyndigheten lämnar förslag på förtydliganden i den föreslagna bestämmelsen. Några remissinstanser, bl.a. Umeå tingsrätt,

Kammarrätten i Jönköping och Förvaltningsrätten i Härnösand, lyfter fram flera praktiska problem med förslaget. En synpunkt som förs fram är att förslaget kan leda till att verksamhetsstödet behöver byggas om och att domstolarnas arbetsrutiner behöver förändras. Göteborgs tingsrätt ser svårigheter med att genom tekniska och organisatoriska åtgärder begränsa varje anställds tillgång till personuppgifter. Skyddet för den enskilde bör snarare kunna tillgodoses genom en varnings- och loggningsfunktion. Förvaltningsrätten i Malmö framför en liknande synpunkt. Justitiekanslern anser att en ordning som innebär att bedömningen av en åtgärds tillåtlighet i praktiken överlämnas till den enskilde användaren inte skulle stämma överens med bestämmelsens utformning och kan medföra risk för missbruk. Hyresnämnden i Stockholm ifrågasätter om det krävs eller är motiverat med sådana föreskrifter som enligt promemorians förslag ska få meddelas i förordning eller i myndighetsföreskrifter. Datainspektionen anser att den föreslagna bestämmelsen i domstolsdatalagen är mycket vid och bör kompletteras med mer preciserade bestämmelser, i första hand i förordningsform. Inspektionen menar att det finns integritetsrisker med att överlåta till varje domstol att säkerställa åtkomstbegränsningarna och att den enskilde bör åtnjuta samma integritetsskydd oavsett hos vilken domstol dennes personuppgifter behandlas. Göta hovrätt pekar på att

44

Prop. 2014/15:148 medges dem som potentiellt kan behöva åtkomst, även om det i efterhand kan konstateras att alla i den grupp som beviljas åtkomst faktiskt inte behövde utnyttja åtkomsten. Att bestämmelsen till sin ordalydelse ansluter nära till motsvarande bestämmelser i andra registerförfattningar, såsom exempelvis polisdatalagen, innebär inte att tillgången till personuppgifter i domstolarna ska begränsas på samma sätt som i polisens verksamhet. Bestämmelsen är således enligt regeringen tillräckligt flexibel för att inte stå i vägen för en effektiv verksamhet i domstolarna.

Några remissinstanser lyfter frågan om det ska krävas tekniska lösningar för att begränsa åtkomsten till personuppgifter i domstolarnas verksamhet. Det kan i detta sammanhang framhållas att modern teknik ger ständigt nya möjligheter att på ett mer sofistikerat sätt reglera tillgången till uppgifter som behandlas automatiserat. Det finns också olika sätt att leva upp till bestämmelsens krav – såväl genom föreskrifter och instruktioner som genom tekniska åtgärder. Vilka begränsningsåtgärder som bör vidtas får bedömas fortlöpande utifrån domstolarnas olika förutsättningar och behov och med beaktande bl.a. av vad det skulle kosta att genomföra åtgärderna (jfr 31 § PUL).

Detaljföreskrifter om tillgången till personuppgifter

Några remissinstanser uttrycker en oro för att en ytterligare begränsning av åtkomstregleringen i förordning eller myndighetsföreskrifter kommer att hindra domstolarna i deras arbete och Hyresnämnden i Stockholm anser att några närmare föreskrifter inte behövs. I kontrast till dessa synpunkter anser Datainspektionen att bestämmelsen i domstolsdatalagen är mycket vid och bör kompletteras med mer preciserade bestämmelser som, i syfte att skydda den enskildes personliga integritet, främst bör meddelas i förordningsform.

Regeringen vill i detta sammanhang framhålla följande. Domstolarna skiljer sig åt sinsemellan i fråga om vilka typer av mål, och därmed vilka typer av personuppgifter, som behandlas i verksamheten. Domstolarna är också olika stora och deras inre organisation varierar. Dessutom förändras dessa förutsättningar över tid. Ett bestående integritetsskydd förutsätter därför en flexibel reglering som kan anpassas efter skiftande förhållanden. Även om den nu föreslagna begränsningsregeln i domstolsdatalagen lämnar utrymme för en flexibilitet beträffande vilka personer vid domstolarna som tillgången till personuppgifter ska avse och vilka personuppgifter som omfattas av regleringen kan det enligt regeringen finnas behov av att i förordning och myndighetsföreskrifter förtydliga och konkretisera innebörden av bestämmelsen. Föreskrifterna bör ge utrymme för olika tekniska lösningar, arbetssätt och kommunikationsvägar inom domstolarna. Genom föreskrifterna kan det bl.a. tydliggöras för domstolarna, och för de registrerade, hur behörighetstilldelning ska ske och hur tillgången till personuppgifter i olika fall ska begränsas. Sådana föreskrifter kommer alltså, tvärtemot vad några remissinstanser anför, att kunna anpassas efter domstolarnas behov och därmed inte hindra ett rationellt arbetssätt i domstolarna. För att upplysa om att sådana föreskrifter kan komma att meddelas, bör det tas in en bestämmelse i domstolsdatalagen om detta på samma sätt som i

polisdatalagen (2 kap. 11 §) och kustbevakningsdatalagen (2 kap. 3 §).

46

Det är fråga om verkställighetsföreskrifter vilket innebär att Prop. 2014/15:148 föreskrifterna inte får förändra innehållet i lagbestämmelsen. Sådana

detaljerade föreskrifter kan meddelas av regeringen eller den myndighet som regeringen bestämmer.

Övriga frågor

Såsom anförs i avsnitt 9.1 är det domstolarnas uppgift att tillsammans med Domstolsverket se till att personalen får tillräcklig utbildning i frågor som rör dataskydd och informationssäkerhet. Justitiekanslern anser att en ordning som innebär att bedömningen av en åtgärds tillåtlighet i praktiken överlämnas till den enskilde användaren inte skulle stämma överens med bestämmelsens utformning och kan medföra risk för missbruk. Domstolarna ska med hjälp av Domstolsverket eftersträva att sådan åtkomst som inte är berättigad förhindras. Detta kan bl.a. ske genom tekniska åtgärder. Det kommer dock aldrig att vara möjligt att enbart på teknisk väg förhindra varje form av åtkomst som inte är yrkesmässigt motiverad. Ett fullgott skydd mot obehörig tillgång till personuppgifter förutsätter med nödvändighet andra åtgärder än tekniska begränsningar, såsom att de anställda instrueras och utbildas i dessa frågor. Tekniska lösningar kan också ta tid att utarbeta.

Göta hovrätt påpekar att ett skydd för personuppgifter i domsutkast redan finns i rättegångsbalken och sekretesslagstiftningen. Enligt regeringen innebär detta dock inte att den föreslagna regleringen är överflödig eftersom den syftar till att minska risken för att uppgifter som är offentliga men som ändå inte bör vara åtkomliga för vem som helst sprids till fler personer vid domstolarna än vad som är motiverat.

10Behandling av känsliga personuppgifter och personnummer

10.1Känsliga personuppgifter

Regeringens förslag: Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter).

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna tillstyrker

promemorians förslag eller har ingen invändning mot det. Kammarrätten i Göteborg menar att förslaget innebär att förvaltningsdomstolarna inte kommer att kunna upprätta praxissamlingar som grundar sig på sjukdomsdiagnoser i socialförsäkringsmål. Enligt kammarrätten bör förslaget inte få försvåra praxisbildningen och upprätthållandet av likabehandlingsprincipen inom socialförsäkringsområdet. Förvaltnings-

rätten i Göteborg anser att det krävs ett redskap för att i ett så tidigt

47

Prop. 2014/15:148 skede som möjligt av målens handläggning kunna sammanföra mål av liknande beskaffenhet. Om detta inte kan göras vid målens registrering i verksamhetsstödet Vera bör andra möjligheter att sammanföra mål

Prop. 2014/15:148 kontrollera och begränsa sådana åtgärder som i integritetshänseende innebär särskilda risker. I avsnitt 11.4 föreslås därför bestämmelser som begränsar möjligheterna att använda känsliga personuppgifter som sökbegrepp. Såsom föreslås i promemorian anser regeringen att det av tydlighetsskäl även bör införas ett uttryckligt förbud mot att känsliga personuppgifter används som enda grund för en behandling. En bestämmelse med liknande lydelse finns i polisdatalagen och den bestämmelsen innebär enligt förarbetena att polisen inte får föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån etniskt ursprung, hälsa eller något annat i bestämmelsen angivet förhållande kan hänföras till en viss kategori av människor (prop. 2009/10:85 s. 325).

Kammarrätten i Göteborg och Förvaltningsrätten i Göteborg uttrycker farhågor för att den bestämmelse som promemorian föreslår på socialförsäkringsområdet kan förhindra praxisbildningen eller göra det svårt att sammanföra mål av liknande beskaffenhet. Enligt regeringen ska bestämmelsen emellertid inte behöva innebära några problem i dessa avseenden. Så länge det finns en annan konkret grund för behandlingen – såsom att underlätta den enhetliga rättstillämpningen och tillgodose likabehandlingsprincipen – bör exempelvis en sammanställning över socialförsäkringsmål som rör en viss sjukdomsdiagnos betraktas som tillåten. Sjukdomsdiagnosen utgör i sådana fall inte den enda grunden för behandlingen. En förutsättning för tillåtligheten är naturligtvis att den konkreta grunden för behandlingen är godtagbar utifrån domstolsdatalagens ändamålsbestämmelser, dvs. att behandlingen behövs för handläggning av mål och ärenden eller för uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Att åstadkomma en enhetlig rättstillämpning är exempel på en sådan godtagbar grund. Motsvarande bedömning bör kunna göras i fråga om åtgärder som behövs för att sammanföra mål av liknande beskaffenhet så att de kan handläggas i ett sammanhang vid en domstol.

För domstolarna får förbudet mot att använda känsliga personuppgifter som enda grund för en behandling i praktiken en mer begränsad betydelse än vad motsvarande bestämmelse i polisdatalagen har för polisen. Det beror på att domstolarna med hänsyn till de processuella regelverken och de föreslagna ändamålsbestämmelserna, även utan den nu föreslagna bestämmelsen, är begränsade i vad de kan företa sig i fråga om personuppgiftsbehandling. För att det inte ska råda någon tvekan tydliggörs dock genom den föreslagna bestämmelsen att vissa åtgärder är förbjudna, exempelvis att konstruera ett register över personer med en viss sjukdomsdiagnos utan att det finns ett konkret och utifrån ändamålsbestämmelserna godtagbart syfte med registret.

50

Regeringens förslag: Personnummer och samordningsnummer får, på samma sätt som enligt personuppgiftslagen, behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Promemorians förslag innehåller ingen särskild bestämmelse om personnummer och samordningsnummer. Promemorian innehåller i stället en bedömning att någon särskild begränsning inte bör gälla för behandling av sådana uppgifter.

Remissinstanserna: Ingen remissinstans kommenterar promemorians bedömning.

Skälen för regeringens förslag: I 22 § PUL föreskrivs att uppgifter om personnummer eller samordningsnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelserna innebär att den personuppgiftsansvarige ska göra en intresseavvägning mellan skälen för att behandla uppgifterna och de integritetsrisker det innebär. I polisdatalagen och flera andra registerförfattningar har det tagits in en hänvisning till 22 § PUL för att markera vikten av denna princip. I domstolarnas verksamhet är det självklart att personnummer måste kunna behandlas i många situationer. Domstolarna behöver exempelvis kunna lagra och vidarebefordra elektroniska partsinlagor som innehåller personnummer. Domstolarna måste också i många fall kunna använda personnummer och samordningsnummer i sitt verksamhetsstöd liksom i domar och beslut för att på ett tillförlitligt sätt identifiera personer. Det bör dock även i domstolsdatalagen, i likhet med bl.a. polisdatalagen, komma till uttryck att personnummer inte får behandlas rent slentrianmässigt. Regeringen gör bedömningen att 22 § PUL innebär en flexibel reglering som är väl avpassad för att förhindra omotiverad behandling av personnummer och samordningsnummer även i domstolarnas verksamhet. Regeringen föreslår därför, till skillnad från promemorian, att domstolsdatalagen ska hänvisa till 22 § PUL.

11 Sökbegränsningar

11.1Allmänt om sökning

Med sökning avses en åtgärd genom vilken ett urval uppgifter tas fram ur en samlad informationsmängd enligt vissa kriterier, s.k. sökbegrepp. Med hjälp av exempelvis bokstäver, koder eller siffror kan man, tillsammans med en sökmotor eller liknande funktion, ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd. Det urval som tas fram, dvs. sökresultatet, kan bestå av alltifrån

51

Prop. 2014/15:148 enstaka uppgifter (t.ex. ett namn) eller dokument (t.ex. en dom) till en

handling anses förvarad hos myndigheten är en förutsättning för att den Prop. 2014/15:148 ska omfattas av allmänhetens rätt att ta del av densamma enligt offentlighetsprincipen (2 kap. 1 § TF). Begränsningsregeln innebär att dataskyddsbestämmelser indirekt kan få betydelse för hur omfattande

begreppet allmän handling är i praktiken. Bestämmelser i registerförfattningar om för vilka ändamål myndigheten får behandla uppgifterna (s.k. ändamålsbegränsningar), anses i och för sig inte inskränka myndighetens skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter. Samma sak gäller sökbegränsningar i de fall de tillåter sökning under särskilt angivna förutsättningar. En sökbegränsning som är absolut formulerad och som under inga omständigheter tillåter användningen av ett visst sökbegrepp får däremot genomslag enligt begränsningsregeln.

Sammanfattningsvis innebär regleringen i tryckfrihetsförordningen att det finns två sätt att genom författningsbestämmelser reglera allmänhetens tillgång till potentiella allmänna handlingar i domstolarna, och därmed indirekt reglera allmänhetens tillgång till de sökfunktioner som används för att sammanställa sådana handlingar. Dels kan en sådan reglering åstadkommas genom sekretessbestämmelser i offentlighets- och sekretesslagen, dels genom sökbestämmelser i domstolsdatalagen som på ett ovillkorligt sätt förbjuder personalen att utföra vissa sökningar både för verksamhetens behov och på begäran av allmänheten. Bestämmelser som tillåter personalen att under vissa villkor utföra en sökning, t.ex. att söka om det är absolut nödvändigt, begränsar inte allmänhetens rätt att begära att sådana sökningar utförs och att de uppgifter som tas fram lämnas ut.

11.2Utgångspunkter för sökregleringens utformning

Regeringens bedömning: Begränsningarna av möjligheterna att söka bör utformas så att de inte enbart gäller för domstolspersonalens användning av datorsystemen utan även skyddar mot de integritetsrisker som är förknippade med enskildas rätt att begära att sökningar utförs med stöd av offentlighetsprincipen.

dataintrång aktualiseras (4 kap. 9 c § brottsbalken). Som föreslås i avsnitt 9.2 ska vidare den interna tillgången till personuppgifter vara begränsad till det varje tjänsteman behöver för att fullgöra sina arbetsuppgifter. Genom loggning och andra tekniska säkerhetsåtgärder kan bestämmelsernas efterlevnad kontrolleras i efterhand och riskerna för att sökfunktionerna missbrukas därmed begränsas. Det bör i detta sammanhang också noteras att ingen av remissinstanserna anför att de domstolsanställdas användning av integritetskänsliga sökbegrepp i sig skulle innebära några särskilda risker, samtidigt som många remissinstanser uppmärksammar de integritetsrisker som följer av allmänhetens rätt att begära att tillgängliga sökfunktioner används (se avsnitt 11.4). Det är således inte motiverat att införa en spärr som endast begränsar domstolspersonalens sökmöjligheter, men inte allmänhetens möjligheter att med stöd av offentlighetsprincipen begära att en sökning ska utföras, vilket också Förvaltningsrätten i Göteborg och Förvaltningsrätten i Malmö lyfter fram.

I promemorian föreslås att domstolens personal ska få använda särskilt integritetskänsliga sökbegrepp endast om det är absolut nödvändigt. Denna typ av bestämmelse är inte ovillkorlig, och regeringen föreslår därför inte någon sådan bestämmelse. Detta är i linje med vad majoriteten av de remissinstanser som yttrat sig över promemorians förslag anför. Regeringen gör i stället bedömningen att sökregleringen i domstolsdatalagen bör ha en sådan utformning att sökspärrarna inte enbart träffar domstolspersonalens behandling i tjänsten utan att spärrarna mot integritetskänsliga sökningar också blir verksamma när sökningar utförs på begäran av enskilda med stöd av offentlighetsprincipen. Detta förutsätter att sökbestämmelserna är ovillkorliga.

I avsnitt 11.4 överväger regeringen ovillkorliga sökbegränsningar som ska gälla såväl när domstolens personal utför sökningar för verksamhetens egna behov som när personalen utför sökningar på begäran av enskilda med stöd av offentlighetsprincipen.

11.3 Någon särskild sekretessbestämmelse föreslås inte

Regeringens bedömning: Det bör inte införas någon särskild sekretessbestämmelse för personuppgifter som tas fram med hjälp av sökning.

Promemorians bedömning överensstämmer med regeringens. Remissinstanserna: Majoriteten av remissinstanserna instämmer i

promemorians bedömning eller kommenterar den inte närmare.

Sundsvalls tingsrätt, Kammarrätten i Stockholm, Kammarrätten i Jönköping, Förvaltningsrätten i Stockholm och Ekobrottsmyndigheten

anser att det finns skäl att ytterligare överväga en sekretessbestämmelse.

55

Prop. 2014/15:148 Som skäl hänvisas till de integritetsrisker som orsakas av allmänhetens

utlämnande skulle innebära för var och en av dem skulle medföra en Prop. 2014/15:148 betydande resursåtgång i domstolarna. Vid en sammantagen bedömning

anser regeringen att någon särskild sekretessbestämmelse för uppgifter i domstolarna som tagits fram med hjälp av vissa sökningar inte bör införas.

Attunda tingsrätt uppmärksammar de integritetsproblem som kan följa av att medieföretag med s.k. utgivningsbevis bygger upp databaser med uppgifter från domstolarna. Denna fråga ligger emellertid utanför ramen för detta lagstiftningsärende. Sedan promemorian remitterades har regeringen tillsatt en kommitté på det tryck- och yttrandefrihetsrättsliga området med uppdrag att bl.a. analysera om skyddet för den personliga integriteten i databaser med utgivningsbevis är tillräckligt (dir. 2014:97). Utredningen ska redovisa sina överväganden och förslag senast den 1 september 2016.

11.4Integritetskänsliga sökningar ska begränsas

Regeringens förslag: Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar

•ras eller etniskt ursprung,

•politiska åsikter,

•religiös eller filosofisk övertygelse,

•medlemskap i fackförening,

•hälsa,

•sexualliv,

•nationell anknytning, eller

•brott eller misstanke om brott.

Förbudet gäller inte användning av uppgifter som avslöjar brott eller misstanke om brott i de allmänna domstolarnas och de allmänna förvaltningsdomstolarnas verksamhet och användning av uppgifter som avslöjar hälsa i de allmänna förvaltningsdomstolarnas verksamhet. I lagen upplyses det om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att använda dessa sökbegrepp.

Användning av särskilda beteckningar för identifiering av en viss mål- eller ärendetyp som sökbegrepp omfattas inte av förbudet.

Prop. 2014/15:148 Domstolsverket tillstyrker eller är övervägande positiva till förslaget. Borås tingsrätt är tveksam till om nyttan av förslagen väger upp integritetsriskerna. Med hänsyn till integritetsriskerna tillstyrker

Förvaltningsrätten i Stockholm och Förvaltningsrätten i Jönköping förslaget endast under förutsättning att det införs en sekretessbestämmelse avseende uppgifter som tas fram med hjälp av sökning.

Sveriges advokatsamfund avstyrker förslaget av integritetsskyddsskäl. Samfundet menar att domstolarna i stället bör kunna använda externa rättsdatabaser trots kostnaderna för det och att skälen för att tillåta användningen av integritetskänsliga sökbegrepp är mycket svaga. Ekobrottsmyndigheten lämnar synpunkter av liknande slag.

Borås tingsrätt framhåller att sökmöjligheterna i kombination med direktåtkomst kan utnyttjas för att få avgöranden från landets alla domstolar utlämnade för illvilliga syften. Även om Domstolsverket tillstyrker förslaget, lyfter verket fram att de nya sökmöjligheterna kan leda till integritetsrisker och en ökad arbetsbelastning för domstolarna när allmänheten begär att sökningar ska utföras.

Hovrätten för Västra Sverige och Förvaltningsrätten i Malmö, ifrågasätter om inte ändamålsbestämmelserna utgör en tillräcklig reglering avseende sökbegrepp som avslöjar brott eller misstanke om brott. Västmanlands tingsrätt menar att sökbegrepp som avslöjar brott eller misstanke om brott kan vara nödvändiga att använda även vid kartläggning och analys av målstrukturen vid en domstol. Sundsvalls tingsrätt pekar på att användningen av dessa sökbegrepp kan underlätta handläggningen hos en hyresnämnd, exempelvis för att bedöma betydelsen av den brottslighet som en hyresgäst har gjort sig skyldig till. Tingsrätten pekar också på att konsekvenserna för hyres- och arrendenämndernas rådgivnings- och upplysningsarbete inte har analyserats närmare i promemorian.

Ett stort antal förvaltningsdomstolar är kritiska till begränsningar i sökmöjligheterna. Kammarrätten i Göteborg, Kammarrätten i Sundsvall, Kammarrätten i Jönköping, Förvaltningsrätten i Göteborg, Förvaltningsrätten i Malmö och Förvaltningsrätten i Jönköping anser att det även i de allmänna förvaltningsdomstolarna kan finnas behov av att använda sökbegrepp som avslöjar brott eller misstanke om brott, exempelvis i körkortsmål, migrationsmål, vapenmål, LVU-mål, skattemål och mål om upphävande av allmän domstols beslut om utvisning på grund av brott. Kammarrätten i Göteborg framhåller att domar och beslut är offentliga och att behovet av att kunna söka bland uppgifter i sådana dokument för att hitta vägledande avgöranden är större än i fråga om uppgifter i elektroniska akter. Kammarrätten ser ingen anledning att begränsa återsökningsmöjligheterna i domar och beslut, i synnerhet som privata aktörer redan idag tillhandahåller databaser med samtliga domar och beslut utan sökbegränsningar. Kammarrätten i Sundsvall anser att det är en självklarhet att domstolarna behöver tillgång till sina egna och andra domstolars avgöranden för att verksamheten ska fungera. Om det genom den nya lagen införs begränsningar i hur de domstolsanställda får söka i verksamhetssystemet kommer domstolarna enligt kammarrätten att behöva köpa tillbaka sina egna uppgifter genom abonnemang hos olika rättsdatabaser.

58

Förvaltningsrätten i Härnösand anser att samordningsvinster sällan Prop. 2014/15:148 torde uppnås genom sökning på exempelvis en viss diagnos eftersom det

sällan är själva diagnosen som är intressant vid bedömningen. Enligt förvaltningsrätten finns det inte behov av att använda de integritetskänsliga sökbegreppen på sätt som har föreslagits. Enligt Riksdagens ombudsmän bör möjligheten att som sökbegrepp använda nationell anknytning, etniskt ursprung, politiska åsikter, religiös övertygelse och sexualliv begränsas till migrationsdomstolarna och Migrationsöverdomstolen.

Hovrätten för Västra Sverige menar att behovet av att använda känsliga personuppgifter som sökbegrepp torde vara relativt begränsat och torde uteslutande finnas i de allmänna förvaltningsdomstolarna.

Justitiekanslern ifrågasätter om det inte skulle kunna finnas alternativa sätt att tillgodose domstolarnas behov som skulle innebära mer begränsade integritetsrisker, exempelvis genom att utveckla och anpassa Domstolsverkets webbsida Vägledande avgöranden.

Domstolsverket förespråkar ett förtydligande som innebär att det ska vara tillåtet i allmänna domstolar att som sökbegrepp använda brottsrubriceringar som också innefattar en uppgift om sexualliv eller någon annan känslig personuppgift. Även Stockholms universitet efterfrågar ett klargörande av om den typen av sökbegrepp får användas.

Justitiekanslern anser att det i bestämmelsen om sökning av tydlighetsskäl bör anges uttryckligen att regeringen kan meddela föreskrifter om behörighet och säkerhetsfrågor.

Skälen för regeringens förslag

Integritetskänsliga sökbegrepp

I promemorian identifierades ett antal sökbegrepp som enligt bedömningen i promemorian medför särskilda integritetsrisker i domstolarnas verksamhet. Det rör sig om dels sökbegrepp som tar sikte på s.k. känsliga personuppgifter (uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening och uppgifter som rör hälsa eller sexualliv), dels sökbegrepp som består av uppgifter som avslöjar nationell anknytning, brott eller misstanke om brott. Regeringen delar bedömningen att dessa typer av sökbegrepp intar en särställning i fråga om integritetsrisker och noterar att ingen av remissinstanserna uppmärksammar någon annan typ av uppgifter som i domstolarnas verksamhet också bör betraktas som integritetskänsliga sökbegrepp.

Domstolarna har behov av att använda integritetskänsliga sökbegrepp

Att domstolarna kan bedriva den rättskipande och rättsvårdande verksamheten rättssäkert och effektivt är avgörande för tilltron till rättsväsendet. En viktig aspekt av rättsäkerheten är att lika fall behandlas lika. Det är därför viktigt att den domare som står inför att avgöra ett mål har goda möjligheter att återfinna tidigare avgöranden som rymmer identiska eller liknande frågeställningar. I effektivitetshänseende kan det vara värdefullt att hitta förebilder för domskrivningen genom att söka

efter tidigare avgöranden. Av betydelse för effektiviteteten är också

59

Prop. 2014/15:148 möjligheten att med hjälp av sökning kartlägga och analysera målstrukturen vid en domstol såsom Västmanlands tingsrätt påpekar. Vidare är det möjligt att med hjälp av sökning identifiera öppna mål som innehåller likartade frågeställningar så att handläggningen kan samordnas, vilket kan främja såväl effektiviteten som rättssäkerheten. I vissa måltyper är det betydelsefullt att kunna använda också integritetskänsliga sökbegrepp. Exempelvis kan en uppgift om en viss sjukdomsdiagnos behöva användas för att identifiera avgöranden på socialförsäkringsområdet, eller en uppgift om brott för att sammanställa praxis avseende påföljder. Regeringen gör därför bedömningen att det, för att främja en effektiv och rättssäker verksamhet, finns ett behov i domstolarna att kunna utföra sökningar med integritetskänsliga sökbegrepp. Denna bedömning delas i stort också av remissinstanserna och har bekräftats ytterligare vid det seminarium som Domstolsverket anordnat i syfte att kartlägga behoven av att använda integritetskänsliga sökbegrepp i domstolarnas verksamhet.

Kan externa databaser tillgodose domstolarnas sökbehov?

I promemorian presenteras en analys av frågan om behoven av att söka skulle kunna tillgodoses på något annat sätt som innebär mindre integritetsrisker och det konstateras att några tillfredsställande alternativ inte står till buds. De flesta remissinstanser anför inga invändningar mot denna bedömning.

Justitiekanslern ifrågasätter dock promemorians bedömning i denna del och väcker frågan om inte Domstolsverkets webbsida Vägledande avgöranden skulle kunna utvecklas och anpassas för att tillgodose domstolarnas behov. Regeringen konstaterar att de sökningar som domstolarna behöver utföra framför allt avser offentliga uppgifter, såsom uppgifter i domar och beslut. Att försöka tillgodose detta behov genom att bygga ut denna webbsida, som enligt den nuvarande ordningen endast får innehålla utvalda avgöranden från överrätterna, framstår enligt regeringen inte som ett bättre alternativ jämfört med att tillåta domstolarna att söka bland sina egna avgöranden. Att utveckla den aktuella webbsidan till att omfatta domar och beslut mer generellt, inklusive underrätternas avgöranden, skulle såvitt kan bedömas ta stora resurser i anspråk, eftersom det då måste avsättas personal till att gå igenom och maskera personuppgifter i alla domar. Det skulle också leda till en fördröjning innan avgörandena blev tillgängliga och sökbara för domstolarna. Samtidigt skulle det medföra ökad spridning av integritetskänslig information till andra än domstolarna eftersom webbplatsen är direkt åtkomlig för vem som helst som har tillgång till internet.

Sveriges advokatsamfund anser att skälen för att tillåta användningen av integritetskänsliga sökbegrepp är mycket svaga och menar att domstolarna trots kostnaderna bör kunna använda externa rättsdatabaser i stället för att söka bland sina egna uppgifter. Kammarrätten i Sundsvall anser å sin sida att det är en självklarhet att domstolarna behöver tillgång till sina egna och andra domstolars avgöranden för att verksamheten ska fungera. Om det genom den nya lagen införs begränsningar i hur de

domstolsanställda får söka i verksamhetssystemet kommer domstolarna

60

Prop. 2014/15:148 allt förvaltningsdomstolar, som i olika avseenden anser att promemorians

möjligheterna att använda de aktuella sökbegreppen bör utformas som Prop. 2014/15:148 ovillkorliga bestämmelser så att de får genomslag när allmänheten begär

att en sökning ska utföras med stöd av offentlighetsprincipen (se avsnitt 11.2).

I avsnitt 13 görs bedömningen att det utöver de nu aktuella sökförbuden bör gälla särskilda begränsningar avseende hur länge uppgifterna i ett mål ska vara sökbara efter det att målet har fått laga kraft och handlingarna i målet har arkiverats.

Behörighet och säkerhet

Justitiekanslern anser att det i bestämmelsen om sökning av tydlighetsskäl bör anges uttryckligen att regeringen kan meddela föreskrifter om behörighet och säkerhetsfrågor. I avsnitt 9.2 föreslås att det i domstolsdatalagen ska tas in en upplysningsbestämmelse om att regeringen, eller den myndighet som regeringen bestämmer, kan meddela närmare föreskrifter om tillgången till personuppgifter. Enligt regeringen behövs det inte något ytterligare förtydligande av regeringens behörighet att meddela föreskrifter om behörighet och säkerhetsfrågor vid sökning. Den sökreglering som föreslås är en rättsligt bindande reglering och det förutsätts naturligtvis att personalen utbildas i vad som är tillåtet respektive förbjudet så att efterlevnaden kan garanteras.

Särskilda beteckningar för identifiering av en viss mål- eller ärendetyp

Domstolarna använder i många olika sammanhang särskilda beteckningar för identifiering av en viss mål- eller ärendetyp, s.k. målgrupps- och måltypskoder. Dessa fastställs i de flesta fall av Domstolsverket och varje målgrupps- eller måltypskod anknyter till mål eller ärenden inom ett visst ämnesområde (t.ex. inkomst- och förmögenhetstaxering) eller en författning (t.ex. mål enligt vapenlagen). Målgrupps- och måltypskoder används i mycket stor utsträckning i den dagliga verksamheten och det har inte framkommit att detta skulle medföra några särskilda risker i integritetshänseende. Det är regeringens uppfattning att sökning med användning av nu aktuella koder bör vara tillåten. Med regeringens förslag till sökreglering kan det dock i något enstaka fall anses oklart om användningen av en viss målgrupps- eller måltypskod är tillåten. Regeringen föreslår därför att det i lagen tas in en bestämmelse som förtydligar att användningen av målgrupps- och måltypskoder som sökbegrepp inte omfattas av förbudet i sökbestämmelsen.

Prop. 2014/15:148 Skälen för regeringens förslag: Sökning som sker bland en tydligt begränsad mängd uppgifter innebär mindre integritetsrisker än sökningar som sker bland större uppgiftsmängder. Att någon använder sökfunktionen i ett ordbehandlingsprogram för att orientera sig i ett enskilt textdokument, t.ex. en dom eller en aktbilaga, framstår som ofarligt i integritetshänseende. På motsvarande sätt är det svårt att se några beaktansvärda integritetsrisker med sökningar som endast avser uppgifter i ett enskilt mål eller ärende. Detta är standardmässiga sökfunktioner som personalen vid domstolarna, liksom vilken datoranvändare som helst, behöver för att kunna bedriva sitt arbete på ett rationellt sätt. Mot denna bakgrund bör det sökförbud som nu föreslås inte omfatta sökningar som endast avser uppgifterna i en viss handling eller ett visst mål eller ärende (jfr 3 kap. 7 § polisdatalagen [2010:361]).

12 Elektroniskt utlämnande

12.1Utlämnande genom direktåtkomst

Regeringens förslag: Direktåtkomst får endast medges

•en allmän domstol,

•en allmän förvaltningsdomstol,

•en hyres- och arrendenämnd,

•en part eller

•en parts ombud, biträde eller försvarare.

Direktåtkomst för en part eller en parts ombud, biträde eller försvarare får endast avse personuppgifter i partens mål eller ärende.

I lagen upplyses det om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

Regeringens bedömning: Den kommande förordningsregleringen bör vara uppbyggd så att direktåtkomst som huvudregel är förbjuden och undantag endast tillåts inom noggrant avgränsade ramar.

Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås en annan lagteknisk lösning.

Remissinstanserna: Remissutfallet är blandat. Svea hovrätt, Nyköpings tingsrätt och Kammarrätten i Stockholm tillstyrker promemorians förslag.

Justitiekanslern kan i avsaknad av närmare analyser av de frågeställningar som Justitiekanslern uppmärksammar, som framför allt rör direktåtkomst för parter, inte tillstyrka förslaget. Datainspektionen avstyrker förslaget att parter enligt domstolsdatalagen ska kunna medges direktåtkomst. Sveriges advokatsamfund anser att de skäl som anförs i promemorian inte motiverar att domstolarna kan medge varandra direktåtkomst och avstyrker förslaget. Ekobrottsmyndigheten anser att konsekvenserna av förslagen behöver analyseras betydligt djupare.

64

Prop. 2014/15:148 Med hänsyn till att sekretessprövningar i denna typ av situationer kan bli

generella åtkomstbegränsningar utifrån vad varje myndighet behöver för Prop. 2014/15:148 sin verksamhet och sådana begränsningar ger inte ett fullgott skydd.

Datainspektionen pekar också på att det i mål hos domstolarna ofta kan förekomma personuppgifter som avser andra än den enskilde parten själv. Attunda tingsrätt anser att det bör klargöras vad som avses med

”biträde” och ifrågasätter om ett rättgångsbiträde enligt 12 kap. 22 § rättegångsbalken, som endast får handla på partens vägnar i hans eller hennes närvaro, ska kunna medges direktåtkomst. Förvaltningsrätten i Härnösand anser att direktåtkomst för parter kan underlätta arbetet, men befarar omfattande tekniska och säkerhetsmässiga svårigheter, särskilt rörande sekretesskyddade uppgifter.

Domstolsverket anser att det bör övervägas om domstolarnas expedieringsskyldighet ska ersättas med en möjlighet för andra myndigheter att ha direktåtkomst.

Skälen för regeringens förslag och bedömning

Begreppet direktåtkomst

Begreppet direktåtkomst har ingen legaldefinition men den grundläggande innebörden är att någon utomstående har direkt tillgång till uppgifter som behandlas hos en myndighet, t.ex. en domstol. I begreppet direktåtkomst ligger att den utomstående på egen hand kan ta fram uppgifter och på så sätt få uppgifterna utlämnade till sig. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mottagaren. Prövningen av om ett utlämnande är förenligt med offentlighets- och sekretesslagen (2009:400, OSL) måste därför ske redan då uppgifterna görs tillgängliga genom direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. Den direktåtkomst som en myndighet medger någon utomstående är vanligtvis avgränsad så att mottagaren endast har tillgång till vissa bestämda uppgifter, såsom uppgifter i en viss databas eller i vissa dokument.

Utlämnande genom direktåtkomst till en domstol

De tydligaste och mest aktuella behoven av direktåtkomst finns domstolarna emellan. Partsuppgifter och annan strukturerad information bör kunna återanvändas av en överrätt när ett mål eller ärende överklagas så att uppgifterna inte behöver matas in manuellt i datorsystemen flera gånger. Effektiv återanvändning av uppgifter förutsätter att det finns möjlighet till direktåtkomst mellan domstolsinstanserna. När ett mål överklagas behöver överrätten vidare kunna ta del av ljud- och bildupptagningar som lagras elektroniskt i underrättens datorsystem via direktåtkomst. Utan denna möjlighet skulle ljud- och bildfilerna behöva lagras parallellt i flera domstolar.

En domstol bör, inom de begränsade ramar som föreslås i avsnitt 11.4, ha möjlighet att söka bland avgörandena från en annan domstol i syfte att främja en enhetlig rättstillämpning och effektiv handläggning. En förutsättning för att detta ska vara möjligt är att direktåtkomst kan etableras mellan dessa domstolar. Sådan direktåtkomst förekommer i viss utsträckning redan i dag. Direktåtkomsten kan exempelvis behöva avse

domar och de ärendemeningar som registreras i varje mål.

67

omfattningen av direktåtkomsten dessutom regleras så preciserat som Prop. 2014/15:148 möjligt med avseende på vilka domstolar som kan tillåtas ha

direktåtkomst till vilka personuppgifter. Behoven ser olika ut beroende på om det är fråga om exempelvis åtkomst till domar eller åtkomst till uppgifter för delgivningsändamål. Behoven varierar över tiden och är bl.a. beroende av hur domstolarnas inre och yttre organisation utformas, arbetsrutiner, målsammansättningen i domstolarna och forumregler. Den närmare regleringen om vilka domstolar som ska kunna få direktåtkomst och till vilka uppgifter bör därför meddelas av regeringen i förordning. För att åstadkomma en restriktiv ram för direktåtkomsten bör huvudregeln enligt förordningsbestämmelserna vara att direktåtkomst är förbjuden utom i de fall som specificeras i förordning.

Sekretess vid utlämnande till en domstol genom direktåtkomst

De uppgifter som blir tillgängliga genom direktåtkomst anses utlämnade i offentlighets- och sekretesslagens mening. Det betyder att de tekniska systemen för direktåtkomst måste konstrueras så att de inte kommer i konflikt med offentlighets- och sekretesslagens bestämmelser. Den reglering som föreslås avseende direktåtkomst medför således inte i sig att uppgifter som omfattas av sekretess får lämnas ut.

Att säkerställa att datorsystemen och arbetsrutinerna vid domstolarna får en sådan utformning att direktåtkomsten inte kan komma i konflikt med sekretessregleringen är en viktig uppgift för domstolarna och Domstolsverket. Av 11 kap. 4 § OSL följer att den sekretess som gäller hos den utlämnande domstolen automatiskt överförs till den mottagande domstolen. Såsom Hovrätten för Västra Sverige påpekar blir den överförda sekretessen enligt 11 kap. 8 § OSL i vissa fall inte lika stark hos den mottagande domstolen.

Flera remissinstanser, däribland Borås tingsrätt, uppmärksammar att sådana uppgifter som en domstol har tillgång till via direktåtkomst till en annan domstol ofta kommer att betraktas som en allmän handling hos den mottagande domstolen. Det innebär att enskilda kan ha rätt att ta del av uppgifterna med stöd av offentlighetsprincipen hos den mottagande domstolen. Detta gäller också sådana uppgifter som den mottagande domstolen tekniskt har möjlighet att komma åt, även om uppgifterna i det enskilda fallet faktiskt inte har överförts till mottagande domstolen (överskottsinformation). Några remissinstanser, bl.a. Göteborgs tingsrätt, uppmärksammar att den mottagande domstolen således kan behöva sekretesspröva och lämna ut uppgifter som härrör från en annan domstol. Sekretessprövning av handlingar som härrör från en annan domstol är emellertid något som domstolarna redan i dag kan behöva hantera. Det gäller både uppgifter som har mottagits från en annan domstol genom direktåtkomst och uppgifter som överlämnats från en annan domstol i pappersform. Mot bakgrund av att direktåtkomst endast är tänkt att vara möjlig i mer begränsad omfattning bör konsekvenserna i detta avseende inte bli så omfattande som remissinstanserna befarar.

Vad särskilt gäller frågan om överskottsinformation vid direktåtkomst kan avslutningsvis nämnas att Informationshanteringsutredningen har haft i uppdrag att överväga en inskränkning i handlingsoffentligheten

såvitt gäller just sådan information. Utredningen har stannat för att inte

69

Prop. 2014/15:148 föreslå någon annan förändring än ett förstärkt sekretesskydd för sådan information, se utredningens delbetänkande Överskottsinformation vid direktåtkomst (SOU 2012:92 s. 164 f.). Betänkandet bereds för närvarande i Regeringskansliet.

Skyldighet att medge direktåtkomst regleras inte

Några remissinstanser, bl.a. Attunda tingsrätt och Kammarrätten i Göteborg, efterlyser en reglering som inte bara innebär att domstolarna har en möjlighet att bevilja direktåtkomst, utan som också innebär en skyldighet för dem att ge varandra direktåtkomst. Genom domstolsdatalagen regleras emellertid på vilket sätt och under vilka förutsättningar som domstolarna får behandla personuppgifter – inte vilken skyldighet de ska ha att behandla personuppgifter. Enligt regeringen finns det för närvarande inget behov av att föreslå regler om domstolarnas skyldighet att medge varandra direktåtkomst.

Göta hovrätt, Hovrätten för Västra Sverige, Borås tingsrätt och

Kammarrätten i Sundsvall ifrågasätter om de tekniska systemen kommer att medge att varje domstol individuellt kan styra över vem som får direktåtkomst. Regeringen konstaterar att domstolarna i praktiken kommer att vara beroende av de tekniska system som Domstolsverket utvecklar. Ytterst är det dock varje domstol som är ansvarig för de behandlingar som domstolen utför (se avsnitt 7.1), vilket Domstolsverket naturligtvis måste beakta vid utformningen av systemen. Samtidigt blir det genom RIF-samarbetet och övrig teknisk integrering allt viktigare att den elektroniska kommunikationen mellan domstolarna kan fungera enligt de standarder som tas fram. Regeringen följer denna utveckling.

Inga processrättsliga konsekvenser av regeringens förslag

Göteborgs tingsrätt undrar om möjligheterna till direktåtkomst påverkar domstolarnas skyldighet att utföra kontroller avseende om en fråga redan är anhängiggjord vid en domstol (lis pendens) eller rättskraftigt avgjord (res judicata). Regeringen konstaterar att domstolarnas utredningsskyldighet beträffande denna typ av frågor styrs av de processuella regelverken och att bestämmelserna om direktåtkomst inte i sig påverkar domstolarnas skyldigheter i dessa avseenden. Domstolsverket anser att det behöver belysas ytterligare under vilka förutsättningar en domstol är skyldig att till mål och ärenden föra de uppgifter som domstolen har tagit del av via direktåtkomsten. Ekobrottsmyndigheten anser att domstolarnas och åklagarnas tillgång till överskottsinformation i samband med direktåtkomst kan leda till att det blir otydligt för en tilltalad vilka uppgifter domstolen och åklagaren faktiskt tagit del av. Regeringen kan med anledning av dessa påpekanden konstatera att domstolarna och åklagarna måste uppfylla processrättens krav i fråga om vilka uppgifter som ska fogas till ett mål eller ärende, vilka uppgifter som ska kommuniceras med parterna liksom övriga processrättsliga bestämmelser som syftar till att skapa insyn och klarhet. Detta gäller för alla uppgifter som finns tillgängliga för domstolen eller åklagaren, oavsett om det är via direktåtkomst, e-post eller på något annat sätt.

70

Prop. 2014/15:148 som när det gäller direktåtkomst för domstolar bör omfattningen av direktåtkomsten regleras så precist som möjligt för att på så sätt bemästra integritetsriskerna. Denna närmare reglering bör föreskrivas av regeringen i förordning. Regeringen har för avsikt att i avvaktan på den ovan beskrivna utvecklingen föreskriva att utlämnande genom direktåtkomst till parter, ombud, biträden och försvarare inte är tillåtet.

När det så småningom kan bli aktuellt att genom föreskrifter börja tillåta domstolarna att lämna ut personuppgifter genom direktåtkomst till sådana mottagare bör det ske inom noggrant avgränsade ramar. Det kan exempelvis röra sig om att tillåta direktåtkomst till uppgifter om inkommande och utgående handlingar i målet, förelägganden eller svarsfrister. Som framgår ovan är det endast aktuellt att medge direktåtkomst för parter till uppgifter som är såväl offentliga som av harmlös karaktär. De risker som ofta förknippas med direktåtkomst är mindre påtagliga när direktåtkomsten begränsas till denna typ av uppgifter. Det är fråga om uppgifter som parterna i många fall ändå får tillgång till under handläggningen oavsett direktåtkomsten och som domstolen ofta torde vara oförhindrad lämna ut även i elektronisk form till parten med stöd av den föreslagna bestämmelsen om utlämnande på medium för automatiserad behandling. Det är dock av integritetsskyddskäl lämpligt att parter som har många mål i en domstol endast kan bereda sig tillgång till uppgifterna i ett mål i taget. Med sådana begränsningar minimeras de risker som Datainspektionen pekar på. Justitiekanslern lyfter fram frågan hur domstolarna ska hantera sekretesskyddade uppgifter i förhållande till parterna och framhåller att sådana uppgifter inte bör kunna lämnas genom direktåtkomsten. Regeringen delar denna bedömning och föreslår därför ingen sekretessbrytande bestämmelse. Det innebär att det inte kommer att vara tillåtet för en domstol att bereda en part direktåtkomst till sekretesskyddade uppgifter. Det ankommer på Domstolsverket och domstolarna att säkerställa att så inte bli fallet.

Attunda tingsrätt efterfrågar ett klargörande avseende termen biträde. Enligt regeringen ska begreppet ges en vid tolkning och det bör i princip kunna omfatta såväl offentliga biträden, rättegångsbiträden och

precist genom bestämmelser i förordning. Regeringen har också Prop. 2014/15:148 möjlighet att i förordning meddela särskilda bestämmelser om behörighet

och säkerhet vid direktåtkomst. Dessa bestämmelser kan komma att behöva kompletteras med mer detaljerade bestämmelser i myndighetsföreskrifter. Sådana föreskrifter kan justeras efter hand som domstolarna omorganiseras, nya måltyper tillkommer, RIF-samarbetet går framåt och den tekniska infrastrukturen utvecklas. Regeringen föreslår därför en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskifter om begränsningar av direktåtkomsten och om behörighet och säkerhet vid sådan åtkomst.

12.2Utlämnande på medium för automatiserad behandling

Regeringens förslag: Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt.

I lagen upplyses det om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling.

Promemorians förslag överensstämmer inte med regeringens. I promemorian föreslås att personuppgifter får lämnas ut till myndigheter och parter, i egna mål och ärenden, utan något uttryckligt krav på lämplighetsprövning. Till andra mottagare får endast enstaka personuppgifter lämnas ut på medium för automatiserad behandling.

Remissinstanserna: Nästintill samtliga domstolar, liksom

Domstolsverket och Ekobrottsmyndigheten, är kritiska till att begränsa utlämnandemöjligheterna till enstaka personuppgifter. Många av dessa varnar för att det skulle det skulle ta mycket stora resurser i anspråk om domstolarna inte längre skulle kunna hantera utlämnande av större mängder personuppgifter elektroniskt. Umeå tingsrätt upplyser om att domstolen nästan inte har några papperskopior i brottmålen längre. Det framhålls av många remissinstanser att domstolarna kan tvingas skriva ut omfattande handlingar, som i övrigt hanteras elektroniskt, bara för att kunna lämna ut dem. Domstolsverket pekar på de omfattande resurser som läggs på att digitalisera informationshanteringen i brottmålen i syfte att eliminera papperhanteringen och anser att förslaget går stick i stäv med dessa strävanden. Flera remissinstanser, däribland Lunds tingsrätt och Förvaltningsrätten i Malmö, anser att det är oklart vad som menas med ”enstaka personuppgifter”. Ekobrottsmyndigheten ifrågasätter om det överhuvudtaget behövs någon begränsning avseende mängden uppgifter som kan lämnas ut med hänsyn till de bestämmelser angående säkerheten vid elektronisk överföring som ändå ska gälla enligt domstolsdatalagen och med hänsyn till att det enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400, OSL) gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att

uppgifterna behandlas i strid med personuppgiftslagen (1998:204, PUL).

73

Prop. 2014/15:148 Västmanlands tingsrätt menar att det ur ett miljöperspektiv framstår som slöseri med att skicka papper i stället för att expediera domar och andra handlingar i digital form.

Om elektroniskt utlämnande efter s.k. massbeställningar helt skulle förhindras finns det enligt Attunda tingsrätt en risk för att medieföretagen i stället skulle begära ut kopior av avgörandena i pappersform. Med tanke på att antalet massbeställningar från medieföretagen ökar och de resurser det skulle kräva för att leverera deras beställningar i pappersform bör det enligt Förvaltningsrätten i Malmö även i fortsättningen ankomma på domstolarna själva att avgöra i vilken form utlämnande ska få ske. Svea hovrätt framhåller, liksom flera andra remissinstanser, att uppgifter som lämnas ut på papper ändå med allmänt tillgänglig teknik, såsom skanning, enkelt kan överföras till elektronisk format av mottagaren. Bland andra Domstolsverket ifrågasätter om det är rimligt att domstolarna under sådana förhållanden ska lägga resurser på att skriva ut elektroniska handlingar för att lämna ut dem i pappersformat. Attunda tingsrätt varnar för att begränsningen till enstaka personuppgifter kan tolkas på så sätt att den inte förhindrar att ett totalt sett stort antal personuppgifter lämnas ut elektroniskt genom att mottagaren gör flera på varandra följande beställningar. Tingsrätten framhåller att ett sådant förfarande skulle skapa stort merarbete. Göteborgs tingsrätt menar att en begränsning till enstaka uppgifter blir ihålig när medieföretag med utgivningsbevis kan göra liknande sammanställningar som domstolarna och sedan sprida dem. I likhet med Förvaltningsrätten i Malmö anser tingsrätten att åtgärder mot integritetsriskerna som är förknippade med kommersiella massuttag bör utredas.

Lunds tingsrätt föreslår att begränsningen till enstaka personuppgifter ska ersättas med en föreskrift om att domstolen vid utskick ska agera med försiktighet och med respekt för berördas integritet. Även Svenska journalistförbundet anser att begränsningen till enstaka personuppgifter bör ersättas med en bestämmelse om att domstolarna i det enskilda fallet ska göra en lämplighetsprövning. Attunda tingsrätt föreslår i stället en begränsning till personuppgifter i enstaka mål eller ärenden.

Datainspektionen, som avstyrker promemorians förslag, anser att regleringen i domstolsdatalagen bör vara så uttömmande som möjligt och undantag i förordning som utvidgar möjligheterna till utlämnande endast ska få föreskrivas i de fall som preciseras i lagen. För att säkerställa ett i alla avseenden fullgott integritetsskydd anser inspektionen vidare att behovet av mer detaljerade villkor för utlämnande bör övervägas och att det förslagsvis kan ske genom att regeringen eller den myndighet som regeringen bestämmer bemyndigas att meddela föreskrifter om begränsning av utlämnande på medium för automatiserad behandling och säkerhet vid sådant utlämnande.

Sundsvalls tingsrätt instämmer i promemorians bedömning att

”allmänhetens PC” inte är att hänföra till direktåtkomst, men anser inte att det utesluter att avgränsningen av de uppgifter som tillhandahålls tydliggörs på lämpligt sätt. Datainspektionen föreslår att bestämmelser om innehållet och sökbegränsningar för ”allmänhetens PC” övervägs i det fortsatta lagstiftningsarbetet.

74

Prop. 2014/15:148 formulerad bestämmelse som tar sikte på de särskilda förhållanden som

Prop. 2014/15:148 det tryck- och yttrandefrihetsrättsliga området med uppdrag att bl.a. analysera om skyddet för den personliga integriteten i databaser med utgivningsbevis är tillräckligt (dir. 2014:97). Utredningen ska redovisa sina överväganden och förslag senast den 1 september 2016.

Ytterligare begränsningar i förordning och myndighetsföreskrifter

Datainspektionen framhåller behovet av att det slås fast mer detaljerade villkor för utlämnande på medium för automatiserad behandling och föreslår att detta görs i förordning eller genom myndighetsföreskrifter. Regeringen delar bedömningen att det kan vara lämpligt att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter som begränsar möjligheterna att lämna ut uppgifter på medium för automatiserad behandling. Sådana föreskrifter kan bidra till att stärka integritetsskyddet och att främja en enhetlig tillämpning. Genom föreskrifterna kan också de närmare villkoren för ”allmänhetens PC” regleras, vilket Sundsvalls tingsrätt och Datainspektionen efterfrågar. I lagen bör det således upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling.

12.3Överföring till tredjeland

Regeringens förslag: Personuppgiftslagens bestämmelser om överföring av personuppgifter till tredjeland gäller i domstolarnas rättskipande och rättsvårdande verksamhet.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: De flesta remissinstanserna tillstyrker

promemorians förslag eller har ingen invändning mot det. Attunda tingsrätt, Förvaltningsrätten i Göteborg och Domstolsverket anser att det bör klargöras vilka möjligheter som finns till undantag från förbudet mot överföring till tredjeland exempelvis då en part som befinner sig i tredjeland ska delges handlingar. Förvaltningsrätten anser vidare att behovet av att överföra uppgifter vid handläggningen av mål är särskilt framträdande i viserings- och anknytningsmål men att behovet också finns i andra måltyper, t.ex. då en vårdnadshavare i ett LVU-mål befinner sig i tredjeland. Attunda tingsrätt anser även att det bör klargöras om en domstol i enlighet med 8 § PUL kan med stöd av offentlighetsprincipen lämna ut en allmän handling till en person som befinner sig i tredjeland.

Skälen för regeringens förslag: Enligt 33 § PUL är det förbjudet att överföra personuppgifter till tredjeland, dvs. en stat som inte är medlem av EU eller är ansluten till Europeiska ekonomiska samarbetsområdet, om landet inte har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag och regeringen har också möjlighet att meddela föreskrifter om ytterligare undantag från förbudet (34 och 35 §§ PUL, se även 12–14 §§ personuppgiftsförordningen [1998:1191]). Dessa bestämmelser är redan i dag tillämpliga i domstolarnas verksamhet. En

domstol kan alltså trots förbudet mot överföring av personuppgifter till

78

tredjeland med stöd av exempelvis 34 § PUL föra över personuppgifter Prop. 2014/15:148 per e-post till en part som befinner sig utomlands och som samtyckt till

att kommunikationen med domstolen ska ske på detta sätt. Detta förutsätter dock att överföringen endast avser uppgifter om parten själv. Om inget samtycke har lämnats eller om uppgifterna avser någon annan än parten själv kan överföring ske om överföringen är nödvändig med hänsyn till vissa uppräknade syften i 34 § första stycket PUL, exempelvis om överföringen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Enligt regeringen är bestämmelserna i 33–35 §§ PUL väl anpassade för en effektiv verksamhet i domstolarna. En hänvisning till dessa bestämmelser bör således tas in i domstolsdatalagen. Det bör dock understrykas att till följd av hänvisningen i domstolsdatalagen till lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen kan i vissa fall särskilda regler gälla för överföring till medlemsstater inom EU och till vissa andra stater (se avsnitt 6.7).

Attunda tingsrätt anser att det bör klargöras om personuppgifter kan föras över till tredjeland vid utlämnande av en allmän handling till en person som befinner sig i utlandet. Enligt 8 § första stycket PUL ska personuppgiftslagen inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt offentlighetsprincipen, såsom den kommer till uttryck i 2 kap. tryckfrihetsförordningen. I avsnitt 6.5 föreslås att 8 § första stycket PUL ska vara tillämplig i domstolarnas verksamhet. Offentlighetsprincipen innebär dock inte någon rätt för allmänheten att få ta del av personuppgifter på elektronisk väg. Vid bedömningen om en domstol kan föra över personuppgifter i en allmän handling i elektroniskt format till en person som befinner sig i tredjeland ska därför bestämmelserna i 33−35 §§ PUL beaktas.

13 Bevarande av personuppgifter

Regeringens förslag: Personuppgifter i allmänna handlingar får, på samma sätt som enligt personuppgiftslagen, bevaras elektroniskt i domstolarna för att tillgodose arkivändamål. Personuppgifter som inte är allmänna handlingar får, också på samma sätt som enligt personuppgiftslagen, bevaras elektroniskt endast så länge det är nödvändigt med hänsyn till ändamålen med behandlingen eller under längre tid om bevarandet sker för historiska, statistiska eller vetenskapliga ändamål.

I lagen upplyses det om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft.

79

Prop. 2014/15:148 statistiska eller vetenskapliga ändamål. De flesta remissinstanser har inga invändningar i dessa avseenden. Sundsvalls tingsrätt och Kammarrätten i Stockholm anser att det bör övervägas om domstolsdatalagen ska innehålla bestämmelser om bevarande och gallring på motsvarande sätt som i bl.a. polisdatalagen. Regeringen konstaterar att bestämmelserna om bevarande och gallring i polisdatalagen är särskilt anpassade efter de förhållanden som råder i polisens brottsbekämpande verksamhet. Dessa bestämmelser bör därför inte utgöra en förebild för bevaranderegleringen i fråga om domstolarnas rättskipande och rättsvårdande verksamhet.

Sundsvalls tingsrätt anser vidare att det kan vara lämpligt att närmare överväga ansvaret och formerna för utlämnande av allmänna handlingar ur de elektroniska arkiven. Tingsrätten ifrågasätter om detta ansvar ska ligga på varje domstol, särskilt om ansvaret för lagringen läggs på en central myndighet. I avsnitt 7.1 föreslås att varje domstol ska vara personuppgiftsansvarig för den egna personuppgiftsbehandlingen. Det är således den personuppgiftsansvariga domstolen som i enlighet med huvudregeln i 4 § arkivlagen ska svara för vården av sitt arkiv. Denna lösning tillgodoser bäst och smidigast allmänhetens rätt att ta del av allmänna handlingar samt rättskipningens och förvaltningens behov av information. Att Domstolsverket utformar domstolarnas verksamhetssystem eller anlitas som personuppgiftsbiträde åt domstolarna innebär inte att ansvaret för domstolarnas arkiv i stället bör ligga på verket. Så länge en domstols arkiv inte har övertagits av en arkivmyndighet är det alltså den personuppgiftsansvariga domstolen som ska pröva frågor om utlämnande av allmänna handlingar ur arkivet. Detta gäller oavsett om det är fråga om utlämnande av uppgifter ur manuella eller elektroniska arkiv. Någon särskild reglering för utlämnande av uppgifter ur elektroniska arkiv behövs enligt regeringen inte.

Ett särskilt integritetsskydd för uppgifter i avgjorda mål och ärenden

Ett elektroniskt bevarande av personuppgifter i mål och ärenden ska alltså styras av det arkivrättsliga regelverket. Dessa regler är dock inte utformade med någon särskild hänsyn till de integritetsrisker som är förknippade med elektroniskt bevarande. Sådana risker kan uppstå framför allt om uppgifterna blir åtkomliga för automatiserade sökningar och sammanställningar. Möjligheterna till direktåtkomst och annan spridning av uppgifterna kan också utgöra en risk för integritetsintrång.

Ett viktigt skäl till att domstolarna bevarar uppgifter från avslutade mål och ärenden är att domstolarna har ett eget behov av att kunna komma åt uppgifterna. Detta återspeglas i arkivlagen, enligt vilken syftet med domstolars och andra myndigheters arkivbildning bl.a. är att tillgodose behovet av information för rättskipningen (3 §). Med hänsyn till integritetsskyddet är det dock rimligt att begränsa domstolarnas och allmänhetens åtkomst till uppgifter i mål och ärenden när handläggningen avslutats genom ett lagakraftvunnet avgörande. Det bör därför inte sedan handläggningen av ett mål eller ärende har avslutats och domen eller beslutet har fått laga kraft vara möjligt för domstolarna att fortsätta hantera elektroniska personuppgifter på samma sätt som då handläggningen pågick.

82

I domstolsdatalagen bör det därför tas in en upplysning om att Prop. 2014/15:148 regeringen eller den myndighet som regeringen bestämmer kan meddela

ytterligare föreskrifter om begränsningar för behandling av personuppgifter som hänför sig till ett mål eller ärende som har avgjorts genom en dom eller ett beslut som har fått laga kraft. Exempelvis kan det behövas begränsningar avseende sökning, direktåtkomst eller intern åtkomst vid domstolarna. Det är fråga om bestämmelser som bör vara relativt detaljerade och som bör kunna justeras ganska ofta, exempelvis när domstolarnas arbetssätt utvecklas eller då nya måltyper tillkommer i verksamheterna. En mer detaljerad reglering ger också bättre förutsättningar för att optimera den avvägning som ska göras mellan integritets- och effektivitetsintressena. Det är viktigt att domstolarna har möjlighet att i den utsträckning det är motiverat utnyttja de möjligheter till ökad effektivitet, rättssäkerhet och insyn som erbjuds tack vare övergången till elektroniskt bevarande. I linje med vad Förvaltningsrätten i Malmö anför finns det berättigade skäl för domstolarna att exempelvis på elektronisk väg göra sökningar på namn och person- eller organisationsnummer. Det bör också beaktas att domstolarna kan ha behov av att ha direktåtkomst till arkiverade uppgifter i viss utsträckning, såsom Kammarrätten i Sundsvall framhåller. Av rättsäkerhetsskäl kan det också vara viktigt med åtkomst till uppgifter i avslutade mål och ärenden vid exempelvis ansökan om resning, vilket Uppsala universitet anför. Av integritetsskyddsskäl kan det dock finnas behov av att införa tidsfrister beträffande möjligheterna till både sökningar och direktåtkomst så att regleringen kan göras mer restriktiv ju längre tid som har förflutit sedan det aktuella målet eller ärendet avgjordes.

14 Insyn och tillsyn

14.1Enskildas insyn i personuppgiftsbehandlingen

Regeringens förslag: Den som är personuppgiftsombud ska föra en särskild förteckning över den personuppgiftsbehandling som sker med stöd av domstolsdatalagen. Den personuppgiftsansvarige är, på samma sätt som enligt personuppgiftslagen, skyldig att på begäran lämna sådan information till enskilda.

I lagen upplyses det om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka uppgifter som den aktuella förteckningen ska innehålla.

Prop. 2014/15:148 sannolikt kommer att medföra ett betydande merarbete för domstolarna och att förteckningen därför inte torde kunna bli annat än mycket allmänt hållen. Hovrätten över Skåne och Blekinge anser att det bör eftersträvas att alla domstolar ska ha samma utformning av de förteckningar som förs. Göta hovrätt anser att förslaget torde medföra en betungande informationsskyldighet för domstolarna. Vidare anser hovrätten att en hänvisning till en paragraf i personuppgiftslagen (1998:204, PUL) bör förtydligas.

Skälen för regeringens förslag

Enskildas rätt till insyn i domstolsprocessen

Enskildas insyn i domstolarnas personuppgiftsbehandling är en viktig aspekt av personuppgiftsskyddet eftersom insynen möjliggör för enskilda att försäkra sig om att domstolarnas personuppgiftsbehandling sker i enlighet med gällande regler, t.ex. att uppgifterna ska vara riktiga och behandlas för tillåtna ändamål.

Inom det tillämpningsområde som föreslås för domstolsdatalagen, dvs. domstolarnas rättskipande och rättsvårdande verksamhet, utförs de flesta personuppgiftsbehandlingar med stöd av, eller i vart fall som ett utflöde av, de processuella regelverken, framför allt rättegångsbalken och förvaltningsprocesslagen (1971:291). Tack vare att domstolarnas verksamhet är så genomreglerad har en utomstående förhållandevis goda möjligheter att bilda sig en uppfattning om vilka personuppgiftsbehandlingar som en domstol utför. Möjligheterna till insyn underlättas naturligtvis också av att en så stor del av uppgifterna som behandlas i domstolarna är offentliga och att den enskilde som är part har en mycket långtgående rätt till insyn och dessutom själv bidrar med många av de uppgifter som tillförs målet.

Årlig information

Enligt nuvarande ordning är reglerna i personuppgiftslagen, om den personuppgiftsansvariges skyldighet att lämna besked till en enskild om att han eller hon är föremål för personuppgiftsbehandling, tillämpliga i domstolarnas verksamhet. Sådan information ska lämnas utan kostnad en gång per kalenderår till var och en som ansöker om det. Om uppgifter behandlas ska information också lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver information dock inte lämnas om personuppgifter i löpande text som inte har fått sin ursprungliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. (26 § PUL)

Enligt regeringen bör en sådan informationsskyldighet även gälla enligt domstolsdatalagen. Det bidrar till öppenhet och transparens kring vilka personuppgiftsbehandlingar som domstolarna utför. Även ur integritetssynpunkt är det viktigt med regler som ger den registrerade rätt till information av den personuppgiftsansvarige om vilka uppgifter som är föremål för behandling. Genom en sådan reglering får den enskilde

möjlighet att kontrollera om han eller hon är registrerad och, om så är

84

fallet, att de registrerade personuppgifterna är riktiga vilket bidrar till den Prop. 2014/15:148 enskildes skydd mot felaktig personuppgiftsbehandling. Såvitt

framkommit har denna informationsskyldighet, som alltså finns redan i dag, inte medfört några problem eller någon betungande administration i domstolarnas verksamhet. Mot den bakgrunden bör enligt regeringen en hänvisning till 26 § PUL tas in i domstolsdatalagen. En hänvisning bör även göras till 27 § PUL som innebär att rätten till information inte gäller om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. Information ska därmed inte lämnas om sådana förhållanden för vilka det gäller sekretess.

En förteckning över personuppgiftsbehandlingar

Enligt 36 § första stycket PUL ska automatiserade behandlingar av personuppgifter anmälas till tillsynsmyndigheten (Datainspektionen). Domstolarna omfattas dock inte av någon sådan anmälningsskyldighet. Detta hänger samman med att anmälningsskyldigheten enligt personuppgiftslagen inte gäller för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning såsom i Vera-förordningarna eller den föreslagna domstolsdatalagen. Någon hänvisning till 36 § första stycket PUL behövs därför inte (3 § personuppgiftsförordningen [1998:1191]). Enligt regeringen finns det dock anledning att överväga om domstolarna bör vara skyldiga att sammanställa och göra tillgänglig den information som en sådan anmälan skulle ha innehållit. Det skulle exempelvis röra sig om uppgifter om ändamålet med behandlingen och en beskrivning av den eller de kategorier av registrerade som berörs av behandlingen. Fördelen med att ålägga domstolarna en skyldighet att föra en sådan förteckning är att såväl den registrerade som andra kan få tillgång till en uppdaterad beskrivning med mer preciserad information om vilka personuppgiftsbehandlingar som sker vid en domstol än vad som kan utläsas ur domstolsdatalagen. Detta är särskilt värdefullt med tanke på att domstolsdatalagen, till skillnad från Vera-förordningarna, inte bör innehålla några uppräkningar av vilka personuppgiftsbehandlingar som ska vara tillåtna (avsnitt 6.1).

Om domstolarna åläggs en skyldighet att föra en förteckning över sina personuppgiftsbehandlingar innebär det ett visst merarbete och kostnader för att inledningsvis upprätta förteckningen och att fortlöpande uppdatera den. Till skillnad från Kammarrätten i Stockholm anser regeringen dock att det inte kommer att medföra något betydande merarbete för domstolarna att upprätta och löpande föra en sådan förteckning. Såsom konstateras i promemorian kan detta arbete effektiviseras genom att Domstolsverket hjälper domstolarna att ta fram relevanta förteckningar.

Mot denna bakgrund anser regeringen att en generell skyldighet för domstolarna att föra en förteckning över sina personuppgiftsbehandlingar bör gälla enligt domstolsdatalagen. Enligt promemorians förslag är det den personuppgiftsansvarige som ska anges som ansvarig för att föra förteckningen. I likhet med vad som gäller enligt 2 kap. 2 § polisdatalagen (2010:361) anser regeringen emellertid att det bör vara personuppgiftsombudet eller personuppgiftsombuden som har ansvaret

för att föra förteckningen. Hovrätten över Skåne och Blekinge anser att

85

processuella regelverken som styr domstolarnas verksamhet. Detta Prop. 2014/15:148 innebär att domstolarna i praktiken sällan torde behöva lämna särskild

information till den registrerade även om 23 och 25 §§ PUL görs tillämpliga för domstolarna. Göta hovrätt anser att promemorians förslag om att göra 23 § PUL tillämplig enligt domstolsdatalagen innebär att domstolarna kommer att vara skyldiga att underrätta t.ex. parter och vittnen om att deras personuppgifter kommer att behandlas och att en strikt tillämpning av denna paragraf torde innebära en betungande informationsskyldighet för domstolarna. Det bör dock poängteras att promemorians förslag om att införa en hänvisning till 23 och 25 §§ PUL i domstolsdatalagen inte innebär någon ändring av gällande rätt. Såvitt framkommit har domstolarnas tillämpning av 23 och 25 §§ PUL inte medfört några problem eller betungande administration i domstolarnas verksamhet.

Bestämmelserna i 23 och 25 §§ PUL har sin grund i dataskyddsdirektivet. För att det inte ska råda någon tvekan om att domstolsdatalagen lever upp till de krav som följer av unionsrätten anser regeringen, i likhet med vad som anförs i promemorian, att dessa bestämmelser även fortsättningsvis bör vara tillämpliga i domstolarnas rättskipande och rättsvårdande verksamhet. Det bör därför i domstolsdatalagen tas in en hänvisning till bestämmelserna i 23 och 25 §§ PUL.

Informationsskyldigheten enligt 23 § PUL gäller i de fall uppgifter om en person samlas in från personen själv. I 24 § PUL föreskrivs en skyldighet för den personuppgiftsansvarige att självmant lämna information till den registrerade i de fall personuppgifter samlas in från någon annan än den registrerade själv. Det är fråga om samma information som enligt 23 §. Av 24 § andra stycket följer emellertid att informationsskyldigheten enligt 24 §, till skillnad från 23 §, inte gäller om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. I fråga om domstolarnas rättskipande och rättsvårdande verksamhet kommer det att finnas sådana bestämmelser i domstolsdatalagen, rättegångsbalken, förvaltningsprocesslagen och övrig lagstiftning som styr domstolarnas verksamhet. Enligt regeringen bör det därför inte tas in någon hänvisning till 24 § PUL i domstolsdatalagen. Såsom Göta hovrätt uppmärksammar hänvisar 25 § PUL till både 23 och 24 §§ samma lag. Till skillnad mot hovrätten anser regeringen dock att det inte behövs något förtydligande i domstolsdatalagen om att 25 § PUL endast gäller i förhållande till 23 § PUL. Någon risk för tillämpningssvårigheter kan inte förutses. Förslaget i denna del är för övrigt identiskt med motsvarande reglering i 2 kap. 2 § första stycket polisdatalagen.

87

Regeringens förslag: I domstolarnas rättskipande och rättsvårdande verksamhet har tillsynsmyndigheten samma befogenheter att utöva tillsyn som enligt personuppgiftslagen, med undantag för möjligheten att utfärda vitesföreläggande.

Regeringen har, på samma sätt som enligt personuppgiftslagen, möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till tillsynsmyndigheten för förhandskontroll.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser kommenterar

förslaget. Riksdagens ombudsmän (JO) anser att Datainspektionen inte bör ha möjlighet att under vissa förutsättningar meddela förbud för domstolarna att behandla personuppgifter på annat sätt än genom att lagra dem. Förvaltningsrätten i Göteborg anser att det mot bakgrund av de allvarliga konsekvenser som ett förbud om att domstolarna inte får behandla personuppgifter på annat sätt än genom att lagra dem skulle medföra för rättssäkerheten, tilltron till rättsväsendet och för enskildas möjlighet att ta tillvara sin rätt bör övervägas om det i lagstiftningen bör uttryckas att tillsynsmyndigheten i det längsta ska undvika att tillgripa denna åtgärd. Alternativt bör det, enligt förvaltningsrätten, övervägas om det finns något annat, mindre ingripande påtryckningsmedel. Göta hovrätt ifrågasätter om det är lämpligt att tillsynsmyndigheten ska kunna ansöka hos förvaltningsrätten om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas och att förvaltningsrätten ges befogenhet att fatta beslut i denna fråga. Förvaltningsrätten i Göteborg konstaterar att forumregeln i personuppgiftslagen innebär att en ansökan om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas ska prövas av Förvaltningsrätten i Stockholm och anser att det framstår som oklart vilken domstol som ska pröva en ansökan avseende Förvaltningsrätten i Stockholm. Övriga remissinstanser tillstyrker eller har inte något att invända mot promemorians förslag.

Skälen för regeringens förslag: För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen i egenskap av tillsynsmyndighet enligt personuppgiftslagen vissa befogenheter gentemot den personuppgiftsansvarige.

Enligt 32 § första stycket PUL får Datainspektionen i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta enligt 31 § PUL, dvs. lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som ska behandlas (se avsnitt 9.1). Vidare framgår av 43 § PUL att tillsynsmyndigheten har möjlighet att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen och säkerheten vid denna och tillträde till lokaler. De redovisade bestämmelserna är enligt nuvarande ordning tillämpliga i domstolarnas rättskipande och rättsvårdande verksamhet. Regeringen anser, i likhet med promemorian, att tillsynsmyndigheten även i fortsättningen bör ha samma befogenheter som enligt den nuvarande ordningen. En hänvisning till de aktuella paragraferna bör därför tas in i domstolsdatalagen.

88

Prop. 2014/15:148 ansöka om utplåning av uppgifter i domstolarnas rättskipande och rättsvårdande verksamhet. Detta åstadkoms genom en hänvisning till 47 § PUL. Beslut om utplåning får enligt 47 § andra stycket PUL inte meddelas om det är oskäligt, vilket innebär att det inte bör komma i fråga att utplåna uppgifter som behövs för handläggningen av mål och ärenden eller som på grund av processrättsliga regler eller allmänna rättsprinciper bör bevaras.

Såsom Förvaltningsrätten i Göteborg konstaterar ska en ansökan om utplåning enligt 47 § PUL prövas av förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen. Eftersom Datainspektionen är belägen i Stockholm ska denna fråga, enligt nuvarande forumregler, alltså prövas av Förvaltningsrätten i Stockholm. Förvaltningsrätten i Göteborg ställer frågan vilken domstol som ska pröva en ansökan som innefattar påståenden att personuppgifter har behandlats på ett olagligt sätt av Förvaltningsrätten i Stockholm. Regeringen konstaterar att forumregeln i 47 § PUL redan nu gäller i domstolarnas verksamhet och att det inte framkommit några problem med den nuvarande ordningen. Det förekommer även på andra områden att en domstol kan vara part i ett mål eller ärende som handläggs vid samma domstol. Någon särskild forumregel för det nu aktuella fallet behövs därför inte.

Enligt nuvarande ordning gäller även regeringens möjlighet att, med stöd av 41 § PUL, föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll i domstolarnas verksamhet. Bestämmelsen har sin grund i artikel 20.1 i dataskyddsdirektivet som innehåller krav på att medlemsstaterna ska bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter samt säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Även om regeringen inte har meddelat några sådana föreskrifter som anges i 41 § PUL såvitt gäller domstolarnas verksamhet, saknas det skäl att inte behålla denna möjlighet. En hänvisning till nämnda bestämmelse bör därför, precis som i polisdatalagen, införas i domstolsdatalagen.

14.3Personuppgiftsombud

Regeringens förslag: Den personuppgiftsansvarige ska utse ett eller flera personuppgiftsombud. Den personuppgiftsansvarige ska anmäla till Datainspektionen när ett personuppgiftsombud utses eller entledigas. Personuppgiftslagens bestämmelser om personuppgiftsombudets uppgifter gäller i domstolarnas verksamhet.

15.1Åtgärder vid felaktig personuppgiftsbehandling

Regeringens förslag: Den personuppgiftsansvarige är, på samma sätt som enligt personuppgiftslagen, skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna personuppgifter som har behandlats felaktigt i domstolarnas verksamhet. Den personuppgiftsansvarige har även samma skyldighet som enligt personuppgiftslagen att underrätta tredje man om sådana åtgärder.

Den registrerade har samma rätt som enligt personuppgiftslagen att få skadestånd vid skada eller kränkning som uppstår när personuppgifter behandlas på ett felaktigt sätt.

Promemorians förslag överensstämmer med regeringens. Remissinstanserna: Samtliga remissinstanser tillstyrker prome-

morians förslag eller har ingen invändning mot det.

Skälen för regeringens förslag

Skyldigheten att rätta felaktigt behandlade uppgifter

Enligt 9 § första stycket h personuppgiftslagen (1998:204, PUL), till vilken domstolsdatalagen ska hänvisa (se avsnitt 8.1), ska den personuppgiftsansvarige se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Det finns också en möjlighet för den registrerade att begära att sådana åtgärder vidtas. Enligt 28 § PUL är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personuppgiftslagens bestämmelser. Vidare följer av denna bestämmelse att när den personuppgiftsansvarige rättar en personuppgift ska han eller hon underrätta dem som fått del av uppgiften om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Bestämmelserna i 28 § PUL är redan enligt nuvarande ordning tillämpliga i domstolarnas rättskipande och rättsvårdande verksamhet. Felaktig behandling av personuppgifter innebär ett integritetsintrång och för att i så stor utsträckning som möjligt begränsa sådana intrång är det, enligt regeringen, viktigt att personuppgifter som behandlas felaktigt i domstolarna även i fortsättningen rättas, blockeras eller utplånas. En hänvisning till 28 § PUL bör därför tas in i domstolsdatalagen.

Rätt till skadestånd

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han eller hon rätt till skadestånd (48 § PUL). Rätten till ersättning omfattar varje typ av skada eller kränkning av den personliga integriteten orsakad genom en behandling i

92

strid med reglerna i personuppgiftslagen eller föreskrifter som har Prop. 2014/15:148 meddelats med stöd av den lagen.

Personuppgiftslagens bestämmelser om skadestånd är enligt gällande rätt tillämpliga i domstolarnas rättskipande och rättsvårdande verksamhet. Om personuppgifter skulle behandlas i strid med domstolsdatalagen är det principiellt viktigt att den som drabbas av skada eller kränkning även fortsättningsvis på ett rimligt sätt kan kompenseras genom skadestånd. En hänvisning till 48 § PUL bör därför tas in i domstolsdatalagen.

15.2Överklagande

Prop. 2014/15:148 ska kunna överklagas medan beslut som kan betecknas som interna eller administrativa och som inte direkt berör den enskilde, t.ex. ett beslut att inte medge direktåtkomst, inte ska kunna överklagas, jfr propositionen Översyn av personuppgiftslagen (prop. 2005/06:173 s. 52). Beslut enligt 26 och 28 §§ PUL, till vilka domstolsdatalagen ska hänvisa, bör mot denna bakgrund kunna överklagas. Även beslut om upplysningar till allmänheten, som enligt vad regeringen föreslår i avsnitt 14.1 ska regleras särskilt i domstolsdatalagen, bör på motsvarande sätt som gäller enligt personuppgiftslagen kunna överklagas (jfr 42 och 52 §§ PUL). Övriga beslut som kan meddelas av den personuppgiftsansvarige enligt domstolsdatalagen bedöms däremot inte vara av sådan karaktär att de bör kunna överklagas.

För att förvaltningsrätterna inte ska behöva överpröva sina egna eller högre instansers beslut har det i Vera-förordningarna införts en avvikande instansordning i fråga om överklagande av domstolars beslut. Enligt dessa förordningar gäller att förvaltningsrätts beslut överklagas till kammarrätt, kammarrätts beslut till Högsta förvaltningsdomstolen och att tingsrätts och hovrätts beslut överklagas till kammarrätt. Det är också vad som gäller för beslut om utlämnande av handling i domstolarnas administrativa verksamhet enligt offentlighets- och sekretesslagen (6 kap. 8 § offentlighets- och sekretesslagen [2009:400]). Den nu redovisade instansordningen framstår som ändamålsenlig och bör gälla även vid överklagande av beslut enligt domstolsdatalagen.

De beslut som är överklagbara utgör administrativa beslut i respektive domstol. Kammarrätten kommer därmed i realiteten att vara första domstolsinstans. Mot den angivna bakgrunden och i enlighet med vad som gäller enligt Vera-förordningarna bör det därför inte gälla något krav på prövningstillstånd vid överklagande till kammarrätt.

Högsta domstolen är högsta allmänna domstol och Högsta förvaltningsdomstolen är högsta förvaltningsdomstol (11 kap. 1 § regeringsformen). Av detta följer att dessa domstolars avgöranden inte kan överklagas. Högsta domstolens och Högsta förvaltningsdomstolens egna beslut enligt domstolsdatalagen bör därför inte kunna överklagas. Detta överensstämmer med vad som gäller enligt offentlighets- och sekretesslagen och Vera-förordningarna.

När det gäller beslut som meddelas av en hyres- eller arrendenämnd finns det inte skäl att avvika från den vanliga ordningen för överklagande av förvaltningsbeslut. Det bör således anges i domstolsdatalagen att nämndernas beslut överklagas till allmän förvaltningsdomstol och att prövningstillstånd krävs vid överklagande till kammarrätt.

Beslut av tillsynsmyndigheten

I avsnitt 14.2 föreslås att Datainspektionen ska kunna besluta om säkerhetsåtgärder enligt 32 § PUL och förbud enligt 44 eller 45 § PUL. I likhet med vad som gäller enligt personuppgiftslagen bör sådana beslut kunna överklagas till allmän förvaltningsdomstol och prövningstillstånd bör krävas vid överklagande till kammarrätten (51 § första stycket och 53 § andra stycket PUL). Denna överklagandebestämmelse bör utformas på samma sätt som i personuppgiftslagen.

94

Prop. 2014/15:148 domstolsdatalagen vad som gäller i fråga om överklagande av Datainspektionens beslut och av domstolarnas beslut och domar.

16Ikraftträdande- och övergångsbestämmelser

Regeringens förslag och bedömning: Domstolsdatalagen träder i kraft den 1 januari 2016. Några särskilda övergångsbestämmelser behövs inte.

Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås ett tidigare ikraftträdande.

Remissinstanserna: De flesta remissinstanser tillstyrker promemorians förslag och bedömning eller har ingen invändning mot dem. Domstolsverket ifrågasätter om promemorians förslag om ikraftträdande är realistiskt. Verket förutser behov av stora systemändringar i domstolarnas datorsystem som tar tid att genomföra och kräver stora resurser. Kammarrätten i Sundsvall anser att de praktiska problem som följer av begränsningen av tillgången till personuppgifter till vad domstolens personal behöver för att fullgöra sina arbetsuppgifter måste beaktas i fråga om tiden för ikraftträdandet.

Skälen för regeringens förslag och bedömning: Den nya lagstiftningen om behandling av personuppgifter i domstolarnas rättskipande och rättsvårdande verksamhet bör träda i kraft den 1 januari 2016. Regeringen gör i avsnitt 17 bedömningen att det inte kommer att krävas några omfattande anpassningar av datorsystemen för att uppfylla domstolsdatalagens krav. De anpassningar som kan behövas av befintliga datorsystem bör kunna genomföras före lagens ikraftträdande.

Det behövs inga särskilda övergångsbestämmelser.

96

Prop. 2014/15:148 ombyggnad av Veras sökfunktioner. Vidare anser verket att det kommer att krävas extra resurser för att kunna införa ett förslag som innebär att varje enskild domstol självständigt ska kunna avgöra om direktåtkomst ska medges en annan domstol eller inte. Ett förslag som bygger på en skyldighet för domstolarna att göra detta vore mindre resurskrävande. Om Domstolsverket anvisar ett system som inte möjliggör direktåtkomst inom lagens ramar kan detta dessutom uppfattas som en indirekt styrning från verkets sida. Domstolsverket pekar dessutom på behovet av utbildning av personalen för att genomföra förslaget och att rutiner, instruktioner och informationsmaterial behöver tas fram vilket kräver resurser.

Skälen för regeringens bedömning

Sveriges Domstolar

Regeringens förslag innebär att det införs en ny lag, domstolsdatalagen, som syftar till att ge domstolarna möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Förslagen innebär en lagstiftning som är teknikneutral och möjliggör härigenom att nya datorsystem i framtiden kan tas i bruk utan att det blir nödvändigt att ändra regelverket. Förslagen medför också flexibilitet i fråga om möjligheterna för domstolarna att söka efter och få direktåtkomst till varandras personuppgifter. Detta främjar domstolarnas effektivitet och bidrar till en enhetlig rättstillämpning.

Många remissinstanser, bl.a. Attunda tingsrätt, Kammarrätten i Jönköping och Domstolsverket, anser att domstolens möjligheter att göra sökningar i handlingar från andra domstolar på begäran av allmänheten kommer att leda till en ökad arbetsbörda för domstolarna. Förslagen innebär emellertid inte någon skyldighet för domstolarna att inrätta sökfunktioner eller direktåtkomst. Frågan om huruvida direktåtkomst bör införas i domstolarna får i stället avgöras utifrån en bedömning av om det finns tillräckliga resurser och tekniska möjligheter för detta. Förslagen kan således inte i sig anses leda till några kostnader.

Genom att domstolarna kan ge bättre och snabbare tillgång till information kan de även ge bättre service till såväl parter som allmänheten. Förslagen innebär vidare att det skapas förutsättningar för domstolarna att effektivisera sin delgivningsverksamhet genom att spara och strukturera information som behövs för att delgivning ska kunna genomföras med personer som av olika skäl är svåra att få kontakt med. Risken för att förhandlingar behöver ställas in kan därmed minska vilket kan ha en kostnadsdämpande effekt på anslaget för Sveriges Domstolar.

Genom förslagen genomförs vidare nödvändiga justeringar av personuppgiftsregleringen för att domstolarna ska kunna övergå till elektronisk arkivering. Detta är på sikt kostnadsbesparande. Förslagen innebär att domstolarnas dokumenthantering i pappersform i allt större utsträckning kommer att kunna ersättas av elektronisk informationshantering. Även detta innebär i sig kostnadsbesparingar. Dessutom leder det till att miljöbelastningen kan minska då pappersutskrifter och transporter kan minskas.

98

Prop. 2014/15:148 Bedömningar och avvägningar som har gjorts avseende förslagens konsekvenser för enskildas personliga integritet har redovisats under skälen för respektive förslag.

Förslagen innebär vidare att det skapas en grund för ett elektroniskt informationsutbyte mellan domstolarna och övriga deltagande myndigheter i RIF-arbetet.

Förslagen ger även ett tydligt rättsligt stöd för allmänheten att få ta del av uppgifter på elektronisk väg.

Några merkostnader för myndigheter med partsställning och andra deltagande myndigheter inom RIF förutses inte.

Förslagen bedöms inte ha några ekonomiska konsekvenser för övriga myndigheter, kommuner och landsting.

Den nya lagstiftningen bedöms inte ha någon påverkan på jämställdheten mellan män och kvinnor eller möjligheterna att nå de integrationspolitiska målen.

18 Författningskommentar

Lagens syfte

1 § Syftet med denna lag är att ge de allmänna domstolarna, de allmänna förvaltningsdomstolarna och hyres- och arrendenämnderna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin rättskipande och rättsvårdande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

I paragrafen anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 6.3.

I paragrafen anges att syftet med lagen är att ge domstolarna och nämnderna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda den personliga integriteten vid sådan behandling. Bestämmelsen har utformats med förebild i 1 kap. 1 § polisdatalagen (2010:361).

Lagens tillämpningsområde

2 § Denna lag gäller vid behandling av personuppgifter i de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas rättskipande och rättsvårdande verksamhet. Lagen gäller också när personuppgifterna vidarebehandlas i den administrativa verksamheten för att lämnas ut efter begäran.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt

Prop. 2014/15:148 straffrättsligt samarbete inom Europeiska unionen. Övervägandena finns i avsnitt 6.7.

I paragrafen anges att om det i den nämnda lagen eller i föreskrifter som har meddelats i anslutning till den lagen finns bestämmelser som avviker från bestämmelser i domstolsdatalagen ska de förstnämnda bestämmelserna tillämpas.

Förhållandet till personuppgiftslagen

4 § Om inte något annat anges i 5 §, gäller denna lag i stället för personuppgiftslagen (1998:204).

I paragrafen regleras förhållandet till personuppgiftslagen (1998:204). Övervägandena finns i avsnitt 6.4.

Bestämmelsen innebär att domstolsdatalagen inom sitt tillämpningsområde helt ersätter personuppgiftslagen, utom i de fall som uttryckligen anges i 5 §. Vid sådan personuppgiftsbehandling som omfattas av lagen ska alltså bestämmelser i personuppgiftslagen tillämpas endast om det finns en hänvisning till dem i 5 §. Polisdatalagen (2010:361) bygger på samma lagtekniska lösning.

5 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § om grundläggande krav på behandling av personuppgifter,

4.22 § om behandling av personnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.38, 40 och 41 §§ om personuppgiftsombud m.m.,

10.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter, och

11.48 § om skadestånd.

Prop. 2014/15:148 utgångspunkt är att en uppgift, trots att den inte återger en korrekt bild av