Myndighetsdatalag

Slutbetänkande av Informationshanteringsutredningen

Stockholm 2015

SOU 2015:39

SOU och Ds kan köpas från Fritzes kundtjänst.

Beställningsadress: Fritzes kundtjänst, 106 47 Stockholm

Ordertelefon: 08-598 191 90

E-post: order.fritzes@nj.se

Webbplats: fritzes.se

För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför.

Statsrådsberedningen, SB PM 2003:2 (reviderad 2009-05-02)

En kort handledning för dem som ska svara på remiss. Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remiss.

Layout: Kommittéservice, Regeringskansliet.

Omslag: Elanders Sverige AB.

Tryck: Elanders Sverige AB, Stockholm 2015.

ISBN 978-91-38-24277-3

ISSN 0375-250X

Till statsrådet och chefen för

Justitiedepartementet

Den 6 oktober 2011 bemyndigade regeringen chefen för Justitie- departementet att tillkalla en särskild utredare med uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Regeringen beslutade samtidigt om direktiv för utredningen (dir. 2011:11).

Till särskild utredare förordnades från och med den 25 oktober 2011 justitierådet Henrik Jermsten.

Utredningen har antagit namnet Informationshanteringsutred- ningen (Ju 2011:11).

I januari 2013 lämnades delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90).

Den 6 mars 2014 beslutade regeringen tilläggsdirektiv med föränd- rad inriktning avseende metoden för översynen m.m. (dir. 2014:31). Nya tilläggsdirektiv om viss förlängning av redovisningstiden be- slutades den 20 november 2014 (dir. 2014:147).

Utredaren har biträtts av en sakkunnig, experter och ett sekretariat. Medverkande i den del av uppdraget som redovisas i detta betänkande anges på omstående sidor.

Härmed överlämnas slutbetänkandet Myndighetsdatalag (SOU 2015:39).

Till betänkandet fogas ett särskilt yttrande av experten Per Furberg.

Uppdraget är härmed slutfört.

Stockholm i april 2015

Henrik Jermsten

/Elisabet Reimers

Anna Tansjö

Förteckning över sakkunnig, experter och sekreterare som deltagit i utredningsarbetet fr.o.m. januari 2013.

(förordnade fr.o.m. den 16 januari 2012 om inget annat anges)

Sakkunnig

Eva Lenberg, rättschef, Utbildningsdepartementet

Experter

Maria Arnell, dåvarande rättssakkunnig, Justitiedepartementet (fr.o.m. 2013-01-12 t.o.m. 2013-07-31)

Malgorzata Drewniak, jurist, Lantmäteriet

Per Furberg, advokat, numera Advokataktiebolaget Per Furberg Anneli Hagdahl, ämnessakkunnig, Näringsdepartementet (t.o.m. 2013-11-04)

Per Hultengård, chefsjurist, Tidningsutgivarna Torbjörn Hörnfeldt, enhetschef, Riksarkivet

Linn Kempe, förvaltningsjurist, Bolagsverket, (med uppehåll fr.o.m. 2013-01-12 t.o.m. 2014-09-30)

Hans-Olof Lindblom, chefsjurist, Datainspektionen Elisabet Reimers, kammarrättsråd, fr.o.m. 2015-02-01

Irene Reuterfors-Mattsson, förbundsjurist, Sveriges Kommuner och Landsting (t.o.m. 2013-12-31)

Svante Nygren, analytiker, Myndigheten för samhällsskydd och beredskap

Cecilia Magnusson Sjöberg, professor, Stockholms universitet Nils Sjöblom, rättssakkunnig, Justitiedepartementet

(fr.o.m. 2013-11-11)

Kjell-Åke Sjödin, områdesexpert, Transportstyrelsen

Per Trehörning, ombudsman, Svenska Journalistförbundet Monika Vestin, dåvarande förvaltningsjurist, Bolagsverket (fr.o.m. 2013-01-12 t.o.m. 2014-09-30)

Mikael Westberg, numera chefsjurist, Pensionsmyndigheten, tidigare verksamhetsområdeschef, Försäkringskassan (fr.o.m. 2013-11-11)

Staffan Wikell, förbundsjurist, Sveriges Kommuner och Landsting (fr.o.m. 2014-01-01)

Maria Östgren, rättslig expert, Skatteverket

Sekreterare

Katarina Dunnington, dåvarande kammarrättsassessor (t.o.m. 2013-06-30)

Elisabet Reimers, kammarrättsråd, (fr.o.m. 2013-10-01 t.o.m. 2015-01-31) Anna Tansjö, rådman

Innehåll

Förkortningar m.m. ............................................................

17

Sammanfattning ................................................................

21

1

Författningsförslag......................................................

37

1.1

Förslag till myndighetsdatalag ................................................

37

1.2Förslag till lag om ändring i offentlighets- och

 

sekretesslagen (2009:400)........................................................

45

2

Vårt uppdrag och arbete..............................................

47

2.1

Uppdraget.................................................................................

47

2.2

Utredningsarbetet....................................................................

49

2.3

Slutbetänkandets disposition m.m..........................................

51

ALLMÄN BAKGRUND

 

3

Allmänna förutsättningar.............................................

55

3.1

It-politik m.m...........................................................................

55

 

3.1.1 Informationssamhället och den offentliga

 

 

 

förvaltningen.................................................................

55

 

3.1.2 Aktuell it-politik och strategi ......................................

56

 

3.1.3

Förvaltningspolitik och e-förvaltning .........................

57

 

3.1.4

E-förvaltning inom EU ................................................

59

3.2

Rättslig reglering till skydd för personuppgifter ...................

60

 

3.2.1 Internationella åtaganden avseende dataskydd ...........

60

 

3.2.2

Nationell reglering........................................................

66

 

 

 

7

Innehåll

SOU 2015:39

3.3

Pågående reformarbete inom EU ...........................................

72

 

3.3.1

Allmänt .........................................................................

72

 

3.3.2

Förslaget till uppgiftsskyddsförordning.....................

73

 

3.3.3

Förhandlingsarbetet .....................................................

80

4

Registerförfattningar – ett komplext rättsområde............

83

4.1

Bakgrund..................................................................................

83

 

4.1.1

Registerförfattningarna och datalagen........................

83

 

4.1.2

Registerförfattningarna och personuppgiftslagen......

91

4.2

Vår inventering av registerförfattningarna.............................

94

 

4.2.1

Allmänt .........................................................................

94

 

4.2.2

Tre kategorier registerförfattningar............................

96

4.3

En problembeskrivning.........................................................

106

 

4.3.1

Tidigare kritik.............................................................

106

 

4.3.2

Några ytterligare iakttagelser ....................................

110

SÄRSKILDA FRÅGOR

 

5

Bör en åtskillnad mellan olika former av elektroniskt

 

 

utlämnande behållas? ...............................................

115

5.1Problembild enligt direktiven och utredningens

delbetänkande ........................................................................

115

5.1.1

Direktiven...................................................................

115

5.1.2

Utredningens bedömning i delbetänkandet .............

115

5.2Nuvarande regler som i allmän mening styr

uppgiftsutbyte mellan myndigheter .....................................

116

5.2.1

Samverkan enligt förvaltningslagen...........................

116

5.2.2

Offentlighets- och sekretesslagen.............................

116

5.2.3

Personuppgiftslagen...................................................

120

5.3 Uppgiftsutbyte genom direktåtkomst .................................

121

5.3.1

Begreppet direktåtkomst ...........................................

121

5.3.2 Hur regleras en myndighets direktåtkomst till en

 

 

annan myndighets informationssamlingar?..............

122

8

SOU 2015:39

Innehåll

5.4Uppgiftsutbyte genom utlämnande på medium för

 

automatiserad behandling......................................................

124

 

5.4.1

Begreppet ....................................................................

124

 

5.4.2 Hur regleras utlämnande på medium för

 

 

 

automatiserad behandling?.........................................

126

5.5

Den tekniska utvecklingen ....................................................

127

 

5.5.1 Tidigare uttalanden om den tekniska

 

 

 

utvecklingens betydelse för begreppens innebörd....

127

 

5.5.2 Uppgiftsutbyte mellan Försäkringskassan och

 

 

 

kommunala nämnder..................................................

129

 

5.5.3

Självbetjäningstjänster ................................................

130

5.6

Effektivitetsvinster och integritetsrisker..............................

131

 

5.6.1

Uppdraget ...................................................................

131

 

5.6.2

Effektivitetsvinster .....................................................

132

 

5.6.3

Integritetsrisker ..........................................................

134

5.7

Våra överväganden .................................................................

135

 

5.7.1 Att enbart beskriva direktåtkomst som en form

 

 

 

av elektroniskt utlämnande ger en otillräcklig bild

 

 

 

av vad åtkomsten rättsligt innebär.............................

136

 

5.7.2 Annat utlämnande i elektronisk form ger inte i

 

 

 

sig upphov till att särskilda åtgärder behöver

 

 

 

vidtas............................................................................

141

 

5.7.3 Vilken betydelse har den tekniska utvecklingen?.....

144

 

5.7.4

Effektivitetsvinster och integritetsrisker ..................

147

 

5.7.5 Principiella och rättsliga skäl samt krav på

 

 

 

förberedande analyser och åtgärder medför behov

 

 

 

av en fortsatt åtskillnad ..............................................

149

6

Behöver 6 kap. 5 § offentlighets- och sekretesslagen

 

 

justeras för att undvika konflikt med internationella

 

 

åtaganden?..............................................................

153

6.1

Bakgrund ................................................................................

153

 

6.1.1

Uppdraget ...................................................................

153

 

6.1.2

Nuvarande bestämmelser ...........................................

154

6.2

Våra överväganden .................................................................

159

 

6.2.1 Behovet av en ny bestämmelse...................................

159

9

Innehåll

SOU 2015:39

 

6.2.2 Hur kan 6 kap. 5 § OSL justeras?..............................

163

 

6.2.3 Vår bedömning ...........................................................

166

EN NY LAG OM MYNDIGHETERS BEHANDLING AV

 

PERSONUPPGIFTER

 

7

En generell reglering – utgångspunkter och inledande

 

 

ställningstaganden....................................................

173

7.1

Allmänna utgångspunkter.....................................................

173

 

7.1.1 Uppdraget...................................................................

173

 

7.1.2 Förutsättningarna för en generell reglering..............

175

 

7.1.3 En generell reglering?.................................................

176

7.2En generell lag för myndigheters behandling av

 

personuppgifter .....................................................................

182

 

7.2.1 En generell reglering bör ha form av lag...................

182

 

7.2.2 Kort om lagens innehåll och den lagtekniska

 

 

 

utformningen..............................................................

183

7.3

Normgivningsnivå för särreglering ......................................

185

 

7.3.1

Bakgrund.....................................................................

185

 

7.3.2

Våra överväganden .....................................................

198

8

Allmänna bestämmelser ............................................

217

8.1

En bestämmelse om lagens syfte ..........................................

217

 

8.1.1

Bakgrund.....................................................................

217

 

8.1.2 Våra överväganden och förslag..................................

220

8.2

Lagens tillämpningsområde ..................................................

222

 

8.2.1 Vilka myndigheter bör omfattas av lagens

 

 

 

tillämpningsområde?..................................................

222

 

8.2.2 Vilka verksamheter bör omfattas av lagens

 

 

 

tillämpningsområde?..................................................

223

 

8.2.3 Lagens förhållande till befintliga

 

 

 

registerförfattningar m.m. .........................................

228

 

8.2.4 Vilka slags behandlingar och uppgifter bör

 

 

 

omfattas av lagens tillämpningsområde? ..................

230

10

SOU 2015:39 Innehåll

8.3

Lagens förhållande till personuppgiftslagen

......................... 231

 

8.3.1

Bakgrund .....................................................................

231

 

8.3.2

Våra överväganden och förslag ..................................

236

9

Tillåten behandling ..................................................

243

9.1Hur bestäms vad som är en statlig eller kommunal

myndighets verksamhet? .......................................................

243

9.2 När får myndigheter behandla personuppgifter?.................

248

9.2.1

Allmänna dataskyddsrättsliga regler..........................

248

9.2.2

Reglering i registerförfattningar ................................

262

9.2.3

Särskilt om ändamålsbestämning...............................

263

9.2.4 Våra överväganden och förslag ..................................

275

9.3Tillåten behandling av särskilda kategorier av

 

personuppgifter......................................................................

297

 

9.3.1

Känsliga personuppgifter ...........................................

297

 

9.3.2 Personuppgifter om lagöverträdelser m.m................

309

 

9.3.3

Personnummer och samordningsnummer................

313

9.4

Sökbegränsningar...................................................................

321

 

9.4.1

Allmänna utgångspunkter..........................................

321

 

9.4.2

Våra överväganden och förslag ..................................

323

10

Personuppgiftsansvar och säkerhet.............................

331

10.1

Personuppgiftsansvar.............................................................

331

 

10.1.1 Allmänna dataskyddsrättsliga regler..........................

331

 

10.1.2 Allmänt om personuppgiftsansvar och om

 

 

 

personuppgiftsbiträden ..............................................

333

 

10.1.3 Reglering i registerförfattningar ................................

345

 

10.1.4 Våra överväganden och förslag ..................................

351

10.2

Säkerhet vid behandling av personuppgifter ........................

365

 

10.2.1 Allmänna dataskyddsrättsliga regler..........................

365

 

10.2.2 Innebörden av kraven på säkerhetsåtgärder m.m.

 

 

 

vid personuppgiftsbehandling....................................

370

 

10.2.3 Reglering i registerförfattningar ................................

373

 

10.2.4 Informationssäkerhet i ett vidare perspektiv ............

375

 

10.2.5 Våra överväganden och förslag ..................................

381

11

Innehåll

SOU 2015:39

11

Att lämna ut personuppgifter i elektronisk form ...........

389

11.1

Reglering av direktåtkomst...................................................

389

 

11.1.1 Definition av begreppet direktåtkomst ....................

389

 

11.1.2 Bör det finnas ett generellt krav på

 

 

författningsstöd för direktåtkomst? .........................

393

 

11.1.3 En ny regel som generellt bryter sekretess vid

 

 

direktåtkomst för myndigheter.................................

403

 

11.1.4 Hur bestämmelser om direktåtkomst med

 

 

sekretessbrytande effekt bör utformas .....................

411

 

11.1.5 Finns det anledning att begränsa en myndighets

 

 

möjlighet att medge direktåtkomst till offentliga

 

 

uppgifter?....................................................................

421

11.2 Behövs särskilda regler för annat elektroniskt

 

 

utlämnande än direktåtkomst? .............................................

429

 

11.2.1 Nuvarande bestämmelser om elektroniskt

 

 

utlämnande m.m.........................................................

429

 

11.2.2 Terminologin rörande annat elektroniskt

 

 

utlämnande .................................................................

441

 

11.2.3 Bör utlämnande i elektronisk form kräva stöd i

 

 

lag eller förordning?...................................................

444

 

11.2.4 Behövs en särskild bestämmelse som begränsar

 

 

utlämnanden i elektronisk form? ..............................

446

11.3Bör sökbegränsningar som tar sikte på en utlämnande myndighet även gälla för en mottagande myndighet som

 

har direktåtkomst? ................................................................

456

 

11.3.1 Bakgrund.....................................................................

456

 

11.3.2 Vad bör gälla i fortsättningen? ..................................

461

12

Överföring till tredjeland............................................

469

12.1

Allmänna dataskyddsrättsliga regler.....................................

469

12.2

Vad avses med begreppet överföring?..................................

478

12.3

Reglering i registerförfattningar...........................................

482

12.4

Sekretess och överföring till tredjeland m.m.......................

483

12.5

Våra överväganden och förslag .............................................

486

12

SOU 2015:39

Innehåll

13 Information till den registrerade.................................

493

13.1

Allmänna dataskyddsrättsliga regler.....................................

493

13.2

Reglering i registerförfattningar ...........................................

508

13.3

Andra bestämmelser om rätt till information på begäran ...

511

13.4

Våra överväganden och förslag..............................................

513

 

13.4.1 Information som ska lämnas självmant.....................

513

 

13.4.2 Information som ska lämnas efter ansökan ..............

517

 

13.4.3 Begränsningar i informationsplikten på grund av

 

 

sekretess ......................................................................

520

14

Bevarande och gallring .............................................

523

14.1

Arkivlagstiftningen ................................................................

523

14.2

Allmänna dataskyddsrättsliga regler.....................................

527

14.3

Reglering i registerförfattningar ...........................................

532

14.4

Våra överväganden och förslag..............................................

542

 

14.4.1 Allmänna utgångspunkter..........................................

542

 

14.4.2 Vilken huvudprincip bör gälla?..................................

542

 

14.4.3 Regler om undantag från huvudregeln om

 

 

bevarande.....................................................................

544

 

14.4.4 Utformningen av specifika gallringsbestämmelser...

546

 

14.4.5 Åtgärder för att skydda bevarade personuppgifter...

547

 

14.4.6 Personuppgifter som ingår i handlingar som inte

 

 

är allmänna ..................................................................

549

15 Skyldighet att vidta åtgärder då personuppgifter är

 

 

oriktiga eller behandlas otillåtet.................................

551

15.1

Allmänna dataskyddsrättsliga regler.....................................

551

15.2

Reglering i registerförfattningar ...........................................

556

15.3

Förvaltningslagens bestämmelser om rättelse m.m. ............

559

13

Innehåll

SOU 2015:39

15.4

Våra överväganden och förslag .............................................

564

 

15.4.1 Det behövs bestämmelser om rättelse m.m. av

 

 

personuppgifter som kompletterar reglerna i

 

 

förvaltningslagen ........................................................

564

 

15.4.2 En åtskillnad bör göras mellan korrigering i form

 

 

av rättelse av felaktiga personuppgifter och

 

 

korrigering när uppgifter har behandlats på ett

 

 

otillåtet sätt.................................................................

566

 

15.4.3 En särskild bestämmelse om skyldighet att rätta

 

 

felaktiga eller ofullständiga personuppgifter ............

568

 

15.4.4 En särskild bestämmelse om skyldighet att

 

 

korrigera en behandling som är otillåten ..................

572

16

Anmälan till tillsynsmyndigheten m.m. .......................

581

16.1

Allmänna dataskyddsrättsliga regler.....................................

581

16.2

Reglering i registerförfattningar...........................................

595

16.3

Andra bestämmelser om information till allmänheten

 

 

m.m.........................................................................................

597

16.4

Våra överväganden och förslag .............................................

600

 

16.4.1 Anmälningsskyldighet m.m.......................................

600

 

16.4.2 Personuppgiftsombud................................................

604

 

16.4.3 Upplysningar till allmänheten ...................................

606

17

Tillsynsmyndighetens befogenheter i förhållande till

 

 

myndigheter.............................................................

607

17.1

Allmänna dataskyddsrättsliga regler.....................................

607

17.2

Reglering i registerförfattningar...........................................

615

17.3

Våra överväganden och förslag .............................................

618

 

17.3.1 Utgångspunkter för tillsynen på

 

 

myndighetsområdet ...................................................

618

 

17.3.2 Befogenheter för att undersöka om

 

 

personuppgifter behandlas på ett tillåtet sätt ...........

622

 

17.3.3 Påpekanden eller andra åtgärder som inte är

 

 

tvingande i förebyggande syfte..................................

622

14

SOU 2015:39

Innehåll

 

17.3.4 Tvingande åtgärder i form av föreläggande eller

 

 

förbud..........................................................................

624

 

17.3.5 Befogenhet att besluta om vite ..................................

628

 

17.3.6 Befogenhet att ansöka hos allmän

 

 

förvaltningsdomstol om utplåning av uppgifter .......

633

18

Övriga bestämmelser ................................................

635

18.1

Skadestånd och straff.............................................................

635

 

18.1.1 Allmänna dataskyddsrättsliga regler..........................

635

 

18.1.2 Reglering i registerförfattningar ................................

639

 

18.1.3 Allmänna regler om skadestånd och straff på

 

 

myndighetsområdet....................................................

641

 

18.1.4 Justitiekanslerns skadereglering på grund av 48 §

 

 

personuppgiftslagen....................................................

643

 

18.1.5 Våra överväganden och förslag ..................................

649

18.2

Bemyndiganden......................................................................

652

 

18.2.1 Bestämmelser som avviker från eller kompletterar

 

 

den nya lagen...............................................................

652

 

18.2.2 Våra överväganden och förslag ..................................

653

18.3

Överklaganden .......................................................................

655

 

18.3.1 Allmänna dataskyddsrättsliga regler..........................

655

 

18.3.2 Allmänna bestämmelser om överklagande av

 

 

myndighetsbeslut........................................................

659

 

18.3.3 Våra överväganden och förslag ..................................

659

19

Konsekvenser...........................................................

665

19.1

Det framtida lagstiftningsarbetet med utgångspunkt i en

 

 

ny lag om myndigheters behandling av personuppgifter ....

665

 

19.1.1 Allmänna konsekvenser..............................................

665

 

19.1.2 Vissa särskilda konsekvenser......................................

668

19.2

Den nya lagen och ett införande av en unionsrättslig

 

 

uppgiftsskyddsförordning.....................................................

672

 

19.2.1 Allmänna iakttagelser .................................................

672

 

19.2.2 Särskilda iakttagelser...................................................

673

 

19.2.3 Konsekvenser för myndighetsverksamhet som

 

 

inte omfattas av förordningen....................................

676

15

Innehåll

SOU 2015:39

19.3

Enligt kommittéförordning och direktiv.............................

677

20

Ikraftträdande och övergångsbestämmelser .................

681

20.1

Myndighetsdatalagen.............................................................

681

20.2

Lagen om ändring i offentlighets- och sekretesslagen ........

684

21

Författningskommentar .............................................

687

21.1

Förslaget till myndighetsdatalag...........................................

687

21.2

Förslaget till lag om ändring i offentlighets- och

 

 

sekretesslagen (2009:400) .....................................................

723

Särskilt yttrande...............................................................

725

Bilagor

 

 

Bilaga 1

Kommittédirektiv 2011:86.........................................

727

Bilaga 2

Kommittédirektiv 2014:31.........................................

751

Bilaga 3

Kommittédirektiv 2014:147.......................................

757

16

Förkortningar m.m.

Förkortningar

BrB

brottsbalken

 

dataskyddsdirektivet

Europaparlamentets och rådets

 

direktiv 95/46/EG av den 24 ok-

 

tober 1995 om skydd för en-

 

skilda personer med avseende på

 

behandling

av

personuppgifter

 

och om det fria flödet av sådana

 

uppgifter

 

 

DIFS

Datainspektionens författnings-

 

samling

 

 

dir.

direktiv

 

 

dnr

diarienummer

 

Ds

Departementsserien

EU

Europeiska unionen

EU-domstolen

Europeiska unionens

 

domstol/Europeiska

 

gemenskapernas domstol

EU-fördraget

Fördraget om Europeiska

 

unionen

 

 

Europadomstolen

Europeiska domstolen för de

 

mänskliga rättigheterna

Europakonventionen

Europeiska konventionen den

 

4 november 1950 angående

 

skydd för de mänskliga rättig-

 

heterna och

de

grundläggande

 

friheterna

 

 

f.

följande sida/sidor

FL

förvaltningslagen (1986:223)

 

 

 

17

Förkortningar m.m.

SOU 2015:39

FPL

förvaltningsprocesslagen

 

(1971:291)

HFD

Högsta förvaltningsdomstolens

 

årsbok

JK

Justitiekanslern

Ju

Justitiedepartementet

JO

Riksdagens ombudsmän

KL

kommunallagen (1991:900)

kommissionen

Europeiska kommissionen

KU

konstitutionsutskottet

MSBFS

Myndigheten för samhällsskydd

 

och beredskaps författningssam-

 

ling

NJA

Nytt juridiskt arkiv, avdelning I

OSL

offentlighets- och sekretesslagen

 

(2009:400)

prop.

regeringens proposition

PuF

personuppgiftsförordningen

 

(1998:1191)

PuL

personuppgiftslagen (1998:204)

RA-FS

Riksarkivets

 

författningssamling

RB

rättegångsbalken

RF

regeringsformen

RO

riksdagsordningen

Regeringsrättens årsbok

SekrL

sekretesslagen (1980:100)

SFB

socialförsäkringsbalken

SkL

skadeståndslagen (1972:207)

skr.

regeringens skrivelse

SOU

Statens offentliga utredningar

TU

trafikutskottet

TF

tryckfrihetsförordningen

18

SOU 2015:39 Förkortningar m.m.

uppgiftsskyddsförordningen

Europeiska

kommissionens för-

 

slag den 25 januari 2012 till

 

Europaparlamentets

och rådets

 

förordning om skydd för en-

 

skilda personer med avseende på

 

behandling

av personuppgifter

 

och om det fria flödet av sådana

 

uppgifter

(allmän

uppgifts-

 

skyddsförordning)

 

Kortformer för viss citerad litteratur

Hellners/Malmqvist

Trygve Hellners, Bo Malmqvist,

 

Förvaltningslagen.

Med

kom-

 

mentarer, 31 maj 2010, Zeteo

Holmberg m.fl.

Erik Holmberg, Nils Stjernquist,

 

Magnus

Isberg,

Marianne

 

Eliason, Göran Regner, Grund-

 

lagarna. 1 januari 2012, Zeteo

Lenberg m.fl.

Eva Lenberg,

Ulrika

Geijer,

 

Anna Tansjö, Offentlighets- och

 

sekretesslagen.

En

kommentar,

 

2009, 1 juli 2014, Zeteo

 

Öman/Lindblom

Sören

Öman,

Hans-Olof

 

Lindblom, Personuppgiftslagen.

 

En kommentar, uppl. 4:1, 2011

19

Sammanfattning

Vårt uppdrag

I detta slutbetänkande redovisar vi vårt övergripande uppdrag att se över den s.k. registerlagstiftningen, ett rättsområde som omfattar ett stort antal sektors- eller myndighetsspecifika lagar och förord- ningar som kompletterar personuppgiftslagen (1998:204) och inne- håller bestämmelser om statliga och kommunala myndigheters be- handling av personuppgifter. Denna översyn ska ske genom att utreda förutsättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas behandling av personuppgifter (dir. 2014:31). Den brottsbekämp- ande verksamheten ingår dock inte i vårt uppdrag.

Det kan inledningsvis påpekas att vårt uppdrag i huvudsak är ett lagtekniskt reformarbete med inriktning på att göra nu gällande rätt beträffande dataskydd tydligare på myndighetsområdet. Några betydande förändringar vad gäller om och hur myndigheter får be- handla personuppgifter eller omprövningar av tidigare avvägningar mellan t.ex. effektivitetssträvanden och skyddet för enskildas per- sonliga integritet ingår alltså inte i uppdraget.

Problembild

Vårt uppdrag har sin bakgrund i att det i olika sammanhang fram- förts kritik mot registerlagstiftningen för att vara ett svåröverblick- bart och fragmenterat rättsområde med bristande enhetlighet i struktur och normtekniska lösningar samt med, i en del fall, otill- räcklig anpassning till annan lagstiftning av central betydelse för myndigheternas informationshantering såsom tryckfrihetsförord- ningens bestämmelser om allmänna handlingar och offentlighets- och sekretesslagen (2009:400). Vi delar i stort denna problembild

21

Sammanfattning

SOU 2015:39

och har kunnat konstatera att problemen skapar osäkerhet i tillämp- ningen, vilket bl.a. gör uppgiftsutbyte och annat samarbete mellan myndigheter onödigt komplicerat. Det försvårar också för enskilda registrerade och allmänheten att förstå vad som egentligen gäller för myndigheters informationshantering. Vidare är det ett problem i sig att registerlagar ofta behöver ändras till följd av att myndig- heterna får nya uppgifter.

Ett ytterligare problem som vi identifierat är att den allmänna regleringen i personuppgiftslagen har utformats utan hänsyn till de särskilda förhållanden som gäller för myndigheters personuppgifts- behandling. För myndigheter i allmänhet, dvs. inte bara för sådana som omfattas av särskild registerlagstiftning, präglas personupp- giftsbehandlingen av att den sker i verksamheter som är författ- ningsreglerade, oftast i fråga om såväl vad som ska göras som hur det ska göras. Den informationshantering som verksamheten gene- rerar styrs vidare av, utöver tidigare nämnda regelverk, annan cen- tral reglering, exempelvis förvaltningslagen (1986:223) och arkiv- lagen (1990:782) som alltså gäller utöver personuppgiftslagen. Detta förhållande innebär generellt sett en avgörande skillnad i jämförelse med personuppgiftsbehandling inom den enskilda sektorn.

Inledande ställningstaganden och utgångspunkter för en generell reglering

Mot bakgrund av bl.a. den beskrivna problembilden finns ett ange- läget behov av förändringar i den reglering som rör personuppgifts- behandling inom den offentliga sektorn. En samlad reglering i en lag om myndigheters behandling av personuppgifter gör det möj- ligt att åstadkomma ett tydligt regelverk som är lättare att tillämpa och bättre anpassat till övrig reglering av betydelse för myndig- heters informationshantering. En sammanhållen lag ger också bättre förutsättningar för allmänhetens insyn och för enskilda registrerades möjligheter att göra gällande sina rättigheter enligt det dataskydds- rättsliga regelverket. Till bilden hör vidare att en samlad reglering är mer ändamålsenlig för att möta den förändring som förväntas ske på det unionsrättsliga området genom en EU-förordning om allmänt uppgiftsskydd som ska ersätta det s.k. dataskyddsdirektivet.

22

SOU 2015:39

Sammanfattning

Vi föreslår därför en ny lag – myndighetsdatalagen – som företer likheter med förekommande registerförfattningar men som inne- håller bestämmelser som kan gälla generellt för alla statliga och kommunala myndigheters personuppgiftsbehandling frånsett den brottsbekämpande sektorn.

Vårt förslag till ny lag har arbetats fram utifrån bl.a. följande utgångspunkter.

Regleringen bör utformas som en renodlad persondataskydds- reglering som bara tar sikte på frågor om skydd för personupp- gifter som uppstår i myndigheternas elektroniska informationshante- ring, vilken är en integrerad del av myndigheternas verksamheter på alla nivåer. Bestämmelserna i den nya lagen ska alltså inte i något avseende syfta till att reglera en myndighets sakverksamhet.

Till den nya lagen ska det kunna finnas bilagor och en anslut- ande förordning. Efter hand som behov av sektors- eller myndig- hetsspecifika särregler uppstår kan sådana tas in i en systematiskt ordnad reglering som kompletterar den nya lagen. På så sätt uppnås ett sammanhållet ramverk med enhetligt utformad reglering både vad avser förhållanden som kan regleras generellt och förhållanden där fortsatta särregler – utifrån närmare avvägningar mellan integri- tetsintressen och t.ex. effektivitetshänsyn på området i fråga – behöver finnas. Det är dock vår bedömning att behovet av fortsatt särreglering kommer att minska betydligt.

Det är vår uppfattning att den särreglering av persondataskydds- frågor som även fortsättningsvis behöver finnas oftast ska kunna ges i förordning, vilket förenklar regelgivningen och underlättar nödvändiga förändringar vid ändringar i myndigheternas uppgifter m.m. Normgivningsreglerna i regeringsformen kräver normalt inte lagform för reglering av detta slag. Det sagda utesluter givetvis inte att lagnivå ibland krävs eller i vart fall framstår som lämplig av hän- syn till skyddet för enskildas integritet.

Den nya lagen utesluter inte att det även fortsättningsvis för vissa myndigheter eller verksamheter kan komma att bedömas vara mera lämpligt från lagtekniska, systematiska eller andra synpunkter med särreglering i separat författning som gäller utöver den nya lagen, på motsvarande sätt som många registerlagar i dag förhåller sig till personuppgiftslagen.

Renodlade registerförfattningar om inrättandet och förandet av specifika register utgör ett slags verksamhetsreglering som även i

23

Sammanfattning

SOU 2015:39

fortsättningen bör regleras i särskild ordning, dvs. utanför den sam- lade regleringen.

Eftersom en kommande EU-förordnings närmare innehåll av betydelse på myndighetsområdet – liksom ikraftträdandetidpunkten

– fortfarande är i hög grad oklart bör den nya lagen vara anpassad till gällande rätt på persondataskyddsområdet, dvs. till personuppgifts- lagen.

Om myndighetsdatalagens innehåll

Lagens syfte och tillämpningsområde

Lagens syfte ska vara att dels ge myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i deras verksamheter, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagen ska i princip tillämpas av alla statliga och kommunala myn- digheter vid behandling av personuppgifter som är helt eller delvis automatiserad eller avser manuell registerföring.

Vissa verksamheter undantas dock från lagens tillämpnings- område nämligen 1) en myndighets administrativa verksamhet, 2) en myndighets verksamhet som personuppgiftsbiträde och 3) sådan verksamhet som bedrivs av behöriga myndigheter i syfte att före- bygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.

Förhållandet till avvikande bestämmelser i annan lag eller förordning och till personuppgiftslagen

Lagen ska – med undantag för personuppgiftslagen och bestäm- melser som meddelats med stöd av den lagen – vara subsidiär i förhållande till bestämmelser i annan lag eller förordning som av- viker från lagens bestämmelser. Lagen har vidare konstruerats på det sättet att den gäller i stället för personuppgiftslagen, dock att det särskilt hänvisas till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behand- ling av personuppgifter enligt den nya lagen. Enligt dessa hänvis- ningar ska alltså personuppgiftslagens bestämmelser om defini-

24

SOU 2015:39

Sammanfattning

tioner (3 §), förhållandet till handlingsoffentligheten och arkivlag- stiftningen (8 §) och grundläggande krav på behandlingen (9 §) gälla. Dessutom hänvisas till personuppgiftslagens förbud mot behandling av sådana personuppgifter som definieras som känsliga (13 §) samt till undantagen från förbudet vid behandling med den registrerades uttryckliga samtycke (15 §), i vissa fall av nödvändig behandling (16 §), för hälso- och sjukvårdsändamål (18 §) samt för forsknings- eller statistikändamål (19 §). Vidare ska, i huvudsak, personuppgiftslagens bestämmelser om information som ska lämnas till den registrerade – dels i samband med att uppgifter samlas in, dels på begäran – tillämpas (23, 25 och 26 §) liksom bestämmelserna om överföring till tredjeland (33–35 §§) och om personuppgifts- ombud (38 och 40 §§). Slutligen ska personuppgiftslagens bestäm- melser om skadestånd (48 §) tillämpas på motsvarande sätt, dvs. en personuppgiftsanvarig myndighets skyldighet att följa bestämmel- serna i såväl den nya lagen som bestämmelser i personuppgiftslagen som den nya lagen hänvisar till ska vara skadeståndssanktionerad.

Den s.k. missbruksregeln i 5 a § PuL föreslås inte vara tillämplig på myndighetsområdet och något liknande generellt undantag från personuppgiftslagens s.k. hanteringsregler införs inte i den nya lagen. Vår analys av den frågan har resulterat i bedömningen att ett sådant generellt undantag från hanteringsreglerna såvitt avser be- handling av personuppgifter i s.k. ostrukturerat material varken behövs på myndighetsområdet eller framstår som en rättsligt be- fogad begränsning i förhållande till dataskyddsdirektivets krav. Endast i ett avseende innehåller den nya lagen ett motsvarande undantag, nämligen i fråga om information till den registrerade som ska lämnas efter ansökan (26 § PuL). Sådan information be- höver inte omfatta personuppgifter som behandlas i ostrukturerat material.

Personuppgiftsansvar och personuppgiftsbiträden

I den nya lagen införs en generell regel som innebär att en myn- dighet alltid är personuppgiftsansvarig för den behandling som myn- digheten utför. Vidare klargörs att personuppgiftsansvaret även omfattar sådan behandling som en mottagande myndighet utför när denna via direktåtkomst hos en annan myndighet eller enskild i

25

Sammanfattning

SOU 2015:39

ett enskilt fall genom en överföring faktiskt behandlar en tillgänglig personuppgift.

Det som föreskrivs i personuppgiftslagen om att ett person- uppgiftsbiträde eller den som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med den personuppgifts- ansvariges instruktioner ska gälla genom att motsvarande bestäm- melser tas in i den nya lagen. Detsamma gäller kravet på att det ska finnas ett skriftligt avtal med personuppgiftsbiträdet liksom kraven på vad avtalet ska innehålla. Utöver detta införs ett krav på att av- talet ska innehålla dokumentation om den personuppgiftsansvariga myndighetens instruktioner till biträdet samt ett förbud mot att biträdet anlitar ett annat biträde, ett s.k. underbiträde, utan god- kännande från den personuppgiftsansvariga myndigheten. Samma villkor om avtal och instruktioner ska gälla för ett sådant under- biträde.

När behandling kan tillåtas

I lagen införs en samlad rättslig grund för behandling av person- uppgifter som ersätter bestämmelserna i 10 § a–f PuL om när be- handling av personuppgifter är tillåten oberoende av den registre- rades samtycke. Bestämmelsen innebär att en myndighet får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sin verksamhet. Vilken verksamhet en myndighet har som uppgift eller fått befogenhet att utföra framgår av författnings- reglering eller särskilda beslut i regleringsbrev m.m.

Någon begränsning av för vilka ändamål som myndigheter får behandla personuppgifter föreslås inte i den nya lagen. Därmed blir huvudregeln att det är den personuppgiftsansvariga myndigheten som, inom ramen för sitt uppdrag, har att närmare specificera för vilket eller vilka ändamål personuppgifter behandlas i verksam- heten. Dessa ändamål måste uppfylla det grundläggande kravet på att vara särskilda och uttryckligt angivna redan vid insamlingen. Även framöver kan det dock på vissa områden, t.ex. i fråga om vissa särskilt integritetskänsliga informationssamlingar, finnas anledning att genom särskilda föreskrifter i lag eller förordning om ändamåls- begränsningar ange ramar för myndigheters personuppgiftsbehand- ling. Sådana föreskrifter kan tas in i den till lagen anslutande

26

SOU 2015:39

Sammanfattning

förordningen alternativt, för det fall lagnivå undantagsvis anses nöd- vändig eller lämplig, i bilaga till lagen.

Särskilda kategorier av personuppgifter

Ytterligare undantag från förbudet att behandla känsliga personuppgifter

Utöver vad som följer av 15, 16, 18 och 19 §§ PuL tillåts myn- digheter att behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det. I annan verksamhet får känsliga personuppgifter behandlas endast i löpande text. Regeringen eller den myndighet som regeringen be- stämmer bemyndigas att medge ytterligare undantag, om det be- hövs med hänsyn till ett viktigt allmänt intresse.

Personnummer i beslut m.m.

Enligt en särskild bestämmelse i lagen får personnummer och sam- ordningsnummer tas in i en myndighets beslut endast om beslutet rör en enskilds identitet eller motsvarande personliga förhållanden. Sådana uppgifter får också tas in i ett beslut om det är nödvändigt för att beslutet ska kunna verkställas eller om det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter. Vid övrig behandling, dvs. som inte avser beslut, sätter de grundläggande kraven enligt 9 § PuL gränserna för i vilken omfattning personnummer eller samordningsnummer får behandlas.

Sökförbud

Enligt en bestämmelse i lagen ska gälla att myndigheter vid en sök- ning får som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertyg- else eller medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv endast i den utsträckning som det finns särskilt för- fattningsstöd för det. Sådant stöd kan anges genom föreskrifter som tas in i bilaga till lagen, i annan lag eller i förordning. Därmed gäller alltså som huvudregel ett generellt förbud för myndigheter

27

Sammanfattning

SOU 2015:39

att som sökbegrepp använda uppgifter som leder till att känsliga personuppgifter sammanställs. Förbudet gäller såväl sökningar i myndighetens egna informationssamlingar som i fråga om person- uppgifter som myndigheten har tillgång till genom direktåtkomst och har betydelse för vilka sammanställningar, s.k. potentiella hand- lingar, som enligt 2 kap. 3 § andra stycket TF anses vara förvarade allmänna handlingar hos myndigheten. I bestämmelsen klargörs dock att förbudet inte gäller vid sökning i en viss handling eller i ett visst ärende. Regeringen bemyndigas att meddela föreskrifter om sökbegränsningar i fråga om andra uppgiftskategorier än de som förbjuds i lagen.

Säkerhet till skydd för personuppgifter

Skyldigheterna i fråga om säkerhetsåtgärder och lämplig säkerhets- nivå framgår genom en bestämmelse i lagen som ersätter 31 § första stycket PuL. Enligt bestämmelsen är myndigheter skyldiga att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en lämplig säkerhetsnivå som ska bestämmas utifrån de risker som behandlingen medför och personuppgifternas karaktär. Vidare anges att säkerhetsarbetet ska omfatta förebyggande, löpande och upp- följande åtgärder samt att säkerhetsarbetet ska ske med beaktande av andra föreskrifter om informationssäkerhet i lag eller annan för- fattning. Härmed klargörs den nära kopplingen mellan den person- dataskyddsrättsliga regleringen av säkerheten för personuppgifter och det vidare regelverk om informationssäkerhet som myndig- heterna också är skyldiga att följa.

Vidare föreskrivs en skyldighet för varje myndighet att se till att anställda bara ges tillgång till personuppgifter utifrån vad som krävs för arbetsuppgifterna. Detta ska gälla i fråga om såväl personupp- gifter i myndighetens egna informationssamlingar som personupp- gifter som myndigheten får tillgång till genom direktåtkomst.

28

SOU 2015:39

Sammanfattning

Elektroniskt utlämnande

Åtskillnaden mellan direktåtkomst och annat utlämnande i elektronisk form

En särskild delfråga i utredningsuppdraget har varit att överväga om det finns anledning att behålla en rättslig åtskillnad mellan olika former av elektroniskt utlämnande av personuppgifter eller om denna åtskillnad bör utmönstras. Vad detta handlar om är den i registerförfattningar vanliga åtskillnaden mellan regler som gäller för direktåtkomst och utlämnande på medium för automatiserad be- handling – eller som vi kallar det – annat utlämnande i elektronisk form. Som regel föreskrivs betydligt snävare förutsättningar för utlämnande genom direktåtkomst.

Vi har ingående analyserat denna fråga och kommit till slut- satsen att en begreppsmässig skillnad mellan å ena sidan direkt- åtkomst och å andra sidan annat utlämnande i elektronisk form bör behållas. Direktåtkomst innebär rättsligt sett att gränsen mellan de uppgiftsutbytande myndigheterna i viss omfattning tas bort, vilket inte är konsekvensen av ett annat elektroniskt utlämnande. Hur den mottagande myndigheten väljer att använda direktåtkomsten har den utlämnande myndigheten inte någon befogenhet att på- verka, eftersom de handlingar som omfattas av åtkomsten redan har lämnats ut. Korresponderande sekretessfrågor måste därför vara lösta på förhand liksom behov av sökbegränsningar hos den mot- tagande myndigheten, vilket kan medföra krav på lagstiftnings- åtgärder. Både principiella och rättsliga skäl talar därför för att en åtskillnad görs. Direktåtkomst medför också krav på förberedande analyser och åtgärder ur verksamhets- och personuppgiftsansvars- perspektiv, bl.a. i fråga om tekniskt genomförande och säkerhet. Varken den tekniska utvecklingen eller effektivitetsvinster och integritetsrisker som kan förknippas med olika åtkomstmetoder utgör vidare skäl för att utmönstra den begreppsmässiga åtskill- naden. Om en åtskillnad inte görs mellan direktåtkomst och annat elektroniskt utlämnande finns en risk för att de särskilda frågor om skydd och ansvarsfördelning, som sammanhänger med att myndig- heternas gränser öppnas upp genom en direktåtkomst, inte får till- räcklig uppmärksamhet. En väl genomtänkt och genomförd direkt- åtkomst behöver emellertid inte innebära större risker för den

29

Sammanfattning

SOU 2015:39

enskildes integritet än annat elektroniskt utlämnande av personupp- gifter.

Ett sådant utlämnande i elektronisk form som inte är direkt- åtkomst innebär – oavsett på vilket sätt det sker – inte i något fall att myndigheternas verksamhet rättsligt sett blandas samman. Något behov av att rättsligt skilja olika sådana former åt finns därför inte. Skilda sätt att elektroniskt förmedla uppgifter från en myndighet till en annan kan dock innebära att olika slags säkerhetsrisker be- höver beaktas.

I konsekvens med vår bedömning i dessa frågor innehåller den nya lagen olika reglering för direktåtkomst respektive annat utläm- nande i elektronisk form.

Direktåtkomst

Med begreppet direktåtkomst avses, liksom hittills, en sådan tek- nisk tillgång till upptagningar hos annan som avses i 2 kap. 3 § andra stycket TF. Enligt den nya lagen gäller inte något allmänt krav på författningsstöd för att direktåtkomst ska kunna före- komma. Däremot föreskriver den nya lagen att direktåtkomst till sekretessreglerade personuppgifter ska ha stöd i lag eller förord- ning. Undantag från kravet på författningsstöd såvitt gäller sekre- tessreglerade personuppgifter gäller dock för direktåtkomst 1) som medges den registrerade eller dennes ombud och som tar sikte på uppgifter som hänför sig till den registrerade, 2) som medges till uppgifter som är sekretessreglerade enligt 21 kap. 7 § OSL, 3) som medges ett personuppgiftsbiträde och 4) som medges en myndig- het endast för sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § TF för den utlämnande myndighetens räkning.

Överenskommelser vid direktåtkomst m.m.

I linje med vår bedömning angående varför direktåtkomst kräver särskilda överväganden och åtgärder föreskrivs i den nya lagen att en utlämnande myndighet ska göra en risk- och sårbarhetsanalys innan myndigheten medger en annan myndighet eller enskild aktör direktåtkomst till personuppgifter. Vidare ska myndigheten komma överens med mottagaren hur behövligt skydd för personuppgift-

30

SOU 2015:39

Sammanfattning

erna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personansvaret innefattar ska ske. Motsvarande ska gälla vid andra former av informations- utbyten som innebär behandling av personuppgifter i gemensamma eller annars integrerade informationssystem. Överenskommelsen i fråga om personuppgiftsansvarets utövande ska inte vara bindande utåt sett utan i första hand syfta till att klargöra ansvarsförhållan- dena mellan samarbetsparterna. Kravet på risk- och sårbarhets- analyser och överenskommelser omfattar direktåtkomst m.m. i fråga om både offentliga och sekretessreglerade personuppgifter.

Sökbegränsning vid direktåtkomst

En särskild delfråga i uppdraget har varit att ta ställning till om sökförbud för en utlämnande myndighet bör gälla vid direkt- åtkomst för en mottagande myndighet. Vi har dock bedömt att det inte är ändamålsenligt att motverka eventuella risker för enskildas integritet i samband med direktåtkomst genom att föreskriva att samma sökbegränsningar alltid ska gälla för såväl den utlämnande myndigheten som den mottagande myndigheten. Det kan leda till att enskildas integritet inte skyddas i tillräcklig utsträckning, men också att en mottagande myndighets berättigade behov av att an- vända sig av de uppgifter som blir åtkomliga genom direktåtkomst inte kan tillgodoses. Enskildas integritet bör i stället skyddas genom att en direktåtkomst inte medges förrän noggranna överväganden har gjorts beträffande den mottagande myndighetens användning av direktåtkomsten, bl.a. beträffande vilka sökbegränsningar som den ska iaktta.

Annat utlämnande i elektronisk form

Enligt vår bedömning saknas det skäl för att införa ett grund- läggande krav på att utlämnanden av personuppgifter i elektronisk form ska ha stöd i författning för att vara tillåtet. Vi har inte heller funnit skäl att generellt begränsa myndigheters möjlighet att lämna ut personuppgifter till andra myndigheter eller enskilda i elektronisk form. När det gäller utlämnanden till enskilda innehåller emellertid den nya lagen en bestämmelse som erinrar om att om en person-

31

Sammanfattning

SOU 2015:39

uppgift får lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personupp- giften. Därmed erinras myndigheterna om att det ankommer på dem att först göra en prövning av om ett utlämnande, oavsett form, av personuppgifter är tillåtet. Om så är fallet, är utgångspunkten att det kan ske i elektronisk form.

Överföring till tredjeland

Den nya lagen innehåller två undantag från förbudet mot över- föring av personuppgifter till tredjeland som saknar adekvat skydds- nivå – utöver de som följer av 34 och 35 §§ PuL – nämligen om överföringen krävs för myndighetens handläggning av ett visst ärende eller om överföringen är nödvändig för att fullgöra en uppgifts- skyldighet som följer av lag eller förordning eller avtal med annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.

Förteckning över behandlingar

Myndigheters behandling av personuppgifter enligt den nya lagen ska inte omfattas av anmälningsskyldighet till tillsynsmyndigheten. Varje myndighet ska i stället föra en förteckning över de behand- lingar som utförs med stöd av lagen. Förteckningen avses innehålla motsvarande uppgifter som en anmälan till tillsynsmyndigheten enligt 36 § PuL skulle ha innehållit. Närmare föreskrifter om för- teckningens innehåll meddelas av regeringen eller myndighet som regeringen bestämmer.

Korrigering av felaktig eller otillåten behandling

Personuppgiftslagens bestämmelser om rättelse m.m. (28 §) är ett exempel på bestämmelser som utformats utan hänsyn till de sär- skilda förhållanden som gäller för myndigeters informations- hantering. I den nya lagen finns därför en mer ändamålsenligt ut- formad reglering rörande korrigering genom dels en bestämmelse som tar sikte på en myndighets skyldighet att rätta felaktiga eller

32

SOU 2015:39

Sammanfattning

ofullständiga uppgifter, dels en bestämmelse som tar sikte på skyldig- heten att korrigera en behandling som av andra skäl inte är tillåten enligt lagen.

Den förstnämnda bestämmelsen föreskriver en skyldighet för en myndighet att på begäran av den registrerade rätta eller komplet- tera en personuppgift som rör den registrerade, om uppgiften är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någons annans bedömning, exempelvis ett förbiseendefel eller ett tekniskt fel.

Den andra bestämmelsen föreskriver att en personuppgift på be- gäran av den registrerade ska avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. TF eller utplånas, om uppgiften rör honom eller henne och inte får behand- las enligt den nya lagen eller föreskrifter som har meddelats med stöd av den. Bestämmelsen tar sikte på korrigeringar som begärs av en registrerad och som innebär att myndigheten behöver göra en bedömning av om behandlingen är tillåten, exempelvis för att den registrerade gör gällande att uppgifter behandlas som inte är rele- vanta för ändamålet med behandlingen i fråga. Rätten att begära en korrigering av nu nämnt slag ska inte gälla personuppgifter i en myndighets beslut.

Tillsynsmyndighetens befogenheter

Enligt den nya lagen ska tillsynsmyndighetens åtgärder i form på- pekanden eller liknande förfaranden som inte har tvingande karak- tär användas endast i förebyggande syfte, dvs. om tillsynsmyndig- heten konstaterat att en myndighet kan komma att behandla per- sonuppgifter på ett olagligt sätt, och inte då det har konstaterats att en behandling av personuppgifter utförs på ett otillåtet sätt.

Vidare föreskrivs att tillsynsmyndigheten ska kunna förelägga en myndighet att uppfylla sina skyldigheter om myndigheten inte uppfyller de krav som följer av den nya lagen eller föreskrifter som meddelats med stöd av den. I föreläggandet ska anges vad tillsyns- myndigheten anser är nödvändigt för att avhjälpa de påtalade brist- erna.

Tillsynsmyndigheten ska också ha befogenhet att förbjuda en myndighet att fortsätta en behandling av personuppgifter på något

33

Sammanfattning

SOU 2015:39

annat sätt än att uppgifterna lagras. Ett sådant beslut förutsätter att myndigheten allvarligt brister i sin skyldighet att uppfylla de krav som gäller för behandlingen. Ett beslut om förbud gäller omedelbart.

Någon möjlighet för tillsynsmyndigheten att besluta om vite har inte införts i lagen.

I övrigt finns bestämmelser som motsvarar dels 43 § PuL om vilka befogenheter tillsynsmyndighetens har för att undersöka om en myndighet behandlar personuppgifter på ett tillåtet sätt, dels 47 § PuL om tillsynsmyndighetens möjlighet att hos förvaltnings- rätten ansöka om utplåning av personuppgifter som har behandlats på ett olagligt sätt.

Överklagande

I lagen finns bestämmelser om överklagande av tillsynsmyndig- hetens respektive personuppgiftsansvariga myndigheters beslut som i princip motsvarar personuppgiftslagens överklagandebestämmel- ser (51–53 §§ PuL).

Sekretessfrågor

I 10 kap. OSL föreslås införas en generellt sekretessbrytande be- stämmelse som innebär att föreskrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbrytande effekt. Därigenom kommer det inte längre att behövas särskilda sekretess- brytande bestämmelser för att möjliggöra direktåtkomst enligt den ordning som i dag vanligtvis tillämpas. För att en bestämmelse om direktåtkomst ska ha sekretessbrytande effekt enligt den nya bestämmelsen krävs dock att den har en sådan konkretion att det framgår i fråga om vilka uppgifter sekretessen bryts. Den sekretess- brytande bestämmelsen omfattar inte direktåtkomst som medges utländska myndigheter eller enskilda.

Vi har som en särskild delfråga haft att överväga om det finns anledning att ändra 6 kap. 5 § OSL – som föreskriver en grund- läggande skyldighet att på begäran lämna uppgifter till andra myn- digheter – för att den ska stå i bättre överensstämmelse med användningsbegränsningar som kan förekomma i samband med internationella åtaganden. Vi har dock vid vår analys av frågan inte

34

SOU 2015:39

Sammanfattning

funnit något tillräckligt stort praktiskt behov av en sådan ändring. Vi har därför inte föreslagit någon ändring i 6 kap. 5 § OSL.

Konsekvenser

Införandet av en samlad lag med anslutande reglering i bilaga eller förordning är ett långsiktigt arbete. Regleringen kan inte i ett slag ersätta befintliga registerförfattningar vid införandet. Syftet är emellertid att ett antal registerförfattningar efter hand ska kunna upphävas eller i vart fall förenklas betydligt. Eventuella kvarstående behov av särreglering ska vidare kunna infogas i den samlade regleringen. Det kräver emellertid närmare analyser och avväg- ningar angående behovet av fortsatta särregler på olika områden och på vilken normnivå dessa särregler i förekommande fall bör ges.

Initialt kommer därför lagen att vid ikraftträdandet gälla fullt ut bara för de myndigheter eller i de verksamheter som då endast behandlar personuppgifter med stöd av personuppgiftslagen. Detta innebär en viss omställning för dessa myndigheter. Vi bedömer dock att denna omställning inte är större eller kräver mer anpass- ningar än att den kan mötas med en väl tilltagen tid för ikraft- trädandet och ett fåtal övergångsbestämmelser. Enligt vårt förslag bör den nya lagen träda i kraft den 1 januari 2017.

När den samlade regleringen väl är genomförd även beträffande översynen av de nuvarande registerförfattningarna bedömer vi att den samlade regelmassan kommer att minska betydligt. Genom att särreglering i fortsättningen utformas enhetligt och samordnat ut- ifrån en gemensam systematik underlättas samarbete över myndig- hetsgränser. Flexibiliteten i regleringen ökar vidare genom vår ambi- tion att fler frågor ska regleras i förordning. En på detta sätt samlad och därmed mer enhetlig och tydligare reglering kommer också att vara till gagn för offentlighet och insyn och ökar förutsättningarna att anpassa offentlighetsprincipen till moderna tekniska kommu- nikationsformer. Anpassningen till en kommande uppgiftsskydds- förordning underlättas också, då vad som hittills är känt om för- handlingarna inom unionen tyder på att den samlade regleringen utan alltför genomgripande förändringar kan anpassas till att utgöra ett komplement till förordningen.

35

1 Författningsförslag

1.1Förslag till myndighetsdatalag

Härigenom föreskrivs följande.

Lagens syfte och tillämpningsområde

1 § Syftet med denna lag är att ge myndigheter möjligheter att be- handla personuppgifter på ett ändamålsenligt sätt i deras verksam- heter och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

2 § Denna lag gäller vid myndigheters behandling av personuppgifter. Lagen gäller om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sök-

ning eller sammanställning enligt särskilda kriterier.

3 § Lagen ska inte tillämpas vid behandling av personuppgifter i

1.en myndighets administrativa verksamhet,

2.en myndighets verksamhet som personuppgiftsbiträde, eller

3.den verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.

37

Författningsförslag

SOU 2015:39

Förhållandet till annan författning

4 § Om det i en annan lag eller förordning än som avses i 5 § finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.

5 § Om inte annat anges i 6 § gäller denna lag i stället för person- uppgiftslagen (1998:204) eller föreskrifter som meddelats i anslut- ning till den lagen.

6 § Följande bestämmelser i personuppgiftslagen (1998:204) ska tillämpas på motsvarande sätt när personuppgifter behandlas enligt denna lag eller föreskrifter som meddelats med stöd av den:

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen m.m.,

3.9 § om grundläggande krav på behandlingen,

4.13, 15, 16, 18 och 19 §§ om känsliga personuppgifter,

5.23 och 25 §§ om information till den registrerade som ska läm- nas självmant,

6.26 § om information till den registrerade som ska lämnas efter ansökan,

7.33–35 §§ om överföring av personuppgifter till tredjeland,

8.38 och 40 §§ om personuppgiftsombud, och

9.48 § om skadestånd.

I 23 § finns bestämmelser om undantag från informationsskyldig- heten enligt första stycket 5 och 6.

Personuppgiftsansvar

7 § En myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även behand- ling som en myndighet utför genom direktåtkomst till personupp- gifter hos en annan myndighet eller enskild.

När behandling kan tillåtas

8 § Personuppgifter får behandlas om det är nödvändigt för att en myndighet ska kunna utföra sin verksamhet.

38

SOU 2015:39

Författningsförslag

9 § Behandling som är tillåten enligt denna lag eller föreskrifter som meddelats med stöd av den får utföras även om den registrerade motsätter sig behandlingen.

Särskilda kategorier av personuppgifter

10 § Utöver vad som följer av 15, 16, 18 och 19 §§ personupp- giftslagen (1998:204) får känsliga personuppgifter behandlas om upp- gifterna har lämnats i ett ärende eller är nödvändiga för handlägg- ning av det eller om uppgifterna behandlas endast i löpande text.

11 § Personnummer eller samordningsnummer får tas in i ett beslut endast om beslutet rör en enskilds identitet eller motsvarande per- sonliga förhållanden, det är nödvändigt för att beslutet ska kunna verkställas eller det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter.

Sökförbud

12 § Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening liksom uppgifter som rör hälsa eller sexualliv får användas som sökbegrepp endast om det är tillåtet enligt föreskrifter som tagits in i bilaga till denna lag eller i annan lag eller förordning.

Vad som sägs i första stycket gäller inte vid en sökning i en viss handling eller i ett visst ärende.

Elektroniskt utlämnande

Direktåtkomst

13 § Direktåtkomst till personuppgifter som är sekretessreglerade är tillåten endast i den utsträckning som anges i bilaga till denna lag eller i annan lag eller förordning. Med sekretessreglerade uppgifter avses detsamma som i offentlighets- och sekretesslagen (2009:400).

39

Författningsförslag

SOU 2015:39

Vad som sägs i första stycket gäller inte direktåtkomst som med- ges

1. den registrerade eller dennes ombud till uppgifter som hänför sig till den registrerade,

2. till personuppgifter som är sekretessreglerade enligt 21 kap.

7 § offentlighets- och sekretesslagen,

3.ett personuppgiftsbiträde, eller

4.en myndighet endast för sådan teknisk bearbetning eller tek- nisk lagring som avses i 2 kap. 10 § första stycket tryckfrihets- förordningen för den utlämnande myndighetens räkning.

14 § Innan en myndighet medger direktåtkomst till personuppgifter ska myndigheten göra en risk- och sårbarhetsanalys och komma överens med mottagaren av personuppgifterna hur skyddet för per- sonuppgifterna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personuppgiftsansvaret innefattar ska ske.

Vad som sägs i första stycket ska i tillämpliga delar även gälla då en myndighet på annat sätt än genom direktåtkomst samarbetar med andra myndigheter eller enskilda på sätt som innebär behand- ling av personuppgifter i gemensamma eller annars integrerade infor- mationssystem.

Annat utlämnande i elektronisk form

15 § Får en personuppgift lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personuppgiften.

Överföring till tredjeland

16 § Utöver vad som följer av 34 § personuppgiftslagen (1998:204) eller av föreskrifter eller beslut som meddelats med stöd av 35 § samma lag får personuppgifter överföras till tredjeland som saknar adekvat skyddsnivå, om

1.överföringen krävs för handläggningen av ett visst ärende, eller

2.överföringen är nödvändig för att fullgöra en uppgiftsskyldig- het som följer av lag eller förordning eller avtal med annan stat eller

40

SOU 2015:39

Författningsförslag

mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.

Säkerhet vid behandlingen

17 § En myndighet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Säkerhetsarbetet ska omfatta förebyggande, löpande och uppfölj- ande åtgärder samt åstadkomma en lämplig säkerhetsnivå i förhåll- ande till de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas. Vid utformningen av säkerhetsåtgärderna ska myndigheten även beakta bestämmelser om informations- säkerhet i annan författning som gäller för myndigheten.

18 § Tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.

Personuppgiftsbiträde

19 § Ett personuppgiftsbiträde eller den som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruk- tioner från den personuppgiftsansvariga myndigheten. Detta gäller även för biträden som anlitats av ett personuppgiftsbiträde.

20 § När en myndighet anlitar ett personuppgiftsbiträde, ska myndig- heten förvissa sig om att biträdet

1.ser till att personuppgifter behandlas bara i enlighet med instruk- tioner från myndigheten,

2.kan genomföra de säkerhetsåtgärder som avses i 17 § och som måste vidtas till skydd för de personuppgifter som biträdet behand- lar,

3.fortlöpande vidtar säkerhetsåtgärderna, och

4.inte anlitar annat biträde utan godkännande från myndigheten.

21 § Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för myndighetens räkning. Avtalet ska innehålla instruktioner och villkor om personuppgiftsbiträdets

41

Författningsförslag

SOU 2015:39

skyldigheter i frågor som avses i 19 och 20 §§. Motsvarande avtal ska finnas med ett biträde som anlitats av ett personuppgiftsbiträde.

Förteckning över behandlingar

22 § En myndighet ska föra en förteckning över de behandlingar som myndigheten utför med stöd av denna lag.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla.

Undantag från informationsskyldigheten

23 § Bestämmelserna i 23, 25 och 26 §§ personuppgiftslagen (1998:204) ska inte tillämpas i den utsträckning som en uppgift inte får lämnas ut till den registrerade på grund av sekretess enligt offent- lighets- och sekretesslagen (2009:400) eller föreskrifter som med- delats med stöd av den lagen.

Bestämmelserna i 26 § personuppgiftslagen behöver inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av per- sonuppgifter.

Korrigering av felaktiga personuppgifter eller annars otillåten behandling

24 § En personuppgift ska på begäran av den registrerade rättas eller kompletteras om uppgiften rör honom eller henne och den är fel- aktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någon annans bedömning.

25§ En personuppgift ska på begäran av den registrerade avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. tryckfrihetsförordningen eller utplånas, om upp- giften rör honom eller henne och den inte får behandlas enligt denna lag.

42

SOU 2015:39

Författningsförslag

Vad som sägs i första stycket gäller inte personuppgifter i ett beslut.

Tillsynsmyndighetens befogenheter

26 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

1.tillgång till de personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av per- sonuppgifter och säkerheten vid denna, och

3.tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

27 § Om tillsynsmyndigheten konstaterar att en myndighet kan komma att behandla personuppgifter på ett olagligt sätt, ska tillsyns- myndigheten genom påpekanden eller andra åtgärder som inte är tvingande försöka åstadkomma att myndigheten uppfyller sina skyl- digheter enligt denna lag eller föreskrifter som meddelats med stöd av den.

28 § Tillsynsmyndigheten får förelägga en myndighet att uppfylla sina skyldigheter, om myndigheten inte uppfyller de krav som följer av denna lag eller föreskrifter som meddelats med stöd av den.

Av föreläggandet ska framgå vad tillsynsmyndigheten anser är nödvändigt för att avhjälpa de påtalade bristerna.

29 § Om en myndighet allvarligt brister i sin skyldighet att uppfylla de krav som gäller för en behandling av personuppgifter som myn- digheten utför, får tillsynsmyndigheten förbjuda myndigheten att fortsätta behandlingen på något annat sätt än att personuppgifter lagras. Ett beslut om förbud mot fortsatt behandling gäller omedel- bart.

30 § Tillsynsmyndigheten får hos förvaltningsrätten inom vars dom- krets tillsynsmyndigheten är belägen ansöka om att sådana person- uppgifter som har behandlats på ett olagligt sätt ska utplånas.

43

Författningsförslag

SOU 2015:39

Bemyndiganden

31 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.när behandling av personuppgifter är tillåten,

2.vilka krav som ställs på en personuppgiftsansvarig myndighet,

och

3.att känsliga personuppgifter får behandlas om det behövs med hänsyn till ett viktigt allmänt intresse.

Regeringen får meddela föreskrifter om begränsningar av möjlig- heterna att använda andra sökbegrepp än de som avses i 12 §.

Överklaganden

32 § Tillsynsmyndighetens beslut enligt denna lag om annat än före- skrifter får överklagas till allmän förvaltningsdomstol.

Tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.

33 § Beslut om rättelse eller komplettering enligt 24 §, om avskilj- ande eller utplåning enligt 25 § och om information enligt 26 § per- sonuppgiftslagen (1998:204) får överklagas till allmän förvaltnings- domstol.

Första stycket gäller inte för beslut av regeringen, Högsta dom- stolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

34 § Andra beslut enligt denna lag än sådana som avses i 32 § och 33 § första stycket får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

1.Denna lag träder i kraft den 1 januari 2017.

2.Bestämmelserna i 21 § ska inte börja tillämpas förrän den 1 janu- ari 2019 i fråga om avtal som ingåtts före ikraftträdandet.

3.Bestämmelserna i 28 § personuppgiftslagen (1998:204) ska tillämpas i stället för 24 och 25 §§ i fråga om en begäran som gjorts före ikraftträdandet.

44

SOU 2015:39

Författningsförslag

1.2Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs att 10 kap. 28 § offentlighets- och sekretess- lagen ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10 kap.

28 §

Sekretess hindrar inte att en uppgift lämnas till en annan myn- dighet, om uppgiftsskyldighet följer av lag eller förordning.

Sekretess hindrar inte heller att en uppgift lämnas till en annan myndighet genom direktåtkomst enligt vad som föreskrivs i lag eller förordning.

Ytterligare sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns i anslutning till berörda sekretess- bestämmelser i avdelning IV–VI.

Denna lag träder i kraft den 1 januari 2017.

45

2 Vårt uppdrag och arbete

2.1Uppdraget

Vi har haft som övergripande uppdrag att se över den s.k. register- lagstiftningen, som kompletterar personuppgiftslagen (1998:204) och innehåller bestämmelser om statliga och kommunala myndig- heters behandling av personuppgifter. Detta ska ske genom att utreda förutsättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas personupp- giftsbehandling. Om vi bedömer att det finns sådana förutsättningar ska vi lämna de författningsförslag som vi anser vara motiverade.

Det fastlagda målet för vårt arbete är att regleringen ska utgöra en tydlig och lättillämpad helhet tillsammans med tryckfrihets- förordningen och offentlighets- och sekretesslagen. På så sätt skapas rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens be- rättigade anspråk på insyn i den offentliga verksamheten tillgodoses.

De förslag som lämnas ska vidare vara anpassade till det pågå- ende arbetet inom EU med att reformera den unionsrättsliga data- skyddsregleringen utifrån kommissionens förslag den 25 januari 2012 till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning). Personuppgiftsbehandling inom den brottsbekämpande verksamheten omfattas inte av vårt uppdrag.

I uppdraget ingår att göra en översiktlig inventering av register- författningarna. Vidare ingår ett antal särskilda delfrågor. En av dessa

– om det finns anledning att ändra definitionen av begreppet allmän handling i tryckfrihetsförordningen i fråga om uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande –

47

Vårt uppdrag och arbete

SOU 2015:39

har vi redovisat genom delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90). Bland återstående delfrågor finns frågan om det finns skäl att behålla den rättsliga åtskillnaden mellan olika former av elektroniskt utlämnande samt frågan om det finns anledning att justera 6 kap. 5 § OSL, som föreskriver en skyldighet att lämna uppgift till annan myndighet, så att bestämmelsen står i bättre överensstämmelse med förekomsten av användningsbegräns- ningar i internationella avtal m.m.

Enligt våra ursprungliga direktiv skulle vårt arbete med över- synen av registerförfattningarna utmynna i utarbetandet av en gene- rell regleringsmodell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas och hur begreppen bör definieras. Med en generell modell som mall skulle vi lämna konkreta förslag till registerförfattningar – modellregleringar – inom tre olika verk- samhetsområden. Avsikten var att regeringen i tilläggsdirektiv, efter att ha inhämtat synpunkter från utredaren, skulle närmare ange vilka verksamhetsområden som regleringsmodellen skulle appliceras på.

Hösten 2013 lämnade vi i en framställning till regeringen några synpunkter på inriktningen av det fortsatta arbetet. I framställningen lyfte vi fram två faktorer som vi menade borde beaktas i våra kom- mande tilläggsdirektiv.

Den första faktorn var att vi under vårt arbete med att inventera registerförfattningarna och identifiera vilka närmare problemområden som fanns hade uppmärksammat att den övergripande problem- bilden med registerförfattningarna inte bara sammanhängde med utformningen av författningarna utan också med det förhållandet att den allmänna regleringen i personuppgiftslagen i ett flertal avseenden är utformad utan hänsyn till de särskilda förhållanden som gäller för myndigheternas personuppgiftsbehandling. Vi identifierade alltså ett behov av att behandla frågor som inte är begränsade till register- författningsreglerade områden utan som gäller generellt inom myn- dighetsområdet.

Den andra faktorn var att det efter hand föreföll allt mer ange- läget att anpassa det fortsatta utredningsarbetet till det parallellt på- gående reformarbetet beträffande den unionsrättsliga dataskyddsreg- leringen innefattande det förslag till ny förordning som kommissio- nen hade lämnat en tid efter det att våra första direktiv beslutats.

Den 6 mars 2014 beslutades tilläggsdirektiv med bl.a. ändrad in- riktning av uppdraget vad gäller metoden för översynen och inrikt-

48

SOU 2015:39

Vårt uppdrag och arbete

ningen på vad arbetet ska utmynna i. Direktiven till utredningen (dir. 2011:86, 2014:31 och 2014:147) finns intagna i betänkandet som bilagorna 1–3.

2.2Utredningsarbetet

Vårt delbetänkande

Vårt arbete inleddes med att behandla delfrågan om en eventuell ändring av begreppet allmän handling i tryckfrihetsförordningen. Den närmare frågeställningen gällde om det fanns anledning att inskränka handlingsoffentligheten såvitt avsåg överskottsinforma- tion vid direktåtkomst. Med överskottsinformation avsågs i det sam- manhanget externt tillgängliga personuppgifter som en mottagande myndighet vid direktåtkomst till en annan myndighets elektroniska informationssamling tekniskt sett har tillgång till men som den mottagande myndigheten antingen inte får ta del av i ett enskilt fall, därför att vissa rättsliga förutsättningar inte föreligger, eller får men faktiskt ännu inte har tagit del av i sin verksamhet. Frågeställ- ningen bottnar i det förhållandet att det för frågan om vilka elek- troniska upptagningar som en myndighet förvarar, och därmed vad som konstituerar en allmän handling, inte spelar någon roll om en mottagande myndighet i ett enskilt fall faktiskt har utnyttjat möj- ligheten att söka fram en upptagning eller inte. Redan det förhåll- andet att det går att göra detta räcker för att upptagningen ska bli en allmän handling hos den mottagande myndigheten. Överskotts- information uppstår därför att det när direktåtkomst etableras inte går att på förhand avgöra exakt vilka specifika uppgifter i den utläm- nande myndighetens informationssamlingar som en mottagande myndighet i konkreta fall kommer att behöva ta del av.

Vår samlade bedömning blev att en grundlagsändring med sikte enbart på överskottsinformation vid direktåtkomst inte borde före- slås. Däremot förordade vi – med anledning av ytterligare problem- ställningar som vi stötte på vid sidan om den grundlagsfråga som omfattades av vårt uppdrag – en allmän översyn av begreppet in- kommen allmän handling i den elektroniska miljön.

Mot bakgrund av att vi inte föreslog en grundlagsändring be- handlade vi i delbetänkandet frågan om sekretess för överskotts- information hos mottagande myndigheter. Vi fann därvid att bestäm-

49

Vårt uppdrag och arbete

SOU 2015:39

melsen om överföring av sekretess vid direktåtkomst enligt 11 kap. 4 § OSL i och för sig är ändamålsenligt utformad men att kon- struktionen för konkurrensbestämmelsen i 11 kap. 8 § OSL – om att s.k. primär sekretess hos en mottagande myndighet ska tillämpas i stället för en överförd sekretess – medför en risk för att över- skottsinformation får ett försämrat sekretesskydd hos mottagande myndigheter. Vi fann också att en sådan försämring inte är moti- verad utifrån något insynsintresse. Vi föreslog därför en justering av 11 kap. 8 § OSL av innebörd att en från den utlämnande myn- digheten överförd sekretessreglering ska tillämpas på överskotts- information om den mottagande myndigheten enligt lag eller för- ordning inte får behandla informationen och en tillämpning av offent- lighets- och sekretesslagens huvudregel om konkurrens mellan sekre- tessbestämmelser i 7 kap. 3 § OSL leder till att uppgifterna i fråga är sekretessbelagda enligt den överförda sekretessregleringen.

Arbetet med grundlagsfrågan om överskottsinformation vid direktåtkomst avslutades genom att vi i januari 2013 lämnade ovan nämnda delbetänkande. Under denna del av vårt arbete fanns det en parlamentarisk referensgrupp knuten till utredningen.

Arbetets bedrivande efter delbetänkandet

Utredningens fortsatta arbete har bedrivits på sedvanligt sätt med regelbundna sammanträden med expertgruppen. Första sammanträdet i det återstående uppdraget hölls den 25 januari 2013. Därefter har ytterligare tio sammanträden hållits. Även informella kontakter inom utredningen har förekommit.

Under den aktuella utredningstiden har utredaren samrått med E-delegationen (N Fi 2009:01), Uppgiftslämnarutredningen (N 2012:01) och PSI-utredningen (S 2013:02). Samråd har vidare ägt rum med de myndigheter som anges i direktiven. Vi har också sam- manträffat med samtliga justitieombudsmän, Riksarkivet och För- säkringskassan.

Sekretariatet har besökt eller haft andra särskilda möten med E- hälsomyndigheten, Justitiekanslern, Lantmäteriet, Myndigheten för samhällsskydd och beredskap, Skatteverket, Sveriges Kommuner och Landsting, samt Transportstyrelsen. Sekretariatet har också träffat företrädare för näringslivet. Nämnda möten har i allt väsentligt syftat

50

SOU 2015:39

Vårt uppdrag och arbete

till att inhämta information och synpunkter i frågor som rör utred- ningsuppdraget.

För att få ytterligare underlag i vårt översynsarbete har vi in- bjudit myndigheter, enskilda företag och andra intressenter att lämna synpunkter och bidra med erfarenheter utifrån ett antal frågeställ- ningar rörande registerförfattningar. Vi fick därvid bistånd av E-dele- gationen och Sveriges Kommuner och Landsting med att sprida frågorna till möjliga intressenter. Svar inkom från såväl statliga som kommunala myndigheter. Även ett antal näringsidkare besvarade frågeställningarna, såsom Bisnode och Upplysningscentralen (UC) vilka båda bedriver verksamhet med s.k. vidareutnyttjande av offent- lig information.

Datainspektionen och Myndigheten för samhällsskydd och bered- skap har bistått utredningen med underlag angående frågor om in- formationssäkerhet och skydd för personuppgifter.

Härutöver har sekretariatet haft samråd eller annan dialog med ett flertal andra utredningar, bl.a. Utredningen om rätt information i vård och omsorg (S 2011:13), Statistikutredningen 2012 (Fi 2011:05), Utredningen om personuppgiftsbehandlingen vid ISF (S 2013:13), E-hälsokommittén (S 2013:17), Integritetskommittén (Ju 2014:09) och 2014 års Utlänningsdatautredning (Ju 2014:11).

Utredare och sekretariat har deltagit i olika konferenser och semi- narier med anknytning till utredningsuppdraget.

Arbetet har bedrivits med aktivt deltagande av och i samråd med experterna. Med hänsyn till detta redovisas arbetet i denna del av vårt uppdrag med användande av vi-form, även om det inte funnits full- ständig samsyn i alla delar.

2.3Slutbetänkandets disposition m.m.

Framställningen i det följande inleds med en allmän bakgrund där vi i kapitel 3 redogör kort för bl.a. it-politik, gällande rätt och kom- missionens förslag till uppgiftsskyddsförordning. I kapitel 4 beskrivs översiktligt registerlagstiftningsområdet och vår inventering av detta. I kapitel 5 redovisas våra överväganden angående delfrågan om det finns skäl att behålla den rättsliga åtskillnaden mellan olika former av elektroniskt utlämnande. I kapitel 6 behandlas delfrågan om det finns anledning att justera 6 kap. 5 § OSL med anledning av före-

51

Vårt uppdrag och arbete

SOU 2015:39

komsten av användningsbegränsningar i internationella avtal m.m. I återstående kapitel, kapitel 7–21, redovisas våra överväganden och förslag i fråga om en generell, enhetlig och samlad reglering för myndigheters behandling av personuppgifter.

I viss utsträckning förekommer en del upprepningar vad gäller redovisning av gällande rätt m.m. Avsikten med detta är att under- lätta separat läsning av varje kapitel utan alltför omfattande hänvis- ningar till tidigare kapitel i betänkandet.

Det kan observeras att vi i det följande omväxlande använder termerna persondataskyddsreglering och dataskyddsreglering som benämning på det rättsområde med särskild inriktning på att reg- lera behandling av personuppgifter som är helt eller delvis auto- matiserad eller som ingår i manuella register. Någon betydelseskill- nad mellan termerna är inte avsedd.

Det kan också noteras att vi i det följande använder benäm- ningen ”brottsbekämpande verksamhet” i en tämligen vidsträckt bemärkelse. Vad som avses är sådan verksamhet som inte omfattas av kommissionens förslag till uppgiftsskyddsförordning utan av ett förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behand- ling av personuppgifter för att förebygga, utreda, avslöja eller lag- föra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter.

52

ALLMÄN BAKGRUND

3 Allmänna förutsättningar

3.1It-politik m.m.

3.1.1Informationssamhället och den offentliga förvaltningen

Elektronisk informationshantering infördes förhållandevis tidigt i den svenska offentliga förvaltningen. Välfärdsstatens socialförsäk- ringsprogram förutsatte bl.a. en automatiserad registerföring av hög standard. Myndigheterna byggde därför tidigt upp olika typer av dataregister som blev centrala i verksamheten. Utveckling av s.k. e- förvaltning blev också tidigt ett viktigt medel för att genomföra besparingar och effektiviseringar i förvaltningen. När internet introducerades på 1990-talet hade myndigheterna redan en relativt hög teknikmognad och e-tjänster blev ett sätt att underlätta kon- takten utåt. Elektroniskt informationsutbyte kunde vidare ersätta andra metoder att utbyta information mellan myndigheter (se bl.a. SOU 2009:86 s. 33 f.).

Vid tiden för millennieskiftet konstaterade regeringen att sam- hället stod mitt uppe i en samhällsomvandling och man talade om ”den digitala revolutionen” eller ”IT-revolutionen” (prop. 1999/2000:86 s. 13). Regeringen konstaterade vidare att informa- tionstekniken snart skulle komma att finnas representerad överallt i samhället och ”informationssamhället” blev ett begrepp. Som it- politiskt mål sattes att Sverige som första land skulle bli ett infor- mationssamhälle för alla. Vidare fastslogs strategin för 24-timmars- myndigheter som skulle vara elektroniskt tillgängliga dygnet runt för informationsinhämtande, ärendehantering eller annan service (a. prop. s. 24 och s. 100 f.). Syftet var att myndigheterna skulle öka tillgängligheten av tjänsteutbudet. Strategin byggde på en redan framgångsrik tradition där myndigheterna själva bestämde hur it bäst skulle användas för att utveckla verksamheten.

55

Allmänna förutsättningar

SOU 2015:39

Flertalet myndigheter har numera webbaserade e-tjänster som vänder sig till medborgare och företag. Några exempel är Skatte- verkets och Försäkringskassans e-tjänster för skattedeklarationer, begäran om sjukpenning m.m. Hos många kommuner kan invån- arna via internet ha kontakt med vård och skola, ansöka om eko- nomiskt bistånd eller bygglov m.m. Vid årsskiftet 2013/14 hade ca 30 procent av myndigheterna s.k. mobila appar, drygt 70 procent använde sociala medier i kontakten med enskilda och över hälften av myndigheterna använde sig av s.k. molntjänster i någon form (Skr. 2013/14:155 s. 27). Digitala ärendehanteringssystem där all information i ett ärende samlas i en elektronisk akt blir allt van- ligare. Ett digitalt ärendehanteringssystem består normalt av ett elektroniskt diarium, ett elektroniskt system för handläggning i elektroniska akter där även skannade inlagor på papper lagras och ett digitalt arkiv. I dag används it både för att hantera information om verksamheten och som en del i verksamheten som sådan. Inom exempelvis den offentliga hälso- och sjukvården sker såväl vård- dokumentation, patientjournalföring m.m. som faktiskt utförande av vård, t.ex. vid ultraljudsundersökningar och operationer, med användning av it.

3.1.2Aktuell it-politik och strategi

Ett nytt mål för it-politiken beslutades av riksdagen 2011 (prop. 2011/2012:1, 2011/12:TU1). Målet är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att uppnå detta krävs ökad digital delaktighet så att fler vill och vågar använda digitala tjänster. Det krävs även fler tjänster som gör att människor upplever att de verkligen har nytta av att använda internet. Ett delmål är att Sverige ska ha bredband i världsklass. Alla hushåll och företag bör ha goda möjligheter att använda sig av elektroniska samhällstjänster och service via bredband (prop. 2009/10:193). Målet gäller fortfarande (2014/15:TU1 s. 15 f., jfr prop. 2014/15:1 utgiftsområde 22 s. 126).

I september 2011 beslutade regeringen om en ny strategi för it- politiken, It i människans tjänst – en digital agenda för Sverige (dnr N2011/342/ITP). Agendan är en sammanhållen strategi för it- politiken som syftar till att statens befintliga resurser ska utnyttjas

56

SOU 2015:39

Allmänna förutsättningar

bättre. I den digitala agendan har regeringen presenterat ambitioner och insatser som tillvaratar de möjligheter som digitaliseringen ger. För att nå det ovannämnda it-politiska målet har med utgångs- punkt i it-användarens perspektiv fyra strategiska områden identi- fierats i agendan: 1. lätt och säkert att använda, 2. tjänster som skapar nytta, 3. det behövs infrastruktur och 4. it:s roll för samhällsutveck- lingen.

I juni 2012 tillsatte regeringen Digitaliseringskommissionen som har i uppdrag att verka för att det it-politiska målet i agendan uppnås och att regeringens ambitioner inom området fullföljs (dir. 2012:61). En del av kommissionens uppdrag är att ta fram indika- torer för att mäta måluppfyllelsen. Slutredovisning av uppdraget ska ske senast den 31 december 2015.

3.1.3Förvaltningspolitik och e-förvaltning

Hur den offentliga förvaltningen utvecklas, organiseras och styrs har stor betydelse för myndigheternas informationshantering. I 2010 års förvaltningspolitiska proposition lade regeringen fram mål och riktlinjer för det fortsatta arbetet med i första hand den statliga förvaltningen. Det övergripande målet för förvaltningspolitiken ska vara en innovativ och samverkande statsförvaltning som är rätts- säker och effektiv, har en väl utvecklad kvalitet, service och tillgäng- lighet och därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete. Målet har antagits av riksdagen och är alltjämt gällande (prop. 2009/10:175 samt prop. 2014/15:1 utgiftsområde 2). Sam- verkan, inte minst myndigheter emellan, ska ytterligare utvecklas, dels av effektivitetsskäl, dels för att medborgare, företagare och andra förväntar sig att staten uppträder samordnat. Förstärkt samverkan mellan statsförvaltningen och kommunerna inom vissa områden finns också på den förvaltningspolitiska dagordningen. Elektronisk förvaltning (e-förvaltning) ska bidra till det förvaltningspolitiska målet.

E-förvaltning är ett begrepp som används för att beskriva en form av verksamhetsutveckling inom den offentliga förvaltningen som innebär att myndigheterna drar nytta av it och kombinerar den nya tekniken med organisatoriska förändringar och satsningar på kompetensutveckling i syfte att förbättra effektiviteten i sina respek-

57

Allmänna förutsättningar

SOU 2015:39

tive verksamheter. Benämningen e-förvaltning används också för att beskriva statsförvaltningens användning av it för utbyte av infor- mation och tjänster med medborgare, företag och andra delar av förvaltningen. E-förvaltning är också en viktig del i den digitala agendans strategiska område 2. ”tjänster som skapar nytta”.

I januari 2008 fastställde regeringen en nationell handlingsplan för den svenska e-förvaltningen (Fi2008/491). I denna anges det övergripande målet för e-förvaltningen vara att arbetet ska leda till att det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. Service till medborgare och företag står i fokus. Det övergripande målet ska uppnås med hjälp av insatser inom följande fyra områden; regelverk för myndighetsövergripande samverkan och informationshantering, tekniska förutsättningar och it-standardisering, gemensamma verksamhetsstöd, kompetens- försörjning och samlad uppföljning samt förvaltningens kontakter med medborgare och företag. Det gemensamma arbetet är inriktat mot tre målbilder; en enklare vardag för företag och privatpersoner, en öppnare och smartare förvaltning som stödjer innovation och delaktighet samt en effektivare offentlig verksamhet (prop. 2011/12:1 utgiftsområde 22 s. 85). I mars 2009 tillsattes E-delegationen som ett led i genomförandet av handlingsplanen för e-förvaltning.

Den 17 december 2012 presenterade regeringen en ny strategi: Med medborgaren i centrum – Regeringens strategi för en digitalt samverkande statsförvaltning (N2012/6402/ITP). I strategin beskrivs regeringens målsättningar för arbetet med att styra och förstärka myndigheternas förmåga att samverka digitalt i förvaltningsgemen- samma it-frågor. Den enskilda medborgarens och företagarens be- hov ska därvid vara i centrum för utvecklingen av framtidens digi- tala samhällsservice. Fler förvaltningsgemensamma digitala tjänster ska bidra till att förenkla vardagen för privatpersoner och företag. De ska utformas efter användarnas behov, vara enkla och säkra att använda och lätta för medborgare att hitta. Genom att göra det lättare att hitta och använda sådan statlig information som kan vidareutnyttjas och sådana statliga tjänster som har gränssnitt som kan användas av andra system ska innovation stödjas. Publicering av offentlig information via internet och användning av sociala medier ska öka möjligheterna till insyn och delaktighet. Kvaliteten och effektiviteten i statsförvaltningen ska öka genom standardiserad

58

SOU 2015:39

Allmänna förutsättningar

informationshantering, förbättrad informationssäkerhet och digi- taliserade processer. En viktig utgångspunkt i all utveckling av stats- förvaltningens tjänster är att effektivitet och service alltid måste vägas mot skyddet för den enskildes integritet och behov av sekre- tesskydd. Målen ska ligga till grund för regeringens koordinering och prioritering av förvaltningsgemensamma utvecklingsprojekt.

I budgetpropositionen för 2015 annonserade regeringen en för- stärkt styrning och samordning av den övergripande it-använd- ningen i statsförvaltningen genom en fyraårig satsning under åren 2015–2018. Syftet är att nå målen för e-förvaltningen samt främja utvecklingen och användningen av gemensamma lösningar. Sats- ningen omfattar ett flertal insatser, bl.a. avser regeringen öka styr- ningen av myndigheters anslutning till gemensamma e-tjänster och peka ut förvaltningsansvar för gemensamma lösningar och förmågor som krävs för en digitalt samverkande förvaltning. Vidare ska upp- följningen av myndigheternas it-användning förstärkas. I december 2014 beslutade riksdagen tillföra ytterligare medel till satsningen (2014/15:TU1 s. 51 anslaget 2:6 Gemensamma e-förvaltningspro- jekt av strategisk betydelse, jfr prop. 2014/15:1 utgiftsområde 2 s. 68 och utgiftsområde 22 s. 148 f.).

I vårt delbetänkande Överskottsinformation vid direktåtkomst (SOU 2012:90) har vi i korthet beskrivit några exempel på aktuella aktörer och initiativ eller utvecklingsprojekt inom e-förvaltningen som pågått parallellt med vårt arbete, vi hänvisar till den beskriv- ningen (a. bet. s. 29 f.).

3.1.4E-förvaltning inom EU

Inom EU bedrivs ett aktivt arbete med att främja utvecklingen av informationssamhället inom Europa. Den 29 april 2010 lade Euro- peiska kommissionen fram en digital agenda för Europa som är ett av sju ”flaggskeppsinitiativ” i EU:s övergripande strategi för tillväxt EU2020 (KOM[2010] 245 slutlig respektive KOM[2010] 2020 slutlig). Det huvudsakliga målet med agendan är att utveckla en digital inre marknad för att styra Europa mot en smart och hållbar tillväxt för alla. Utvecklandet av en modern e-förvaltning är en vik- tig del i den digitala agendan.

59

Allmänna förutsättningar

SOU 2015:39

Den 15 december 2010 lade kommissionen fram en handlings- plan 2011–2015 för e-förvaltning (KOM[2010] 743 slutlig). Syftet med planen är att främja framväxten av en ny generation av öppna, flexibla och samverkande e-förvaltningstjänster för medborgare och företag. Dessa tjänster ska kunna öka medborgarnas och företagarnas egenmakt, öka rörligheten på den inre marknaden och sörja för att den offentliga sektorn stödjer en ekonomi baserad på framtida nätverk. Handlingsplanen identifierar fyra politiska prioriteringar. Medlemsstater ska använda e-förvaltning för följande ändamål: 1. öka medborgares och företags egenmakt, 2. öka rörligheten på den inre marknaden, 3. öka effektiviteten i offentlig sektor och 4. skapa nödvändiga möjliggörare och förutsättningar för att detta ska kunna ske.

Utöver den digitala agendan och handlingsplanen finns ett antal EU-direktiv och andra rättsakter, ytterligare handlingsplaner eller rekommendationer och pågående projekt och andra samarbeten mellan EU:s medlemsstater.

3.2Rättslig reglering till skydd för personuppgifter

3.2.1Internationella åtaganden avseende dataskydd

Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna m.m.

Förenta nationernas (FN) generalförsamling antog år 1948 en uni- versell deklaration om de mänskliga rättigheterna – Förenta Nationer- nas allmänna förklaring om de mänskliga rättigheterna. Deklara- tionen är inte formellt bindande för medlemsstaterna, men har be- tydelse som ett uttryck för vad den internationella opinionen kräver. I artikel 12 sägs att ingen ”må utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens, ej heller angrepp på heder och anseende” samt att envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. Vidare sägs i artikel 29 att endast sådana inskränkningar i de i deklarationen angivna fri- och rättigheterna är tillåtna som fastställts i lag i ute- slutande syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose det demokratiska sam- hällets rättmätiga krav på moral, allmän ordning och allmän välfärd.

60

SOU 2015:39

Allmänna förutsättningar

Inom FN har också utarbetats en internationell konvention om medborgerliga och politiska rättigheter, som antogs av general- församlingen år 1966. Sverige anslöt sig till konventionen år 1971, varefter konventionen trädde i kraft år 1976. I konventionen be- handlas vad som hör till skyddet för den personliga integriteten främst i artikel 17. Enligt denna artikels punkt 1 bör ingen utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familje- liv, sitt hem eller sin korrespondens, ej heller för olagliga angrepp på sin heder och sitt anseende. Vidare sägs i punkt 2 att envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. De stater som har tillträtt konventionen åläggs således vissa skyldig- heter. Ett särskilt inrättat organ benämnt Kommittén för de mänsk- liga rättigheterna (Human Rights Committee) övervakar att de till konventionen anslutna staterna efterlever sina skyldigheter. Förenta nationernas generalförsamling antog även år 1990 riktlinjer om datoriserade register med personuppgifter.

Europakonventionen

Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är sedan den 1 januari 1995 inkorporerad i svensk rätt och gäller här i landet som lag (prop. 1993/94:117, 1993/94:KU24). Den har alltså inte getts ställning som grundlag. I 2 kap. 19 § RF har emellertid införts en bestämmelse om att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtagan- den på grund av konventionen.

Av betydelse för skyddet för den personliga integriteten är framför allt artikel 8 i konventionen. Där stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korre- spondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demo- kratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Det står klart att behandling av personuppgifter och t.ex. rätt till tillgång till registrerade personuppgifter i och för sig kan falla inom

61

Allmänna förutsättningar

SOU 2015:39

tillämpningsområdet för artikel 8 i Europakonventionen. All slags behandling av personuppgifter omfattas dock inte, utan frågan måste gälla privatliv, familjeliv, hem eller korrespondens. Primärt innebär artikel 8 att staten ska avhålla sig från ingrepp i den skyddade rättig- heten. Artikeln innebär även en skyldighet för staten att vidta posi- tiva åtgärder för att skydda den enskildes privatsfär. Sådana positiva åtgärder kan utgöras av lagstiftning, men också ha till ändamål att på annat sätt tillförsäkra medborgarna skydd mot övergrepp i sär- skilda situationer (Hans Danelius, Mänskliga rättigheter i europeisk praxis, 4 uppl. 2012, s. 347). I sin praxis har Europadomstolen också framhållit att kravet på att ingreppet ska vara nödvändigt inte är synonymt med ”oundgängligt”. Vad som krävs är däremot att det finns ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konven- tionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att över- vaka om denna frihet utnyttjas på ett rimligt sätt.

EU-domstolen har slagit fast att bestämmelserna i artikel 8 i Europakonventionen har betydelse vid sidan av det s.k. dataskydds- direktivet vid bedömningen av nationella regler som tillåter behand- ling av personuppgifter (dom den 20 maj 2003 i mål C-465/00, C- 138 och 139/01, Österreichiscer Rundfunk m.fl.)

Europarådets dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person- uppgifter, den s.k. dataskyddskonventionen (se prop. 1981/82:189). Konventionen trädde i kraft den 1 oktober 1985. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättig- heter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter kan behöva skyddas i för- hållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter. Konventionens tillämpningsområde är enligt huvudregeln automatiserade personregister och automatisk

62

SOU 2015:39

Allmänna förutsättningar

databehandling av personuppgifter i allmän och enskild verksam- het. I konventionen anges krav på beskaffenheten av de person- uppgifter som undergår automatisk databehandling, bl.a. krav på att uppgifterna ska inhämtas och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet, att vissa typer av uppgifter inte får undergå automatisk databehandling om inte den nationella lagen ger ett ändamålsenligt skydd, samt att lämpliga säkerhets- åtgärder ska vidtas för att skydda personuppgifter gentemot oav- siktlig eller otillåten förstörelse. Inom Europarådet pågår en över- syn av konventionen.

Inom Europarådet har vidare utarbetats ett flertal rekommenda- tioner på dataskyddsområdet.

Riktlinjer från OECD

Inom Organisationen för ekonomiskt samarbete och utveckling, OECD, har en expertgrupp utarbetat vissa riktlinjer i fråga om integritetsskyddet och persondataflödet över gränserna. Riktlinjerna antogs år 1980 av OECD:s råd tillsammans med en rekommen- dation till medlemsländernas regeringar om att beakta riktlinjerna i nationell lagstiftning. Samtliga medlemsländer, däribland Sverige, har godtagit rekommendationen och åtagit sig att följa denna. Rikt- linjerna är tillämpliga på personuppgifter inom både den offentliga och privata sektorn. De gäller både för uppgifter som lagras auto- matiskt och som förs manuellt. Syftet är emellertid att undvika de risker för personlig integritet och individens frihet som person- uppgifter kan utgöra på grund av det sätt på vilket de behandlas, på grund av uppgifternas natur eller på grund av de sammanhang i vilka de används. År 2013 reviderades riktlinjerna genom införan- det av vissa nyheter och förändringar.

EU:s stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 decem- ber 2007, numera är rättsligt bindande. En referens till stadgan har införts i artikel 6.1 i unionsfördraget. I stadgan bekräftas de rättig-

63

Allmänna förutsättningar

SOU 2015:39

heter som har sin grund i medlemsstaternas gemensamma författ- ningstraditioner och internationella förpliktelser, Europakonven- tionen, unionens och Europarådets sociala stadgor samt rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundlägg- ande fri- och rättigheter som EU redan erkänner.

I stadgans artikel 7 föreskrivs att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

Stadgan riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten (artikel 51).

När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i stadgan att varje begränsning i utövningen av de rättig- heter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

Dataskyddsdirektivet m.m.

Den 24 oktober 1995 antogs Europaparlamentets och rådets direk- tiv 95/46/EG om skydd för enskilda personer med avseende på be- handling personuppgifter och om det fria flödet av sådana upp- gifter (dataskyddsdirektivet). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram

64

SOU 2015:39

Allmänna förutsättningar

som anges i direktivet närmare precisera villkoren för när behand- ling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen. Direktivet gäller inte för behandling av personuppgifter på områden som faller utanför unionsrätten, t.ex. allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Dataskyddsdirektivet är endast tillämpligt på behandling av upp- gifter om fysiska personer och berör alltså inte skyddet för juri- diska personer. Direktivet omfattar inte bara automatiserad behand- ling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Direktivet omfattar inte be- handling av personuppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personupp- gifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Personuppgifter får bl.a. behandlas om den registrerade otvetydigt har lämnat sitt samtycke, om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åligger den registeransvarige eller är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna väger tyngre än den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får som huvudregel inte behandlas. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I direktivet görs dock undan- tag från denna regel i vissa särskilt angivna situationer, bl.a. om det finns uttryckligt samtycke från den registrerade.

Dataskyddsdirektivet föreskriver att den registeransvarige ska informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver

65

Allmänna förutsättningar

SOU 2015:39

den registeransvarige dock inte lämna någon information, om den registrerade redan känner till informationen eller om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den regi- strerade rätt att få sådana uppgifter som inte har behandlats i enlig- het med direktivet rättade, utplånade eller blockerade. Direktivet innehåller även regler om säkerhet vid behandlingen.

EU-nivå finns även kompletterande rättsakter till dataskydds- direktivet, bl.a. det s.k. dataskyddsrambeslutet med särskilda regler om skydd för personuppgifter i frågor som rör polisiärt och straff- rättsligt samarbete (rådets rambeslut 2008/977/RIF av den 27 novem- ber 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete).

För närvarande pågår inom EU en övergripande översyn av bl.a. dataskyddsdirektivet, se avsnitt 3.3.

3.2.2Nationell reglering

Regeringsformen

Grundläggande bestämmelser om skydd för den personliga integri- teten finns i regeringsformen. I målsättningsstadgandet i 1 kap. 2 § första stycket slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. I 2 kap. 4 och 5 §§ finns bestämmelser om absolut skydd mot allvarliga fysiska integritetsintrång bl.a. döds- och kropps- straff. Enligt 6 § samma kapitel är var och en därutöver skyddad gentemot det allmänna mot bl.a. påtvingande kroppsliga ingrepp.

Den 1 januari 2011 trädde en ny bestämmelse, 2 kap. 6 § andra stycket RF, i kraft. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestäm- melsen innebär alltså att enskilda är skyddade mot åtgärder från det allmännas sida men träffar inte åtgärder som en enskild vidtar i för- hållande till en annan enskild. Bakgrunden till bestämmelsen är att det ansågs finnas vissa brister i lagstiftning som innefattade intrång

66

SOU 2015:39

Allmänna förutsättningar

i den enskildes personliga integritet. Dessa brister bestod i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstiftningsärenden i vissa fall var bristfälligt redovisade och att det i första hand var de negativa effekterna av olika integritets- begränsande åtgärder som var knapphändigt belysta (prop. 2009/10:80 s. 175 f.). Av bl.a. dessa skäl ansågs det därför finnas ett behov av att stärka skyddet av den personliga integriteten i grund- lag. Det stärkta grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF.

Personuppgiftslagen

Dataskyddsdirektivet har genomförts i svensk rätt genom person- uppgiftslagen (1998:204). Bestämmelserna i personuppgiftslagen har till syfte att skydda människor mot att deras personliga inte- gritet kränks genom behandling av personuppgifter. Liksom den tidigare datalagen (1973:289), vilken upphävdes i och med person- uppgiftslagens införande, är personuppgiftslagen generellt tillämp- lig och gäller både för myndigheter och enskilda som behandlar personuppgifter. Rent privat behandling av personuppgifter är dock undantagen.

Personuppgiftslagen är subsidiär i förhållande till annan lag eller förordning (2 §). Vid lagens införande anfördes att det traditionella svenska systemet med särregler i särskilda författningar var att föredra framför generella undantag från den nya lagen (prop. 1997/98:44 s. 41).

Personuppgiftslagen, som i huvudsak följer dataskyddsdirektivets text och disposition, omfattar all helt eller delvis automatiserad be- handling av personuppgifter (5 § första stycket). Lagen är teknik- oberoende i den meningen att den i fråga om automatiserad be- handling inte begränsas till dataregister. All automatiserad behand- ling omfattas, alltså även personuppgifter som framgår av bilder och ljud. Begreppet register saknar betydelse för lagens tillämp- ning. Det avgörande är att personuppgifterna är föremål för auto- matiserad behandling, inte om de är ordnade i ett register eller inte. Det är vidare tillräckligt att behandlingen av personuppgifter delvis är automatiserad för att den ska falla under lagens bestämmelser.

67

Allmänna förutsättningar

SOU 2015:39

Om uppgifter samlas in manuellt och sedan behandlas automati- serat är även insamlandet en sorts behandling som omfattas av lagen. På samma sätt faller t.ex. ett utlämnande genom manuella utskrifter från ett automatiserat register in under lagens bestämmelser. Per- sonuppgiftslagen gäller även för manuella register med personupp- gifter som är strukturerade eller ordnade så att de är sökbara på person (5 § andra stycket).

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Be- greppet behandling av personuppgift är ett vitt begrepp och om- fattar varje åtgärd eller serie av åtgärder som vidtas i fråga om per- sonuppgifter, vare sig det sker på automatisk väg eller inte. Exempel på behandling av personuppgifter är insamling, registrering, organi- sering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 §).

Det finns några viktiga undantag från personuppgiftslagens tillämpningsområde. Lagen gäller t.ex. inte vid behandling av per- sonuppgifter som en fysisk person utför som ett led i en verksam- het av rent privat natur (6 §). Bestämmelserna i lagen tillämpas inte heller i den utsträckning det skulle strida mot grundlagsbestäm- melserna om tryck- och yttrandefrihet (7 § första stycket). I prin- cip ska inte heller personuppgiftslagens bestämmelser tillämpas vid journalistisk, konstnärlig eller litterär verksamhet (7 § andra stycket). Vidare anges i personuppgiftslagen att lagen inte gäller i den mån det skulle inskränka offentlighetsprincipen (8 § första stycket).

Behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökningen efter eller sammanställningen av personuppgifter omfattas inte av flertalet av de hanteringsregler som anges i personuppgiftslagen. Det som i stället avgör om en sådan behandling är tillåten eller inte är om behandlingen innebär en kränkning av den registrerades personliga integritet (5 a §).

I 9 § ges vissa grundläggande krav på all behandling av person- uppgifter som omfattas av lagen. Den personuppgiftsansvarige, vilken oftast är det organ där personuppgifterna behandlas, ska se till att personuppgifter behandlas bara om det är lagligt samt att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet

68

SOU 2015:39

Allmänna förutsättningar

med god sed. Vidare ska personuppgifter samlas in bara för sär- skilda, uttryckligt angivna och berättigade ändamål. Ändamålet med en behandling av personuppgifter måste bestämmas redan när upp- gifterna samlas in. Den personuppgiftsansvarige ska definiera avsik- ten med insamlingen och användningen av personuppgifterna på ett så precist sätt som möjligt. Personuppgifterna får inte sedan behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (finalitetsprincipen). Det sistnämnda kan bli aktuellt att pröva när personuppgifter lämnas ut till tredje man. Ett sådant utlämnande får alltså inte vara oförenligt med det ända- mål för vilket uppgifterna ursprungligen samlades in. Om person- uppgifter lämnas ut i form av allmänna handlingar med stöd av bestämmelserna i 2 kap. TF blir en sådan prövning dock inte aktuell.

De personuppgifter som behandlas ska vara adekvata och rele- vanta i förhållande till ändamålen med behandlingen. Med detta krav avses att personuppgifterna ska vara av sådant slag att de hör till saken (relevanta) och är ägnade att uppnå det mål man har med behandlingen (adekvata). Inte heller får fler personuppgifter behand- las än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därutöver ska de uppgifter som behandlas vara rik- tiga och, om det är nödvändigt, aktuella. Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Personuppgifter får inte heller bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med be- handlingen.

Varje behandling av personuppgifter måste kunna hänföras till någon av de situationer som anges i personuppgiftslagens regler om när behandling av personuppgifter är tillåten. Av 10 § följer att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen, behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas, den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldig- het, vitala intressen för den registrerade ska kunna skyddas, en arbetsuppgift av allmänt intresse ska kunna utföras, den person- uppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myn- dighetsutövning, eller ett ändamål som rör ett berättigat intresse

69

Allmänna förutsättningar

SOU 2015:39

hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

Enligt 11 § får inte personuppgifter behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den person- uppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Inte heller får personuppgifter behandlas i de fall där behandling bara är tillåten när den registrerade har lämnat sitt samtycke och han eller hon har återkallat detta (12 §). Utöver vad som följer av 11 och 12 §§ har den enskilde ingen rätt att mot- sätta sig sådan behandling av personuppgifter som är tillåten enligt lagen.

Enligt 13 § är det generellt sett förbjudet att behandla känsliga personuppgifter. Med känsliga personuppgifter avses sådana person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening eller som rör hälsa eller sexualliv. Från förbudet att behandla käns- liga personuppgifter finns, utöver när den registrerade har lämnat sitt samtycke (15 §), vissa undantag (16–20 §§).

Särskilda bestämmelser om uppgifter om lagöverträdelser och behandling av personnummer finns i 21 och 22 §§.

Bestämmelser om i vilka fall information om behandling av personuppgifter ska lämnas till den enskilde finns i 23–27 §§, rätt att begära rättelse och omprövning av automatiserade beslut finns i 28 och 29 §§ och föreskrifter om säkerheten vid behandling av personuppgifter finns i 30–32 §§.

Enligt 33 § är det förbjudet att till tredjeland, dvs. ett land utan- för EU eller ESS, föra över personuppgifter som är under behand- ling, om landet inte har en adekvat nivå för skydd av personupp- gifter. Förbudet gäller i princip alla slag av personuppgifter och är alltså inte begränsat till exempelvis kategorierna känsliga person- uppgifter eller uppgifter om lagöverträdelser. Trots förbudet är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland men det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för

70

SOU 2015:39

Allmänna förutsättningar

användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Regeringen får meddela föreskrifter om ytter- ligare undantag från förbudet mot överföring (35 §).

Vidare finns det i lagen bl.a. bestämmelser om anmälan till tillsynsmyndigheten, tillsyn, skadestånd och straff.

Sekretess

I offentlighets- och sekretesslagen (2009:400) finns ett stort antal bestämmelser om sekretess till skydd för uppgift om enskilds per- sonliga förhållanden, vilka syftar till att skydda enskilds personliga integritet. Av dessa bör i detta sammanhang särskilt nämnas 21 kap. 7 § OSL, den s.k. PuL-sekretessen. Enligt bestämmelsen gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgifts- lagen. Bestämmelsen tar inte sikte på uppgifterna som sådana utan på vad mottagaren tänker göra med dem. Bestämmelsen avser alltså att ge ett skydd mot otillåten behandling av personuppgifter. Be- stämmelsen är tillämplig hos alla myndigheter och vid alla utläm- nanden som innefattar personuppgifter men den risk för skada som anges i bestämmelsen aktualiseras främst vid utlämnanden av en större mängd uppgifter i form av massuttag av allmänna handlingar. Också ett utlämnande av selekterade uppgifter, t.ex. uppgifter om personer med viss inkomst eller med viss politisk tillhörighet, kan indikera risk för den skada som anges i bestämmelsen.

Registerförfattningar

De s.k. registerförfattningarna har till huvudsakligt syfte att reglera inrättandet och användningen av viktigare register eller andra per- sonuppgiftssamlingar inom den offentliga sektorn.

Registerförfattningarna reglerar myndigheternas behandling av personuppgifter och är tänkta att ge ett anpassat integritetsskydd vid myndighetens hantering av personuppgifter då behov finns att avvika från eller komplettera det integritetsskydd som personuppgifts- lagen annars ger.

En utgångspunkt vid utarbetandet av registerförfattningar har varit att regleringen så långt som möjligt ska vara i överensstäm-

71

Allmänna förutsättningar

SOU 2015:39

melse med personuppgiftslagen och därmed med dataskyddsdirek- tivets materiella bestämmelser samt att behovet av särregler i för- hållande till personuppgiftslagen bör övervägas noga (prop. 1997/98:44 s. 41 och Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 694 f.).

En omständighet som ansetts tala för en särreglering i förhåll- ande till personuppgiftslagen är att en särskild författning under vissa förutsättningar anses innebära en bättre garanti för utform- ningen av integritetsskyddet vad gäller särskilt känsliga register eller andra personuppgiftssamlingar.

Exempel på fall då en särskild författningsreglering i form av en registerförfattning har ansetts motiverad är vidare när en nödvändig behandling av personuppgifter över huvud taget inte är tillåten enligt personuppgiftslagen, när personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, när det finns anledning att begränsa möjlig- heterna till behandling av uppgifter av integritetsskäl i fråga om myndigheters registrering och åtkomst till stora och känsliga upp- giftsmängder eller när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.

Registerförfattningar har ofta getts lagform trots att detta rent normgivningstekniskt inte har varit nödvändigt. Den bakomliggande tanken har emellertid varit att myndighetsregister med ett stort antal registrerade och med ett känsligt innehåll ska regleras särskilt genom lag (prop. 1990/91:60 s. 50, KU 1990/91:11 s. 11, se även prop. 1997/98:44 s. 41).

3.3Pågående reformarbete inom EU

3.3.1Allmänt

Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personupp- gifter. Förslaget omfattar dels en förordning med en generell reg- lering som ska ersätta dataskyddsdirektivet, kallad allmän uppgifts- skyddsförordning, dels ett nytt direktiv med särregler för den brotts-

72

SOU 2015:39

Allmänna förutsättningar

bekämpande sektorn som ska ersätta det gällande dataskyddsram- beslutet (rambeslut 2008/977/RIF). Det föreslagna direktivet är mera vidsträckt till sitt tillämpningsområde än dataskyddsram- beslutet i det att direktivet inte bara omfattar utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn.

Det huvudsakliga syftet med kommissionens förslag till uppgifts- skyddsförordning är att ytterligare harmonisera och effektivisera skyddet av personuppgifter i syfte att förbättra den inre mark- nadens funktion och öka enskildas kontroll över sina personupp- gifter. Enligt kommissionen kommer förslaget att undanröja den fragmentariska dataskyddsreglering som nu finns inom EU, vilket både förenklar för företagen och stärker den enskildes rätt till skydd för sina personuppgifter. Eftersom regleringen föreslås få formen av en förordning blir den direkt tillämplig i medlemsstaterna när den trätt i kraft.

Förslaget till uppgiftsskyddsförordning baseras till stor del på den struktur och reglering som finns i det nu gällande dataskydds- direktivet. Den föreslagna förordningen är liksom dataskyddsdirek- tivet utformad enligt en hanteringsmodell som innebär att själva hanteringen av personuppgifter regleras från det att uppgifterna samlas in till dess att de utplånas. Förordningen innehåller dock även en rad nyheter jämfört med dataskyddsdirektivet.

3.3.2Förslaget till uppgiftsskyddsförordning

Syfte och tillämpningsområde

I förordningens första kapitel slås syftet och tillämpningsområdet fast, vilka är i princip desamma som dataskyddsdirektivets (artik- larna 1–3). Det territoriella tillämpningsområdet utvidgas dock till att även omfatta uppgiftsbehandling som sker utanför EU så länge behandlingen utförs av företag som t.ex. erbjuder varor eller tjänster till EU-medborgare.

I kapitlet finns också en rad definitioner av begrepp som an- vänds i förordningen (artikel 4). Många av definitionerna motsvarar vad som gäller enligt dataskyddsdirektivet men vissa av defini- tionerna har ändrats och andra har tillkommit, t.ex. definitioner av personuppgiftsbrott samt genetiska och biometriska uppgifter. Defi-

73

Allmänna förutsättningar

SOU 2015:39

nitionen av samtycke har ändrats på så sätt att ett samtycke alltid måste vara uttryckligt för att det ska anses utgöra ett giltigt sam- tycke i förordningens mening.

Principer och krav på behandlingen av personuppgifter

Det andra kapitlet innehåller de principer som ska styra behand- lingen av personuppgifter. Principerna motsvarar i stora drag de som redan gäller enligt dataskyddsdirektivet vad gäller t.ex. rättsliga grunder för behandling och behandling av känsliga personupp- gifter. En nyhet är införandet av en princip om att behandling av personuppgifter måste ske på ett öppet sätt (artikel 5). Det slås vidare fast att behandling efter en intresseavvägning inte kan åbe- ropas som rättslig grund vid myndigheters behandling av person- uppgifter i deras myndighetsutövning (artikel 7.1 f). En ytterligare nyhet är att en registeransvarig inte är skyldig att skaffa fram ytterligare information för att kunna identifiera en registrerad en- bart för att kunna iaktta någon bestämmelse i förordningen (arti- kel 10).

Den enskildes rättigheter

Det tredje kapitlet innehåller bestämmelser om den enskildes rättig- heter. Först och främst slås fast att den registeransvarige ska ha tydliga och lättillgängliga riktlinjer och vara skyldig att ge klar och tydlig information till den enskilde vad gäller behandlingen av personuppgifter samt informera mottagare av uppgifter under vissa villkor (artiklarna 11–13). Den enskildes rätt till information bygger i stor utsträckning på direktivets bestämmelser. I likhet med vad som redan gäller har den registrerade också rätt att få felaktiga uppgifter rättade samt att få ofullständiga uppgifter kompletterade (artiklarna 14–16).

Den nuvarande rätten att få uppgifter raderade vidareutvecklas genom förordningen till att även avse en rätt att bli ”glömd”. Detta innebär att den registeransvarige inte endast ska radera person- uppgifter som inte längre får behandlas. Om uppgifterna har gjorts offentliga ska den registeransvarige dessutom vidta alla rimliga åtgärder för att informera dem som uppgifterna spridits till att den

74

SOU 2015:39

Allmänna förutsättningar

enskilde vill bli glömd. En begäran om att få bli glömd innebär som huvudregel att uppgifterna ska raderas utan dröjsmål. Endast i vissa särskilt uppräknade undantagsfall får uppgifter behållas trots den enskildes begäran om att bli glömd (artikel 17).

I förordningen införs också en rätt för den enskilde att få en kopia av de personuppgifter som behandlas samt en rätt att få person- uppgifter överförda från en registeransvarig, t.ex. en tjänsteleveran- tör, till en annan, s.k. dataportabilitet (artikel 18).

Kapitlet innehåller vidare bestämmelser som vidareutvecklar nu gällande reglering om den enskildes rätt att invända mot uppgifts- behandling och att i viss utsträckning inte bli utsatt för s.k. profi- lering, dvs. automatisk behandling av uppgifter i syfte att bedöma personliga egenskaper hos den enskilde som exempelvis arbets- prestationer eller kreditvärdighet (artiklarna 19 och 20).

Slutligen ges medlemsstaterna befogenhet att för vissa särskilt uppräknade ändamål inskränka vissa av rättigheterna och skyldig- heterna i förordningen genom nationell lagstiftning. En förutsätt- ning för att få införa sådana inskränkningar är dock att de är nöd- vändiga och proportionella i förhållande till det eftersträvade ända- målet (artikel 21). Bestämmelsen motsvarar artikel 13 i dataskydds- direktivet.

Skyldigheter för den som behandlar personuppgifter

Det fjärde kapitlet i förordningen innehåller bestämmelser om vilka skyldigheter som den registeransvarige och den som behandlar upp- gifterna för dennes räkning, dvs. registerföraren (personuppgifts- biträdet enligt personuppgiftslagen) har.

Även om många av skyldigheterna har motsvarigheter i data- skyddsdirektivet innebär förslaget att skyldigheterna utökas och vidareutvecklas. Exempelvis fastställs den registeransvariges skyldig- heter som följer av principerna om inbyggt uppgiftsskydd och upp- giftsskydd som standard (artikel 23). Således ska den personupp- giftsansvarige, både i samband med att det bestäms hur behand- lingen ska utföras och vid tidpunkten för själva behandlingen, vidta åtgärder för att säkerställa att kraven i förordningen uppfylls (”data protection by design”). Den registeransvarige ska även säkerställa att behandlingen, som standard, endast får avse de personuppgifter

75

Allmänna förutsättningar

SOU 2015:39

som är nödvändiga i förhållande till syftet med behandlingen (”data protection by default”).

Vidare klargörs gemensamma registeransvarigas ansvar vad gäller förhållandena dem emellan och gentemot den registrerade (arti- kel 24).

Registerförarens ställning och skyldigheter regleras avsevärt mera utförligt i förordningen än i dataskyddsdirektivet (artikel 26). Exempelvis klargörs att en registerförare som behandlar andra uppgifter än de som anges i den registeransvariges instruktioner ska anses som gemensamt registeransvarig. Över huvud taget följer av flera bestämmelser i förordningen ett medansvar för registerförare som är nytt i förhållande till dataskyddsdirektivet. Exempelvis kan även en registerförare bli skadeståndsskyldig gentemot den regi- strerade vid otillåten behandling (artikel 77).

Den registeransvarige och registerföraren är vidare skyldig, på liknande sätt som gäller enligt direktivet, att vidta lämpliga säkerhetsåtgärder för att skydda de personuppgifter som behandlas (artikel 30). Det införs också en skyldighet för den registeransva- rige att utan dröjsmål, om möjligt inom 24 timmar, underrätta till- synsmyndigheten om ett inträffat personuppgiftsbrott, t.ex. ett dataintrång (artikel 31). I vissa fall krävs det även att de enskilda som berörs av personuppgiftsbrottet underrättas (artikel 32).

Den registeransvarige ska dessutom i vissa fall låta göra en konsekvensanalys avseende integritetsriskerna med en planerad upp- giftsbehandling (artikel 33). Den generella skyldigheten enligt data- skyddsdirektivet att anmäla behandling av personuppgifter till den nationella tillsynsmyndigheten har tagits bort. Enligt förordningen ska det endast finnas anmälningsskyldighet och krav på förhands- tillstånd i fråga om personuppgiftsbehandling som innebär sär- skilda risker (artikel 34). I stället ska det föras och bevaras en detal- jerad dokumentation om den uppgiftsbehandling som genomförs (artikel 28). Denna dokumentation ska efter begäran göras tillgäng- lig för tillsynsmyndigheten.

Varje myndighet samt alla företag med minst 250 anställda eller vars huvudsakliga verksamhet är sådan att den kräver regelbunden övervakning av enskilda ska även utse ett uppgiftsskyddsombud. Uppgiftsskyddsombudet ska utses för en period om minst två år och ges möjlighet att på ett självständigt sätt övervaka att myndig- heten eller företaget uppfyller förordningens krav (artiklarna 35–37).

76

SOU 2015:39

Allmänna förutsättningar

Överföring av uppgifter till länder och internationella organisationer utanför EU

I förordningens femte kapitel regleras under vilka förutsättningar personuppgifter får överföras till tredjeland eller till en internatio- nell organisation utanför EU. Den föreslagna regleringen innebär en vidareutveckling av motsvarande reglering i dataskyddsdirek- tivet. Liksom enligt direktivet är det ett grundläggande krav för så- dan överföring att det mottagande tredjelandet säkerställer en adekvat skyddsnivå för uppgifterna. I regel är det kommissionen som ska besluta om ett tredjeland uppfyller detta krav eller inte (artiklarna 40 och 41). Om kommissionen har beslutat att ett tredjeland inte har en adekvat skyddsnivå så innebär detta ett förbud för överföring av uppgifter dit. Har kommissionen inte fattat något beslut i frågan finns det möjlighet att överföra uppgifter till tredjeland om vissa juridiskt bindande skyddsåtgärder vidtas, som t.ex. användandet av vissa godkända standardavtalsklausuler, eller med stöd av vissa direkta undantag (artikel 42–44).

Tillsynsmyndigheter

I det sjätte kapitlet finns bestämmelser om den nationella tillsyns- myndigheten. Reglerna påminner i stort om regleringen i data- skyddsdirektivet. Tillsynsmyndigheten ges dock vissa nya skyldig- heter och befogenheter, som t.ex. en skyldighet att pröva klagomål om uppgiftsbehandling och en befogenhet att väcka talan i domstol vid överträdelser mot bestämmelserna i förordningen (artikel 52). Genom förslaget införs också en befogenhet för de nationella till- synsmyndigheterna att besluta om administrativa sanktionsavgifter (artikel 53).

Tillsynsmyndigheternas samarbete och åtgärder för en konsekvent tillämpning

Genom bestämmelserna i det sjunde kapitlet i förordningen (artik- larna 55–72) införs uttryckliga regler om tillsynsmyndigheternas samarbete över nationsgränserna. Vidare föreslås en särskild meka- nism som ska garantera att förordningen tillämpas på ett konse-

77

Allmänna förutsättningar

SOU 2015:39

kvent sätt i hela EU. För att uppnå detta syfte ska det bland annat inrättas en europeisk dataskyddsstyrelse bestående av representanter för de nationella dataskyddsmyndigheterna. Dataskyddsstyrelsen ersätter Arbetsgruppen för uppgiftsskydd, den s.k. Artikel 29- gruppen, som tillskapats enligt dataskyddsdirektivet. De nationella tillsynsmyndigheterna är skyldiga att samråda med dataskydds- styrelsen innan de vidtar någon åtgärd som kan få effekter i flera medlemsstater. Dataskyddsstyrelsen ska i sådana fall utfärda ett yttrande som den nationella tillsynsmyndigheten måste ta hänsyn till. Även kommissionen ges rätt att utfärda sådana yttranden som den nationella tillsynsmyndigheten måste beakta.

Rättsmedel, ansvar och sanktioner

Bestämmelserna i det åttonde kapitlet bygger på och utvecklar motsvarande reglering i dataskyddsdirektivet. I kapitlet slås fast att enskilda ska ha rätt att klaga hos en nationell tillsynsmyndighet om de anser att behandlingen av deras personuppgifter inte följt reg- leringen i förordningen (artikel 73).

Den enskilde ska dessutom ges rättsmedel för att kunna få till- synsmyndigheten att agera utifrån ett klagomål som framförts till myndigheten (artikel 74). I likhet med vad som redan gäller ska den enskilde även ha rätt att väcka talan vid domstol mot en register- ansvarig. En nyhet är att rätten gäller även gentemot en register- förare (artikel 75).

Om en enskild har drabbats av en skada på grund av en otillåten behandling av personuppgifter ska denne ha rätt till skadestånd från den som är ansvarig för behandlingen, den registeransvarige eller registerföraren (artikel 77). I övrigt är det medlemsstaterna som ska fastställa de sanktioner som ska komma i fråga vid överträdelser av förordningens bestämmelser. Sanktionerna måste dock vara effek- tiva, proportionerliga och avskräckande (artikel 78). En nyhet är att de nationella tillsynsmyndigheterna är skyldiga att besluta om admini- strativa sanktionsavgifter vid vissa överträdelser av förordningen. De belopp som ska dömas ut anges i förordningen och kan uppgå till en miljon euro, eller två procent av ett företags globala omsätt- ning, vid de allvarligaste överträdelserna av förordningens bestäm- melser (artikel 79).

78

SOU 2015:39

Allmänna förutsättningar

Behandling av personuppgifter för vissa särskilda ändamål

I det nionde kapitlet finns bestämmelser om behandling av person- uppgifter för vissa särskilda ändamål. För att skapa en balans mellan skyddet för personuppgifter och yttrandefriheten anges exempelvis att medlemsstaterna ska lagstifta om undantag från vissa av förord- ningens bestämmelser för sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller för konst- närligt eller litterärt skapande (artikel 80). Det finns även särskilda bestämmelser som närmare reglerar behandling av uppgifter om hälsa samt behandling för statistiska, historiska eller vetenskapliga forskningsändamål (artikel 81 respektive 83). Medlemsstaterna får även lagstifta om sådan behandling av enskildas personuppgifter som har samband med anställning (artikel 82).

Kommissionens rätt att utfärda delegerade akter och genomförandeakter

En betydelsefull skillnad i förhållande till dataskyddsdirektivet är att kommissionen i ett stort antal bestämmelser i förordningen föreslås ges rätt att anta delegerade akter och genomförandeakter. Det handlar exempelvis om att utfärda rättsakter som närmare speci- ficerar innebörden av vissa krav som enligt förordningen ställs på behandling av uppgifter samt rätt att utfärda olika standardformu- lär och procedurregler som ska gälla vid tillämpningen av förord- ningen. Bestämmelserna i det tionde kapitlet reglerar de närmare villkoren för dessa delegerade befogenheter.

Ikraftträdande m.m.

Det elfte kapitlet innehåller förordningens avslutande bestämmelser. Det föreslås bland annat att kommissionen ska utvärdera förord- ningen och rapportera till ministerrådet och Europaparlamentet. För- ordningen ska enligt förslaget börja tillämpas två år efter att den offentliggjorts (artikel 91).

79

Allmänna förutsättningar

SOU 2015:39

3.3.3Förhandlingsarbetet

Europaparlamentet

I Europaparlamentet behandlas dataskyddsreformen i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE-utskottet). Rapportören för uppgiftsskyddsförordningen, Jan Philipp Albrecht, lade fram ett förslag till betänkande i decem- ber 2012 och den 22 oktober 2013 röstade LIBE-utskottet fram ett förslag. Den 12 mars 2014 antog Europarlamentet en resolution efter en omröstning som resulterade i en mycket stark majoritet för förslaget till uppgiftsskyddsförordning, 621 ja-röster, 10 nej-röster och 22 nedlagda röster. Förslaget till direktiv för den brotts- bekämpande verksamheten antogs med 371 ja-röster, 276 nej-röster och 30 nedlagda röster.

I resolutionen beträffande uppgiftsskyddsförordningen har Europaparlamentet föreslagit ett flertal ändringar och tillägg. Gene- rellt föreslår parlamentet ett betydligt snävare utrymme för kom- missionen att anta delegerade akter och genomförandeakter.

LIBE-utskottet, med rapportören Jan Philipp Albrecht, är även efter parlamentets resolution och EU-valet våren 2014 ansvarigt för uppgiftsskyddsförordningen i parlamentet. Något nytt ställnings- tagande har emellertid inte gjorts efter valet utan man avvaktar att rådet ska bli klart med sina förhandlingar.

Ministerrådet

Alltsedan år 2012 har uppgiftsskyddsförordningen förhandlats i Rådet för rättsliga och inrikes frågor, RIF-rådet. Förhandlingarna pågår fortfarande. Hittills har emellertid tre delöverenskommelser uppnåtts.

Redan initialt i förhandlingarna om förordningen framkom att det tycktes föreligga relativt stor enighet inom rådet om att det finns behov av att skapa ytterligare flexibilitet för den offentliga sektorn. Detsamma gällde även för behovet av att införa en mer riskbaserad ansats. Vid ett möte i RIF-rådet i juni 2013 infördes efter förslag från bl.a. Sverige en särskild artikel om tillgång till all- männa handlingar. Vid RIF-rådet i juni 2014 träffades en överens- kommelse om partiell allmän inriktning när det gäller förordningens

80

SOU 2015:39

Allmänna förutsättningar

kapitel V, som innehåller bestämmelser om överföring av person- uppgifter till länder och internationella organisationer utanför EU och EES. Vid RIF-rådet i oktober 2014 träffades en överenskom- melse om partiell allmän inriktning när det gäller kapitel IV, som främst innehåller bestämmelser om de personuppgiftsansvarigas skyldigheter. Vid det senaste mötet i december 2014 uppnåddes en överenskommelse om partiell allmän inriktning med ändringar i artiklarna 1(2)a, 6(3) och 21 och hela kapitel 9. De aktuella änd- ringarna i bestämmelserna reglerar hur förordningens regelverk förhåller sig till nationella regleringar om den offentliga sektorn och vilket utrymme medlemsstaterna ska ha att i vissa situationer och vid viss personuppgiftsbehandling anta specifika, och även i vissa fall avvikande, bestämmelser i förhållande till förordningens regelverk. Syftet med ändringarna är att skapa ytterligare flexibilitet för den offentliga sektorns behandling av personuppgifter.

Vad händer nu?

Den fortsatta processen med uppgiftsskyddsförordningen är alltså beroende av att förhandlingarna inom rådet kan slutföras. EU:s nuvarande ordförandeland, Lettland, har som ambition att RIF- rådet i juni 2015 ska kunna besluta om en allmän inriktning om hela uppgiftsskyddsförordningen, dvs. rådets förslag till förord- ningstext. Det förslaget kommer sedan att vara utgångspunkten för rådets förhandlingar, trilogen, med Europaparlamentet och kom- missionen om uppgiftsskyddsförordningen. Europeiska rådet (stats- och regeringscheferna) har ställt i utsikt att man bör kunna nå fram till en överenskommelse mellan institutionerna under 2015.

Ett införande av förordningen har bedömts viktigt för att förverkliga ambitionen om en ”digital inre marknad” (Digital Single Market), vilken är av pelarna i den gällande digitala agendan för EU samt också en prioriterad fråga i kommissionens arbetsprogram för 2015. Ambitionen synes således vara att lagstiftningsprocessen ska drivas med inriktning på ett slutförande och ett beslut om införande av förordningen inom en inte alltför avlägsen tid. Enligt kom- missionens förslag ska uppgiftsskyddsförordningen börja tillämpas två år efter offentliggörandet. Europaparlamentet har inte föreslagit

81

Allmänna förutsättningar

SOU 2015:39

någon ändring därvidlag och frågan har, såvitt framkommit, inte blivit föremål för någon delöverenskommelse inom rådet.

82

4Registerförfattningar – ett komplext rättsområde

Vårt övergripande uppdrag är alltså att se över den s.k. register- lagstiftningen. I denna översyn ingår att göra en översiktlig inven- tering av gällande registerförfattningar. I detta kapitel redovisar vi i huvuddrag våra iakttagelser från inventeringen av registerförfatt- ningarna. Vi redogör också för några generella problem med register- författningarna, dels sådana som framförts i tidigare sammanhang, dels sådana som vi själva identifierat i vårt arbete.

Kapitlet inleds med en beskrivning av framväxten av den i Sverige etablerade regleringsmodellen på persondataskyddsområdet som innebär att grundläggande regler ges i en generellt tillämplig lag och att specifika undantag eller andra särbestämmelser tas in i sådana särskilda lagar eller förordningar som kommit att kallas registerför- fattningar.

4.1Bakgrund

4.1.1Registerförfattningarna och datalagen

Viss registerföring som i dag är reglerad i registerförfattningar har lång historik. Lantmäteriets fastighetsregister och Skatteverkets folkbokföring är ett par exempel på förande av förteckningar med månghundraåriga anor. Det har även förekommit författningsreg- lering av registerföring under lång tid i den meningen att det i för- fattning föreskrivits att vissa register med visst innehåll ska föras och med en närmare reglering av registerverksamheten. Exempelvis har den nuvarande lagen (1998:620) om belastningsregister före- gångare i lagen om allmänt kriminalregister från år 1963 som i sin tur föregicks av lagen om straffregister från år 1900. Det som

83

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

emellertid i dag kallas registerförfattningar har sin bakgrund i sam- hällets tilltagande datorisering under 1900-talets senare hälft och den integritetsdebatt som följde i spåren på denna utveckling.

Redan på 1960-talet började datoriseringens inverkan på sam- hället debatteras i många länder. Till en början handlade den svenska debatten om teknikens inverkan på offentlighetsprincipen. Det var emellertid 1970 års folk- och bostadsräkning som kom att spela rollen av utlösande faktor för en allmän debatt i Sverige om auto- matisk databehandling (ADB) och dess användning för personregi- strering. Myndigheternas insamlande av uppgifter om människor och deras levnadsförhållanden ansågs öka myndigheternas makt och möjlighet att styra enskildas handlingar. Även försäljningen av personuppgifter från myndigheter till enskilda, som sedan användes för selektiv reklam, utsattes för häftig kritik. År 1971 fick Offent- lighets- och sekretesslagstiftningskommittén i uppdrag att behandla frågan om lagstiftning rörande personorienterad ADB-information. Kommittén kom därmed att bli den första integritetsutredningen på dataområdet.

Offentlighets- och sekretesslagstiftningskommittén bedömde att ADB-teknikens utveckling, innebärande att stora mängder infor- mation kan föras samman i en enda enhet och därur göras analyser och sammanställningar, medförde nya faror för otillbörliga intrång i den personliga integritetssfären (SOU 1972:47 s. 56 ff.). Kom- mittén framhöll att det inte bara var betydelsefullt att förhindra reella risker för otillbörliga intrång. Beaktas borde även de psyko- logiska effekterna som vetskapen om ADB-användningen med- förde med åtföljande behov hos enskilda av att kunna lita på att det privata området verkligen respekterades av myndigheter och orga- nisationer. I detta sammanhang påtalades dock att rädslan för miss- bruk av datalagrad information inte fick undanskymma det förhåll- andet att ADB-teknikens utökade användning också hade haft mycket positiva effekter, både för samhällsekonomin och för samhälls- planeringen i stort.

Någon enhetlig definition av vad som avses med personlig inte- gritet fanns inte då och finns inte heller i dag. Begreppet har upp- märksammats i flera statliga utredningar och blivit föremål för en del ingående analyser och attitydundersökningar (se bl.a. SOU 2007:22 s. 52 f. och 77 f.). Offentlighets- och sekretesslagstift- ningskommittén hänvisade som bakgrund till sina överväganden

84

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

om en lagstiftning rörande personorienterad ADB-information till det i amerikansk juridisk doktrin utbildade rättsliga begreppet ”privacy” (SOU 1972 s. 56 f.). Grundtanken med begreppet är att den enskilde bör ha tillgång till en fredad sektor inom vilken han eller hon kan avvisa sådan inblandning både från det allmänna och från andra som uppfattas som otillbörlig. Rätten att bli lämnad i fred kan dock aldrig vara absolut i ett samhälle. Samhällets krav på insatser från den enskilde i fråga om t.ex. arbete och skatter måste begränsa den privata sektorn. Att närmare ange innehållet i den fredade sektorn ansåg Offentlighets- och sekretesslagstiftnings- kommittén vara svårt att göra, bl.a. eftersom man måste räkna med att det som bör skyddas efterhand kommer att förskjutas. Fakta om begångna brott, sjukdomar, mottagen socialhjälp angavs som exempel på typfall av information som det är ofrånkomligt att vissa myndigheter måste registrera för att uppfylla sina arbetsuppgifter, men som ur den enskildes synpunkt upplevs som ömtålig. Även enskildas åsikter gavs som exempel på ömtålig information. Kom- mittén underströk att inte bara vilken typ av information som av- sågs var av betydelse utan även insamlande och hantering av ett stort antal i och för sig banala uppgifter kunde i samband med ADB-teknikens möjligheter medföra negativa konsekvenser för den personliga integriteten (a.a. s. 60). Spridning och fortsatt använd- ning var också av stor betydelse.

Offentlighets- och sekretesslagstiftningskommittén bedömde att det fanns ett nära samband mellan anspråket på en fredad sektor och kravet från enskilda att bli bedömda efter relevanta kriterier. Om man vet att en myndighet har tillgång till omfattande infor- mation om enskildas personliga förhållanden ligger det nära till hands, menade kommittén, att misstänka att informationen utnyttjas till ställningstaganden som den inte är avsedd för. Vidare föreligger risk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad kommer att påverka hans eller hennes möjligheter i framtiden. Samhällets krav på solidaritet och ekonomisk effektivitet måste därför begränsas, bl.a. genom att övervakningen av den enskilde inte tillåts bli fullständigt effektiv (SOU 1972:47 s. 63 f.).

Kommittén konstaterade att det system av befintliga skydds- regler som fanns genom bl.a. bestämmelserna om offentlighet- och sekretess och vissa straffbestämmelser, t.ex. brott mot post- och telehemlighet, var användbart mot integritetsintrång vid manuell

85

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

informationsbehandling. Däremot ansågs dessa bestämmelser komma till korta gentemot den automatiska databehandlingen. Särskilda regler för att möta det nya hotet ansågs därför påkallade. För att komma till rätta med riskerna med ADB-teknikens utveckling och de därmed sammanhängande riskerna för otillbörliga intrång i den personliga integriteten avseende registrering av personuppgifter lade kommittén fram ett förslag till en datalag. Förslaget ledde till genomförandet av den numera upphävda datalagen (1973:289).

Datalagen och statsmaktsregister

Datalagens syfte var att hindra att hanteringen av ADB-förda per- sonregister medförde otillbörliga intrång i den personliga integri- teten. Registrering skulle få förekomma, men det krävdes att vissa regler iakttogs. Lagen var tillämplig inom både den offentliga och privata sektorn och byggde på ett tillståndssystem. Enligt lagens ursprungliga lydelse krävdes – med visst undantag – tillstånd av den då nyinrättade Datainspektionen för att starta eller föra ett person- register med ADB. Detta gällde register hos såväl myndigheter som privata aktörer. Tillståndskravet kom senare att i vissa fall ersättas av ett anmälningsförfarande. Utöver tillstånd förutsattes Datainspek- tionen meddela föreskrifter om registrets ändamål, vilka person- uppgifter som fick ingå samt, vid behov, föreskrifter om bl.a. in- hämtandet av personuppgifter, tillåtna ADB-bearbetningar, utläm- nande av personuppgifter, bevarande och gallring eller kontroll och säkerhet.

Offentlighets- och sekretesslagstiftningskommittén hade före- slagit att Datainspektionens tillståndsprövning även skulle omfatta personregister vars inrättande beslutats av statsmakterna, dvs. av riksdagen eller regeringen. I motiven till datalagen uttalade emeller- tid departementschefen att det av flera skäl torde vara nödvändigt att särbehandla vissa statliga personregister och anförde vidare följ- ande (prop. 1973:33 s. 97).

För det första bör riksdagen kunna besluta om inrättande av person- register för riksdagens egen verksamhet eller verksamheten hos organ som är underställt riksdagen. Vidare förekommer på den offentliga sek- torn personregistrering av sådan vikt från allmän och enskild synpunkt att det är nödvändigt att frågan om registrens inrättande förbehålls statsmakterna själva. Ofta ges föreskrifter för registrering i form av lag

86

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

eller annan författning som meddelas av riksdagen och Kungl. Maj:t eller endera av dem. Exempel på register av denna typ finns bl.a. på rättsväsendets område.

Från datalagens krav på tillstånd kom alltså personregister vars in- rättande beslutats av riksdagen eller regeringen, s.k. statsmakts- register, att undantas (2 § datalagen, sedermera 2 a §). Enligt motiven gällde undantaget oberoende av om beslutet om registrets inrätt- ande gavs formen av lag eller annan författning eller kom till ut- tryck på annat sätt (prop. 1973:33 s. 97). Innan sådant beslut fattades skulle dock yttrande inhämtas från Datainspektionen. När Datainspektionen avgav ett sådant yttrande skulle en bedömning av registret ske enligt samma grunder som vid prövning av ett till- ståndsärende. Datainspektionen kunde även meddela föreskrifter för registret i den mån riksdagen eller regeringen inte hade gjort det, t.ex. om ändamål eller bevarande och gallring. Dessutom om- fattades även statsmaktsregister av Datainspektionens tillsyn enligt datalagen.

För övriga personregister som en kommunal eller statlig myn- dighet kunde inrätta krävdes tillstånd från Datainspektionen. När det gällde personregister som innehöll uppgifter om bl.a. straff- processuella eller administrativa frihetsberövanden eller någons sjukdom eller hälsotillstånd, dvs. registrering av uppgifter som be- dömdes vara av särskilt känslig natur, infördes dock särskilda restriktioner för att tillstånd till registerföringen skulle kunna med- ges annan än myndighet som enligt lag eller annan författning hade att föra förteckning över sådana uppgifter (4 § datalagen). Indirekt förutsattes alltså redan vid datalagens tillkomst att förandet av per- sonregister med särskilt integritetskänsligt innehåll hade uttryck- ligt författningsstöd. Det kan påpekas att det redan innan data- lagens tillkomst fanns författningar med enstaka bestämmelser om t.ex. gallring, inhämtande och spridande av uppgifter i register som motiverades av hänsyn till de registrerades integritet. Exempel på sådana registerförfattningar var lagen (1963:197) om allmänt krimi- nalregister och lagen (1965:94) om polisregister. I huvudsak hand- lade dock äldre registerlagar om att ett register av visst innehåll skulle föras för att tillgodose något allmännyttigt syfte eller lik- nande. Det primära målet i dessa äldre författningar var således inte att värna om integriteten.

87

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

Några förarbetsuttalanden från datalagens tid

Även efter datalagens införande fortsatte datoranvändningen och den personliga integriteten att debatteras i samhället och nya utred- ningar tog vid efter Offentlighets- och sekretesslagstiftnings- kommittén.

Datalagstiftningskommittén fick 1976 uppdraget att göra en översyn av bl.a. datalagen. I sitt delbetänkande Personregister – datorer – integritet (SOU 1978:54) behandlade kommittén bl.a. frågor om samkörning av olika personregister och användning av personnummer (s. 85–112). I detta sammanhang redogjorde kom- mittén för de risker för otillbörligt intrång i den personliga inte- griteten som kan uppkomma genom att uppgifter som ursprung- ligen samlats in för ett ändamål senare används för ett annat ända- mål. Ett sådant utnyttjande ansågs i otillbörlig grad minska den enskildes möjligheter att överblicka hur uppgifter som den enskilde själv en gång lämnat kan komma att användas. Även information som var harmlös i sig ansågs kunna innebära intrång i den enskildes integritet eftersom sammanställningar från olika register kunde leda till en kartläggning av en persons enskilda förhållanden. Likaså påtalades risken för utlämnande av den enskilde individen. Vidare framfördes farhågor om att det vid samkörning av register kunde vara svårt att kontrollera att uppgifterna var korrekta och aktuella. Därutöver aktualiserades mera abstrakta integritetsintrång, t.ex. att bara vetskapen om att de uppgifter man lämnat till en myndighet överförs mellan olika register kunde väcka obehag.

Datalagstiftningskommittén konstaterade att samkörningsfrågor alltmer aktualiserades vid myndigheternas handläggning av ansök- ningar från enskilda om behovsprövade förmåner och inom skatte- administrationen (a.a. s. 108 f.). Enligt kommittén väckte det frågor om vilka metoder att kontrollera enskildas uppgifter som var accep- tabla. Intressekonflikten mellan behovet av effektiva kontroller och enskildas krav på personlig integritet medförde dock svåra avväg- ningsproblem. Hur intresseavvägningen skulle utfalla kunde dock inte en gång för alla slås fast genom en regel i datalagen. Det var snarare en fråga som måste avgöras från fall till fall grundade på politiska överväganden. Enligt kommittén var det väsentligt att be- slut om inrättandet och användandet av offentliga personregister, som gav en djupare inblick i enskilda medborgares privata förhåll-

88

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

anden, fattades av riksdag eller regering och inte av de myndigheter som skulle använda registren. Detta borde gälla även ifråga om användning av register för nya ändamål. Över huvud taget för- ordade kommittén att ändamålen för statliga register angavs så tyd- ligt som möjligt av riksdag eller regering samt att det skulle klar- göras att registren inte fick användas för andra ändamål utan med- givande av riksdag eller regering. Kommittén uttalade vidare följ- ande (a.a. s. 110).

En metod att göra detta är att, såsom ibland redan skett, reglera registren genom lagar eller förordningar och att därvid meddela så långt möjligt uttömmande föreskrifter om användningen. Man bör alltså var för sig på ett i vart fall något sånär enhetligt sätt författningsreglera alla stat- liga register av betydelse i sammanhanget. Om det därefter uppkom- mer behov av att använda registren för andra syften än de som ur- sprungligen var aktuella får sådana behov prövas och avgöras från fall till fall enligt samma ordning. DALK [Datalagstiftningskommittén] för- ordar denna lösning.

Även Data- och offentlighetskommittén behandlade i delbetänk- andet Integritetsskyddet i informationssamhället 4 (SOU 1987:31 s. 157 f.) frågor om samkörning, personnummeranvändning samt författningsreglering av personregister. I en kartläggning av person- registreringen konstaterade kommittén att register i en del fall har stöd i lag eller annan författning men att dessa ofta var föråldrade, t.ex. därför att de skapats för manuell registerhantering, eller sak- nade mera detaljerad reglering. Vidare var det mindre vanligt med författningar som beslutats av riksdagen (a.a. s. 47). Enligt kom- mittén måste målsättningen vara att personregister som är särskilt känsliga från integritetssynpunkt regleras av riksdagen i syfte att stärka skyddet av enskilda registrerades integritet. Beslut om ny eller utökad personregistrering föregås då av ordentlig utredning av konsekvenserna från integritetssynpunkt, vilket är av betydelse för att en reell intresseavvägning ska kunna göras. De register som sär- skilt utpekades var socialstyrelsens register, landstingens register, kommunernas register inom socialtjänsten och skolhälsovården samt Riksförsäkringsverkets och försäkringskassornas register. Vidare anfördes att Datainspektionen fortlöpande borde vara uppmärksam på om ytterligare register behöver specialreglering i lag. Om helt nya register som omfattar stora delar av befolkningen och inne- håller integritetskänsliga uppgifter skapas i framtiden borde dessa

89

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

alltid lagregleras redan från början, menade kommittén. När det gällde frågan om lagstiftningsteknik anförde kommittén bl.a. följ- ande (a.a. s. 159).

Vi har övervägt möjligheten att sammanföra alla registerförfattningar under ett paraply. En sådan lösning skulle medverka till enhetlig utformning av lagstiftningen och ge utrymme för såväl behövlig modernisering av befintliga författningar som en ny reglering på de områden där sådan behövs. I en gemensam registerlag blir det emeller- tid svårt att reglera sådana centrala frågor som de olika registrens ändamål och innehåll. Det är också troligt att en för alla special- reglerade register gemensam registerlag blir alltför svåröverskådlig för att fylla sitt syfte. En möjlighet vore att ge registerlagen karaktären av ramlag och att komplettera med registerförordningar eller föreskrifter från DI [Datainspektionen] för varje enskilt register. En sådan ramlag skulle t.ex. kunna innehålla föreskrifter om vilka frågor som skall regleras i olika registerförfattningar. I princip ger dock datalagen redan vägledning på den punkten. Denna lösning ger också riksdagen mindre inflytande än vad som har varit fallet vid tillkomsten av befintliga registerlagar.

Data- och offentlighetskommittén stannade således för att fortsatta särförfattningar var att föredra samt att sådana skulle ges i lagform i fråga om register med kvalificerat känsliga personuppgifter som får en extern spridning som inte är obetydlig. Dock varnades för register- lagar utformade efter mall. I varje enskilt fall, framhöll kommittén, krävs en noggrann och individuell prövning. En registerlag som enbart syftar till att fungera som ett alibi för att verksamheten är under kontroll löser inte integritetsproblemen menade kommittén (SOU 1987:31 s. 161 f.).

Data- och offentlighetskommitténs överväganden kom att i den fortsatta framväxten av registerlagstiftningen få stor betydelse. I det efterföljande lagstiftningsarbetet anslöt sig regeringen liksom konstitutionsutskottet till kommitténs tankar om lämplig normgiv- ningsnivå och gjorde uttalanden som ofta åberopats i senare lag- stiftningsärenden som vägledande för att välja lagform för register- författningsreglering (prop. 1990/91:60 s. 58 och KU 1990/91:11 s. 11).

Under 1990-talet tillkom, mot bakgrund av nyss nämnda lag- stiftningsärende, allt fler registerlagar. Det finns fortfarande register- lagar i kraft som tillkom som särlagstiftning i förhållande till data- lagen. Lagen (1996:1156) om receptregister är ett exempel.

90

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

4.1.2Registerförfattningarna och personuppgiftslagen

Dataskyddsdirektivets genomförande

Dataskyddsdirektivets genomfördes i svensk lagstiftning genom personuppgiftslagen. Personuppgiftslagen trädde i kraft den 24 okto- ber 1998 och ersatte då datalagen. Som har framgått är person- uppgiftslagen till skillnad från datalagen teknikoberoende i den meningen att den i fråga om automatiserad behandling inte begrän- sas till dataregister. All automatiserad behandling omfattas, alltså även personuppgifter som framgår av bild eller ljud. Det avgörande är att personuppgifterna är föremål för automatiserad behandling, inte om de är ordnade i ett register eller inte. Till skillnad från datalagen innehåller personuppgiftslagen vidare inget krav på till- stånd för inrättande och förande av personregister. I stället inne- håller lagen en rad hanteringsregler för behandling av personupp- gifter.

Liksom datalagen utgör personuppgiftslagen emellertid en gene- rellt tillämplig reglering som gäller för såväl myndigheter som enskilda vilka behandlar personuppgifter. I motiven till personupp- giftslagen diskuterades om lagens tillämpningsområde borde begrän- sas i några avseenden, bl.a. till att enbart omfatta verksamheter som omfattas av unionsrätten. En sådan begränsning ansågs dock strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar för viktigare och känsligare register. Person- uppgiftslagen är därför generellt tillämplig och omfattar även verk- samheter som faller utanför unionsrättens område (prop. 1997/98:44 s. 40 f.).

Av 2 § PuL följer vidare att om det i en annan lag eller förord- ning finns bestämmelser som avviker från lagen, ska de bestäm- melserna gälla. Det är således endast särregler i lag eller förordning som tar över bestämmelserna i personuppgiftslagen. Inte bara sär- bestämmelser i registerförfattningar avses i 2 §. Även bestämmelser i andra slags lagar och förordningar om t.ex. uppgiftsskyldighet gäller före bestämmelserna i personuppgiftslagen (prop. 1997/98:44 s. 116).

91

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

Fortsatt särreglering i registerförfattningar

I motiven till personuppgiftslagen (prop. 1997/98:44 s. 40 f.) anförde regeringen bl.a. följande.

Registerförfattningarna innehåller många preciserade och viktiga regler som inte rimligen kan ersättas av de generella bestämmelser som den nya lagen innehåller. Samtidigt står det klart att det är nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan är därför om det redan i den nya lagen skall göras undantag för vissa verksamheter eller om nöd- vändiga särregler för dessa verksamheter liksom hittills skall ges i sär- skilda författningar som får gälla framför den nya lagen. […].

Vi anser att det traditionella svenska systemet med särregler i särskilda författningar är att föredra framför generella undantag från den nya lagen. Det är i stort sett bara verksamhet inom den offentliga sektorn som med hänsyn till EG-direktivet skulle kunna undantas från den nya lagen. Inom den sektorn förekommer det t.ex. ofta stora mängder känsliga uppgifter och uppgifter som har hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför är det särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verk- samhet. Om viss offentlig verksamhet skulle generellt undantas från lagen, finns det risk för att viss behandling inom den sektorn inte kommer att omfattas av någon lagstiftning med motsvarande syfte som den nya lagen. Genom att det krävs en särskild författning för att av- vika från det integritetsskydd som den nya lagen ger, garanteras däremot att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Målet har också varit att myndig- hetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11). Det finns inte anledning att nu avvika från det målet.

Den nya lagen bör således vara generellt tillämplig och omfatta även sådan verksamhet som faller utanför EG-rätten samtidigt som avvik- ande bestämmelser i lag eller förordning skall gälla framför den nya lagen. Detta innebär också att den nya lagen i princip bara bör inne- hålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar.

Såsom Datalagskommittén och flera remissinstanser har påpekat krävs det en anpassning av befintliga registerförfattningar och en översyn av vilka särregler som bör gälla i förhållande till den nya lagen. Vi avser att snarast påbörja ett sådant anpassnings- och översynsarbete.

92

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

Under övergångsperioden fram till den 30 september 2001 då per- sonuppgiftslagen trädde i full kraft antogs ett flertal nya register- författningar som kom till genom den i motiven aviserade över- synen. Vissa av dessa hade en annorlunda utformning jämfört med den som varit vanlig i tidigare registerförfattningar. Denna nya typ av registerförfattning har inte begränsats till att reglera viss person- registerföring utan särreglerar automatiserad personuppgiftsbehand- ling i viss verksamhet alldeles oavsett om den sker i register eller liknande informationssamlingar.

Offentlig verksamhet som inte är registerförfattningsreglerad

Det finns emellertid många myndigheter vars verksamhetsrela- terade personuppgiftsbehandling bara regleras genom personupp- giftslagen och inte särskilt i någon registerförfattning. Hur stor andel av den offentliga sektorns samlade personuppgiftsbehandling som inte är särreglerad är svårt att kvantifiera men så mycket står klart att den ”icke särreglerade” personuppgiftsbehandlingen sammantaget är omfattande.

På det statliga området finns t.ex. en förhållandevis stor mängd förvaltningsmyndigheter, i vart fall mer än hundratalet, som till övervägande del enbart tillämpar personuppgiftslagen i den behand- ling av personuppgifter som verksamheten föranleder. Till den kategorin hör stora myndigheter såsom universitet och högskolor. Visserligen finns särregler om viss registerföring över studieresul- tat, antagningsförhållanden m.m. i förordningen (1993:1153) om redovisning av studier m.m. vid universitet och högskolor, men det är ingen heltäckande författning för den behandling av person- uppgifter som förekommer inom området och som inte bara avser studerande utan också exempelvis forskningspersoner vars person- uppgifter, med eller utan den personens informerade samtycke, används inom ramen för olika forskningsprojekt eller studentarbeten.

Många statliga myndigheter som saknar registerförfattningar är jämförelsevis små men kan behöva hantera ganska känslig informa- tion i sin verksamhet. Inspektionen för vård- och omsorg, som be- driver tillsyn över hälso- och sjukvården och socialtjänsten och till vilken enskilda kan göra anmälningar om klagomål på vården m.m. liksom Ersättningsnämnden, som är tillfälligt inrättad för att han-

93

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

tera vissa anspråk på ersättning för vanvård av fosterbarn, samt Diskrimineringsombudsmannen är exempel på sådana myndig- heter. Exempel på mycket små myndigheter som knappast torde ha anledning att behandla personuppgifter annat än i klart begränsad omfattning är Nämnden för hemslöjdsfrågor och Lagrådet.

På det kommunala området är skolverksamheten ett område som i stort sett saknar särreglering i förhållande till personuppgifts- lagen men som sammantaget medför omfattande personuppgifts- behandlingar. Hit hör både ärendehantering och faktisk verksam- het som skolmyndigheter ansvarar för och som bl.a. sker inom för- skolan, fritidshemmen, grund- och gymnasieskolan och kommunal vuxenutbildning.

Kommunerna är vidare skyldiga enligt lag att bedriva vissa verk- samheter t.ex. rörande stadsplanering och byggfrågor, renhållning, räddningstjänst och biblioteksverksamhet vilka alla föranleder viss personuppgiftsbehandling. Även kommunernas frivilliga verksam- het med kultur- och fritidsverksamhet kan nämnas som exempel på verksamhet där personuppgiftslagen tillämpas fullt ut.

4.2Vår inventering av registerförfattningarna

4.2.1Allmänt

Registerförfattningar förekommer både i form av lag och förordning. Som har framgått har det länge varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå borgar för att det görs en grundlig ut- redning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen. Detta har gällt alldeles oavsett att lagform inte har varit nödvändig från rent normgiv- ningsteknisk utgångpunkt. Det har emellertid framhållits att man inte har varit helt konsekvent vad gäller valet av normgivningsnivån i det översyns- och anpassningsarbete som inleddes i samband med

personuppgiftslagens införande (Öman/Lindblom, s. 33).

Ganska ofta kompletteras en registerlag med en förordning som innehåller utfyllande bestämmelser. Vidare är det inte ovanligt att registerförfattningar innehåller bemyndiganden för utpekade myndig- heter att meddela föreskrifter med närmare bestämmelser i vissa

94

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

frågor eller bestämmelser om undantag i olika avseenden. Myndig- hetsföreskrifter är alltså en tredje förekommande normgivningsnivå.

Vi har i enlighet med uppdraget enligt våra direktiv gjort en översiktlig inventering av gällande registerförfattningar. En inled- ande fråga vi ställde oss var hur många sådana författningar det finns. Den frågan kan förefalla vara enkel att besvara men vi har funnit att så inte är fallet. Svaret är nämligen helt beroende av hur man väljer att avgränsa begreppet registerförfattning, vilket är en komplex fråga. Är det t.ex. en registerförfattning bara därför att en myndighet åläggs att föra ett visst register oavsett om detta inne- håller personuppgifter eller inte eller ska bara författningar med bestämmelser rörande ett register där vissa personuppgifter kan förekomma omfattas av begreppet?

Ett exempel på en svårklassificerad författning är förordningen (2011:93) om stöd till insatser på livsmedelsområdet som föreskriver att Jordbruksverket ska föra ett register över stödmottagare. Det sägs inget om att registret får eller inte får föras elektroniskt och specifika bestämmelser om dataskydd saknas helt. Samma förhåll- ande gäller för det centrala passregistret som Polismyndigheten ska föra enligt passförordningen (1979:664).

Det finns vidare många författningar vars enda inslag av data- skyddsreglering är att ange att personuppgiftslagens bestämmelser om skadestånd och rättelse gäller även för informationshantering enligt författningen i fråga eller att det föreskrivs ett undantag från personuppgiftslagens grundläggande förbud mot överföring av per- sonuppgifter till tredje land. Det finns också exempel på författ- ningar där det finns enstaka bestämmelser om personuppgifts- behandling, vilka dock inte riktar sig till myndigheter utan till enskilda aktörer, se t.ex. 6 kap. 1–8 §§ lagen (2010:751) om betaltjänster. Vidare finns författningar som innehåller bestämmelser om person- uppgiftsbehandling men som helt saknar reglering av registerföring som sådan.

Av huvudsakligt intresse för vårt arbete är regler om person- dataskydd vid helt eller delvis elektronisk informationshantering hos myndigheter. Vi har därför valt att i vårt arbete låta begreppet registerförfattning omfatta författningar som i något avseende innehåller särbestämmelser i förhållande till eller hänvisningar till personuppgiftslagen alldeles oavsett om författningen i fråga rör registerföring eller inte. Den avgränsningen tycks också stå bäst i

95

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

överensstämmelse med den allmänna uppfattningen rörande vad som numera utmärker en registerförfattning. Enbart det förhållan- det att en viss registerföring regleras i en författning innebär alltså inte att författningen nödvändigtvis är att se som en registerförfatt- ning i nu aktuell mening.

Det är alltså regler av dataskyddsrättslig natur, dvs. bestäm- melser som avser att skydda enskildas personliga integritet, och som är föranledda av ett behov av att avvika från eller komplettera det integritetsskydd som personuppgiftslagen annars ger som vi haft som främsta urvalskriterium när vi gjort vår inventering. Med detta kriterium omfattas både sådana bestämmelser som syftar till ge författningsstöd åt en personuppgiftsbehandling som inte hade varit tillåten enligt personuppgiftslagen, t.ex. utökade möjligheter att behandla känsliga personuppgifter, eller som syftar till att i för- hållande till personuppgiftslagen begränsa myndigheternas möjlig- heter att behandla personuppgifter t.ex. genom att endast tillåta registrering av vissa slags personuppgifter.

Initialt har vi gått till väga på det viset att vi gjort sökningar i rättsdatabaser med användande av olika sökord för att få fram för- fattningar som kan utgöra särregleringar i förhållande till person- uppgiftslagen. Exempelvis har vi använt sökbegrepp såsom ”$register”, ”$registret”, ”personuppgift$”, ”databas”, ”direktåtkomst”, ”sök- begr$”, gallr$” m.fl. begrepp, för separat sökning eller i kombina- tioner.

Resultatet av våra sökningar bildar en brokig karta av författ- ningar i form av lagar eller förordningar som sinsemellan företer mer eller mindre stora likheter och olikheter, även efter det att alla träffar som helt saknar intresse för utredningsuppdraget sorterats bort. Bland bortsorterade författningar ingår dels sådana som helt saknar bestämmelser om behandling av personuppgifter eller annan reglering av dataskyddskaraktär, dels sådana som enbart reglerar förhållanden hos enskilda aktörer.

4.2.2Tre kategorier registerförfattningar

Vi har valt att sortera de författningar som vi har bedömt vara att betrakta som registerförfattningar i tre någorlunda avgränsade kategorier, nämligen som endera a) renodlade registerförfattningar,

96

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

b) informationshanteringsförfattningar och c) annan reglering med inslag av dataskyddsbestämmelser. Vi har däremot inte sett det som meningsfullt att kategorisera författningarna utifrån normhierarkisk nivå, dvs. som lagar respektive förordningar eller utifrån olika sak- liga verksamhetssektorer exempelvis såsom rörande statlig respek- tive kommunal verksamhet osv. Det ska dock framhållas att våra sorteringskategorier är ganska trubbiga och att många författningar skulle kunna bedömas falla inom mer än en kategori.

Renodlade registerförfattningar

Den första kategorin registerförfattningar utmärks av att tillämp- ningsområdet endast avser inrättandet, förandet och användningen av något enstaka register eller annan bestämd informationssamling. En del sådana registerförfattningar är förhållandevis gamla, ett exem- pel är förordningen (1970:517) om rättsväsendets informations- system, men det tillkommer fortlöpande nya författningar av detta slag. Förordningen (2014:885) om register över vigselförrättare, som förs av Kammarkollegiet, är ett sådant exempel.

Renodlade registerförfattningar handlar ofta om register som enligt statsmakterna ska föras och som ska ha ett visst obligatoriskt innehåll. Genom en sådan registerförfattning åläggs en myndighet att föra ett visst register, registerföringen blir alltså genom författ- ningsregleringen en del i myndighetens uppdrag. Den verksamhets- reglering som registerförfattningen därigenom kan sägas avse kring- gärdas emellertid ofta av dataskyddsreglering som syftar till att garantera enskilda registrerade ett skydd för deras personliga inte- gritet i hanteringen av personuppgifter i samband med register- föringen. Lagen (2001:558) om vägtrafikregister med anknytande förordning är ett exempel härpå. Det finns dock exempel på för- fattningar i denna kategori där anslaget är ett annat genom att det regleras att register får, inte ska, föras eller vad de får innehålla, se t.ex. lagen (1998:543) om hälsodataregister med anslutande för- ordningar för specifika hälsodataregister (t.ex. för Socialstyrelsens patientregister, cancerregister, läkemedelsregister m.fl.). Det hör dock till bilden att det i praktiken oftast tycks vara underförstått att sådana register som det talas om att myndigheter får föra, fak- tiskt också ska föras. Detta kan t.ex. framgå av föreskrifter om

97

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

skyldigheter för andra aktörer att inrapportera vissa uppgifter till den registerförande myndigheten. En skillnad mellan författningar som föreskriver att register ska föras i förhållande till sådana som talar om att register får föras är att de senare normalt har en tyd- ligare prägel av att utgöra dataskyddsreglering snarare än verksam- hetsreglering.

Vi har identifierat uppemot ett 70-tal författningar som vi hän- fört till kategorin renodlade registerförfattningar. I de allra flesta fall är det fråga om förordningar. I de fall sådana författningar har lagform så har i allmänhet åberopats riksdagens och regeringens ställningstagande i början av 1990-talet om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag i syfte att stärka skyddet för de registrerades integritet. Exempel på detta är lagen om vägtrafikregister och lagen (2009:619) om djurskyddskontrollregister (prop. 2000/01:95 s. 55 och prop. 2008/09:143 s. 18 f.). Av nyare datum är lagen (2012:453) om register över nationella vaccinationsprogram (vaccinations- registret). I motiven till den sistnämnda lagen motiverades lag- formen för registret med att det därigenom upprättades ett starkare skydd för hanteringen av data som är av stor betydelse för den personliga integriteten (prop. 2011/12:123 s. 67).

Variationerna inom sorteringskategorin renodlade registerförfatt- ningar är emellertid stora. I ganska många författningar spelar den dataskyddande regleringen inte någon särskilt framträdande roll i jämförelse med den verksamhetsreglering som författningarnas bestämmelser i övrigt ger uttryck för, t.ex. i fråga om anmälnings- eller ansökningsförfaranden och i fråga om att det finns kataloger över vilka uppgifter som ska registreras. Exempel härpå är författ- ningar för de s.k. publicitetsregistren som har till syfte att förse all- mänheten med information om vissa förhållanden, t.ex. rörande aktiebolag, fordon, patent m.m., och där registreringen i sig medför vissa rättsverkningar. Dock är det vanligt att det såvitt avser person- uppgifter finns bestämmelser om registrets ändamål, personupp- giftsansvar, sökbegränsningar, direktåtkomst, utlämnande på medium för automatiserad behandling, rättelse och skadestånd samt gall- ring. Det kan också finnas bestämmelser om t.ex. vilka avgifter som får eller ska tas ut vid utlämnande av uppgifter och handlingar i elektronisk form.

98

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

Ett antal renodlade registerförfattningar har emellertid en tydlig prägel av att i allt väsentligt utgöra en dataskyddsreglering, dvs. där inslaget av verksamhetsreglering m.m. inte dominerar utan där det framgår att syftet med regleringen är att ge mer preciserade eller avvikande bestämmelser i förhållande till personuppgiftslagen. Den nyss nämnda lagen om register över nationella vaccinationsprogram är ett exempel på en sådan författning liksom lagen om hälsodata- register. Andra exempel är lagen om receptregister och lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Denna typ av registerförfattningar ligger till struktur och innehåll relativt nära det vi kallar informa- tionshanteringsförfattningar. En skillnad gentemot informations- hanteringsförfattningarna är dock att registerförfattningar av detta sistnämnda slag genomgående konstruerats så att det uttryckligen anges att personuppgiftslagen gäller i den mån registerförfatt- ningen i fråga inte innehåller avvikande bestämmelser. I register- författningar som främst syftar till att reglera en viss verksamhet, nämligen att bedriva ett visst register, förekommer däremot att förhållandet till personuppgiftslagen inte berörs alls. I sak torde detta dock inte innebära någon egentlig skillnad.

Vissa myndigheters verksamheter är till stor del knutna till och styrda av renodlade registerförfattningar, t.ex. verksamheten hos Lantmäteriet (fastighetsregistret, pantbrevsregistret, lägenhetsregistret m.fl.), Bolagsverket (aktiebolagsregistret, handelsregistret m.fl.) och Transportstyrelsen (vägtrafikregistret m.fl.) För andra myn- digheter är registerförfattningar om förandet av vissa register mindre styrande för verksamheten som helhet, t.ex. för Finansinspek- tionen (insiderregistret, krigsskaderegistret m.fl.) eller Jordbruks- verket (djurskyddskontrollregistret m.fl.). Mellanformer finns där tillämpning av registerförfattningar dominerar delar av en myndig- hets verksamhet såsom t.ex. är fallet med Socialstyrelsens verksam- het med hälsodataregister.

Som tidigare berörts är det inga vattentäta skott mellan de sor- teringskategorier som vi använder oss av. Ett exempel på detta är förordningen (2001:720) om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen. Den reglerar Migrationsverkets, Polismyndighetens, Säkerhetspolisens och utlandsmyndigheternas personuppgiftsbehandling i verksam- het enligt den nämnda lagstiftningen. Förordningen reglerar en

99

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

mycket omfattande personuppgiftsbehandling hos myndigheterna men är enligt sin ordalydelse begränsad till att reglera vissa register, verksamhetsregister samt Migrationsverkets rättsfallsregister, finger- avtrycksregister samt landinformationsregister. Förordningen före- ter emellertid i realiteten starka drag av informationshanterings- författning.

Informationshanteringsförfattningar

Den andra sorteringskategorin började förekomma i samband med personuppgiftslagens införande. Dessa författningar har som över- gripande funktion att utöver eller i stället för personuppgiftslagen särreglera personuppgiftsbehandling i stort inom vissa utpekade verksamheter eller myndigheter. Här handlar det alltså inte bara om att viss registerföring ska eller får ske. Oftast omfattar regleringen såväl registerföring, ärendehanteringssystem eller andra struktu- rerade personuppgiftssamlingar liksom annan slags behandling utan koppling till ärendehanteringssystem, exempelvis behandling i löp- ande text. I och med att tillämpningsområdet är vidare än att enbart reglera personuppgifter i register är det i egentlig mening miss- visande att kalla dem för registerförfattningar men uttryckssättet har levt kvar och kommit att omfatta även denna kategori författ- ningar.

Utmärkande för denna kategori är att de i huvudsak reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för författningens tillämpningsområde. Inte sällan finns dock sär- bestämmelser rörande vissa register, databaser eller gemensamt tillgängliga uppgiftssamlingar som får eller ska finnas i den aktuella myndighetens verksamhet.

Informationshanteringsförfattningar har i allmänhet form av lag som kompletteras av förordningar med närmare bestämmelser. Det finns också fristående förordningar som är att betrakta som informa- tionshanteringsförfattningar. Så är t.ex. fallet när det gäller nu gäll- ande registerförfattningar på domstolarnas område respektive inom åklagarväsendet.

Till kategorin informationshanteringsförfattningar har vi, med bortseende från den brottsbekämpande sektorn, bl.a. hänfört följ- ande författningar.

100

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

Lagen (1998:938) om behandling av personuppgifter om total- försvarspliktiga med förordning, gäller för Totalförsvarets plikt- verk

Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet med förordning

Lagen (2001:182) om behandling av personuppgifter i Skatte- verkets folkbokföringsverksamhet med förordning

Lagen (2001:183) om behandling av personuppgifter i verksam- het med val och folkomröstningar med förordning, gäller för Valmyndigheten

Lagen (2001:184) om behandling av uppgifter i Kronofogde- myndighetens verksamhet med förordning

Lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet med förordning

Lagen om behandling av personuppgifter inom socialtjänsten (2001:454) med förordning, gäller för kommunala myndigheter, Statens Institutionsstyrelse samt enskilda aktörer

De s.k. Veraförordningarna (2001:639–642), gäller för dom- stolarna och hyres- och arrendenämnderna

Lagen (2002:546) om behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten med förordning, gäller för Arbetsförmedlingen

Lagen (2006:469) om behandling av personuppgifter vid Inspek- tionen för arbetslöshetsförsäkringen med förordning

Lagen (2007:258) om behandling av personuppgifter i Försvars- maktens försvarsunderrättelseverksamhet och militära säkerhets- tjänst med förordning

Lagen (2007:259) om behandling av personuppgifter i Försva- rets radioanstalts försvarsunderrättelse- och utvecklingsverk- samhet med förordning

Patientdatalagen (2008:355) med förordning, gäller för kommu- nala och landstingskommunala hälso- och sjukvårdsmyndigheter och andra sorters myndigheter som bedriver hälso- och sjuk-

101

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

vård, t.ex. inom skolhälsovård, Kriminalvården, Försvarsmakten, Statens institutionsstyrelse m.fl. Lagen gäller även för enskilda vårdgivare.

Studiestödsdatalagen (2009:287) med förordning, gäller för Centrala studiestödsnämnden

Förordningen (2011:306) om behandling av personuppgifter i Tandvårds- och läkemedelsförmånsverkets verksamhet i fråga om det statliga tandvårdsstödet

Kustbevakningsdatalagen (2012:145) i den mån lagen avser annat än brottsbekämpning, gäller för Kustbevakningen

Lagen (2012:741) om behandling av personuppgifter vid Insti- tutet för arbetsmarknads- och utbildningspolitisk utvärdering med förordning

Även när det gäller denna sorteringskategori förekommer relativt stora variationer. Något som har varit särskilt omdiskuterat genom åren är att författningarna systematiskt har utformats på olika sätt när det gäller förhållandet till personuppgiftslagen. Även ändamåls- bestämmelser har utformats på olika sätt och begrepp har använts med delvis olika innebörd m.m.

Dock finns även många likheter. Särskilt gäller detta vilka slags frågor som i allmänhet regleras i författningarna, nämligen frågor om tillämpningsområde, varvid det förekommer föreskrifter om att vissa bestämmelser ska gälla även vid hantering av uppgifter om avlidna eller juridiska personer, personuppgiftsansvar, tillåtna ända- mål för dels insamling och myndighetens egen användning av per- sonuppgifter (primära ändamål) dels tillhandahållande av person- uppgifter till externa mottagare (sekundära ändamål), vilka person- uppgifter som får behandlas, betydelsen av den registrerades inställ- ning till behandlingen, sökbegrepp, specifika hanteringsregler för register, databaser eller andra uppgiftssamlingar, säkerhetfrågor så- som begränsningar av tillgången till lagrade personuppgifter, direkt- åtkomst och annat elektroniskt utlämnande, bevarande och gallring samt frågor om rättelse, skadestånd och överklagande. Detaljerings- graden varierar emellertid betydligt. Vissa författningar har mer har karaktären av ramlagar med generella bestämmelser, t.ex. patient- datalagen med anknytande förordning, medan andra har en jäm-

102

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

förelsevis detaljerad reglering rörande bl.a. vilka uppgifter om vilka kategorier av personer som får behandlas, t.ex. lagen om behandling av personuppgifter inom den arbetsmarknadspolitiska verksamheten med anknytande förordning.

På de områden där det finns mer eller mindre heltäckande in- formationshanteringsförfattningar för berörda myndigheters verk- samhet brukar det indirekt av de beskrivna tillämpningsområdena och genom förarbetsuttalanden framgå att myndigheternas personal- och ekonomiadministration inte omfattas av regleringen i fråga. I den verksamheten ska i stället personuppgiftslagen tillämpas. Ett exempel härpå är 1 § studiestödsdatalagen enligt vilken lagen ska tillämpas vid behandling av personuppgifter i Centrala studiestöds- nämndens studiestödsverksamhet. I motiven har beskrivits vad som närmare avses med studiestödsverksamheten. Vidare har angetts att behandling av personuppgifter som sker inom ramen för myndig- hetens interna administration inte omfattas av lagen (prop. 2008/09:96 s. 33 f.).

Det kan ibland förekomma ytterligare särreglering av viss per- sonuppgiftsbehandling inom en myndighet parallellt med sådan mer övergripande särreglering av myndighetens personuppgiftsbehand- ling genom en informationshanteringsförfattning. Exempel härpå är Skatteverkets verksamheter med äktenskapsregistret respektive med identitetskort för folkbokförda i Sverige som omfattas av sär- skilda registerförordningar samt med verksamheten rörande förmedlingen av elektroniska försändelser från myndigheter till enskilda i e-tjänsten Mina meddelanden (förordningen [1987:1022] om äktenskapsregistret, förordningen [2009:284] om identitetskort för folkbokförda i Sverige samt förordningen [2003:770] om stat- liga myndigheters elektroniska informationsutbyte).

Annan reglering med inslag av dataskyddsbestämmelser

Den tredje sorteringskategorin är med vårt synsätt egentligen inte registerförfattningar alls. Till den kategorin hör olika slags författ- ningar som inte syftar till att främst reglera ett visst register eller annan behandling av personuppgifter, utan bara till en mindre del innehåller bestämmelser som rör personuppgiftsbehandling och i den delen utgör särreglering i förhållande till personuppgiftslagen.

103

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

Sådan reglering kan t.ex. gälla förandet av ett visst register. Exem- pel härpå är bestämmelser om viss registerföring i skogsvårdslagen (1979:429), vapenlagen (1996:67), konkurslagen (1987:672), bio- bankslagen (2002:297) och alkohollagen (2010:1622). Det kan också handla om författningar med enstaka undantag från personupp- giftslagens bestämmelser, t.ex. i fråga om förbudet mot att överföra personuppgifter till tredjeland såsom i lagen (2012:318) om 1996 års Haagkonvention. Den lagen hänvisar även till användnings- begränsningar i konventionen ifråga.

Vi har identifierat mer än ett hundratal författningar som hör till denna kategori. Men vi utesluter inte att det finns ytterligare för- fattningar som är av det här slaget. Vi har t.ex. bortsett från sådana författningar som bara i något visst hänseende har relevans för myn- digheters personuppgiftsbehandling t.ex. författningar som före- skriver olika slags uppgiftsskyldigheter eller förfaranderegleringar. En författning av sistnämnt slag är rättegångsbalken som kan sägas innehålla en specifik reglering av dataskyddande karaktär i 27 kap. 24 § som avser bevarande respektive förstöring av upptagningar från hemliga tvångsmedel.

Myndigheter såsom exempelvis Centrala studiestödsnämnden, Försäkringskassan och Pensionsmyndigheten är statistikansvariga myndigheter rörande officiell statistik och har i den verksamheten att följa de särregler om behandling av personuppgifter som följer av lagen (2001:99) om officiell statistik med anknytande förord- ning. Den sistnämnda lagen och förordningen tillhör den kategori författningar som väsentligen utgör verksamhetsreglering men där det finns vissa regler om personuppgiftsbehandling som gäller för statistikansvariga myndigheter. Vad beträffar t.ex. Försäkrings- kassan och Centrala studiestödsnämnden omfattas sakverksamheten av annan särreglering men så är dock inte alltid fallet, t.ex. i fråga om Brottsförebyggande rådet eller Tillväxtverket. Det kan nämnas att det oftast är förutsatt att statistikansvariga myndigheters verk- samhet med den officiella statistiken ska vara en självständig verk- samhetsgren inom sådana myndigheter som bedriver annan huvud- saklig verksamhet än statistikverksamhet.

Lagen (1998:112) om ansvar för elektroniska anslagstavlor kan vidare nämnas i detta sammanhang eftersom den har betydelse för alla myndigheters verksamhet på sociala medier. Bland annat inne- håller lagen särskilda skyldigheter att informera och gallra på myn-

104

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

dighetens egna sociala medier, t.ex. om myndigheten har en inter- aktiv chattfunktion på den egna webbplatsen. Detta torde utgöra en viss särreglering i förhållande till personuppgiftslagen trots att det inte tycks ha varit ett uttalat syfte med lagen. Här kan även nämnas 6 kap. 18 § lagen (2003:389) om elektronisk kommunika- tion enligt vilken den som tillhandahåller en webbplats är skyldig att informera om ändamålen med och inhämta samtycke till använd- ningen av s.k. cookies. Det kravet gäller även för myndigheter.

Kameraövervakningslagen (2013:460) är en generellt tillämplig lag som uttryckligen gäller i stället för personuppgiftslagen – vad avser behandling av personuppgifter i ljud och bild – och som kan bli tillämplig hos alla myndigheter förutsatt att myndigheten be- driver sådan kameraövervakning med övervakningsutrustning som avses i lagen.

Registerförfattningar – ett rörligt rättsområde

Registerförfattningsbeståndet är i hög grad varierande även i det avseendet att det fortsatt tillkommer nya registerförfattningar med särregleringar för olika delar av den offentliga sektorn. Den anpass- ning och översyn av registerförfattningsområdet som vidtogs i samband med personuppgiftslagens införande har inneburit ett om- fattande arbete som kan sägas fortfarande pågå. Det ligger i sakens natur att registerförfattningsbeståndet aldrig kan bli ”färdigt” eftersom den offentliga verksamheten genomgår ständiga föränd- ringar.

Bland registerförfattningar som införts parallellt med vårt utred- ningsarbete kan nämnas lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa med anknytande förordning. Denna författning hör till kategorin ren- odlade registerförfattningar. Under år 2014 har vidare några för- fattningar beslutats vari bestämmelser om vissa myndigheters per- sonuppgiftsbehandling införts, nämligen lagen (2014:51) om infra- strukturavgifter på väg, som gäller viss registerföring m.m. hos Transportstyrelsen, och lagen (2014:105) om insyn i finansiering av partier, som medger Kammarkollegiet möjlighet att behandla käns- liga personuppgifter som lämnats i en intäktsredovisning eller som annars är nödvändiga för att Kammarkollegiet ska kunna fullgöra

105

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

sina skyldigheter enligt lagen. Dessa båda sistnämnda lagar tillhör det slags författningar som vi kategoriserar som annan reglering med inslag av dataskyddsbestämmelser.

Som exempel på pågående lagstiftningsarbete kan nämnas 2014 års utlänningsdatautredning (Ju 2014:11) som har i uppdrag att ut- arbeta förslag till en lag om behandling av personuppgifter i verk- samhet enligt utlännings- och medborgarskapslagstiftningen som ska ersätta förordningen (2001:720) om behandling av personupp- gifter i verksamhet enligt utlännings- och medborgarskapslagstift- ningen (dir. 2014:76).

4.3En problembeskrivning

4.3.1Tidigare kritik

De särskilda registerförfattningarna har på olika sätt kritiserats under ganska lång tid. Kritiken har riktats både mot systemet med register- författningar som sådant och mot brister i författningarnas kon- struktion, val av begreppsapparat m.m. I våra direktiv anges som en bakgrund till vårt uppdrag att se över registerlagstiftningen att en sådan översyn har efterlysts av bl.a. flera utredningar. I det följande presenteras vissa synpunkter som har framförts tidigare i olika sammanhang.

Toppledarforum

Redan på datalagens tid påtalade Toppledarforum – ett samarbets- organ som under mitten av 1990-talet sysslade med verksamhets- utveckling i offentlig verksamhet med stöd av informationsteknik – att systemet med registerförfattningar medförde vissa problem. Bland annat anfördes att författningsmetodiken var ologisk, om- ständlig och tidsödande. Vidare framhölls att systemändringar även av detaljkaraktär, t.ex. på grund av ändringar i en verksamhet eller den tekniska utvecklingen, ofta måste föregås av ändringar i register- författningar, vilket tar tid och kräver resurser inom riksdag, rege- ringen och den berörda myndigheten. Angelägna projekt försenas eller blir inte av. Behovet av befintliga registerförfattningar borde därför omprövas och nya registerförfattningar enligt den gamla

106

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

modellen borde inte införas, även om undantag kunde tänkas för mycket speciella verksamheter såsom säkerhetspolisen och delar av sjukvården (Toppledaforum, LEXIT – förstudie, 1995 s. 37 f.).

Massmedia

Journalistförbundet har i en framställan till regeringen (Ju2006/4517/L6) anfört att den omfattande regleringen i register- författningar medför att undersökningar av stora material försvåras eller omöjliggörs, vilket hotar medias möjligheter att granska hur makten utövas och förvaltas. Framställan gjordes bl.a. mot bakgrund av förbundets egen utredning Registerlagarna – den absoluta sekre- tessen (2006-04-19). Enligt förbundet är det främst registerförfatt- ningarnas bestämmelser om sökförbud och begränsningar i fråga om utlämnande på medium för automatiserad behandling som har dessa effekter.

Offentlighets- och sekretesskommittén

I sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) berörde Offentlighets- och sekretesskommittén förhållandet mellan sekre- tesslagstiftningen och förekomsten i registerförfattningar av bestäm- melser om tillåtna ändamål för personuppgiftsbehandlingen. Enligt kommittén finns det oklarheter angående sambandet mellan register- författningar och den s.k. finalitetsprincipen enligt dataskydds- direktivet när det gäller uppgiftslämnande mellan myndigheter.

Integritetsskyddskommittén

Integritetsskyddskommittén kritiserade registerförfattningarna på ett antal punkter i sitt delbetänkande Skyddet för den personliga integriteten (SOU 2007:22 s. 461 f.). Bland annat pekade kom- mittén på att den reformering av registerförfattningarna som har skett efter personuppgiftslagens ikraftträdande har skett utan egent- lig samordning. Skiftande lagstiftningsteknik har använts för att reglera registerförfattningarnas förhållande till personuppgiftslagen. Det förekommer att olika begrepp används för att beskriva samma

107

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

företeelser. Exempelvis används begreppet databas i en del författ- ningar, medan man i andra har hållit fast vid det sedan tidigare etablerade begreppet register. Det förekommer dessutom att samma begrepp används i olika betydelser i skilda författningar, t.ex. begreppet direktåtkomst som inte alltid avser utlämnande på elek- troniskt medium. Vidare har skilda tekniker använts för att be- skriva de ändamål för vilka verksamheten, och därigenom behand- lingen av personuppgifter, bedrivs. I en del registerförfattningar har ändamålen delats upp i primära och sekundära registerförfattningar där de sistnämnda syftar till att bl.a. beskriva de ändamål för vilka uppgifter får lämnas ut från den aktuella verksamheten. Detta har i sin tur medfört att oklarheter har uppstått bl.a. om hur sådana bestämmelser förhåller sig till finalitetsprincipen. Dessa brister i samordning och enhetlighet har lett till oklarheter i tillämpningen och svårigheter att överblicka regelverket, vilket i sin tur innebär en risk för onödiga integritetsförluster.

Kommittén framhöll också att i den mån det finns bestämmelser i en registerförfattning som inskränker integritetsskyddet borde det framgå av reglerna vari inskränkningen består och hur stor den är. Så är dock inte alltid fallet. Ett exempel på detta var regleringen av direktåtkomst.

Enligt kommitténs sammanfattande analys skulle skyddet för den personliga integriteten väsentligt förbättras om registerförfatt- ningarna utformades enhetligare, tydligare och mer i överensstäm- melse med sekretesslagstiftningen.

2005 års informationsutbytesutredning

Även 2005 års informationsutbytesutredning riktade i sitt betänk- ande Utökat elektroniskt informationsutbyte (SOU 2007:45) kritik mot registerförfattningarna. Utredningen konstaterade att register- författningarna bör ses över för att skapa förutsättningar för ett samordnat och enhetligt regelverk som främjar utvecklingen av elektronisk förvaltning och minskar riskerna för oacceptabla intrång i den personliga integriteten. Utredningen anförde bl.a. följande (a. bet. s. 394).

Begreppsbildningen på området är oklar och framtagen under en tid av helt andra och mer begränsade möjligheter till elektroniskt informa- tionsutbyte. Dessa förhållanden skapar onödiga hinder för utveck-

108

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

lingen. Enligt vår mening är det en avgörande förutsättning för ett väl fungerande elektroniskt informationsutbyte och elektronisk förvaltning överhuvudtaget att det finns ett samordnat regelverk med enhetlig struktur för alla myndigheter, utan otydliga begrepp och andra onödiga hinder för önskvärd utveckling. Även från integritetsskyddssynpunkt medför den bristande strukturen i författningarna och den oklara begreppsbildningen tillämpningssvårigheter som innebär ökade risker för oacceptabla intrång i den personliga integriteten.

E-delegationen

E-delegationen föreslog i delbetänkandet Strategi för myndigheter- nas arbete med e-förvaltning (SOU 2009:86) att regeringen skulle tillsätta en utredning med uppdrag att göra en översyn av register- författningarna och lämna förslag till bestämmelser som är samord- nade, enhetliga och tydliga och där det ingår att lämna förslag till hur regelkonflikter inom register- och sekretesslagstiftningen ska lösas. En sådan reform av registerförfattningarna krävs, påpekade E-delegationen, för att möjliggöra en utveckling i riktning mot en flexibel e-förvaltning. E-delegationen framhöll att i en elektronisk förvaltning måste olika intressen balanseras mot varandra, nämligen intresset av effektivitet, integritet och öppenhet. Dessa tre begrepp borde enligt E-delegationen vara ledord för översynen av register- författningarna (a. bet. s. 65 f.).

E-offentlighetskommittén

E-offentlighetskommittén hade bl.a. i uppdrag att överväga om det i sekretesslagstiftningen eller i annan lag skulle införas en skyldig- het för myndigheter att lämna ut elektroniskt lagrade allmänna hand- lingar i elektronisk form. I sitt slutbetänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) gjorde kommittén bedömningen att det befintliga regelverket till skydd för den personliga integriteten i samband med utlämnande av all- männa handlingar inte säkerställer en godtagbar skyddsnivå i fråga om intrång i enskildas personliga integritet vid ett införande en elektronisk offentlighetsprincip. Den främsta orsaken till det var, menade kommittén, de brister som finns inbyggda i det omfattande regelverk som registerförfattningarna utgör (a. bet. s. 15 f. och 290 f.).

109

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

Det var framför allt två slags brister som påtalades. För det första konstaterade kommittén att registerförfattningars sökbegränsningar i vissa fall inte utformats på sätt som gjorde att de träffas av den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF trots att avsikten torde ha varit att så skulle ske. De begränsningar som finns var dessutom svåra att överblicka. För det andra fann kommittén ett flertal brister eller oklarheter i registerförfattningars bestämmelser om utlämnande av allmänna handlingar i elektronisk form, i den mån sådana alls förekom. Enligt kommitténs bedömning fanns det troligen många fall där förbud mot elektroniskt utlämnande inte har ansetts motiverat, eller helt enkelt förbisetts, men där det i specifika fall inte borde ske utlämnande i elektronisk form (a. bet. s. 293). I övrigt instämde kommittén med de kritiska påpekanden som framförts av bl.a. Integritetsskyddskommittén och framhöll för egen del det angelägna i en allmän översyn av gällande register- författningar och av begreppsbildningen på området för att komma till rätta med de problem som regleringen innebär.

4.3.2Några ytterligare iakttagelser

Vi återkommer i det följande till redan påtalade specifika problem liksom till problem som vi själva iakttagit och som hänger samman med den befintliga registerförfattningsregleringen.

Vi vill emellertid redan här framhålla att vår inventering av gäll- ande registerförfattningar och vårt övriga arbete – bl.a. i form av kontakter med olika myndigheter och enskilda aktörer – har bekräftat bilden av registerlagstiftningen som ett svåröverblickbart och frag- menterat rättsområde. Redan begreppet registerförfattning, oavsett hur det avgränsas, är tvetydigt. Det som avses utgörs av en täm- ligen brokig samling författningar som spänner över disparata verk- samhetsområden inom hela den offentliga sektorn.

Komplexiteten i regleringen är generellt sett hög, vilket bl.a. be- ror på att registerförfattningsregleringen bara är en del av det regel- verk som styr en myndighets informationshantering. Parallellt med registerförfattningar måste myndigheterna även följa 2 kap. TF, sekretesslagstiftningen liksom förvaltningslagen, arkivlagstiftningen samt annan generell eller myndighetsspecifik reglering som direkt eller indirekt har betydelse för informationshanteringen. Som an-

110

SOU 2015:39

Registerförfattningar – ett komplext rättsområde

förs i våra direktiv är det för effektiviseringen av förvaltningen med hjälp av modern informationsteknik viktigt dels att respektive regel- verk är väl genomtänkt och så enkelt som möjligt att tillämpa, dels att dessa regelverk är förenliga med varandra. Det är emellertid uppenbart att en anpassning till andra parallella och för informa- tionshanteringen centrala regelverk inte alltid getts tillräcklig upp- märksamhet i lagstiftningsarbetet. Resultatet är bl.a. förekomsten av överlappningar och verkliga eller uppfattade motstridigheter i regleringen vilket medför risk för tillämpningsproblem. Det upp- levs dessutom förekomma glapp i regleringen utifrån de behov av informationshantering som finns, vilket leder till osäkerhet och därmed knappast främjar servicen eller effektiviteten i förvalt- ningen. Det sagda gäller både myndighetsintern informations- hantering och vid olika slags informationsutbyten.

Komplexiteten i registerförfattningsregleringen beror emellertid också på inkonsekvenser i regeltekniska strukturer och begrepps- användning m.m. Samarbeten som myndigheterna åläggs av stats- makterna kan försvåras av olikheter i registerförfattningar som inte är, eller i vart fall inte förefaller vara, kompatibla med varandra.

Till detta kommer att den befintliga regleringen – som alltså är svåröverskådlig redan för lagstiftare och tillämpare – för den en- skilde registrerade torde framstå som i det närmaste ogenom- tränglig. Möjligheten för den enskilde att kunna förstå vilka data- skyddsregler som styr informationshanteringen av uppgifter om honom eller henne hos respektive myndighet är central. Överskåd- lighet och begriplighet är viktiga komponenter för enskilda regi- strerade som vill göra gällande sina rättigheter enligt det dataskydds- rättsliga regelverket. Även i detta avseende finns uppenbara brister.

Den splittrade och ibland inkonsekventa regleringen försvårar också för allmänheten att sätta sig in i vad som gäller på olika områden, vilket är särskilt olyckligt när det handlar om utövandet av den grundlagsskyddade rätten till insyn i myndigheternas all- männa handlingar. Vi har t.ex. erfarit att det är ett problem vid s.k. vidareutnyttjande av offentlig information att det splittrade sättet att reglera myndigheters registerföring gör att det krävs resurser att sätta sig in i nya förutsättningar varje gång en ny myndighet ska kontaktas.

Utöver de problem med registerförfattningar som beskrivits ovan har vi i vårt arbete kunnat konstatera att det finns en särskild

111

Registerförfattningar – ett komplext rättsområde

SOU 2015:39

problembild som hör samman med att den allmänna regleringen i personuppgiftslagen har utformats utan närmare hänsyn till de för- hållanden som gäller för myndigheternas personuppgiftsbehand- ling. Personuppgiftslagen är väsentligen utformad som en civilrätts- lig reglering. För myndigheter i allmänhet, alltså inte bara sådana som omfattas av särskild registerförfattningsreglering, präglas person- uppgiftsbehandlingen emellertid av att den sker i författnings- reglerade verksamheter med skyldigheter för myndigheterna och rättigheter för enskilda. Personuppgiftslagen är dock – med vissa undantag – i grunden inte anpassad till detta.

112

SÄRSKILDA FRÅGOR

5Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

5.1Problembild enligt direktiven och utredningens delbetänkande

5.1.1Direktiven

Vi ska överväga om det finns skäl att i registerförfattningar behålla åtskillnaden mellan olika former av elektroniskt utlämnande. Som bakgrund till uppdraget i denna del anförs bl.a. följande i våra direktiv. Den tekniska utvecklingen har inneburit att det numera finns be- tydligt fler sätt att överföra uppgifter elektroniskt än tidigare och att nya åtkomstmetoder alltjämt tillkommer. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utläm- nande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfatt- ningarna och utöver nu nämnda begrepp förekommer andra, t.ex. ”elektronisk åtkomst”.

5.1.2Utredningens bedömning i delbetänkandet

I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) uttalade vi att det står klart att begreppsapparaten vad av- ser reglering i registerförfattningar av elektroniska utlämnande- former måste bli tydligare och vara enhetlig (s. 212 f.). Det finns således ett behov av reformer på området. Vi föreslog inte någon grundlagsändring i delbetänkandet i syfte att undanta överskotts- information vid direktåtkomst från begreppet allmän handling.

115

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Därför var det inte påkallat att redan i delbetänkandet, innan vårt arbete med en samlad översyn av registerlagstiftningen var klart, göra några slutgiltiga ställningstaganden eller lägga fram några kon- kreta förslag till ny regleringsmodell på området. Vi avsåg därför att återkomma till frågan i slutbetänkandet.

5.2Nuvarande regler som i allmän mening styr uppgiftsutbyte mellan myndigheter

5.2.1Samverkan enligt förvaltningslagen

Enligt 6 § FL, ska varje myndighet lämna andra myndigheter hjälp inom ramen för den egna verksamheten.

Ytterligare bestämmelser om samverkan mellan förvaltnings- myndigheter under regeringen finns i 6 § myndighetsförordningen (2007:515). Enligt stadgandets andra stycke ska en myndighet verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet. Vidare sägs i tredje stycket att myndigheten ska tillhandahålla infor- mation om myndighetens verksamhet.

Utrymmet för samverkan mellan myndigheterna enligt de ovan nämnda bestämmelserna påverkas av innehållet i annan lagstiftning, exempelvis regler om sekretess. En samverkan får inte heller ta sig sådana former att de medverkande myndigheternas olika funktioner blandas samman och inte klart kan urskiljas (se JO 1993/94 s. 458).

5.2.2Offentlighets- och sekretesslagen

I offentlighets- och sekretesslagen finns flera regler som påverkar möjligheterna för myndigheter att utbyta uppgifter med varandra. I vissa fall innebär dessa regler också rättigheter respektive skyldigheter för myndigheter vid sådant utbyte. Nedan redogörs för de regler i offentlighets- och sekretesslagen som har betydelse för ett uppgiftsutbyte, nämligen bestämmelser om informations- skyldighet, sekretess mellan myndigheter, i vilka fall sekretess bryts och överföring av sekretess.

116

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

Informationsskyldighet mellan myndigheter

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Bestämmelsen kan ses som en precisering av myndigheters skyldighet att samverka enligt 6 § FL. Den skyldighet att lämna information till andra myndigheter som bestämmelsen föreskriver avser varje uppgift som myndigheten förfogar över och alltså inte bara uppgifter ur allmänna handlingar. Skyldigheten är således mer vidsträckt än den som gäller gentemot allmänheten (Lenberg m.fl., kommentaren till 6 kap. 5 §).

I vissa fall kan en mer långtgående skyldighet att lämna upp- gifter gälla gentemot andra myndigheter enligt särskilda före- skrifter, s.k. sekretessbrytande bestämmelser (jfr 10 kap. 15 § och 28 § första stycket).

Sekretess mellan myndigheter

Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller en- ligt den lagen inte röjas för andra myndigheter, om inte annat anges i den lagen eller i lag eller förordning som lagen hänvisar till.

Av 8 kap. 2 § följer att vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestäm- melser om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, gäller också mellan olika verk- samhetsgrenar inom en myndighet när de är att betrakta som själv- ständiga i förhållande till varandra.

Bestämmelsen har sin motsvarighet i 2 kap. 8 § TF om när en handling blir allmän när den överlämnats mellan organ inom samma myndighetsorganisation. Det avgörande är även i detta fall att organen uppträder som självständiga i förhållande till varandra.

Frågan om när organ eller verksamhetsgrenar inom samma myn- dighetsorganisation är att betrakta som självständiga i förhållande till varandra kan vara svårbedömd. Den har diskuterats både i lagstiftningsarbetet (se exempelvis prop. 2007/08:126 s. 162 f. om kommunal hälso- och sjukvård) och i rättspraxis (HFD 2013 ref. 40) samt inom ramen för JO:s tillsyn (se exempelvis JO 1995/96 s. 431

117

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

om stöd och service till funktionshindrade kunde ses som en själv- ständig verksamhetsgren i förhållande till socialtjänsten).

Sekretessbrytande bestämmelser

Enligt 12 kap. 2 § andra stycket OSL kan en enskild helt eller delvis häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i den lagen. I 10 kap. 1 § samma lag erinras om att sekretess till skydd för enskild alltså inte hindrar att en uppgift lämnas till en annan enskild eller en myndighet, om den enskilde samtycker till det.

Av 10 kap. 2 § OSL följer att sekretess inte hindrar att en upp- gift lämnas till en enskild eller en annan myndighet, om det är nöd- vändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen bör tillämpas restriktivt (prop. 1979/80:2 Del A s. 465 och 494). Avsikten är inte att rena effektivitetsskäl ska utgöra tillräckliga skäl att bryta sekretessen. Det är ett behov hos den utlämnande myndigheten som kan utgöra skäl att bryta sekre- tessen, däremot inte att den mottagande myndigheten behöver uppgiften för sin verksamhet.

I 10 kap. 27 § OSL finns en bestämmelse, den s.k. general- klausulen, som enbart tar sikte på att i visst fall bryta sekretess mellan myndigheter. Den kan således inte tillämpas vid utlämnande till en enskild. Enligt bestämmelsen får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess har undantagits från bestämmelsens tillämpningsområde (se andra stycket), exempelvis sekretess inom hälso- och sjukvården och socialtjänsten.

Har det i lag eller förordning föreskrivits att uppgifter ”bör” eller ”får” lämnas från en myndighet till en annan, finns det särskild anledning att anse att generalklausulen är tillämplig. Riksdagens eller regeringens föreskrifter med en sådan innebörd bör ju vara grundade på den bedömningen att intresset av att ett uppgifts- utbyte sker har företräde framför sekretessintresset (Lenberg m.fl., kommentaren till 10 kap. 27 §). Även om utgångspunkten är att ett rutinmässigt uppgiftsutbyte ska vara författningsreglerat hindrar inte generalklausulen att sådant utbyte sker även utan stöd av en

118

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

särskild författningsreglering. I de undantagsfall när rutinmässigt uppgiftsutlämnande inte är författningsreglerat men likväl kan an- ses tillräckligt motiverat måste den intresseavvägning som ska göras enligt generalklausulen ske på förhand och behöver inte avse en prövning i enskilda fall (prop. 1979/80:2 Del A s. 326).

Om det finns förutsättningar att lämna ut en sekretessbelagd uppgift med stöd av generalklausulen är den myndighet som för- varar uppgiften enligt 6 kap. 5 § OSL skyldig att lämna ut den.

I 10 kap. 28 § första stycket OSL stadgas att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgifts- skyldighet följer av lag eller förordning.

Det finns inte något konstitutionellt hinder mot att regeringen medger att annars sekretessbelagda uppgifter lämnas mellan myn- digheter eller självständiga verksamhetsgrenar inom en myndighet. I förarbetena till motsvarande bestämmelse i den tidigare sekretess- lagen (1980:100) anfördes att det däremot från saklig synpunkt i vissa fall kan te sig tveksamt att regeringen kan tunna ut en av riks- dagen i lag beslutad sekretess till skydd för enskilda genom före- skrifter som medger att information lämnas från en myndighet till en annan eller mellan självständiga verksamhetsgrenar inom en myndighet (a. prop. s. 322). Regeringen kan dock inte genom före- skrifter i en förordning sätta åt sidan bestämmelser i lag som exklu- sivt reglerar uppgiftsutbytet mellan myndigheter.

För att det ska vara fråga om uppgiftsskyldighet i den mening som avses i paragrafen krävs att bestämmelsen i fråga uppfyller vissa krav på konkretion. Den kan ta sikte på utlämnande av upp- gifter av ett speciellt slag, gälla en viss myndighets rätt att få del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information (Lenberg m.fl., kommen- taren till 10 kap. 28 §).

En föreskrift som mera generellt anbefaller samverkan mellan myndigheter är däremot inte av sådant slag att den kan anses ålägga en uppgiftsskyldighet i den mening som avses i paragrafen. Exem- pelvis är bestämmelserna i 6 kap. 5 § OSL och 6 § FL inte av det slaget.

Ytterligare sekretessbrytande bestämmelser som tar sikte på upp- giftsutbyte mellan myndigheter i vissa fall finns också i 10 kap. 15– 26 §§ OSL, bl.a. för brottsbekämpande ändamål.

119

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Överföring av sekretess

När en sekretessbelagd uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Det har emellertid införts bestämmelser om överföring av sekretess inom vissa områden.

Ett exempel på en bestämmelse om överföring av sekretess är 11 kap. 4 § OSL. Där föreskrivs i första stycket att om en myn- dighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptag- ning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Enligt andra stycket ska första stycket inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten.

Bakgrunden till bestämmelsen i 11 kap. 4 § första stycket OSL är att en myndighet som medgetts direktåtkomst kan behöva få teknisk tillgång till fler uppgifter än de uppgifter som myndigheten behöver och därmed har rätt att behandla, s.k. överskottsinforma- tion (prop. 2007/08:160 s. 75).

Av 11 kap. 8 § följer att 4 § inte ska tillämpas om det finns en s.k. primär sekretessbestämmelse som redan är tillämplig på upp- gifterna hos den mottagande myndigheten. Vi har i vårt delbetänk- ande Överskottsinformation vid direktåtkomst (SOU 2012:90) före- slagit att det ska införas ett andra stycke i 11 kap. 8 §, där det före- skrivs att första stycket inte ska tillämpas på en uppgift som är till- gänglig för en myndighet på sätt som anges i 11 kap. 4 § första stycket och som den mottagande myndigheten enligt lag eller för- ordning inte får behandla.

5.2.3Personuppgiftslagen

I personuppgiftslagen finns inga bestämmelser som direkt tar sikte på uppgiftsutbyte mellan myndigheter. Flera av bestämmelserna i lagen har dock betydelse för i vilken omfattning ett utbyte av per- sonuppgifter mellan myndigheter är möjligt. Både bestämmelserna med grundläggande krav på personuppgiftsbehandling i 9 § och regler om vilka typer av behandlingar som är tillåtna i 10 § och 13– 22 §§ påverkar möjligheterna till sådant utbyte. Dessa krav gäller dock inte enligt det allmänt gällande undantaget i 5 a § – den s.k.

120

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

missbruksregeln – som tar sikte på behandling i ostrukturerat mate- rial. Detta undantag har dock genom en inkonsekvent reglering i särskilda registerförfattningar kommit att gälla för vissa myndig- heter men inte för andra.

5.3Uppgiftsutbyte genom direktåtkomst

5.3.1Begreppet direktåtkomst

Det finns ingen legaldefinition av begreppet direktåtkomst. I tidi- gare registerförfattningar användes begreppet terminalåtkomst. Exempelvis föreskrevs i 10 och 12 §§ i den numera upphävda skatte- registerlagen (1980:343) vilka myndigheter som skulle få ha ter- minalåtkomst till det centrala skatteregistret respektive ett regionalt skatteregister.

Sedan slutet av 1990-talet används i stället begreppet direkt- åtkomst, eftersom terminaler hade kommit att användas alltmer sällan och begreppet terminalåtkomst därför ansågs föråldrat (se t.ex. prop. 1997/98:97 s. 88). Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen (se bl.a. prop. 2009/10:85 s. 168). I begreppet ligger också att den som är personuppgifts- ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2011/12:45 s. 133). Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte något beslut om utläm- nande av de uppgifter som den som har direktåtkomst tar del av i varje enskilt fall.

I förarbetena till 11 kap. 4 § OSL, som alltså reglerar överföring av sekretess vid direktåtkomst, uttalade sig regeringen om hur direkt- åtkomst bör definieras (prop. 2007/08:160 s. 164). Med en sådan åtkomst avsågs enligt regeringen att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv ut- nyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

121

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Högsta förvaltningsdomstolen fann i rättsfallet HFD 2011 ref. 52 att det förhållandet att handlingar i en databas gjorts tekniskt tillgängliga för en annan myndighet för bl.a. statistikframställning innebar att handlingarna måste anses expedierade i den mening som avses i 2 kap. 7 § TF. Av rättsfallet framgår att det är själva till- gången till handlingarna som innebär att de anses expedierade till den andra myndigheten. Huruvida den myndigheten i något kon- kret fall faktiskt hade använt sig av tillgången har således inte någon betydelse för bedömningen av om handlingarna var att anse som expedierade.

Den i rättsfallet aktuella begäran om att få ta del av allmänna handlingar gällde uppgifter som förts in i databasen från en myn- dighet. Frågan var om uppgifterna ingick i allmänna handlingar hos den myndigheten. Högsta förvaltningsdomstolen hade inte anled- ning att uttala sig beträffande frågan om det också var en allmän handling hos den mottagande myndigheten. Av domstolens slut- sats att handlingarna gjorts tillgängliga för den myndigheten på ett sådant sätt att de hade expedierats, följer emellertid att de därmed är att anse som förvarade hos den mottagande myndigheten i den mening som avses i 2 kap. 3 § andra stycket TF.

Den omständigheten att direktåtkomst till en viss mängd upp- gifter innebär att de handlingar i vilka uppgifterna ingår anses expedierade till den mottagande myndigheten medför alltså i sin tur att handlingarna är att anse som förvarade, och därmed också som huvudregel som inkomna, hos den myndigheten i den mening som avses i 2 kap. 3 och 6 §§ TF. Handlingarna utgör genom direkt- åtkomsten således allmänna handlingar även hos den mottagande myndigheten. En direktåtkomst till sekretessreglerade uppgifter inne- bär vidare att det krävs en sekretessbrytande regel för att utläm- nandet av uppgifterna inte ska innebära ett brott mot den sekretess som annars gäller.

5.3.2Hur regleras en myndighets direktåtkomst till en annan myndighets informationssamlingar?

Vid vår genomgång av registerförfattningar har det kommit fram att utlämnande i form av direktåtkomst regleras på i huvudsak tre olika sätt. Ett sätt är att i författning beskriva några fall då direkt- åtkomst får medges. Ett exempel på detta förfaringssätt är den

122

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

direktåtkomst som får medges till Skatteverkets beskattningsdata- bas. I 7–8 a §§ lagen (2001:181) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet regleras vilka myndigheter, eller självständiga verksamhetsgrenar inom Skatteverket, som får ha direkt- åtkomst till beskattningsdatabasen. Förutom att föreskriva vilka myndigheter som ”får ha” direktåtkomst, anges också vilka upp- gifter som direktåtkomsten får omfatta. Det anges också att rege- ringen meddelar närmare föreskrifter om vilka uppgifter och hand- lingar direktåtkomsten får omfatta.

I förordningen (2001:588) om behandling av uppgifter i Skatte- verkets beskattningsverksamhet finns i 4–8 §§ bestämmelser om när uppgiftsskyldighet finns i förhållande till uppräknade myndig- heter. I 8 a § erinras vidare om att uppgiftsskyldighet föreskrivs också i vissa omnämnda författningar.

Ett annat sätt är att uttömmande reglera i vilka fall direkt- åtkomst får medges. Denna lagstiftningsteknik har använts exem- pelvis i fråga om socialförsäkringsdatabasen som innehåller person- uppgifter i Försäkringskassans och Pensionsmyndighetens verk- samhet. I 114 kap. 18–23 §§ SFB finns bestämmelser om direkt- åtkomst till socialförsäkringsdatabasen. Av 2 och 5 §§ framgår att socialförsäkringsdatabasen utgörs av den samling av uppgifter som med hjälp av automatiserad behandling används gemensamt för handläggning av förmåner m.m. som utförs av Försäkringskassan och Pensionsmyndigheten.

Enligt 18 § är direktåtkomst till socialförsäkringsdatabasen endast tillåten i den utsträckning som anges i lag eller förordning. I 19– 23 §§ finns därefter bestämmelser om vissa myndigheter eller organ med myndighetsuppgifter som, förutom Försäkringskassan och Pensionsmyndigheten, får ha sådan direktåtkomst och att det gäller i den utsträckning det behövs för särskilt nämnda ärendeslag eller ändamål. Vad gäller ändamålen hänvisas till 8 § där s.k. sekundära ändamål räknas upp, dvs. som tar sikte på tillhandahållande av in- formation som behövs i annan verksamhet än den som bedrivs av Försäkringskassan och Pensionsmyndigheten. I 3–4 §§ förordningen (2003:766) om behandling av personuppgifter i socialförsäkringens administration finns ytterligare föreskrifter om direktåtkomst. Be- stämmelser om uppgiftsskyldighet på socialförsäkringsområdet som knyter an till bestämmelserna om direktåtkomst i 114 kap. SFB finns vidare i förordningen (1980:995) om skyldighet för

123

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter, den s.k. uppgiftslämnarförordningen. Sådana bestämmelser finns också i vissa fall i författningar som gäller den myndighet som medgetts direktåtkomst till socialförsäkringsdata- basen.

Direktåtkomst kan också regleras på det sättet att författningen ger uttryck för när direktåtkomst inte får förekomma, dvs. i form av förbud mot direktåtkomst. Så är fallet med direktåtkomst till personuppgifter inom socialtjänsten. Enligt 11 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten bemyndigas regeringen att meddela föreskrifter om bl.a. direktåtkomst. I 24 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten föreskrivs att Socialstyrelsen får i verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall inte medge andra myndigheter eller enskilda direktåtkomst till person- uppgifter. I övrigt saknas bestämmelser om direktåtkomst. I den nya lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna finns bestämmelser som innebär att vissa myndigheter inte bara får, utan ska, medges direktåtkomst (6 och 7 §§). Att man reglerar direktåtkomsten på ett sådant sätt hör emellertid till undantagen.

Det finns också exempel på att en myndighet har gett en annan myndighet direktåtkomst utan att det särskilt har reglerats. Ett sådant exempel är att Transportstyrelsen, efter samråd med Data- inspektionen, har gett bl.a. Luftfartsverket direktåtkomst till luft- fartsregistret. Det finns ingen särskild registerförfattning som reg- lerar behandling av personuppgifter i det registret, utan i stället gäller personuppgiftslagen. Att registret ska föras framgår dock av 2 kap. 1 § luftfartslagen (2010:500).

5.4Uppgiftsutbyte genom utlämnande på medium för automatiserad behandling

5.4.1Begreppet

Begreppet utlämnande på medium för automatiserad behandling används i registerförfattningar utan att begreppet har getts någon legaldefinition. Uttrycket ”automatiserad behandling” finns i flera paragrafer i personuppgiftslagen, t.ex. 5 §. I den tidigare datalagen

124

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

(1973:289) användes begreppet automatisk databehandling. Vid per- sonuppgiftslagens införande konstaterade Lagrådet att det begrep- pet var väl inarbetat, men att ett sådant uttryckssätt förde tanken till en behandling som sker automatiskt efter en viss händelse eller tidpunkt e.d. oavsett hur behandlingen utförs. I stället borde ut- trycket ”automatiserad behandling” användas. Regeringen instämde i denna bedömning (prop. 1997/98:44 s. 38 f. och 240). Begreppet automatiserad behandling har sedan kommit att användas i de registerförfattningar som tillkommit efter personuppgiftslagens införande. Även i 2 kap. TF används begreppet automatiserad be- handling, i t.ex. 3 och 13 §§ talas om ”upptagning för automatiserad behandling”. Skälet är att man velat ansluta till terminologin i register- författningarna (prop. 2001/02:70 s. 23).

Vad som avses med ett medium för automatiserad behandling som kan användas för utlämnande av information har varierat bero- ende på informationsteknikens utveckling. I äldre förarbeten talades det exempelvis om magnetband, skivminnen eller en handling med visuellt läsbar text, om texten var maskinläsbar och avsikten var att avläsning skulle ske maskinellt (prop. 1979/80:146 s. 48). I senare motivuttalanden anfördes att utlämnande kunde ske genom filöver- föring, på diskett eller på annat sätt med hjälp av automatisk data- behandling (prop. 1995/96:201 s. 31).

Med dagens teknik kan utlämnande av information ske exem- pelvis genom e-post, på ett usb-minne eller genom direkt över- föring från ett datorsystem till ett annat via ett elektroniskt kom- munikationsnät. Vid ett mer omfattande uppgiftsutbyte mellan myn- digheter är det ofta den senare metoden som används.

I studiestödsdatalagen skiljer man på begreppen utlämnanden på medium för automatiserad behandling och utlämnanden via elek- tronisk kommunikation (se 13 §). Med medium för automatiserad behandling avses ett fysiskt medium såsom diskett, usb-minne eller cd-skiva, medan utlämnanden via elektronisk kommunikation tar sikte på exempelvis e-post, sms eller skriftlig dialog i realtid via internet (prop. 2008/09:96).

125

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

5.4.2Hur regleras utlämnande på medium för automatiserad behandling?

Frågan om utlämnande på medium för automatiserad behandling har behandlats på olika sätt i registerförfattningarna. I vissa för- fattningar har man uttryckligen reglerat när ett sådant utlämnande får ske. Ett sådant exempel är utlämnanden från socialförsäkrings- databasen, som regleras i 114 kap. 24 § SFB. Enligt den bestäm- melsen får personuppgifter i socialförsäkringsdatabasen som får lämnas ut till den registrerade lämnas ut till denne på medium för automatiserad behandling. I övrigt får personuppgifter ur data- basen lämnas ut på sådant medium endast om det behövs för något av de ändamål som anges i 8 och 9 §§, dvs. för ett av de där upp- räknade tillåtna ändamålen för att tillhandahålla information – s.k. sekundära ändamål. Ett annat exempel där lagstiftaren har valt att reglera i vilka fall utlämnande på medium för automatiserad be- handling ska vara tillåtet är studiestödsdatalagen (2009:287). Enligt 10 § är elektroniskt utlämnande tillåtet bara i den utsträckning som anges i lag eller förordning. Som ytterligare förutsättningar gäller att bestämmelserna om tillåtna ändamål i 4 § följs. Detsamma gäller bestämmelserna om särskilda begränsningar, samtycke och sök- begrepp i 6–8 §§. Av 13 § följer emellertid att när personuppgifter får lämnas ut till någon genom direktåtkomst, får de också på något annat sätt lämnas ut elektroniskt till mottagaren. Vidare får per- sonuppgifter även i andra fall lämnas ut på medium för automati- serad behandling eller via elektronisk kommunikation i enskilda fall.

I andra författningar saknas det regler om utlämnande på medium för automatiserad behandling. Av förarbetena framgår att man då ansett att en sådan reglering inte är nödvändig för att ett utläm- nande ska kunna ske. Som exempel kan nämnas utlämnanden från beskattningsdatabasen. Enligt 2 kap. 6 § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet får uppgifter i databasen lämnas ut till enskild på medium för automatiserad be- handling endast om regeringen har meddelat föreskrifter om det. För sådant utlämnande till en myndighet saknas däremot regler. Ett annat exempel där det inte bedömts nödvändigt att särskilt reglera utlämnanden på medium för automatiserad behandling för att det ska vara tillåtet är patientdatalagen (2008:355). I lagen har i stället införts en bestämmelse, 5 kap. 6 §, som föreskriver att om en

126

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

personuppgift får lämnas ut, kan det ske på medium för automati- serad behandling. Det uppställda villkoret syftar på att uppgiften inte kan lämnas ut om utlämnandet inte är en tillåten behandling av personuppgifter eller sekretess hindrar utlämnandet (prop. 2007/08:126 s. 77 och 246 f.).

Ett fåtal författningar innehåller förbud mot utlämnanden på medium för automatiserad behandling. Ett sådant exempel är utläm- nanden från passagerarregistret. Enligt 7 § lagen (2006:444) om passagerarregister är det förbjudet att lämna ut personuppgifter ur registret på medium för automatiserad behandling. Bakgrunden till bestämmelsen behandlas inte närmare i förarbetena (prop. 2005/06:129). Det konstateras emellertid att en myndighet som begär att få ut uppgifter ur registret med stöd av den s.k. general- klausulen i 10 kap. 27 § OSL således inte kan få uppgifterna ut- lämnande på medium för automatiserad behandling (a. prop. s. 79).

5.5Den tekniska utvecklingen

5.5.1Tidigare uttalanden om den tekniska utvecklingens betydelse för begreppens innebörd

I våra direktiv anförs att den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elek- troniskt än tidigare och att nya åtkomstmetoder alltjämt tillkom- mer. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad be- handling ska tillämpas på modernare metoder för informations- utbyte.

I prop. 2007/08:160 behandlades frågan om ett utökat elektroniskt informationsutbyte mellan Migrationsverket, Försäkringskassan, Skatteverket, Kronofogdemyndigheterna, Statens Pensionsverk, Centrala studiestödsnämnden, Arbetsförmedlingen, arbetslöshets- kassorna och kommunernas socialnämnder. Regeringen drog här slutsatsen att utgångspunkten för det utökade elektroniska infor- mationsutbytet bör vara att utlämnandet av uppgifter ska ske genom att direktåtkomst medges (a. prop. s. 56 f.). När det gällde utläm- nande som inte sker genom direktåtkomst utan på medium för automatiserad behandling anförde regeringen att den teknik som i dag används för sådan elektronisk informationsöverföring nor-

127

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

malt innebär att data utbyts nattetid och att begärd information skickas från de interna registren till en brevlåda hos den myndighet som ska lämna ut uppgifterna (a. prop. s. 58). Regeringen påpekade att den fördröjning i uppgiftslämnandet som är inbyggd i tekniken innebär en teoretisk möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Sekretessprövningen sker dock i praktiken i samband med att förbindelsen upprättas. Någon ytter- ligare prövning av uppgifterna i samband med utlämnandet sker inte vid överföringar via telenätet, även om det på grund av fördröj- ningen i systemen är teoretiskt möjligt att göra en sådan prövning. Regeringen ansåg att den tekniska utvecklingen har lett till att skill- naderna mellan direktåtkomst och annat utlämnande på automati- serad väg har blivit så små att det kan vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande.

I samma proposition påpekade regeringen vidare att s.k. batch- körningar, som ofta användes för utlämnande på medium för auto- matiserad behandling, har en tidsfördröjning på ett dygn (prop. 2007/08:160 s. 60). Detta innebär att de uppgifter som hämtats in från en annan myndighets system är i vart fall en dag gamla när handläggaren av ett ärende fattar beslut med stöd av dessa.

E-offentlighetskommittén påpekade i sitt betänkande Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4) att den tekniska utvecklingen har fört med sig att gränsen mellan de metoder för utlämnande i elektronisk form som före- kommer i registerförfattningarna i viss mån har suddats ut (s. 366). Kommittén hänvisade i denna del till SAMSET-rapport 2006:1, Elektroniskt informationsutbyte – myndighetsgemensamma rätts- frågor, s. 78 ff.

Vi har i vårt delbetänkande berört frågan om vilka begrepp som används vid elektroniska utlämnandeformer och konstaterade där att begreppet utlämnande på medium för automatiserad behandling i takt med att tekniken utvecklats har getts en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring (SOU 2012:90 s. 198 f.). Med hänvisning till uttalanden i förarbeten nämnde vi som exempel på detta s.k. batch-körningar.

E-delegationens expertgrupp för rättsliga frågor har i en rapport från mars 2012 presenterat en juridisk modell för on-lineliknande utlämnanden som syftar till att inte komma i konflikt med de krav i

128

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

författning som gäller för direktåtkomst, uppfylla erforderliga krav på persondataskydd och informationssäkerhet och inte leda till att överskottsinformation hos mottagande myndighet uppstår. Expert- gruppen anför i rapporten att den snabba tekniska utvecklingen har möjliggjort att nya metoder för utlämnanden av myndighets- information kan innefatta reella och automatiserade kontroller som görs i varje enskilt fall, i likhet med vad som sker vid automati- serade beskattningsbeslut. Enligt expertgruppens bedömning kan ett fullt utvecklat stöd för automatiserade beslut, som leder till reella prövningar och individuella förvaltningsbeslut i varje enskilt fall innan uppgifter lämnas ut, ges en sådan utformning att infor- mationsutbytet inte bör anses utgöra direktåtkomst.

5.5.2Uppgiftsutbyte mellan Försäkringskassan och kommunala nämnder

För närvarande pågår en process i allmän förvaltningsdomstol mellan Försäkringskassan och Datainspektionen där frågan berörs om ett uppgiftsutbyte mellan Försäkringskassan och kommunala nämnder är att anse som direktåtkomst eller utlämnande på medium för automatiserad behandling. Uppgiftsutbytet sker genom datasystemet LEFI Online, som är en automatiserad onlinetjänst som bl.a. ger socialnämnder åtkomst till viss information. Det är en fråga/svars- tjänst med fördefinierade frågor och svar. Mottagaren skickar en frågefil avseende en viss person i taget som innehåller uppgifter om personnummer och efterfrågade förmåner för en viss period. För- säkringskassans it-system hämtar in informationen från olika interna källor och sammanställer ett svar. En behörighetskontroll och två sekretesskontroller genomförs automatiserat under processen. En svarsfil skickas sedan till mottagaren.

I sak rör målet om Datainspektionen, som anser att det upp- giftsutbyte som sker genom LEFI-Online är direktåtkomst, haft fog för ett föreläggande mot Försäkringskassan att upphöra med att ge socialnämnder åtkomst till uppgifter i socialförsäkringsdata- basen till dess att en sådan försäkran som avses i 114 kap. 22 § SFB har hämtats in från socialnämnderna.

I en dom den 19 december 2012 (mål nr 9049-11) fann Förvalt- ningsrätten i Stockholm att det måste vara fråga om ett beslut som baseras på en reell prövning i det enskilda fallet för att det ska vara

129

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

fråga om utlämnande på medium för automatiserad behandling och inte direktåtkomst. Det bör enligt förvaltningsrätten krävas att en sådan prövning inte endast innebär i princip detsamma som en på förhand genomförd prövning vid direktåtkomst till fördefinierade uppgifter. Domstolen instämde därför i Datainspektionens bedöm- ning att det var fråga om direktåtkomst och ansåg att det därmed saknades anledning att invända mot Datainspektionens förelägg- ande.

Försäkringskassan överklagade domen till Kammarrätten i Stockholm, som i en dom den 14 februari 2014 avslog överklag- andet (mål nr 189-13). Som skäl för sitt avgörande anförde kam- marrätten bl.a. följande. För att det ska vara fråga om ett utläm- nande på medium för automatiserad behandling krävs antingen att det är fråga om en s.k. batch-körning eller att utlämnandet baseras på en reell prövning i det enskilda fallet. Med en reell prövning avses att den utlämnande myndigheten i varje enskilt fall gör en sekretessprövning av om uppgifter kan lämnas ut. I målet var det inte fråga om en batch-körning. Vad gällde frågan om en reell sekretessprövning görs vid utlämnande av uppgifterna, framgick av handlingarna i målet att Försäkringskassan inte fattar något indi- viduellt beslut, automatiserat eller inte, för varje enskild begäran. Vid en sammantagen bedömning av de behörighets- och sekretess- kontroller som utförs i systemet LEFI Online av de fördefinierade uppgifterna fann kammarrätten att de inte kan anses tillräckliga för att det ska anses som att det sker ett utlämnande på medium för automatiserad behandling, utan att utlämnandet som sker genom systemet sker genom direktåtkomst.

Försäkringskassan har överklagat kammarrättens dom till Högsta förvaltningsdomstolen som beslutade att meddela prövningstill- stånd den 21 januari 2015 (mål nr 1356-14).

5.5.3Självbetjäningstjänster

En del myndigheter har infört servicesystem som innebär att myn- digheter och enskilda medges en automatiserad tillgång till upp- gifter hos myndigheten som inte är sekretessreglerade, dvs. som inte omfattas av någon sekretessbestämmelse. Ett exempel är att man kan få tillgång till uppgifter i vägtrafikregistret genom själv-

130

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

betjäningstjänster via Transportstyrelsens hemsida. Möjligheten för Transportstyrelsen att medge direktåtkomst till registret är begrän- sad enligt särskilda bestämmelser i lagen (2001:558) om vägtrafik- register och den anknytande förordningen (2001:650). Transport- styrelsen har i en framställan till regeringen den 16 juni 2014 uppmärksammat att det nuvarande regelverket inte ger ett tydligt stöd för de redan befintliga servicetjänsterna och är ett hinder för fortsatt utveckling av dessa (dnr TSV 2014-1642). Myndigheten föreslår därför vissa ändringar i nämnda registerförfattningar, bl.a. att direktåtkomst till enstaka personuppgifter som gäller registrering av fordon, felparkeringsavgifter samt trängselskatt och som inte är integritetskänsliga ska vara tillåtna utan något särskilt medgivande och utan att ändamålen med åtkomsten behöver prövas.

Många myndigheter ger enskilda möjlighet att via en ”allmän- hetens terminal” själva söka i myndighetens diarier och andra infor- mationssamlingar med offentliga uppgifter som myndigheten gjort tillgängliga för sökning i terminalen. En sådan ”allmänhetens ter- minal” kan ses som ett praktiskt sätt att lösa den skyldighet för myndigheten som följer av 6 kap. 6 § OSL och som innebär att en myndighet som huvudregel ska ge enskilda tillfälle att själva an- vända tekniska hjälpmedel för att kunna ta del av myndighetens elektroniska handlingar. Detta sätt att erbjuda enskilda en teknisk möjlighet att direkt hos myndigheten ta del av elektroniska hand- lingar har ibland inte ansetts utgöra direktåtkomst (se t.ex. Ds 2013:10 s. 138). I andra sammanhang har ”allmänhetens termi- nal” emellertid betraktats som direktåtkomst (se t.ex. JK:s beslut den 20 januari 2010, dnr 7004-13-28).

5.6Effektivitetsvinster och integritetsrisker

5.6.1Uppdraget

I våra direktiv sägs att vi mot bakgrund av gränsdragningsproble- matiken i fråga om direktåtkomst och utlämnande på medium för automatiserad behandling ska analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elek- troniskt informationsutbyte.

131

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

5.6.2Effektivitetsvinster

I syfte att effektivisera förvaltningen har riksdag och regering åter- kommande i olika lagstiftningsärenden infört bestämmelser som ska möjliggöra ett utökat elektroniskt informationsutbyte mellan olika myndigheter. En utgångspunkt har därvid ofta varit att det utökade elektroniska utbytet ska ske i form av direktåtkomst. I exempelvis prop. 2007/08:160 s. 56 f. om ett utökat elektroniskt informationsutbyte mellan Migrationsverket, Försäkringskassan, Skatteverket, Kronofogdemyndigheten, Statens pensionsverk, Cen- trala studiestödsnämnen, Arbetsförmedlingen, arbetslöshetskassorna och socialnämnder bedömdes att enbart den föreslagna elektro- niska hanteringen av informationsutbytet mellan Försäkringskassan och Migrationsverket skulle frigöra ca 15 årsarbetskrafter från ett rutinbetonat uppgiftsinhämtande över telefon till mer kvalificerade arbetsuppgifter.

Riksrevisionen har i sin rapport RiR 2010:18 redovisat sin gransk- ning av om möjligheterna till effektivisering har utnyttjats när det gäller informationsutbytet mellan myndigheter med ansvar för trygghetssystem. Enligt Riksrevisionens bedömning hade myndig- heterna inte utnyttjat alla möjligheter som lag och teknik erbjuder. Ett införande av elektroniskt informationsutbyte mellan kommu- ner och myndigheter skulle kunna medföra en årlig nettobesparing på 150 miljoner kronor per år. Granskningen visade att det fort- farande fanns en stor utvecklingspotential i informationsutbytet mellan myndigheterna och att regeringens insatser på området inte hade nått ända fram. Enligt Riksrevisionen utgör den svåröver- skådliga strukturen i lagstiftningen ett hinder för utbytet eftersom den skapar en osäkerhet hos myndigheterna om vilken information som får utbytas. De är vidare svårt att bedöma om det finns restrik- tioner i lagstiftningen när det gäller på vilket sätt det elektroniska utbytet får ske. Modellen med förvaltningsmyndigheter under regeringen och kommunalt självstyre innebar enligt Riksrevisionens bedömning att regeringen behövde bli bättre på att samordna re- surser och att skapa ekonomiska incitament för myndigheterna. Elektroniskt informationsutbyte bör ske enligt gemensam standard så att säkerhet och därmed integritetsskyddet säkerställs i informa- tionsöverföringen. En standardiserad kommunikationslösning bör bygga på modern och kostnadseffektiv teknik.

132

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

Riksrevisionen konstaterade vidare att det fanns exempel på att informationsutbyten inte har blivit av på grund av att myndig- heterna hade problem med att tolka lagstiftningen om hur informa- tion får överföras, men att myndigheterna inte hade informerat regeringen om väsentliga problem med lagstiftning och resurser. En annan anledning till uteblivet informationsutbyte var kommu- nernas bristande samordning. Enligt Riksrevisionens uppfattning har myndigheterna ett gemensamt ansvar för att se till att viktiga informationsutbyten kommer till stånd samt att de bör skapa direktåtkomst för att effektivisera elektroniska utbyten i de fall det är ekonomiskt lönsamt. När det gällde problem i de elektroniska informationsutbyten som myndigheterna redan hade skapat visade granskningen att det förekom att informationen kunde utebli eller innehålla fel. Utbyte av information genom översändningar av batchfiler en gång per dygn medförde vidare en fördröjning av vik- tig information som behövs i handläggningen. Enligt Riksrevi- sionen borde sådana brister i det befintliga elektroniska informa- tionsutbytet kunna åtgärdas genom en uppgradering av de tekniska systemen så att aktörerna får direktåtkomst till informationen.

I sin uppföljningsrapport år 2013 redovisade Riksrevisionen vilka åtgärder som vidtagits efter 2010 års granskning av informations- utbytet mellan myndigheter med ansvar för trygghetssystem. Riks- revisionen konstaterade bl.a. att regeringen i budgetpropositionen för år 2013 delade revisionens slutsats att myndigheternas hand- läggning kan effektiviseras, att regeringen under 2011 och 2012 tillsatt två utredningar med koppling till informationsutbytet (bl.a. Informationshanteringsutredningen), att E-delegationen i betänk- andet Vägen till en effektivare e-förvaltning (SOU 2011:67) tagit fram en juridisk modell för en on-lineliknande åtkomst samt att Sveriges Kommuner och Landsting hade tagit fram ett strategi- dokument i syfte att stödja kommuner och landstings utveckling av e-förvaltning samt skapat ett programkontor med samordnings- ansvar.

I rapporten ESV 2014:2 redovisade Ekonomistyrningsverket sitt regeringsuppdrag att följa upp realiseringen av ekonomiska nyttor från e-förvaltningsprojekten Elektroniska fakturor, Elektroniska beställningar, Elektroniska legitimationer och Säker myndighets- gemensam meddelandeförmedling. Ekonomistyrningsverket redo- visade i rapporten att det inte varit möjligt att sammanställa eko-

133

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

nomiska nyttor från de fyra initiativ som uppdraget omfattat. Den viktigaste orsaken var att initiativen fortfarande befann sig i en genomförandefas. Många myndigheter saknade vidare mätningar för genomförandet. Flera myndigheter hade också lyft fram att det saknades tillräckliga incitament för samverkan över myndighets- gränserna och för att mäta de ekonomiska nyttorna från dessa gemensamma satsningar.

På uppdrag av E-delegationen bedriver Centrala studiestöds- nämnden projektet Effektiv informationsförsörjning. Projektets syfte är att ta fram en tjänst som möjliggör för kommuner att via en anslutning elektroniskt inhämta information från flera myndigheter samt Arbetslöshetskassornas samorganisation. Med den nya tjänsten kommer handläggaren att i stället för manuellt via brev, fax eller telefon kunna inhämta uppgifter från myndigheter och a-kassor på elektronisk väg. Tjänsten sattes i produktion i maj 2014 och bygger på Försäkringskassans befintliga it-tjänst LEFI-Online. Sveriges Kommuner och Landsting kommer att förvalta tjänsten. Utveck- lingen sker i etapper och en pilotverksamhet startade våren 2014.

E-delegationen har utarbetat en vägledning för digital samver- kan (uppdaterad senast i september 2014) som är ett första steg i att stödja organisationer som samverkar vid utveckling av gemen- samma lösningar för informationssystem.

5.6.3Integritetsrisker

Som vi har redovisat i vårt delbetänkande är det ett särskilt problem att s.k. överskottsinformation kan uppstå vid direktåtkomst. Detta beror på att när direktåtkomsten etableras det ofta inte går att av- göra exakt vilka specifika uppgifter i en värdmyndighets informa- tionssamlingar som en mottagarmyndighet kan komma att ha an- ledning att ta del av. En sådan myndighet kan alltså behöva ha tillgång till uppgifter om personer som visar sig aldrig bli aktuella i myndighetens verksamhet. Detta kan redan i sig innebära vissa integritetsrisker. Det kan också få negativa konsekvenser för enskildas personliga integritet att överskottsinformation på detta sätt blir allmän handling hos mottagarmyndigheter redan då den tekniska möjligheten att ta del av informationen etableras.

134

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

En direktåtkomst kan också upplevas utgöra en risk för enskildas integritet i ett mer övergripande perspektiv, eftersom en sådan åt- komst aktualiserar särskilda frågor om informationssäkerhet på grund av att de inblandade aktörernas informationssystem i viss utsträck- ning kopplas samman.

Utlämnanden av personuppgifter i elektronisk form på annat sätt än genom direktåtkomst innebär däremot inte i sig att det upp- står vare sig problem med s.k. överskottsinformation eller sådana säkerhetsrisker som har samband med att informationssystemen kopplas samman. Däremot finns det integritetsrisker förknippade även med sådana former av informationsutbyte som bl.a. innebär att överväganden behöver göras så att information som behöver skyddas kan förmedlas på ett säkert sätt.

5.7Våra överväganden

Bedömning: Direktåtkomst innebär rättsligt att gränsen mellan de uppgiftsutbytande myndigheterna i viss omfattning tas bort, vilket inte är en konsekvens av annat elektroniskt utlämnande. Hur den mottagande myndigheten väljer att använda direkt- åtkomsten har den utlämnande myndigheten inte någon befogen- het att påverka, eftersom de handlingar som omfattas av åtkomsten redan har lämnats ut. Korresponderande sekretessfrågor måste därför vara lösta på förhand liksom behov av sökbegränsningar hos den mottagande myndigheten, vilket kan medföra krav på lagstiftningsåtgärder. Både principiella och rättsliga skäl talar därför för att en åtskillnad mellan direktåtkomst och annat utlämnande i elektronisk form görs.

Vidare utgör varken den tekniska utvecklingen eller effektivi- tetsvinster och integritetsrisker som kan förknippas med olika åtkomstmetoder skäl för att utmönstra den begreppsmässiga åtskillnaden.

Ett sådant utlämnande i elektronisk form som inte är direkt- åtkomst innebär – oavsett på vilket sätt det sker – alltså inte att myndigheternas verksamhet rättsligt sett blandas samman. Något behov av att rättsligt skilja olika sådana former åt finns därför inte.

135

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

I våra direktiv sägs att vi ska ta ställning till om det finns skäl för att i registerförfattningar upprätthålla en skillnad mellan direkt- åtkomst och andra former av elektroniskt utlämnande eller om denna skillnad bör utmönstras. Vi uppfattar vårt uppdrag i denna del som att en analys bör göras av om det i lagstiftningssamman- hang finns anledning att också i fortsättningen skilja på begreppen, dvs. att analysen bör ta sikte på begreppens rättsliga innebörd.

5.7.1Att enbart beskriva direktåtkomst som en form av elektroniskt utlämnande ger en otillräcklig bild av vad åtkomsten rättsligt innebär

Visserligen kan direktåtkomst kort och gott beskrivas som en form av elektroniskt utlämnande. På detta sätt beskrivs begreppen också i flera förarbeten, exempelvis i motiven till studiestödsdatalagen (prop. 2008/09:96 s. 57 f.). Från en principiell och rättslig utgångs- punkt ger den beskrivningen enligt vår mening emellertid en otill- räcklig och alltför begränsad bild av vad en sådan åtkomst innebär. Termen direktåtkomst som sådan beskriver på ett bättre sätt vad det är frågan om, varvid nyckelordet är ”direkt”. Det tar sikte på att den utlämnande myndigheten bildligt talat öppnar sina dörrar för den mottagande myndigheten. Den mottagande myndigheten tillåts träda in innanför dörrarna och själv få, i den omfattning som med- getts, söka fritt i den utlämnande myndighetens informationssam- lingar. Från ett principiellt perspektiv är den omständigheten att åtkomsten är direkt, dvs. att ”dörrarna öppnas”, det mest betydelse- fulla, eftersom det innebär att den utlämnande myndigheten redan vid den tidpunkt då åtkomsten etableras har lämnat ut berörda uppgifter till den mottagande myndigheten. Denna omständighet gör att direktåtkomst är en betydligt mer vittomfattande form av elektroniskt utlämnande än andra sådana former av utlämnanden. Att direktåtkomsten är en speciell företeelse visas av att det uppstår både rättsliga och sakliga konsekvenser som inte uppkommer vid andra former av utlämnanden.

136

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

Konsekvenser såvitt avser allmänna handlingar och sekretess

En rättslig konsekvens är, som framgått ovan (avsnitt 5.3.1), att de upptagningar/handlingar hos den utlämnande myndigheten som direktåtkomsten omfattar blir expedierade i den mening som avses i 2 kap. 7 § TF redan i och med att åtkomsten etablerats, dvs. i den stund då upptagningarna är tekniskt tillgängliga för den mottag- ande myndigheten så att de kan läsas, avlyssnas eller på annat sätt uppfattas. Att en expediering sker innebär att handlingarna är att anse som allmänna både hos den utlämnande och mottagande myn- digheten. Huruvida den mottagande myndigheten genom någon åt- gärd faktiskt har använt sig av direktåtkomsten har ingen betydelse för denna fråga. Genom att åtkomsten etablerats är handlingarna alltså att anse som inkomna till och förvarade hos den mottagande myndigheten.

I och med att den mottagande myndigheten är insläppt och är ”innanför dörrarna” hos den utlämnande myndigheten kan den bland de uppgifter som direktåtkomsten omfattar själv välja om och i så fall vilka uppgifter den vill hämta hem till sina egna informations- samlingar genom någon form av faktiskt överföring för att därefter bearbeta uppgifterna där. Vad myndigheten väljer att göra har den utlämnande myndigheten inte någon rättslig befogenhet att påver- ka, eftersom handlingarna redan har lämnats ut till den mottagande myndigheten i 2 kap. TF:s mening genom att åtkomsten etablerats.

Till detta kommer att om man planerar att en direktåtkomst ska omfatta uppgifter hos en myndighet som är sekretessreglerade, är det nödvändigt att i förväg få klarlagt att åtkomsten är förenlig med den sekretess som gäller för respektive myndighets område. Dessa frågor måste alltså vara lösta innan direktåtkomsten etableras. För det första behöver det bedömas om det finns ett tillfredsställande sekretesskydd för uppgifterna hos den mottagande myndigheten eller om ett sådant skydd behöver införas. Det måste i så fall ske genom reglering i offentlighets- och sekretesslagen, dvs. genom lag. För det andra behöver det bedömas om det finns en sekretess- brytande regel som möjliggör att de sekretessreglerade uppgifterna lämnas ut till den mottagande myndigheten. Om inte, måste även en sådan föreskrift införas. Det kan ske i form av lag eller förord- ning. Eftersom en sekretessbrytande regel ska syfta till att göra direktåtkomsten möjlig måste en sådan regel ta sikte på direkt-

137

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

åtkomsten i dess hela vidd. Eftersom ett utlämnande sker av samt- liga uppgifter som omfattas av direktåtkomsten i det ögonblick åtkomsten etableras, måste den sekretessbrytande regeln alltså möj- liggöra hela detta utlämnande. Det är m.a.o. inte tillräckligt att en sekretessbrytande regel möjliggör ett utlämnande i de enskilda fall då den mottagande myndigheten genom en faktisk överföring använder sig av direktåtkomsten och hämtar vissa av de uppgifter som åtkomsten omfattar. Samtliga uppgifter har ju redan lämnats ut till den myndigheten i och med att direktåtkomsten har etable- rats.

En rättslig konsekvens av en direktåtkomst är alltså att korren- sponderande sekretessfrågor måste vara lösta i förväg, dvs. innan åtkomsten faktiskt etableras, vilket i sin tur i förekommande fall kan kräva författningsändringar.

I underlaget för bedömningen av vilken omfattning en sekre- tessbrytande regel ska ha, dvs. vilka uppgifter som ska lämnas ut genom direktåtkomsten utan hinder av sekretess, torde det i de flesta fall även behöva finnas med en analys av hur direktåtkomsten kan ordnas rent tekniskt. Först när en sådan analys är gjord torde man kunna ta ställning till hur omfattande direktåtkomsten behöver vara för att det planerade uppgiftsutbytet ska vara möjligt.

Konsekvenser såvitt avser behandling av personuppgifter och personuppgiftsansvar

Det finns också anledning att analysera vad en planerad direkt- åtkomst innebär i fråga om vilka behandlingar av personuppgifter som behöver ske samt när personuppgiftsansvaret aktualiseras och vad det tar sikte på. En direktåtkomst innebär att en rad förbered- ande åtgärder behöver vidtas som bl.a. inbegriper behandling av personuppgifter redan innan utlämnandet av uppgifterna sker. Det är en avgörande skillnad i förhållande till ett utlämnande av person- uppgifter på automatiserat medium, som är begränsat till en behand- ling som innebär att uppgifter sänds över elektroniskt till mottag- aren.

Vid en direktåtkomst behöver förberedande tekniska åtgärder vidtas för att direktåtkomsten, när den väl etableras, ska ta sikte på endast de personuppgifter som åtkomsten får omfatta. Det utgör en form av behandling av personuppgifter. Även andra förbered-

138

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

ande åtgärder behöver vidtas som har samband med inblandade myndigheters personuppgiftsansvar, även om de inte i sig innebär en behandling av personuppgifter. Det behöver exempelvis göras säkerhetsanalyser och krävs att eventuella behövliga åtgärder där- efter vidtas för att motverka de risker för myndigheternas informa- tion som kan uppstå på grund av att deras tekniska system, och därmed verksamheter, i viss mån kopplas ihop genom direkt- åtkomsten. Andra förberedande åtgärder som den mottagande myn- digheten behöver ägna sig åt i egenskap av personuppgiftsansvarig är att vidta tekniska och andra åtgärder, t.ex. fördelning av behörig- het och åtkomstbegränsningar, för att säkerställa att endast de tjänstemän som har behörighet att använda sig av direktåtkomsten kommer att kunna göra det och att det kan kontrolleras och följas upp hur åtkomsten används. De inblandade myndigheterna har alltså ett gemensamt ansvar för att de säkerhets- och kontrollfrågor som direktåtkomsten ger upphov till är på ömse håll analyserade och lösta innan direktåtkomsten etableras. Frågor av dessa slag behandlas närmare i avsnitt 10.1.4 och 10.2.5.

När direktåtkomsten väl etableras sker också en behandling av personuppgifter, nämligen att samtliga uppgifter som omfattas av åtkomsten lämnas ut till den mottagande myndigheten genom att de vid etableringen blir tillgängliga för den myndigheten. Det är alltså något annat än den behandling av personuppgifter som sker när uppgifterna rent faktiskt förs över till den myndigheten. I den mån sådana faktiska överföringar sker är det behandlingar som utförs av den mottagande myndigheten när den använder sig av sin direktåtkomst. Det är också den myndigheten som enligt vad vi föreslår ska vara personuppgiftsansvarig för dessa behandlingar, se avsnitt 10.1.4. Detta är också en viktig skillnad i förhållande till hur ett s.k. utlämnande på automatiserat medium går till, då det är den utlämnande myndigheten som genomför och ansvarar för att per- sonuppgifter faktiskt sänds över till den mottagande myndigheten.

En direktåtkomst som är igång innebär att de myndigheter som ingår i uppgiftsutbytet kommer att samtidigt utföra behandlingar av personuppgifter i den informationssamling som genom åtkomsten i viss mån blir gemensam. Både den utlämnande och mottagande myndigheten kommer alltså i olika delar och på olika nivåer att vara personuppgiftsansvariga för behandlingar som utförs. Den utläm- nande myndigheten ansvarar exempelvis för innehållet i databasen

139

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

och för att kontrollera att det är rätt mottagande myndighet som använder direktåtkomsten. Den mottagande myndigheten i sin tur har t.ex. att svara för att det är en behörig handläggare som använ- der sig av åtkomsten för att hämta hem personuppgifter till de egna informationssamlingarna.

Frågor av detta slag kräver i allmänhet inte särskilt författ- ningsstöd för att möjliggöra en direktåtkomst. Av 31 § PuL följer emellertid ett krav på den personuppgiftsansvarige att skydda de personuppgifter som ska behandlas genom åtgärder som ger en lämplig säkerhetsnivå. I samband med direktåtkomst måste alltså ställningstaganden och behövliga åtgärder av detta slag vidtas i förväg på myndighetsnivå. I den enskilde registrerades perspektiv är det vidare av stor vikt att det alltid ska vara tydligt vem som är personuppgiftsansvarig för en viss behandling. Den informationen ska vara lätt tillgänglig för den enskilde registrerade som alltid ska kunna veta vart man ska vända sig för att göra anspråk på sina rättigheter, exempelvis i form av rättelse eller skadestånd.

Konsekvenser såvitt avser användningen av sökbegrepp

Genom direktåtkomst blir den utlämnande myndighetens informa- tionssamlingar i viss omfattning tillgängliga för den mottagande myndigheten på så sätt att den fritt kan söka och föra över upp- gifter för att användas i den egna verksamheten. Dessa aktiviteter sker i den mottagande myndighetens verksamhet och omfattas så- ledes av de regler som gäller för den verksamheten och inte för den utlämnande myndighetens verksamhet. Det innebär vanligtvis att de eventuella sökbegränsningar som styr vilka sökningar och samman- ställningar som kan göras i samband med den utlämnande myndig- hetens behandling av personuppgifter inte gäller för den mottag- ande myndigheten trots att denna genom direktåtkomsten får åtkomst till samma uppgifter. En fråga som därför också behöver analyseras i förväg innan en direkåtkomst medges är om det behövs regler som begränsar användningen av sökbegrepp för att uppnå ett tillfredsställande skydd för personuppgifter även hos den mottag- ande myndigheten. Det är ytterligare en rättslig konsekvens av direkt- åtkomst som inte uppstår i samband med ett utlämnande på medium för automatiserad behandling. I avsnitt 9.4 behandlar vi vilka sök-

140

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

begränsningar som generellt bör gälla vid myndigheters behandling av personuppgifter. Frågan om hur sökbegränsningar bör regleras vid direktåtkomst övervägs närmare i avsnitt 11.3.

Sammanfattning

I samband med direktåtkomst väcks alltså både principiella och rättsliga frågor som har sin grund i att gränsen mellan de uppgifts- utbytande myndigheterna i viss utsträckning tas bort. I förekom- mande fall krävs därför att ny sekretess respektive att en sekretess- brytande regel införs. En annan rättslig fråga är att det behöver övervägas om den mottagande myndighetens användning av de personuppgifter som blir åtkomliga genom direktåtkomst behöver begränsas genom förbud att använda vissa sökbegrepp. Inför eta- bleringen av en direktåtkomst uppstår också ett behov av att in- blandade myndigheter, i egenskap av verksamhets- och personupp- giftsansvariga, analyserar det tekniska genomförandet av åtkomsten samt vidtar förberedande åtgärder bl.a. för att åstadkomma en lämplig säkerhetsnivå på ömse håll. Samtliga dessa frågor, som alltså innebär att åtgärder behöver vidtas i vart fall på myndighetsnivå och eventuellt även av lagstiftaren, måste således vara lösta innan den mottagande myndigheten ”släpps in” hos den utlämnande myn- digheten genom att direktåtkomsten etableras. Detta är en avgör- ande skillnad i förhållande till annat utlämnande som sker genom att uppgifter förmedlas i elektronisk form till mottagaren.

5.7.2Annat utlämnande i elektronisk form ger inte i sig upphov till att särskilda åtgärder behöver vidtas

Vid utlämnanden i elektronisk form som inte sker genom direkt- åtkomst är det hela tiden den utlämnande myndigheten som rätts- ligt förfogar över frågan om och i så fall vilka uppgifter som ska lämnas ut genom att sändas över till den mottagande myndigheten. På detta sätt skiljer sig sådana utlämnanden i principiell mening från direktåtkomst. Bildligt talat kan det sägas innebära att den utläm- nande myndigheten inte släpper in den mottagande myndigheten. Den mottagande myndigheten får i stället vänta ”utanför dörrarna” tills begärda uppgifter lämnas ut.

141

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Konsekvenser såvitt avser allmänna handlingar och sekretess

I och med att den mottagande myndigheten inte släpps in till den utlämnande myndigheten uppstår inget behov av att analysera och eventuellt införa nya sekretessbestämmelser på grund av att gränsen mellan myndigheterna öppnas upp. Utlämnandet är alltså inte av ett sådant ingripande slag att det i sig, såsom vid direktåtkomst, medför ett behov av att i förväg analysera om författningsändringar behövs. Ett utlämnande sker i stället efter att den utlämnande myn- digheten gjort en bedömning med utgångspunkt i de bestämmelser som är tillämpliga i det enskilda fallet. En helt annan sak är att det måhända kan finnas sekretessbestämmelser som kan tyckas i en oönskad utsträckning hindra ett visst uppgiftsutbyte mellan myn- digheter.

Vid ett uppgiftsutbyte mellan två myndigheter som avses ha en någorlunda stor omfattning väcks den mer grundläggande frågan om det behövs regler för att styra huruvida sekretessreglerade upp- gifter rutinmässigt kan lämnas ut till en annan myndighet. Den frågan bör övervägas skild från frågan om på vilket sätt uppgifter kan lämnas ut. Frågorna har emellertid ett samband på det sättet att om det finns behov av ett rutinmässigt uppgiftsutbyte, torde det utbytet kunna effektiviseras genom att utlämnandet sker i elek- tronisk form.

Ett rutinmässigt utlämnande av uppgifter till en annan myndig- het kan regleras på så sätt att det införs en särskild sekretess- brytande regel för de myndigheter som ska utbyta information. Om så inte sker kan ett rutinmässigt utlämnande i stället äga rum med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL, dvs. efter en avvägning mellan intresset av att skydda uppgifterna hos den utlämnande myndigheten och intresset hos den mottagande myn- digheten av att få ut uppgifterna. Det kräver i sig alltså ingen särskild författningsreglering. Bestämmelserna i 10 kap. 27 § OSL bygger emellertid på att ett rutinmässigt utlämnande av sekretess- reglerade uppgifter ska vara författningsreglerat (se avsnitt 5.2.2). Har det i en lag eller författning föreskrivits att uppgifter ”bör” eller ”får” lämnas ut får det antas att lagstiftaren har bedömt att intresset av att uppgifter lämnas mellan myndigheter har företräde framför sekretessintresset. Även om det inte är frågan om en sådan absolut uppgiftsskyldighet som avses i 10 kap. 28 § OSL, torde det

142

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

finnas ett relativt begränsat utrymme för den utlämnande myndig- heten att i en konkret utlämnandesituation göra en annan bedöm- ning. I rättslig mening är det dock den utlämnande myndigheten som förfogar över och beslutar om uppgifterna faktiskt ska lämnas ut. Även vid ett rutinmässigt utlämnande som får stöd i en författ- ningsbestämmelse som föreskriver att uppgifter ”får” lämnas ut, är det alltså den utlämnande myndigheten som hela tiden rättsligt förfogar över frågan om uppgifterna ska lämnas ut.

I den händelse avsikten är att ett rutinmässigt uppgiftsutbyte ska äga rum mellan myndigheter och detta avser sekretessreglerade uppgifter, bör således utgångspunkten vara att uppgiftsutbytet bör komma till uttryck genom föreskrifter i lag eller förordning där det uttrycks att en myndighet ”bör” eller ”får” lämna ut uppgifter till en annan myndighet. Ett sådant behov av en författningsreglering har emellertid, som redan påpekats, inte något egentligt samband med frågan om på vilket sätt utlämnandet avses ske.

Konsekvenser såvitt avser behandling av personuppgifter och personuppgiftsansvar

Ett utlämnande i elektronisk form, som inte sker genom direkt- åtkomst utan genom att uppgifter elektroniskt sänds över till den mottagande myndigheten, medför inte samma krav på att förbered- ande analyser och åtgärder vidtas. Det enda som ska ske rent tek- niskt är att uppgifterna i någon form sänds över från den utläm- nande till den mottagande myndigheten. Några förberedande behand- lingar av personuppgifter behöver alltså inte ske. Det är också endast översändandet som behöver analyseras från säkerhetssynpunkt och det resultatet kan styra i vilken form översändandet bör ske för att inga säkerhetsrisker ska uppstå för vare sig uppgifterna eller myn- digheten. Det kan exempelvis innebära att uppgifter som avses sändas över via e-post bör krypteras.

Den utlämnande och den mottagande myndigheten behandlar inte heller vid något tillfälle de aktuella personuppgifterna samtidigt såsom är fallet vid direktåtkomst. Det uppstår alltså inte heller några frågor om hur personuppgiftsansvaret ska eller bör fördelas vid sådan samtidig behandling.

143

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Konsekvenser såvitt avser användningen av sökbegrepp

Som redan påpekats är ett annat utlämnande i elektronisk form än genom direktåtkomst endast att se som en fråga om på vilket sätt uppgifter ska sändas över från en myndighet till en annan. I sig påkallar alltså inte utlämnandet några överväganden om vilka sök- begrepp den mottagande myndigheten ska få använda då den be- handlar de uppgifter som hämtas in.

Sammanfattning

De frågor som väcks i samband med ett utlämnande i elektronisk form, som inte sker genom direktåtkomst, är väsentligen av annat slag och påkallar normalt sett inte åtgärder från lagstiftaren i det enskilda fallet. De frågor som uppstår begränsar sig till vad som har samband med det som saken rent faktiskt rör, nämligen att på ett eller annat sätt förmedla eller vidaresända personuppgifter elektro- niskt. Några förberedande analyser och åtgärder behöver alltså inte vidtas annat än för att den utlämnande myndigheten ska kunna för- säkra sig om att översändandet sker på ett säkert sätt. De rättsliga frågor som uppstår är vidare av ett mer allmänt slag. Det kan exempelvis röra förvaltningsrättsliga frågor om vem som är behörig att på myndighetens vägnar fatta beslut om utlämnande, motivering av beslut om en begäran helt eller delvis inte bifalls och möjlighet för den myndighet som nekas att få ut uppgifter att överklaga (jfr 6 kap. 7 § andra stycket OSL).

5.7.3Vilken betydelse har den tekniska utvecklingen?

Av 8 kap. 1 § OSL följer att sekretess gäller även mellan myndig- heter. Vidare framgår av 2 § att detsamma gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Dessa bestämmelser innebär att det finns gränser myndigheterna emellan, och vissa fall också inom myndigheterna, som begränsar deras möjligheter att fritt ut- byta sekretessreglerade uppgifter. Att motsvarande gränser i prin- cip gäller även vid överlämnande av handlingar mellan och inom myndigheter på så sätt att ett överlämnande över myndighetsgräns-

144

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

erna innebär att handlingarna anses inkomna och upprättade och därmed som allmänna framgår av 2 kap. 8 § TF.

I rättsfallet HFD 2011 ref. 52 kom alltså Högsta förvaltnings- domstolen fram till att en myndighets tillgång till en annan myn- dighets databas på så sätt att den förstnämnda myndigheten där kunde ta del av uppgifter ”i läsbart skick” innebar att uppgifterna skulle anses expedierade i den mening som avses i 2 kap. 7 § TF och därmed utgöra en upprättad allmän handling. Den omständigheten att den mottagande myndigheten har getts en tillgång som innebär att den kunde läsa uppgifter i databasen innebär i sin tur att hand- lingar hade överlämnats till den myndigheten och därmed finns i dess förvar. Högsta förvaltningsdomstolen använder inte begreppet direktåtkomst, men kan anses indirekt konstatera att en direkt- åtkomst är för handen när det finns en sådan teknisk tillgång som avses i 2 kap. 3 § andra stycket TF. Domstolen får därmed upp- fattas ha bekräftat den definition av direktåtkomst som getts i för- arbetena till 11 kap. 4 § OSL, som reglerar överföring av sekretess vid direktåtkomst. Där anförde regeringen (prop. 2007/08:160 s. 164) att med sådan åtkomst avses att en upptagning är tillgänglig hos den mottagande myndigheten på ett sådant sätt som avses i 2 kap. 3 § andra stycket första meningen TF, dvs. upptagningen ska vara tillgänglig med tekniska hjälpmedel som myndigheten själv ut- nyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Rättsfallet kan också sägas bekräfta det som enligt andra förarbetsuttalanden anses känneteckna en direktåtkomst, nämligen att den mottagande myndigheten har en direkt tillgång till någon annans register eller databas och på egen hand kan söka information och att den utlämnande myndigheten inte har någon kontroll över vad mottagaren vid ett visst söktillfälle tar del av (se t.ex. prop. 2011/12:45 s. 133). Båda dessa omständigheter kan sägas vara ett resultat av att de upptagningar som omfattas av direkt- åtkomsten finns i den mottagande myndighetens förvar i den stund åtkomsten etableras.

De uttalanden som gjorts i förarbetena till 11 kap. 4 § OSL, vilka som vi ser det får anses ha bekräftats i rättsfallet HFD 2011 ref. 52, kan således sägas ge en definition av direktåtkomst, dvs. att en sådan åtkomst är för handen när den mottagande myndigheten har en sådan teknisk tillgång till den utlämnande myndighetens upp- tagningar som avses i 2 kap. 3 § andra stycket TF.

145

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Rättspraxis ger däremot inte något omedelbart svar på hur man bör se på sådana former av elektroniskt utlämnande som ansetts befinna sig i en ”gråzon” mellan direktåtkomst och annat elektroniskt utlämnande, exempelvis s.k. batch-körningar och olika former av fråga/svar-tjänster. De nämnda företeelserna kan sägas vara känne- tecknade av att den mottagande myndigheten har getts en möjlig- het att tekniskt ansluta sig till den utlämnande myndighetens infor- mationssamlingar, men möjligheten att genom en faktisk över- föring hämta hem uppgifter är i någon mening inte direkt. Exem- pelvis sker ett utlämnande av begärda uppgifter först efter en viss tidsfördröjning eller efter att vissa automatiserade kontroller gjorts. Denna typ av omständigheter har ibland ansetts tala för att det inte är frågan om direktåtkomst utan om annat elektroniskt utläm- nande, även om det är fråga om helt automatiserade system för utbyte av uppgifter mellan myndigheter. I den mån så skulle vara fallet, är det alltså endast den mängd uppgifter som överförs i de enskilda fallen som anses utlämnade till och därmed utgör allmänna handlingar hos den mottagande myndigheten. Att den mottagande myndigheten tekniskt sett har ”kopplat upp sig” mot den andra myndighetens uppgiftssamlingar och därigenom getts möjlighet att genom ett tekniskt förfarande begära ut uppgifter skulle vid ett sådant synsätt inte i sig anses innebära något utlämnande av upp- gifter i tryckfrihetsförordningens mening.

Det är alltså inte givet i vilken utsträckning detta slags omstän- digheter har betydelse för frågan om den mottagande myndigheten har en sådan teknisk tillgång till uppgifter som avses i 2 kap. 3 § andra stycket TF, dvs. vad de betyder för frågan om en upptagning är att anse som förvarad hos den mottagande myndigheten genom att den kan läsas, avlyssnas eller på annat sätt uppfattas. Med andra ord står det inte helt klart vilka krav som formuleringen ”läsas, avlyssnas eller på annat sätt uppfattas” innefattar för att en teknisk åtkomst ska anses ”direkt”.

Den tekniska utvecklingen har även inneburit att myndigheterna har utvecklat tjänster som ger enskilda möjligheter att genom ett automatiserat förfarande ta del av myndigheternas informations- samlingar. Som exempel kan nämnas s.k. självbetjäningstjänster via myndigheternas hemsidor. Sådana former av tillgång till myndig- heters uppgifter har ibland inte betecknats som direktåtkomst, trots att det i praktiken knappast kan vara frågan om något annat. En

146

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

möjlig förklaring kan vara att det då är fråga om offentliga upp- gifter medan begreppet direktåtkomst har tenderat att förbehållas de fall där en automatiserad åtkomst kan anses särskilt känslig, t.ex. om en åtkomst tar sikte på sekretessreglerade uppgifter eller av annat skäl anses känslig från integritetsskyddssynpunkt.

Både den rättsliga och den tekniska utvecklingen kan således eventuellt komma att innebära att begreppet direktåtkomst inte kan göras liktydigt med automatiserat uppgiftsutlämnande, utan att begreppet bör ges en snävare innebörd. Oavsett hur denna fråga kan komma att besvaras i praxis kan det konstateras att det ändå kommer att finnas former av uppgiftsutbyte som tveklöst är att betrakta som direktåtkomst. I fråga om sådant uppgiftsutbyte finns det alltså anledning att också i fortsättningen principiellt och rätts- ligt skilja direktåtkomst från andra former av elektroniskt utläm- nande. Det finns också i fortsättningen behov av att skilja på den ingripande form av utlämnande som en direktåtkomst innebär, som principiellt och rättsligt innebär att gränsen mellan de inblandade myndigheterna i viss mån försvinner, från andra elektroniska utläm- nanden som inte har samma ingripande rättsliga konsekvenser och som inte i sig medför att det uppstår rättsliga frågor som måste lösas på förhand. Den tekniska utvecklingen utgör alltså i sig inget skäl för att utmönstra begreppet direktåtkomst.

5.7.4Effektivitetsvinster och integritetsrisker

I flera lagstiftningsärenden som syftat till att utöka informations- utbytet mellan myndigheter har framhållits att utbytet kan effek- tiviseras om utbytet sker elektroniskt och i synnerhet om det sker genom direktåtkomst. Även Riksrevisionen bedömde i sin gransk- ningsrapport från år 2010 (RiR 2010: 18) om informationsutbytet mellan myndigheter med ansvar för trygghetssystem att direkt- åtkomst medförde en större effektivisering än det elektroniska informationsutbyte som vid denna tid redan ägde rum i andra for- mer.

Arbetet med att effektivisera myndigheternas verksamhet genom elektroniskt informationsutbyte har fortskridit och pågår alltjämt, bl.a. genom E-delegationens arbete. Under senare år har nya tek- niska former för sådant utbyte tagits fram som, oavsett om det är

147

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

fråga om direktåtkomst eller inte, innebär effektiviseringar i för- hållande till hur utbytet tidigare ägde rum.

Mot bakgrund av de utredningar som har gjorts i fråga om hur myndigheternas informationsutbyte kan effektiviseras och om eko- nomiska nyttoeffekter av sådana projekt synes frågan om hur den bästa effektiviteten kan uppnås för närvarande inte handla så mycket om vilken elektronisk utlämnandeform som bör väljas utan mer om myndigheternas möjlighet att över huvud taget åstadkomma det informationsutbyte som regeringen eller de själva vill ska ske. Problem med att åstadkomma en önskad effektivisering förefaller till viss del handla om legala förutsättningar för ett visst infor- mationsutbyte, men det kan också handla om brist på resurser i fråga om medel och kompetens samt att nödvändig samverkan inte kan åstadkommas.

En vanlig utgångspunkt är att direktåtkomst antas vara det mest effektiva sättet att utbyta information. Huruvida det också är det mest kostnadseffektiva sättet att utbyta information kan emellertid endast bedömas utifrån omständigheterna i det enskilda fallet. I fråga om ett visst informationsutbyte kan alltså andra former av elektroniskt informationsutbyte än direktåtkomst vara det mest effektiva. Vilken form av elektroniskt informationsutbyte som är mest effektiv, inbegripet ett kostnadsperspektiv, behöver alltså be- dömas utifrån vilket konkret informationsutbyte det handlar om och i vilka former detta sker. Av betydelse är vidare vilken förmåga inblandade myndigheter har att åstadkomma det som faktiskt önskas av dem, det gäller inte minst i form av medel och resurser i övrigt. Till detta kommer att, även i de fall lagstiftaren väljer att i författ- ning reglera ett visst informationsutbyte, det i slutändan regel- mässigt står den enskilda myndigheten fritt att bestämma vilken utlämnandeform som ska väljas inom ramen för befintliga legala och andra förutsättningar.

Enligt vår bedömning går det inte att generellt uttala sig om vilken form av elektroniskt informationsutbyte som är det mest effektiva. Vi ser alltså ingen anledning att från ren effektivitets- synpunkt förorda någon viss metod.

De särskilda integritetsrisker som anses förknippade med direkt- åtkomst har samband med vilka tekniska åtgärder som vidtas för att så långt som möjligt minimera s.k. överskottsinformation, att överväga behovet av sekretesskydd i tillräcklig utsträckning och att

148

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

överväga vilka sökbegränsningar som bör gälla hos den myndighet som tar emot information genom sådan åtkomst. Vi redovisar i avsnitt 11.1 och 11.3 våra överväganden om hur sådana frågor bör regleras. I avsnitt 11.2 finns våra överväganden i frågan om andra elektroniska utlämnanden behöver en särskild reglering för att ge personuppgifter ett tillfredsställande skydd.

Sammanfattningsvis bedömer vi att det kan finnas effektivitets- vinster och integritetsrisker med alla former av elektroniskt utläm- nande. Vilka vinster eller risker som uppstår hör emellertid inte så mycket samman med vilken form som väljs, utan vilket konkret informationsutbyte det är frågan om samt vilka förutsättningar det finns för aktuella myndigheter att över huvud taget välja utläm- nandeform och att åstadkomma det informationsutbyte som till- godoser krav på både effektivitet, även ur ett kostnadsperspektiv, och integritetsskydd. Varken effektivitetsvinster eller integritets- risker utgör således skäl för att utmönstra en åtskillnad mellan olika elektroniska utlämnandeformer eller att förorda att ett elek- troniskt informationsutbyte generellt bör ske i en viss form.

5.7.5Principiella och rättsliga skäl samt krav på förberedande analyser och åtgärder medför behov av en fortsatt åtskillnad

En utgångspunkt för utredningens samtliga överväganden i de rätts- liga frågor som ingår i uppdraget är bl.a. att så långt som möjligt underlätta en mer effektiv förvaltning, dvs. att så långt det är möj- ligt och lämpligt undanröja onödiga legala hinder.

Behovet av att rättsligt upprätthålla gränserna mellan myndigheter

Som har framgått är det med hänsyn till bestämmelserna i 2 kap. TF och offentlighets- och sekretesslagen av stor betydelse att det klargörs att direktåtkomst har omedelbara konsekvenser för frågor som rör myndigheternas gränser, vilken myndighet som förfogar över vilka uppgifter och problemet med överskottsinformation. Samma frågeställningar har också stor betydelse från en rent förvalt- ningsrättslig utgångspunkt. Det är bl.a. av vikt att det alltid står klart vad som hör till den verksamhet som en viss myndighet

149

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

ansvarar för. Att myndigheternas gränser i rättslig mening upprätt- hålls är således ett starkt rättssäkerhetskrav. Det kravet ställer i sin tur krav på inblandade myndigheter att på ömse håll agera i förväg och vidta nödvändiga åtgärder innan en direktåtkomst faktiskt med- ges, bl.a. för att säkerställa att en sådan åtkomst är förenlig med bestämmelser om sekretess.

Direktåtkomst medför krav på förberedande åtgärder ur verksamhets- och personuppgiftsansvarsperspektiv

Direktåtkomst innebär att viss behandling av personuppgifter be- höver ske inför den faktiska etableringen och att inblandade myn- digheter analyserar och löser de särskilda säkerhets- och kontroll- frågor som direktåtkomst från ett dataskyddsperspektiv ger upp- hov till. Även myndighetens personuppgiftsansvar innebär således att det ställs krav på att inblandade myndigheter gör klart för sig vilka åtgärder som behöver vidtas på ömse håll och hur ansvaret fördelar sig mellan dem. Detta utgör också skäl för att behålla en åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande. Hur ett ansvar för skydd av personuppgifter ska fördelas mellan inblandade myndigheter vad gäller de olika åtgärder som behöver vidtas inom ramen för en direktåtkomst är emellertid inte givet. Denna fråga behandlas dock inte vidare här. Vi återkommer till den i kapitel 10.

Varken den tekniska utvecklingen eller effektivitetsvinster eller integritetsrisker utgör skäl för att utmönstra begreppet direktåtkomst

Som framgått anser vi att inte heller att den tekniska utvecklingen som sådan innebär att det finns skäl för att utmönstra begreppet direktåtkomst för att i stället generellt tala om elektroniskt utläm- nande.

Inte heller de effektivitetsvinster eller integritetsrisker som kan uppstå vid olika former av elektroniska utlämnanden utgör skäl för att utmönstra begreppet direktåtkomst.

Direktåtkomst brukar beskrivas som en särskilt känslig form av uppgiftsutbyte, eftersom den anses innebära större risker för den enskildes integritet än då uppgifter lämnas ut efter en bedömning i

150

SOU 2015:39

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

enskilda fall. Vi menar dock att en väl analyserad och förberedd direktåtkomst där man övervägt och löst frågor som rör sekre- tesskydd på ömse håll, vidtagit behövliga säkerhetsåtgärder, begränsat överskottsinformationen samt övervägt frågan om eventuella begräns- ningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga, inte behöver innebära större risker för den enskildes integritet än ett annat elektroniskt utlämnande av personuppgifter.

Vad som däremot kan innebära risker för den enskildes integri- tet i samband med direktåtkomst är att man inte beaktar de särskilda frågor och krav på skydd som den ger upphov till samt att man inte ägnar uppmärksamhet åt frågor som sammanhänger med att myn- digheternas gränser öppnas upp och att därmed inblandade myn- digheters ansvar för både verksamhet, säkerhet och personupp- gifter behöver klargöras. Om man inte behåller en åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande finns det enligt vår mening en risk för att dessa frågor inte får den upp- märksamhet som behövs för att på ett tillfredsställande sätt skydda den enskildes integritet.

Annat elektroniskt utlämnande än direktåtkomst medför inte behov av att klargöra myndigheters förhållande till varandra

Enligt vår uppfattning är det alltså den rättsliga skiljelinjen mellan direktåtkomst och annat elektroniskt utlämnande som är betydelse- full att behålla, eftersom den tydliggör vikten av att det ska stå klart i vilket förhållande de myndigheter som ingår i ett visst uppgifts- utbyte står till varandra. Utan den distinktionen riskerar myndig- heternas respektive ansvar i olika hänseenden att bli otydligt. När det gäller olika former av andra elektroniska utlämnanden, dvs. vad som i dag betecknas som utlämnanden på medium för automati- serad behandling och som innebär att uppgifter i någon form sänds över eller förmedlas elektroniskt, uppstår inte samma behov av att klargöra frågor av det slaget. Ett sådant utlämnande innebär ju inte att myndigheternas verksamhet blandas samman rättsligt sett, oav- sett på vilket sätt uppgifterna distribueras. De skillnader beträff- ande säkerhetsrisker som olika sätt att sända över uppgifter elek- troniskt kan innebära utgör enligt vår mening inte något skäl till att göra någon rättslig åtskillnad mellan dem.

151

Bör en åtskillnad mellan olika former av elektroniskt utlämnande behållas?

SOU 2015:39

Vår bedömning är alltså att det från både principiella och rätts- liga synpunkter finns starkt vägande skäl för att behålla en begrepps- mässig skillnad mellan å ena sidan direktåtkomst och å andra sidan annat utlämnande i elektronisk form. Både principiella och rättsliga skäl samt konkreta krav på förberedande analyser och åtgärder talar med styrka för detta.

Som framgått har vi redan ovan redovisat en viss uppfattning för hur begreppet direktåtkomst bör avgränsas i förhållande till annat elektroniskt utlämnande. Vi återkommer i avsnitt 11.1 och 11.2 till hur begreppet direktåtkomst bör definieras och hur en generell reg- lering på myndighetsområdet rörande elektroniskt utlämnande bör se ut.

152

6Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras för att undvika konflikt med internationella åtaganden?

6.1Bakgrund

6.1.1Uppdraget

Internationella avtal och sektorsspecifika rättsakter innehåller ibland artiklar om att en myndighet bara får använda uppgifter som erhålls enligt avtalet respektive rättsakten för vissa angivna ändamål eller i viss verksamhet. Sådana bestämmelser kan avse även andra upp- gifter än personuppgifter. I Sverige anses en sådan bestämmelse inte utgöra ett hinder mot utlämnande av uppgifter med stöd av offentlighetsprincipen. Däremot kan en sådan användningsbegräns- ning anses stå i konflikt med en myndighets skyldighet att överlämna uppgifter till andra myndigheter enligt 6 kap. 5 § OSL. I våra direktiv framhåller regeringen att någon generellt tillämplig eller konsekvent genomförd lösning på sistnämnda typ av regel- konflikt saknas i lagstiftningen. I 9 kap. 2 § OSL ges visserligen en upplysning om att användningsbegränsningar införts i vissa andra författningar. Uppräkningen är emellertid inte heltäckande och det finns inte någon formell koppling mellan den bestämmelsen och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). De författningar som avses i 9 kap. 2 § OSL utgör visserligen inte registerförfattningar. Enligt regeringen har den beskrivna frågeställningen dock en sådan betydelse för uppgiftsutbytet mellan myndigheter att den ändå bör utredas i detta sammanhang.

Vi har därför fått i uppgift att överväga om 6 kap. 5 § OSL bör justeras så att den står i bättre överensstämmelse med förekomsten

153

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

av nu nämnda användningsbegränsningar. Om vi finner att en så- dan justering bör ske, ska författningsförslag lämnas.

6.1.2Nuvarande bestämmelser

Informationsskyldigheten enligt 6 kap. 5 § OSL

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.

Bestämmelsen har redan behandlats i avsnitt 5.2, bl.a. vad avser förhållandet mellan informationsskyldigheten enligt paragrafen och föreskrifter om uppgiftsutlämnande enligt bl.a. 10 kap. 16–27 §§ OSL.

Informationsskyldigheten enligt 6 kap. 5 § OSL gäller för en uppgift som inte är sekretessbelagd, dvs. en uppgift för vilken sekretess inte gäller i den aktuella situationen. En myndighet kan alltså vara skyldig att lämna en uppgift till en annan myndighet som begär att få den om uppgiften inte alls är sekretessreglerad, dvs. om det inte finns någon bestämmelse om sekretess som är tillämplig på uppgiften. En skyldighet att lämna ut uppgiften finns också om den i och för sig är sekretessreglerad, men det inte innebär någon skada eller något men att lämna uppgiften till myndigheten i fråga. Det kan också finnas en skyldighet att lämna ut uppgiften till den andra myndigheten även om sekretess gäller för uppgiften under förut- sättning att det finns en sekretessbrytande regel som är tillämplig i förhållande till den myndigheten.

Om man vill förhindra ett uppgiftsutbyte mellan myndigheter, är det alltså inte tillräckligt att införa en ny sekretessbestämmelse. Det måste också införas bestämmelser som föreskriver att de sekre- tessbrytande reglerna i 10 kap. OSL inte ska gälla.

Begränsningar i lag om en myndighets möjlighet att använda uppgifter från en myndighet i en annan stat

I 9 kap. 2 § OSL räknas ett antal lagar upp som innehåller bestäm- melser som begränsar möjligheterna att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i annan stat. Det rör sig bl.a. om lagen (1990:314) om ömsesidig handräckning i

154

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

skatteärenden, lagen (2000:343) om internationellt polisiärt sam- arbete och lagen (2000:344) om Schengens informationssystem.

Bestämmelsen utgjorde tidigare tredje stycket i dåvarande 1 kap. 4 § SekrL (numera 7 kap. 1 § OSL). I första stycket samma paragraf föreskrevs att om förbud gäller enligt denna lag mot att röja upp- gift, får uppgiften inte heller i övrigt utnyttjas utanför den verk- samhet i vilken sekretess gäller för uppgiften. I andra och tredje styckena fanns hänvisningar till olika lagar med bestämmelser om förbud mot eller begränsningar i möjligheten att utnyttja vissa uppgifter. Det tredje stycket infördes i samband med att lagen (1991:1342) med vissa bestämmelser om internationellt samarbete på brottmålsområdet infördes. I den lagen fanns bestämmelser som begränsade möjligheterna att utnyttja vissa uppgifter som en svensk myndighet har fått från en annan stat. I specialmotiveringen till bestämmelsen i det då nya tredje stycket i 1 kap. 4 § SekrL anfördes (prop. 1990/91:131 s. 26) att en av principerna bakom regleringen i sekretesslagen är att alla tystnadsplikter inom det allmännas verk- samhet ska framgå av lagen antingen direkt eller genom en hän- visning till en annan lag. Myndigheterna skulle komma att omfattas av begränsningar i möjligheterna att utnyttja information enligt be- stämmelserna i den nu föreslagna lagen om internationellt sam- arbete på brottmålsområdet. Det var därför naturligt att det av 1 kap. 4 § SekrL, där det redan fanns en hänvisning till insiderlagen och dess regler om förbud att utnyttja information, skulle framgå att ett förbud för myndigheter att utnyttja uppgifter också fanns i lagen med vissa bestämmelser om internationellt samarbete på brott- målsområdet.

Det kan konstateras att det ovan återgivna uttalandet är något missvisande i så måtto att bestämmelsen inte i sig innebär någon tystnadsplikt i den meningen att den föreskriver sekretess för vissa uppgifter, även om bestämmelsen i och för sig finns i offentlighets- och sekretesslagen. Däremot erinrar bestämmelsen om att det i andra lagar finns bestämmelser som begränsar svenska myndigheters möj- lighet att använda vissa uppgifter. Dessa begränsningar gäller alltså oavsett om de omnämns i 9 kap. 2 § OSL. Det är således inte fråga om någon sådan hänvisning i offentlighets- och sekretesslagen till en annan lag som enligt 2 kap. 2 § TF kan utgöra hinder mot att lämna ut uppgiften enligt rätten att ta del av allmänna handlingar. Sådana begränsningar i möjligheten att använda vissa uppgifter som avses i

155

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

de lagar som räknas upp i 9 kap. 2 § OSL innebär alltså inte någon begränsning i den enskildes rätt att enligt 2 kap. TF att ta del av allmänna handlingar (Lenberg m.fl., kommentaren till 9 kap. 2 §).

Eftersom 9 kap. 2 § inte innebär att någon sekretess gäller utan enbart upplyser om att användningsbegränsningar finns i andra lagar, utgör sådana begränsningar inte heller något sekretesshinder som kan begränsa en myndighets informationsskyldighet gentemot en annan myndighet enligt 6 kap. 5 § OSL. Om det inte finns någon sekretessbestämmelse som är tillämplig på en uppgift som begärs ut av en annan myndighet eller om det finns en sekretessbrytande regel som kan tillämpas i förhållande till den myndigheten, ska uppgift- erna alltså lämnas ut enligt 6 kap. 5 § OSL, såvida inte utlämnandet hindrar arbetets behöriga gång.

Begränsningar i att utnyttja vissa uppgifter enligt de lagar som räknas upp i 9 kap. 2 § OSL är emellertid i allmänhet utformade så att de inte enbart tar sikte på den svenska myndighet som tar emot uppgifter från en myndighet i en annan stat. I regel har bestäm- melsen i den aktuella lagen utformats så att begränsningarna gäller för alla svenska myndigheter. Det får till följd att inte heller en annan svensk myndighet än den som fått uppgifterna från den ut- ländska myndigheten kan utnyttja uppgifterna i sin verksamhet, även om myndigheten i och för skulle ha rätt att få ut dem efter en begäran enligt 6 kap. 5 § OSL. Det torde därför i praktiken bli aktuellt för en svensk myndighet att begära ut uppgifter som om- fattas av användningsbegränsningar från en annan myndighet bara när myndigheten behöver ta del av uppgifterna för ett ändamål som inte omfattas av begränsningarna (jfr prop. 2012/13:4 s. 90 f.). I praktiken uppstår därför inte någon konflikt mellan lagbestämmelser om användningsbegränsningar och informationsskyldigheten enligt 6 kap. 5 § OSL.

Sammanfattningsvis kan det alltså konstateras att 9 kap. 2 § OSL inte i sig innebär något hinder mot att lämna ut uppgifter till en annan myndighet. I bestämmelsen erinras emellertid om att det i andra lagar finns bestämmelser som begränsar möjligheterna för svenska myndigheter att använda sig av uppgifter som ursprungligen kom- mer från en myndighet i en annan stat.

I sammanhanget kan påpekas att 9 kap. 2 § OSL enbart upplyser om användningsbegränsningar som finns i andra lagar. Det finns i och för sig inget som hindrar att regeringen meddelar föreskrifter

156

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

om begränsningar i möjligheterna att använda vissa uppgifter som en svensk myndighet har fått från en utländsk myndighet och som i så fall, på samma sätt som en bestämmelse i lag, blir bindande för alla myndigheter. I vilken utsträckning regeringen har meddelat så- dana föreskrifter är inte känt för utredningen.

Den nya bestämmelsen om sekretess i det internationella samarbetet

Den 1 januari 2014 trädde en ny sekretessbestämmelse i kraft i syfte att utgöra en generellt tillämplig bestämmelse till skydd för uppgifter som utbyts inom ramen för Sveriges internationella rela- tioner. Bestämmelsen har förts in i 15 kap. 1 a § OSL och innebär att sekretess gäller för en uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller mellanfolklig organisation. Som en förutsättning för sekretess gäller att det kan antas att Sveriges möjlighet att delta i det inter- nationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Motsvarande sekretess ska gälla för en uppgift som en myndighet har inhämtat i syfte att överlämna den till ett ut- ländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal.

Om sekretess gäller enligt bestämmelsen, får de sekretessbryt- ande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas (15 kap. 1 a § tredje stycket).

Bestämmelsens tillämpningsområde är alltså begränsat till upp- gifter som en myndighet antingen har fått från ett utländskt organ eller har inhämtat i syfte att överlämna till ett sådant organ på grund av en bindande EU-rättsakt eller ett avtal som har ingåtts av EU eller av Sverige med en annan stat eller en mellanfolklig orga- nisation. I det sistnämnda fallet gäller emellertid som förutsättning att riksdagen har godkänt avtalet. Sekretessbestämmelsen är således inte tillämplig på uppgifter som finns hos en myndighet på grund av internationella avtal som ingåtts av en förvaltningsmyndighet eller av regeringen utan godkännande av riksdagen. I förarbetena anför- des att en sådan ordning hade varit problematisk ur ett principiellt perspektiv för en sekretessbestämmelse med generell räckvidd (prop. 2012/13:192 s. 31). Regeringen hänvisade också till att några

157

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

remissinstanser hade ifrågasatt om en sådan bestämmelse hade varit förenlig med lagkravet i 2 kap. 2 § TF.

I offentlighets- och sekretesslagen finns flera bestämmelser som föreskriver sekretess i samband med vissa internationella sam- arbeten där något traditionellt skaderekvisit inte finns (se t.ex. 17 kap. 7 § andra stycket, 17 kap. 7 a § och 18 kap. 17 §). Enligt den nya bestämmelsen i 15 kap. 1 a § gäller emellertid ett rakt skade- rekvisit. Den svenska myndigheten ska alltså göra en självständig bedömning av om ett utlämnande i det enskilda fallet kan antas försämra Sveriges möjligheter att delta i det aktuella samarbetet. I förarbetena påpekas att det inte finns något som hindrar den svenska myndigheten att vid sekretessprövningen kontakta den utlämnande utländska myndigheten för att utreda om sekretess bör gälla i det enskilda fallet. Om sekretess gäller för uppgifterna hos den ut- ländska myndigheten är utgångspunkten typiskt sett att skaderekvi- sititet är uppfyllt (a. prop. s. 34 f.). Enligt regeringen kommer en tillämpning av sekretessbestämmelsen normalt inte att aktualiseras i sådana situationer då avtalet eller EU-rättsakten inte innehåller någon tydlig sekretessbestämmelse, även om en sådan inte utesluts av dess ordalydelse. Regeringen anser att det då ligger närmare till hands att tillämpa bestämmelsen om utrikessekretess i 15 kap. 1 § OSL. Bestämmelser i EU-rättsakter eller internationella avtal om begränsningar i för vilka ändamål uppgifter får användas, dvs. den typen av begränsningar som 9 kap. 2 § OSL tar sikte på, bör enligt regeringen inte heller aktualisera en tillämpning av den nya sekre- tessbestämmelsen (a. prop. s. 35).

I förarbetena till den nya sekretessbestämmelsen för informa- tionsutbyte vid internationellt samarbete i 15 kap. 1 a § OSL finns en utförlig beskrivning av överenskommelser om sådant utbyte som kan finnas i avtal och EU-rättsakter (prop. 2012/13:192 s. 10 f.). Vi hänvisar till den redovisningen och lämnar alltså inte någon egen redovisning här.

158

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

6.2Våra överväganden

Bedömning: Det finns inte något tillräckligt stort behov av att ändra 6 kap. 5 § OSL så att paragrafen står i bättre överens- stämmelse med användningsbegränsningar som kan förekomma i samband med internationella åtaganden.

6.2.1Behovet av en ny bestämmelse

I våra direktiv konstateras att 9 kap. 2 § OSL visserligen ger en upplysning om att användningsbegränsningar införts i vissa andra författningar. Det påpekas att uppräkningen emellertid inte är hel- täckande och att det inte finns någon formell koppling mellan den bestämmelsen och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). Den beskrivna frågeställningen har enligt regeringen en sådan betyd- else för uppgiftsutbytet mellan myndigheter att det bör övervägas om 6 kap. 5 § OSL bör justeras så att den står i bättre överens- stämmelse med förekomsten av nu nämnda användningsbegräns- ningar.

Vår uppgift i denna del är inte att överväga behovet av en ny sekretessbestämmelse som kan hindra utlämnanden både till enskilda, med stöd av 2 kap. TF eller på annan grund, och till myndigheter. Uppdraget avser enbart att överväga en eventuell begränsning som kan utgöra hinder för en myndighet att lämna uppgifter till en annan myndighet.

Betydelsen av uppräkningen i 9 kap. 2 § OSL

Bestämmelsen i 9 kap. 2 § OSL erinrar om att det i andra lagar finns bestämmelser som begränsar en svensk myndighets användning av vissa uppgifter. Uppräkningen i paragrafen av lagar där sådana användningsbegränsningar finns utgör alltså en upplysning och syftar inte till att i sig reglera något. Sådana begränsningar gäller alltså för svenska myndigheter till följd av regleringen i den särskilda lagen och inte på grund av att sådana lagar räknas upp i 9 kap. 2 § OSL. Att uppräkningen i 9 kap. 2 § OSL inte är uttömmande har således inte någon betydelse för om en myndighet är skyldig att följa en sådan användningsbegränsning eller inte. Däremot kan det vara svårt

159

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

för myndigheter att hålla reda på de användningsbegränsningar som gäller enligt särskilda lagar, om de inte finns samlade på något sätt.

Det kan emellertid konstateras att om en användningsbegräns- ning har reglerats i en lag på ett sådant sätt att den gäller för alla svenska myndigheter, förefaller det knappast finnas något praktiskt behov av att justera 6 kap. 5 § OSL så att den paragrafen också hindrar ett utlämnande av uppgifter till en annan myndighet på grund av en sådan användningsbegränsning. Som påpekats i flera lagstift- ningsärenden torde det inte bli aktuellt för en myndighet att begära ut uppgifter från en annan myndighet med stöd av 6 kap. 5 § OSL om man ändå inte får använda sig av uppgifterna. I dessa fall har det ansetts tillräckligt i praktiken att användningsbegränsningen gäller enligt den särskilda lagen. Något faktiskt behov av att justera 6 kap. 5 § OSL så att paragrafen kan sägas bättre stå i överensstämmelse med förekomsten av sådana särskilt reglerade användningsbegräns- ningar förefaller alltså inte finnas. Däremot saknas alltså, som på- pekas i våra direktiv, en formell koppling mellan 6 kap. 5 § OSL och sådana svenska författningsbestämmelser som begränsar en myndig- hets möjlighet att använda vissa uppgifter som inhämtats genom ett internationellt informationsutbyte.

Som redan påpekats har det ingen betydelse för frågan om en användningsbegränsning gäller för en myndighet eller inte om den särskilda lag där begränsningen föreskrivs räknas upp i 9 kap. 2 § OSL. Däremot skulle en komplett sådan uppräkning naturligtvis innebära en bättre möjlighet för myndigheter att själva hålla reda på i vilka situationer användningsbegränsningar gäller.

Användningsbegränsningar i EU-rättsliga lagstiftningsakter

I våra direktiv nämns att sektorspecifika EU-rättsakter kan inne- hålla artiklar om att en myndighet bara får använda uppgifter som erhålls enligt rättsakten för vissa angivna ändamål eller i viss verk- samhet.

Om det är frågan om en EU-förordning gäller den för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt genom inhemsk lagstiftning. I den mån en EU-förordning inne- håller sådana användningsbegränsningar som gäller för alla myndig- heter finns således inte, i likhet med vad som gäller användnings-

160

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

begränsningar i särskilda lagar, något praktiskt behov av att göra en justering av 6 kap. 5 § OSL. Inte heller i dessa fall torde det ju bli aktuellt för en myndighet att begära ut uppgifter som omfattas av en sådan användningsbegränsning, eftersom myndigheten ändå inte får använda sig av uppgifterna.

Om användningsbegränsningar finns i ett EU-direktiv i stället för i en förordning, måste direktivet genomföras i svensk rätt genom inhemsk lagstiftning i den mån direktivet inte kan anses gälla redan enligt svenska regler. Användningsbegränsningar som gäller enligt ett EU-direktiv kommer alltså till uttryck genom en svensk för- fattning. Sådana användningsbegränsningar kan därigenom komma att gälla för alla svenska myndigheter. Inte heller i ett sådant fall finns det alltså något praktiskt behov av att justera 6 kap. 5 § OSL.

Det förtjänar att påpekas att några av de särskilda lagar som räk- nas upp i 9 kap. 2 § OSL är lagar som har införts för att genomföra ett EU-direktiv. Som exempel kan nämnas lagen (2012:843) om admi- nistrativt samarbete inom Europeiska unionen i fråga om beskattning.

Användningsbegränsningar som inte är författningsreglerade

Det förekommer att EU beslutar andra bindande rättsakter än lag- stiftningsakter i form av delegerade akter och genomförandeakter (se t.ex. prop. 2012/13:192 s. 43). EU ingår också avtal med tredje land för medlemsstaternas räkning genom sin på vissa områden exklusiva kompetens, exempelvis på det handelspolitiska området. I andra fall ingår respektive land för egen del bilaterala avtal med en utländsk aktör. Ibland är det då fråga om s.k. blandade avtal, där EU också för egen del har träffat avtal. Så är fallet exempelvis när det gäller avtal som träffas inom ramen för WTO, där både med- lemsstaterna och EU är medlemmar. Ett annat exempel är fri- handelsavtal som träffas med en del tredjeländer (se vidare a. prop. s. 10). Svenska myndigheter kan också träffa internationella avtal som behandlar frågor om informationsutbyte.

En bindande EU-rättsakt som inte är en lagstiftningsakt är bind- ande för Sverige såsom medlemsstat, men innebär inte i sig att rättsakten måste komma till uttryck i svensk lagstiftning eller på annan grund tillämpas av svenska myndigheter. Ett internationellt avtal som EU eller Sverige för egen del eller en svensk myndighet

161

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

träffar kan innehålla bestämmelser som reglerar frågor om informa- tionsutbyte. Om bestämmelser som reglerar informationsutbyte i ett avtal inte har kommit till uttryck i någon svensk föreskrift utan endast i avtalet, kan de bestämmelserna inte binda någon annan än den som har ingått avtalet. Det innebär att om EU har ingått avtalet är det bindande för Sverige antingen direkt eller efter att det ratificerats av Sverige, eventuellt efter godkännande av riksdagen. Det är då bindande för Sverige som stat i folkrättslig bemärkelse, men gäller inte direkt för svenska myndigheter. Detsamma gäller för sådana internationella avtal som Sverige för egen del ingår. Om ett avtal har ingåtts av en svensk myndighet är avtalet enbart bind- ande för den myndigheten. Ett avtal som har ingåtts av EU, av Sverige som stat eller av en svensk myndighet är alltså inte bind- ande för samtliga svenska myndigheter. Om det innehåller bestäm- melser som innebär begränsningar i att använda uppgifter, är andra svenska myndigheter än den som mottagit uppgiftena från den utländska aktören således inte skyldiga att följa bestämmelserna.

Eftersom alla myndigheter inte är skyldiga att iaktta använd- ningsbegränsningar som enbart kommit till uttryck i en bindande EU-rättsakt som inte är en lagstiftningsakt eller i ett avtal, finns det inget praktiskt hinder för en myndighet att begära ut uppgifter från en annan myndighet som för egen del har att iaktta sådana begräns- ningar enligt EU-rättsakten eller det internationella avtalet. I det fallet finns det alltså i praktiken inget som hindrar den myndighet som begär ut uppgifterna att också använda dem. Det kan då upp- fattas som ett problem att en myndighet, som eventuellt själv har ingått avtalet i fråga, och tagit emot uppgifter från en utländsk aktör på de villkor som angetts i ett internationellt avtal, saknar möjlighet att iaktta de användningsbegränsningar som angetts i avtalet om en annan myndighet begär ut uppgifter med stöd av 6 kap. 5 § OSL. För denna situation kan det alltså anses finnas ett praktiskt behov – inte bara ett formellt sådant – av att justera 6 kap. 5 § OSL så att den bestämmelsen generellt kan förhindra att uppgifter lämnas ut till en myndighet i sådana situationer där användningsbegränsningar av det nu aktuella slaget föreligger.

162

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

6.2.2Hur kan 6 kap. 5 § OSL justeras?

Bestämmelser om användningsbegränsningar i föreskrifter som svenska myndigheter är skyldiga att följa

I våra direktiv påtalas att det är ett problem att det inte finns någon formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL. Tanken bakom detta synes vara att om en sådan formell koppling kan åstadkommas skulle användningsbegränsningar som finns i de lagar som räknas upp i paragrafen begränsa, liksom sekretess, den infor- mationsskyldighet i förhållande till en annan myndighet som annars gäller enligt 6 kap. 5 § OSL.

Om syftet är att alla användningsbegränsningar som kommit till uttryck i en svensk lag också ska innebära att det finns ett hinder mot att lämna ut uppgifterna enligt 6 kap. 5 § OSL kan man emellertid sätta i fråga om det är tillräckligt att åstadkomma en formell kopp- ling mellan 6 kap. 5 § och 9 kap. 2 §. Som framgår av redovisningen ovan reglerar inte 9 kap. 2 § i sig frågan om en uppgift kan användas eller inte i en viss verksamhet. Den bestämmelsen innehåller enbart upplysningar om att det finns andra lagar som innehåller bestäm- melser om sådana användningsbegränsningar. I våra direktiv kon- stateras att uppräkningen inte är uttömmande. Vi har för egen del inte undersökt i vilken omfattning det förekommer lagar med be- stämmelser om sådana användningsbegränsningar som inte finns med i uppräkningen i 9 kap. 2 § OSL.

Ett annat problem med 9 kap. 2 § OSL, dvs. förutom att para- grafen inte på ett fullständigt sätt räknar upp de lagar där bestäm- melser om användningsbegränsningar finns, är att den inte heller upplyser om att användningsbegränsningar finns i vissa EU-förord- ningar. Om bestämmelser om användningsbegränsningar finns i sådana förordningar kan svenska myndigheter vara skyldiga att följa dem när det gäller uppgiftsutbyte med andra myndigheter på samma sätt som användningsbegränsningar som föreskrivits i en svensk lag.

Som framgår av redovisningen ovan kan det inte anses innebära något praktiskt problem att det saknas en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL, eftersom det saknas skäl för en myn- dighet att begära ut uppgifter från en annan myndighet som den ändå inte får använda. I dessa fall uppstår det alltså normalt inte någon sådan situation där en myndighet måste uppfylla sin infor- mationsskyldighet enligt 6 kap. 5 § OSL. Om man ändå anser att

163

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

det finns ett behov av att formellt säkerställa att en myndighet inte ska behöva lämna ut uppgifter i de fall då användningsbegräns- ningar finns enligt uppräkningen i 9 kap. 2 § OSL och inför en sådan bestämmelse i 6 kap. 5 §, innebär det att en konflikt mellan dessa bestämmelser inte längre finns. Däremot skulle en regelkon- flikt kvarstå mellan 6 kap. 5 § OSL och övriga föreskrifter som innebär att svenska myndigheter är skyldiga att följa användnings- begränsningar, dvs. då sådana föreskrifter finns i EU-förordningar samt i lagar som inte räknas upp i 9 kap. 2 § OSL. Detsamma gäller för det fall det skulle vara så att regeringen i något eller några fall har meddelat föreskrifter om sådana användningsbegränsningar.

Att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL leder alltså endast till en viss förbättrad systematik i formellt hänseende. Det löser emellertid inte hela den konflikt som kan uppfattas finnas mellan svenska regler som å ena sidan säger att en myndighet har rätt att få ut uppgifter från en annan myndighet, medan andra regler föreskriver att myndigheten inte får använda uppgifterna. För att denna konflikt helt ska lösas bör i stället 6 kap. 5 § OSL formellt kopplas direkt till bestämmelser om användnings- begränsningar snarare än till 9 kap. 2 § OSL. Om man ändå skulle överväga en koppling till den senare bestämmelsen måste para- grafen kompletteras så att den på ett uttömmande sätt upplyser om samtliga användningsbegränsningar som svenska myndigheter är skyl- diga att följa.

Bestämmelser om användningsbegränsningar som inte är bindande för alla myndigheter

Som har framgått finns det EU-rättsakter som visserligen är bind- ande för Sverige som medlemsstat, men inte är lagstiftningsakter som måste tillämpas av svenska myndigheter på grund av att de genomförts i svensk lagstiftning eller på annan grund. Om de inne- håller bestämmelser om användningsbegränsningar gäller de alltså inte för alla myndigheter. Ett internationellt avtal som EU eller Sverige för egen del eller en svensk myndighet träffar kan också innehålla bestämmelser som reglerar frågor om informationsutbyte. Om sådana bestämmelser inte har kommit till uttryck i någon svensk föreskrift utan endast i avtalet, kan de bestämmelserna inte binda någon annan än den som har ingått avtalet. De gäller alltså i

164

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

så fall inte för alla svenska myndigheter, utan endast för den svenska myndighet som tar emot uppgifter från den utländska aktören.

När det gäller denna typ av användningsbegränsningar finns det alltså inte någon konflikt mellan svenska författningsbestämmelser som å ena sidan säger att uppgifter ska lämnas ut till en annan myndighet och å andra sidan att den myndigheten inte får använda uppgifterna. I detta fall finns ju inte några svenska bestämmelser som innebär begränsningar i möjligheterna för alla myndigheter att använda sig av uppgifter som härrör från det internationella infor- mationsutbytet. Däremot kan det uppfattas finnas en konflikt mellan informationsskyldigheten enligt 6 kap. 5 § OSL och de åtaganden som Sverige som stat eller som medlemsstat i EU eller som en svensk myndighet har gjort i ett internationellt samarbete, om den svenska parten i ett sådant samarbete har åtagit sig att se till att uppgifter som en svensk myndighet kan få genom samarbetet endast ska användas för vissa ändamål.

Ett sätt att lagstiftningsvägen lösa den konflikt som nu är i fråga skulle kunna vara att föra in en bestämmelse i 6 kap. 5 § OSL som innebär att en myndighet är förhindrad att lämna ut en uppgift till en annan myndighet, om myndigheten har fått uppgiften genom ett internationellt samarbete på villkor att uppgifterna endast får an- vändas för vissa ändamål. Det som skiljer detta fall från situationen ovan är att den myndighet som begär att få uppgifter med stöd av 6 kap. 5 § OSL inte är förbjuden att använda sig av uppgifterna enligt någon författningsbestämmelse. En ny föreskrift i 6 kap. 5 § OSL som hindrar ett utlämnande i dessa situationer skulle alltså inte enbart ta sikte på den formella frågan utan skulle innebära en reell inskränkning i myndigheters informationsskyldighet enligt 6 kap. 5 § OSL.

Om det införs en föreskrift i 6 kap. 5 § OSL som generellt hänvisar till användningsbegränsningar som har kommit till uttryck i ett internationellt samarbete som Sverige som stat eller en svensk myndighet deltar i, dvs. oavsett om begränsningarna också kommit till uttryck i en föreskrift som alla myndigheter är skyldiga att följa, innebär det exempelvis att en svensk myndighet skulle kunna avtala om villkor som får till effekt att informationsskyldigheten i 6 kap. 5 § OSL inskränks. En sådan ordning kan anses problematisk från principiella utgångspunkter. I sammanhanget kan nämnas att den nya generella sekretessbestämmelsen i 15 kap. 1 a § OSL om sekre-

165

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

tess i det internationella samarbetet har avgränsats så att om en myndighet har fått en uppgift på grund av ett internationellt avtal, är bestämmelsen endast tillämplig om avtalet har ingåtts av EU eller godkänts av riksdagen. I förarbetena anfördes att detta innebar en väsentlig inskränkning av bestämmelsens tillämpningsområde och skulle i praktiken göra att sekretess för uppgifter som utbyts enligt ett visst avtal endast skulle primärt komma att gälla hos ett begränsat och överblickbart antal myndigheter (prop. 2012/13:192 s. 32). Det finns emellertid även bestämmelser om sekretess till följd av internationella avtal som inte uppställer något krav på att avtalet ska ha godkänts av riksdagen. Enligt exempelvis 30 kap. 7 § första stycket andra meningen OSL gäller sekretess hos Finans- inspektionen för uppgifter som inspektionen har fått från en ut- ländsk myndighet eller ett utländskt organ enligt ett avtal. Som förutsättning gäller emellertid att regeringen har meddelat före- skrifter om detta (se 8 § offentlighets- och sekretessförordningen).

6.2.3Vår bedömning

I de fall det finns bestämmelser om användningsbegränsningar en- ligt en EU-förordning eller en svensk författningsbestämmelse sker i normalfallet i praktiken inte något uppgiftsutbyte på grund av informationsskyldigheten enligt 6 kap. 5 § OSL. Skälet till det är, som redovisats ovan, att myndigheter inte begär ut uppgifter från en annan myndighet med stöd av den bestämmelsen om de ändå inte får använda uppgifterna. I dessa fall förefaller det alltså inte finnas något reellt behov av att justera 6 kap. 5 § OSL för att und- vika en konflikt med internationella åtaganden. Vi kan emellertid inte se att det skulle finnas några systematiska eller liknande skäl som talar emot att 6 kap. 5 § OSL justeras så att man åstadkommer en formell koppling mellan den bestämmelsen och andra bestäm- melser om användningsbegränsningar, vilka myndigheterna ändå är skyldiga att följa.

Det förefaller däremot inte ändamålsenligt att åstadkomma en formell koppling mellan 6 kap. 5 § och 9 kap. 2 § OSL, eftersom det inte skulle innebära att samtliga fall då det finns bestämmelser som begränsar myndigheters möjlighet att använda vissa uppgifter fångas upp.

166

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

Den nya bestämmelsen om sekretess i samband med internatio- nellt samarbete i 15 kap. 1 a § OSL har avgränsats så att den enbart ska tillämpas på uppgifter som utbyts på grund av en bindande EU- rättsakt eller ett avtal som har ingåtts av EU eller av riksdagen godkänt avtal med en annan stat eller en mellanfolklig organisation. Som har framgått anfördes som skäl för denna avgränsning bl.a. att en ordning där uppgifter som finns hos en myndighet på grund av andra internationella avtal än sådana som har godkänts av riksdagen också skulle omfattas av den nya sekretessbestämmelsen skulle vara problematisk ur ett principiellt perspektiv för en bestämmelse med generell räckvidd. Några remissinstanser hade också satt i fråga om en sådan bestämmelse hade varit förenlig med lagkravet enligt 2 kap. 2 § TF.

Den bestämmelse som nu är i fråga i 6 kap. 5 § OSL innebär visserligen inte några begränsningar av den grundlagsstadgade rätten för var och en att ta del av allmänna handlingar utan reglerar enbart utbytet av uppgifter mellan myndigheter. Det kan emellertid kon- stateras att det svenska förvaltningsrättsliga systemet bygger på att myndigheter så långt möjligt ska samverka, även när det gäller utbyte av information (jfr 6 § FL). Regleringen bygger på principen att det är en fråga för lagstiftaren att avgöra när en sådan skyldighet ska finnas. Det bör således inte vara upp till den enskilda myn- digheten att bedöma när information som myndigheten har tillgång till ska utbytas med en annan myndighet. Om 6 kap. 5 § OSL skulle justeras på ett sådant sätt att det generellt skulle finnas ett hinder mot att lämna ut uppgifter till andra myndigheter då det inom ramen för ett internationellt informationsutbyte har uppställts villkor om användningsbegränsningar, dvs. även om dessa begräns- ningar inte har kommit till uttryck i en föreskrift utan enbart i ett avtal som en enskild myndighet har slutit, skulle emellertid en enskild myndighet ha befogenhet att själv styra över vad den ska dela med sig av till andra myndigheter av den information som den fått genom ett internationellt avtal. Enligt vår uppfattning skulle en sådan ordning få alltför långtgående och principiellt betänkliga effekter. En bestämmelse med en sådan innebörd bör alltså inte in- föras. I sammanhanget kan det konstateras att det i och för sig saknas hinder för regeringen att genom en föreskrift bestämma att användningsbegränsningar som enbart kommit till uttryck i ett

167

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

SOU 2015:39

internationellt avtal mellan exempelvis en svensk myndighet och en utländsk myndighet också ska gälla för andra myndigheter.

När det gäller andra bindande EU-rättsakter än lagstiftnings- akter samt avtal som ingåtts av EU eller Sverige har vi inte erfarit att det i sådana sammanhang förekommer regler eller villkor om användningsbegränsningar i en sådan omfattning att detta påkallar en begränsning av informationsskyldigheten enligt 6 kap. 5 § OSL.

Sammanfattningsvis kan alltså konstateras att i fråga om bestäm- melser om användningsbegränsningar i en EU-förordning eller en svensk författningsbestämmelse det saknas ett praktiskt behov av att ändra 6 kap. 5 § OSL. Det finns vidare principiella betänklig- heter mot att ändra 6 kap. 5 § OSL så att användningsbegräns- ningar som inte kommit till uttryck i en föreskrift utan enbart i ett avtal som en enskild myndighet har slutit skulle begränsa informa- tionsskyldigheten i förhållande till andra myndigheter. När det gäller andra bindande EU-rättsakter än lagstiftningsakter samt avtal som EU eller Sverige ingår har vi inte erfarit att det finns något påtagligt behov av en lagändring.

Vi lämnar därför inte något förslag till en ändring av 6 kap. 5 § OSL.

I den händelse det ändå bedöms finnas ett behov av en sådan ändring förordar vi att den enbart tar sikte på att åtgärda det formella behov av en ändring som kan uppfattas finnas i fråga om bestämmelser om användningsbegränsningar i en EU-förordning eller en svensk författningsbestämmelse. I så fall skulle 6 kap. 5 § OSL kunna ges följande lydelse:

En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller inte får användas av den andra myndigheten enligt lag eller förordning. En uppgift behöver inte heller lämnas om det skulle hindra arbetets be- höriga gång.

Med uttrycket att en myndighet inte får använda uppgiften enligt lag avses också en bestämmelse i en EU-förordning (se prop. 1999/2000:126 s. 272 och 283).

Vi vill avslutningsvis framhålla att det under alla förhållanden inte kan anses vara en tillfredsställande ordning att uppräkningen av lagar med bestämmelser om användningsbegränsningar i 9 kap. 2 § OSL inte är fullständig. Om bestämmelsen ska kunna fylla sin funk- tion att upplysa om sådana användningsbegränsningar bör uppräk-

168

SOU 2015:39

Behöver 6 kap. 5 § offentlighets- och sekretesslagen justeras…

ningen givetvis vara komplett. Vi har emellertid inte sett det som en uppgift för oss att komplettera uppräkningen i bestämmelsen.

169

EN NY LAG OM MYNDIGHETERS BEHANDLING AV PERSONUPPGIFTER

7En generell reglering – utgångspunkter och inledande ställningstaganden

7.1Allmänna utgångspunkter

7.1.1Uppdraget

Det övergripande uppdraget enligt våra direktiv (dir. 2011:86) är alltså att se över den s.k. registerlagstiftningen i syfte att skapa rättsliga förutsättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens be- rättigade anspråk på insyn i den offentliga förvaltningen tillgodo- ses. Utredningens förslag ska syfta till att regleringen i tryckfri- hetsförordningen och offentlighets- och sekretesslagen (2009:400) samt registerregleringen tillsammans inom respektive område ska utgöra en tydligare och mer lättillämpad helhet.

I direktiven pekas vidare på det problematiska i om de grund- läggande reglerna i tryckfrihetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av register- författningarna inte är anpassade till varandra. Det blir då svårt att i ett enskilt lagstiftningsärende om elektronisk informationsöver- föring mellan två eller flera myndigheter hitta en lösning som är tillfredsställande från integritets-, effektivitets- och öppenhetssyn- punkt. För att ytterligare kunna effektivisera förvaltningen med modern informationsteknik är det därför viktigt dels att respektive regelverk bör vara väl genomtänkta och så enkla som möjligt att tillämpa, dels att regelverken bör vara förenliga med varandra.

Den anvisade metoden för att åstadkomma genomtänkta regel- verk som är lätta att tillämpa och som sinsemellan så långt möjligt är förenliga är enligt tilläggsdirektiv (dir. 2014:31) att utreda förut-

173

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

sättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas behandling av personuppgifter. Tanken är att en sådan samlad reglering också är mer ändamålsenlig för att kunna möta den förändring som förmod- ligen kommer att ske inom EU genom en förordning som ersätter dataskyddsdirektivet. En samlad reglering kan fungera som ett komplement till eller, vid behov, genomföra delar av den unions- rättsliga regleringen på området. Vidare framhålls i direktiven att det också behöver göras en bedömning av vilket utrymme förord- ningen ger för att i nationell rätt göra undantag från förordningens bestämmelser för myndigheternas personuppgiftsbehandling.

Om vi bedömer att det finns förutsättningar att skapa en sådan samlad reglering, ska vi enligt direktiven lämna de författnings- förslag som kan anses motiverade. Personuppgiftsbehandlingen inom den brottsbekämpande sektorn omfattas inte av utrednings- uppdraget, eftersom den behandlingen inte omfattas av kommis- sionens förslag till en allmän uppgiftsskyddsförordning utan av ett förslag till ett direktiv.

Av våra direktiv följer vidare att vi ska överväga hur en generell reglering bör utformas utifrån vad som är lämpligt från bl.a. norm- givningstekniska och systematiska utgångspunkter. I direktiven på- pekas att även om personuppgiftsbehandling inom den brotts- bekämpande verksamheten undantagits från utredningens arbete, behöver man vid utformningen av en ny reglering emellertid ta hänsyn till hur regleringen på såväl detta som andra områden är utformad för att regelverken inte ska komma i konflikt med var- andra. Den generella regleringen bör om möjligt vara utformad så att den kan tillämpas på ett enhetligt sätt av myndigheter vars verksamhet i vissa delar kommer att omfattas av tillämpnings- området för uppgiftsskyddsförordningen och i andra delar omfattas av tillämpningsområdet för EU-direktivet för den brottsbekämpande sektorn.

Av direktiven framgår slutligen att vi i vårt arbete noga ska följa den fortsatta behandlingen inom EU av förslaget till reformerad dataskyddsreglering. De förslag till författningsreglering som läm- nas ska vara väl anpassade till denna översyn och dess resultat.

174

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

7.1.2Förutsättningarna för en generell reglering

Automatiserad behandling är en integrerad del av myndigheters verksamhet

När personuppgiftslagen trädde i kraft den 24 oktober 1998 var den elektroniska förvaltningen fortfarande i början av sin uppbyggnad. I prop. 1997/98:136 En statlig förvaltning i medborgarnas tjänst redovisade regeringen ett handlingsprogram för bl.a. förvaltningens informationsförsörjning. Enligt detta program borde förvaltningen, med beaktande av integritets- och säkerhetsaspekter ta tillvara in- formationsteknikens möjligheter att förenkla och förbättra kon- takterna för medborgare och företag med myndigheterna, öka all- mänhetens insyn i och kontroll av myndigheternas verksamhet, effektivisera samverkan mellan myndigheter, med övrig offentlig sektor samt med EU-institutioner och andra länders förvaltning (a. prop. s. 54 f.). I programmet slogs vidare fast att den tekniska infrastrukturen för statsförvaltningens kommunikation med med- borgare och företag borde bygga på internet, statliga myndigheter borde använda säker överföring av dokument och meddelanden i den öppna it-infrastrukturen samt att myndigheter vars verksamhet riktar sig främst till företag och medborgare borde erbjuda elek- troniska tjänster för självbetjäning som komplement till traditio- nella tjänster. Regeringen uttalade också att en enkel, säker och kostnadseffektiv tillgång till samhällets grundläggande information är ett offentligt åtagande av väsentlig betydelse för den offentliga förvaltningen, för medborgarna och för företagen.

I dag är en elektronisk förvaltning en självklarhet för varje myn- dighet, statlig som kommunal. Handlingar framställs inom en myn- dighets verksamhet i princip uteslutande i elektronisk form och lagring sker på både kort och på lång sikt elektroniskt, även om det också förekommer lagring i pappersform. Ärenden handläggs elek- troniskt och beslut fattas inom vissa myndigheters verksamhet, t.ex. Försäkringskassan och Skatteverket, i stor omfattning med beslutsstöd i automatiserad form. Handlingar kommer också in till myndigheterna på elektronisk väg i stor omfattning och expedieras från myndigheterna på samma sätt i allt högre grad. Arbetet med att öka effektiviteten i myndigheternas verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad ser- vice är i princip helt inriktat på att detta ska ske på elektronisk väg.

175

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

Det finns därför anledning att fråga sig om det fortfarande finns skäl att tala om en elektronisk förvaltning. Den elektroniska för- valtningen är ju inte längre någon särskild del av myndigheternas verksamhet, utan utgör i själva verket förvaltningen.

Användning av it genomsyrar i dag en myndighets hela verk- samhet och utgör således basen för framställning av dokument, ärendehantering, lagring, kommunikation och samverkan. På mot- svarande sätt kan myndigheternas automatiserade behandling av personuppgifter beskrivas, dvs. sådan behandling utgör det sätt på vilket myndigheterna hanterar personuppgifter. Vid tiden för person- uppgiftslagens införande fanns det emellertid fortfarande anledning att tala om s.k. manuell hantering av personuppgifter, t.ex. för att handlägga ett ärende, som ett alternativ till automatiserad behand- ling. Detta betraktelsesätt har länge präglat lagstiftning som rör be- handling av personuppgifter. I dag är den automatiserade behand- lingen av personuppgifter alltså inte en del av en myndighets verk- samhet som utförs åtskild från verksamheten i övrigt och därför kräver andra regler än de som i övrigt reglerar verksamheten. Där- emot är det självfallet så att användningen av it fortfarande innebär att särskilda integritetsaspekter måste beaktas, bl.a. i form av regler om skydd för personuppgifter. Den elektroniska hanteringen med- för också att myndigheterna behöver ta särskild hänsyn till säker- hetsaspekter, beträffande såväl personuppgifter som annan infor- mation som finns hos myndigheterna.

7.1.3En generell reglering?

Bedömning: Vi menar att det finns förutsättningar för en sam- lad reglering beträffande myndigheters behandling av person- uppgifter och vi kan inte se några bärande skäl som talar emot att en sådan nu införs.

Det brukar anföras som skäl för att införa särskilda registerlagar att man på så sätt åstadkommer en heltäckande, tydlig och uttöm- mande reglering av vad som ska gälla i fråga om personuppgifts- behandling hos en viss myndighet eller inom en viss samhälls- sektor. Det ligger uppenbarligen ett värde i detta. Samtidigt är det

176

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

tydligt att det finns klara nackdelar förenade med den reglerings- modellen.

Som vi har berört i avsnitt 4.3.2 – och som vi närmare kommer att redovisa i följande kapitel – finns det ett antal generella problem förenade med det svåröverblickbara och fragmenterade rättsområde som registerlagstiftningen har kommit att bli. Registerförfattning- arna har kommit att utformas utan tillräcklig inre konsekvens och enhetlighet i fråga om struktur, normtekniska lösningar eller be- träffande hur enskilda kategorier av bestämmelser har utformats. Med tiden har detta bl.a. medfört relativt stora tillämpningsproblem i olika avseenden, inte minst vid uppgiftsutbyten mellan myndig- heter. Samtidigt finns det påfallande många likheter mellan register- författningarna – inte minst beträffande de vi kallar informations- hanteringsförfattningar – när det t.ex. gäller vilka slags frågor som regleras, varianter på begrepp och normtekniska lösningar. Det är i hög grad fråga om ”dubbelreglering” i den meningen att likartade bestämmelser finns intagna i ett stort antal författningar.

Ett annat problem med den nuvarande dataskyddsregleringen – och som gäller i lika hög grad även för de myndigheter som inte omfattas av någon registerförfattning utan enbart tillämpar person- uppgiftslagen – är att tillräcklig uppmärksamhet inte ägnats åt anpass- ningen av dataskyddsregleringen till annan central reglering för myndigheters verksamhet och informationshantering. Myndig- heters personuppgiftsbehandling skiljer sig nämligen på ett markant sätt från vad som normalt gäller i enskilda verksamheter. En myn- dighet som behandlar personuppgifter i sin verksamhet har inte bara att följa personuppgiftslagen eller en eventuell registerförfatt- ning i sin informationshantering. Myndigheters personuppgifts- behandling sker i verksamheter som är författningsreglerade, oftast i fråga om såväl vad som ska göras som hur det ska göras. Dess- utom styrs personuppgiftsbehandlingen parallellt av annan central reglering för myndigheternas informationshantering än den data- skyddsrättsliga, bl.a. reglerna om handlingsoffentlighet och sekre- tess samt förvaltningslagen. Med ett fåtal undantag är personupp- giftslagens bestämmelser inte anpassade till dessa särskilda förhåll- anden.

Inom ramen för en samlad reglering skulle det finnas förutsätt- ningar att åstadkomma den enhetlighet och konsekvens i regle- ringen av myndigheternas personuppgiftsbehandling som den nuvar-

177

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

ande splittrade regleringen saknar. Genom en samlad reglering skulle det vidare finnas förutsättningar att på ett betydligt mer ändamåls- enligt sätt beakta de särskilda förutsättningar som gäller beträffande personuppgiftsbehandling på myndighetsområdet. Därtill kommer att en samlad reglering skulle i betydande mån minska det framtida behovet av att behålla eller införa nya sektorspecifika bestämmel- ser. Viss särreglering kommer givetvis att behövas även med en generell reglering men kan då utformas som särbestämmelser som innehåller undantag från huvudregler. Regelmassan vad gäller data- skyddsbestämmelser skulle alltså totalt sett minska väsentligt.

Genom att regelverket blir tydligare i den meningen att det klargörs vad som utgör ett berättigat dataskydd och hur detta ska åstadkommas på myndighetsområdet, främjas skyddet för person- uppgifter. Samtidigt ger ett sådant regelverk klarare besked om i vilken utsträckning dataskyddshänsyn inte påverkar övriga regelverk som reglerar myndigheternas verksamhet och de intressen som där värnas. En tydligare dataskyddsreglering på myndighetsområdet innebär t.ex. att förhållandet mellan dataskyddsregler och regler om sekretess blir klarare, vilket som vi ser det kommer att vara till gagn för offentlighet och insyn. En tydligare reglering ökar också i betydande grad förutsättningarna för att anpassa offentlighets- principen till moderna elektroniska kommunikationsformer. Huvud- ambitionen att på ett mer effektivt sätt tillgodose allmänhetens berättigade anspråk på insyn i den offentliga förvaltningen uppfylls därför också genom den generella regleringen.

Vi kan för vår del inte se några bärande skäl som talar mot en generell reglering beträffande myndigheters behandling av person- uppgifter. Vi menar alltså att det finns förutsättningar för en sådan samlad reglering.

En utgångspunkt för arbetet med en generell reglering om myn- digheters behandling av personuppgifter bör vara att den inte till någon del ska syfta till att reglera en myndighets verksamhet. Reg- leringen bör i stället utformas så att den enbart tar sikte på att reg- lera dataskyddsrättsliga frågor, dvs. i första hand frågor rörande det behov av skydd för enskilda registrerades personliga integritet som den automatiserade behandlingen av personuppgifter ger upphov till. Förändringar som sker beträffande myndigheters faktiska, organisatoriska eller rättsliga förutsättningar ska därmed inte ha betydelse på det sättet att innehållet i den generella lagen behöver

178

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

ändras. Vidare ska regleringen vara helt teknikneutral. Den ska ute- slutande bygga på rättsliga gränsdragningar, inte tekniska sådana. Som vi ser det är det bara på det sättet det är möjligt att åstad- komma en reglering som blir hållbar över tid.

Vilka regelverk ska bilda en fungerande helhet?

I våra direktiv framhålls att de grundläggande reglerna i tryckfri- hetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna bör vara an- passade till varandra för att möjliggöra en ytterligare effektivisering av e-förvaltningen.

Som framgått ovan är en generell utgångspunkt för vårt arbete att myndigheters behandling av personuppgifter inte längre kan betraktas som en separat del av en myndighets verksamhet av det enda skälet att behandlingen är automatiserad. Det innebär att vi i arbetet med att principiellt bygga upp den generella regleringen för att åstadkomma en fungerande helhet tillsammans med andra regel- verk inte enbart kan ta hänsyn till att reglerna ska vara anpassade till tryckfrihetsförordningen och offentlighets- och sekretesslagen. De behöver alltså också vara anpassade till de regler som på ett mer allmänt plan styr en myndighets verksamhet. För att åstadkomma en fungerande helhet behöver även t.ex. förvaltningslagen, arkiv- lagen, myndighetsförordningen m.m. samt andra regelverk och dokument som i olika hänseenden styr myndigheternas verksamhet beaktas. När det övervägs i vilken mån en tänkt generell reglering i ett visst avseende behöver innehålla regler för att ge person- uppgifter det skydd som den elektroniska hanteringen ger upphov till, behöver detta alltså ske också mot bakgrund av sådana regler om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort.

Att behovet av regler till skydd för personuppgifter på myndig- hetsområdet övervägs i förhållande till hur myndigheters verksam- het är reglerade i övrigt och de intressen som bär upp sådana regler är helt i överensstämmelse med de grunder som dataskyddsdirek- tivet bygger på och ger uttryck för. Exempelvis innebär de grund- läggande krav som alltid ska iakttas i samband med en viss enskild behandling, krav på lämpliga säkerhetsåtgärder och reglerna om

179

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

behandling av känsliga personuppgifter att frågan om en viss behand- ling är tillåten ska avgöras mot bakgrund av vilken verksamhet det rör och vilka avvägningar mellan olika intressen som behöver göras i den verksamheten och i det konkreta fallet. Vilka resultat sådana avvägningar kan få på myndighetsområdet kommer däremot inte till uttryck i direktivet. Arbetet med att ta fram en generell reg- lering för myndigheters behandling av personuppgifter innebär emellertid att dataskyddsdirektivets implementering kan konkreti- seras och förtydligas på hela myndighetsområdet. Därmed minskar behovet av särskilda registerförfattningar i motsvarande mån.

En ambition med den generella regleringen är alltså att i så hög grad som möjligt fånga upp och formulera regler till skydd för personuppgifter som generellt utgör en ändamålsenlig reglering för myndigheters verksamhet, för att i så stor utsträckning som möjligt minska behovet av särreglering. På så sätt, och genom att den gene- rella regleringen anpassas till samtliga relevanta regelverk på myndig- hetsområdet, skapas en tydligare och mer lättillämpad helhet när det gäller hantering av personuppgifter på hela myndighetsområdet.

Hur bör förslaget till uppgiftsskyddsförordning beaktas vid utformningen av en generell reglering?

Som redovisats ovan är ett av skälen till utredningens uppdrag att försöka skapa en samlad reglering för myndigheternas behandling av personuppgifter att en sådan kommer att vara mer ändamålsenlig för att möta den förändring som kan antas komma att ske på det unionsrättsliga området genom en förordning som ersätter data- skyddsdirektivet. En samlad reglering kan fungera som ett komple- ment till eller, vid behov, genomföra delar av den unionsrättsliga regleringen på området.

I skrivande stund pågår arbetet fortfarande med att inom EU förhandla fram förslaget till en uppgiftsskyddsförordning och det går knappast att göra några säkra prognoser om när det arbetet kommer att vara slutfört. Det förefaller mot den bakgrunden inte vara lämpligt att utforma den nya regleringen så att den nu utgör ett komplement till en kommande uppgiftsskyddsförordning. I så fall skulle väsentliga delar av personuppgiftsskyddet som kan för- väntas komma att exklusivt regleras i förordningen, exempelvis de grundläggande krav som ska gälla vid all behandling av person-

180

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

uppgifter och tillsynsmyndighetens befogenheter, inte kunna reg- leras i den generella lagen. Ett förslag till en ny reglering skulle i så fall inte kunna innehålla något förslag om en tidpunkt för ikraft- trädande, utan den tidpunkten skulle få göras beroende av om och när en uppgiftsskyddsförordning beslutas. Det skulle i sin tur kunna leda till att någon ny generell reglering om myndigheters behand- ling av personuppgifter inte kan införas förrän i en obestämd framtid. Vad som nu sagts talar för att införandet av en generell reglering inte bör göras beroende av om en uppgiftsskyddsförord- ning införs.

Vi ser det inte heller som möjligt att nu utforma ett förslag till en reglering som skulle kunna utgöra ett komplement till en kom- mande uppgiftsskyddsförordning, eftersom förordningens innehåll i skrivande stund inte i alla delar fullt ut kan överblickas, i synner- het inte på myndighetsområdet. Det kan emellertid redan nu konstateras att förordningen kan antas lämna öppningar för med- lemsstaterna att på myndighetsområdet införa en särreglering beträffande frågor som då kan utformas mot bakgrund av natio- nella regelverk och andra speciella förutsättningar för de egna myn- digheternas verksamhet. Om och när en förordning införs kan det därför antas inte behöva göras några genomgripande ändringar i en ny generell reglering. Även denna omständighet talar alltså för att det saknas tillräckliga skäl för att låta införandet av en generell reg- lering vänta på att en förordning träder i kraft. Tvärtom kommer det nödvändiga anpassningsarbetet att bli betydligt enklare om en sådan reglering redan finns på plats.

Vår ambition vid utformningen av den generella regleringen har därför varit att i stället relatera våra förslag till det som hittills är känt om uppgiftsskyddsförordningens föreslagna innehåll och redo- visa ett resonemang om hur en reglering utifrån gällande rätt kan komma att te sig vid ett införande av förordningen. Vi kommer också att i samband med att vi redovisar konsekvenserna av vårt förslag beskriva hur en anpassning av regleringen kan göras då förord- ningen införs (se avsnitt 19.2).

För att förverkliga en tydligare och mer ändamålsenlig reglering av myndigheters behandling av personuppgifter bör utgångspunk- ten således vara att den generella regleringen ska kunna träda i kraft så snart som möjligt. Detta talar, menar vi, för att vårt förslag bör ta sikte på att den generella regleringen till form och innehåll ska

181

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

förhålla sig till gällande rätt på området, dvs. dataskyddsdirektivet och personuppgiftslagen.

7.2En generell lag för myndigheters behandling av personuppgifter

7.2.1En generell reglering bör ha form av lag

Förslag: Den nya generella regleringen bör ha form av lag. Lagen bör heta myndighetsdatalagen.

En generell reglering av vad som ska gälla beträffande myndig- heters personuppgiftsbehandling bör ges form av lag. Detta följer redan av att tillämpningsområdet för en sådan reglering bör vara i princip detsamma som förvaltningslagens, dvs. även kommunala förvaltningsmyndigheter bör omfattas liksom myndigheterna under riksdagen. Till detta kommer att lagformen av flera skäl framstår som det naturliga för en reglering av nu aktuellt slag.

Vi redovisar nedan hur vi ser på den lagtekniska utformningen av den generella lagen och hur den förhåller sig till de särregler som kan behövas för vissa myndigheters behandling av personuppgifter. I ett därpå följande avsnitt lämnar vi en utförlig redovisning av vår bedömning när det gäller frågan om på vilken normgivningsnivå en särreglering kan ges, dvs. om särregler kan ges i förordning eller om de behöver ha form av lag.

En allmän utgångspunkt för våra överväganden är, som framgått av avsnitt 7.1, att den generella lagen enbart ska innehålla regler om persondataskydd. Vi föreslår därför att den nya lagen benämns ”myn- dighetsdatalag”. Namnet är också kort, vilket är ändamålsenligt med tanken på att lagen avses vara tillämplig för i princip alla myndig- heter.

Vid personuppgiftslagens införande övervägdes även namnet persondatalag. Skälet till att det namnet inte valdes var bl.a. att det på ett missvisande sätt kunde leda tanken till enbart datorlagrade personuppgifter, trots att lagen inte bara omfattar automatiserad behandling i datorer utan även viss manuell behandling av person- uppgifter (prop. 1997/98:44 s. 42). Eftersom myndigheterna i dag i

182

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

princip uteslutande hanterar personuppgifter med it-stöd, anser vi att namnet myndighetsdatalag inte gärna kan uppfattas som missvisande.

7.2.2Kort om lagens innehåll och den lagtekniska utformningen

Vilka frågor bör regleras i lagen?

Vi har ovan redovisat att utgångspunkten för vårt arbete med den generella lagen är att den enbart ska ta sikte på att reglera frågor om det behov av skydd som den automatiserade behandlingen av per- sonuppgifter ger upphov till när myndigheterna hanterar person- uppgifter i sin verksamhet. Lagen ska alltså enbart innehålla be- stämmelser som utgör dataskyddsregler.

Det innebär att lagen för det första bör innehålla regler som rör frågor där personuppgiftslagens bestämmelser inte på ett tillräck- ligt tydligt sätt uttrycker vad som gäller för myndigheters behand- ling av personuppgifter. Det handlar alltså om bestämmelser som särskilt reglerar vad som gäller för myndigheter i en viss fråga till skillnad från vad enskilda personuppgiftsansvariga har att iaktta.

I registerförfattningarna förekommer även bestämmelser som reglerar behandling av personuppgifter utan att de syftar till att införliva dataskyddsdirektivet i något visst avseende. Det är alltså bestämmelser som inte har någon motsvarighet i personuppgifts- lagen. Det har ändå ansetts finnas ett behov av att denna typ av bestämmelser för att tydliggöra vad som gäller i förhållande till andra regelverk, framför allt beträffande offentlighets- och sekre- tesslagens bestämmelser om utbyte av uppgifter i förhållande till både enskilda och andra myndigheter. Som exempel på sådana bestämmelser kan nämnas regler om utlämnande av personupp- gifter i elektronisk form, bl.a. genom direktåtkomst. Som har fram- gått av kapitel 5 menar vi att det finns skäl att upprätthålla den rättsliga skillnaden mellan direktåtkomst och andra former av elek- troniskt utlämnande. Bestämmelser rörande detta bör alltså införas även i den generella lagen.

Ett annat exempel på en typ av bestämmelser som vanligen före- kommer i registerförfattningar och som inte kan sägas ha sin omedelbara motsvarighet i dataskyddsdirektivet är s.k. sökbegräns- ningar. Sådana bestämmelser ger emellertid uttryck för den pro-

183

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

portionalitetsprincip som alltid måste iakttas när det gäller behand- ling av personuppgifter och inte minst på myndighetsområdet. Även regler om sökbegränsningar har därför sin plats i en generell lag.

Det kan konstateras att lagen således kommer att få en utform- ning som i hög grad liknar en författning av den kategori vi be- nämnt informationshanteringsförfattning, låt vara att denna ”register- författning” syftar till att generellt reglera myndigheters behandling av personuppgifter.

Den lagtekniska utformningen

Vi har ovan redovisat vår huvudambition med den generella lagen att i så hög grad som möjligt fånga upp och uttrycka regler till skydd för personuppgifter som generellt utgör en ändamålsenlig reglering för myndigheterna, för att i motsvarande mån minska behovet av särreglering. Det innebär att vi ser framför oss ett rela- tivt begränsat behov av särreglering som kommer att avse för- hållandevis få frågor i jämförelse med den regelmassa som i dag finns i registerförfattningarna. Vi bedömer att det därför – på sikt – inte alls kommer att behövas fullständiga registerförfattningar i den utsträckning som är fallet i dag. Författningar som syftar till att reglera regelrätta register, exempelvis fastighetsregistret och aktie- bolagsregistret, påverkas dock endast delvis eftersom de typiskt sett syftar till att reglera annat än dataskydd, nämligen verksam- hetsfrågor kring ett visst register. Sådana verksamhetsregler utgör ingen särreglering i förhållande till personuppgiftslagen och påver- kas därmed inte av den nya lagen. Detta slags registerförfattningar kan alltså inte ersättas av den nya lagen. Inget hindrar dock att dataskyddsregleringen i den nämnda sortens registerförfattning – som efter en översyn fortfarande anses behövas – separeras från författningen och särregleras i anslutning till den nya lagen. Vi åter- kommer till denna fråga i kapitel 8.

Den generella lagen bör lagtekniskt utformas så att den i sin huvuddel innehåller de bestämmelser som generellt reglerar myndig- heternas behandling av personuppgifter i olika avseenden. I en eller flera bilagor till lagen kan därefter tabellvis redovisas sådana sär- regler för enskilda myndigheter som bör – eller undantagvis behöver

184

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

– ges i form av lag. Det kan exempelvis handla om vissa fall av direktåtkomst eller mer tillåtande regler för att behandla känsliga personuppgifter som kan behövas på vissa myndighetsområden och som bedöms kräva lagstöd. Till lagen bör det också finnas en anslutande förordning som innehåller de särregler som kan ges på förordningsnivå. Vi bedömer att den helt övervägande delen av sådan utfyllande reglering kan ges i förordning. I avsnittet nedan redogör vi mer utförligt för vår bedömning av vilken normgiv- ningsnivå som normalt krävs för de särregler som kan behövas.

7.3Normgivningsnivå för särreglering

7.3.1Bakgrund

Av 8 kap. 1 § första stycket RF framgår att föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Före- skrifter ska meddelas genom lag om de avser bl.a. skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska för- hållanden (8 kap. 2 § första stycket 2). Kravet på att en sådan före- skrift ska ha form av lag är emellertid inte obligatoriskt, utan riks- dagen kan bemyndiga regeringen att meddela den typen av före- skrifter (8 kap. 3 §).

Enligt 8 kap. 7 § RF får regeringen bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 §).

Av 8 kap. 10 och 11 §§ RF följer att en vidaredelegation till en förvaltningsmyndighet att meddela föreskrifter också kan medges av riksdagen eller, i fråga om regeringens primärområde, av rege- ringen själv.

De s.k. registerförfattningarna är ett exempel på en grupp författ- ningar där lagformen ofta valts trots att detta enligt regerings- formen rent normgivningstekniskt i allmänhet inte har varit nöd- vändigt. Att det allmänna registrerar personuppgifter om enskilda innebär ingen skyldighet för den enskilde. Det har heller normalt sett inte ansetts som ett ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF (Anders Eka m.fl., Regeringsformen – med kommentarer, 2012, s. 311). Registerförfattningarna har därmed i princip ansetts höra till rege-

185

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

ringens primärområde – i vart fall såvitt avser myndigheter under regeringen – och således kunnat regleras i förordningsform. Som har berörts tidigare har det under åren emellertid i ett antal olika lagstiftningsärenden som rört myndigheters personuppgiftsbehand- ling framhållits att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag (se t.ex. prop. 1997/98:44 s. 41, 1997/98:KU18 s. 43 och prop. 1999/2000:39 s. 78).

Enligt 8 kap. 18 § RF får en lag inte ändras eller upphävas på annat sätt än genom lag. Det är den formella lagkraftens princip som på så sätt kommer till uttryck i regeringsformen. Den formella lagkraftens princip innebär att en föreskrift som en gång beslutats som lag inte kan ändras eller upphävas på annat sätt än genom en ny lag. Regeln om den formella lagkraften får bl.a. den effekten att regeringen inte kan hindra eller upphäva en lag som riksdagen stiftat inom ett område som annars enligt grundlag primärt faller inom regeringens kompetensområde. Inte heller kan regeringen så länge lagen gäller meddela föreskrifter i ämnet i strid med lagen. Riksdagen tar på så vis i anspråk en del av regeringens primär- område. Detta innebär att i den mån myndigheters personuppgifts- behandling har reglerats genom lag så krävs lagstiftning också för att ändra regleringen.

Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integri- teten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Av 2 kap. 20 § följer att skyddet mot övervakning och kartläggning av den enskildes personliga förhållanden får begränsas genom lag i den utsträckning det är tillåtet enligt de allmänna förutsättningarna för begränsning av fri- och rättigheter som anges i 21 §. Vid antagande av sådan lag som avses i 20 § är enligt 22 § det s.k. kvalificerade förfarandet tillämpligt. Detta innebär att ett förslag till rättighets- begränsande lag ska, om det inte avslås av riksdagen, på yrkande av lägst tio av dess ledamöter vila i minst tolv månader från det att det första utskottsyttrandet över förslaget anmäldes i riksdagens kam- mare.

186

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

Motivuttalanden på registerförfattningsområdet rörande normgivningsnivå

De ovan berörda motivuttalandena om att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett sär- skilt känsligt innehåll ska regleras i lag tillkom i samband med det grundlagstiftningsärende där bl.a. Data- och offentlighetskommitténs slutbetänkande behandlades.

Prop. 1990/91:60 innehöll förslag som syftade till att stärka offentlighetsprincipen i fråga om ADB-upptagningar och till att förbättra integritetsskyddet för uppgifter i personregister. Där före- slogs vissa ändringar i tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet – bl.a. beträffande den s.k. biblio- teksregeln – samt ändringar i sekretesslagstiftningen som innebar preciseringar av det krav på ”god offentlighetsstruktur” som gällde för myndigheternas ADB-verksamhet. Vidare föreslogs bl.a. ändringar i datalagen (1973:289) i syfte att reglera och begränsa användningen av personnummer i personregister. Propositionen behandlades av konstitutionsutskottet i betänkandet 1990/91:KU11.

Vid den aktuella tidpunkten krävdes alltså normalt tillstånd från Datainspektionen för att inrätta och föra särskilt integritetskänsliga ADB-register, dvs. personregister som innehöll ömtåliga uppgifter om enskilda personer. Om inrättandet av ett sådant register beslu- tades av riksdagen eller regeringen – s.k. statsmaktsregister – räckte det dock med att beslutet föregicks av ett yttrande från Data- inspektionen. I debatten hade då och då rests krav på att register av detta slag borde vara lagreglerade, vilket skulle innebära att det skulle krävas ett särskilt riksdagsbeslut för att en myndighet skulle få föra ett personregister som innehöll särskilt integritetskänsliga uppgifter.

I prop. 1990/91:60 gjorde föredragande statsrådet – i likhet med Data- och offentlighetskommittén – bedömningen att som ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister på sikt vissa register hos Socialstyrelsen, landstingen, kommunerna och dåvarande Riksförsäkringsverket borde regleras i särskilda registerlagar. Vidare uttalades följande (a. prop. s. 57 f.).

Som framgått av min redovisning är redan i dag vissa stora person- register med integritetskänsligt innehåll inom den offentliga sektorn författningsreglerade i större eller mindre mån. Flera av de viktigaste

187

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

registren saknar emellertid författningsstöd och några av dem har inte heller tillstånd från datainspektionen eftersom de är undantagna från tillståndsplikt till följd av 2 a § tredje stycket datalagen.

Bland de register som sålunda undantagits från tillståndsplikt kan näm- nas personregister som förs av myndigheter inom hälso- och sjuk- vården för vård- eller behandlingsändamål. I dessa register finns upp- gifter om enskildas sjukdomar och hälsotillstånd […]. Vidare kan nämnas de sociala myndigheternas personregister som innehåller uppgifter om att någon fått ekonomisk hjälp eller vård inom social- tjänsten […]. Också dessa personregister har generellt sett ett mycket integritetskänsligt innehåll.

I likhet med [kommittén] och remissinstanserna anser jag att en målsättning bör vara att i de fall ett register med ett stort antal regi- strerade och ett särskilt känsligt innehåll inrättas, bestämmelser ska meddelas i form av lag. Detta gäller särskilt i de fall uppgifterna i registret sprids externt i icke obetydlig omfattning.

Om uppgifter används för strikt avgränsade ändamål i ett register där de primärt har registrerats, t.ex. inom försvaret eller arbetsmarknads- utbildningen och i många kommunala sammanhang behövs däremot i regel ingen specialreglering. I dessa register kan integritetsskyddet, enligt min mening, tillgodoses genom datainspektionens tillstånds- prövning. Om de uppgifter som ingår i registret i sådana fall inte är sekretesskyddade, kan det övervägas om en utvidgning av bestämmel- serna i sekretesslagen är en väg att uppnå ett bättre integritetsskydd.

Vidare fördes i propositionen resonemang om behovet av reglering på vissa angivna områden såsom landstingens och kommunernas barnavårds- och skolhälsoregister, Riksförsäkringsverkets och de dåvarande försäkringskassornas register, det s.k. FAS 90 m.fl., samt konstaterades att en reglering var möjlig bara på sikt och att det återstod att närmare överväga vilka register inom de angivna om- rådena som borde regleras.

Konstitutionsutskottet uttalade som sin mening att det allmänt sett var av stor betydelse att en författningsreglering av ADB-register kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga upp- gifter i myndighetsregister. Som anförts i propositionen borde register hos Socialstyrelsen, landstingskommunerna, kommunerna och Riksförsäkringsverket regleras i särskilda registerlagar. Utskottet delade departementschefens uppfattning att det krävdes ingående

188

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

överväganden i fråga om vilka register inom dessa områden som borde regleras (1990/91:KU11 s. 11).

I lagstiftningsärendet rörande personuppgiftslagen fördes ett resonemang beträffande registerförfattningarna. Det konstaterades att dessa innehöll många preciserade och viktiga regler som inte rimligen kunde ersättas av de generella bestämmelser som den nya lagen innehöll. Samtidigt stod det klart att det var nödvändigt med särregler i förhållande till den nya lagen på flera viktiga områden, t.ex. beträffande polisens verksamhet. Frågan var därför om det redan i den nya lagen skulle göras undantag för vissa verksamheter eller om nödvändiga särregler för dessa verksamheter liksom dittills skulle ges i särskilda författningar som fick gälla framför den nya lagen.

Regeringen fann att det traditionella svenska systemet med sär- regler i särskilda författningar var att föredra framför generella undantag från den nya lagen. Eftersom det skulle krävas en särskild författning för att avvika från det integritetsskydd som den nya lagen skulle ge, garanterades att behovet av särregler alltid övervägs noga i den ordning som gäller för författningsgivning. Vidare ut- talades – med hänvisning till de uttalanden som gjorts i 1991 års grundlagsstiftningsärende (prop. 1990/91:60 s. 50 och 1990/91:KU11 s. 11) – att målet också har varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Det fanns inte anledning att nu avvika från det målet (prop. 1997/98:44 s. 41).

I konstitutionsutskottets betänkande rörande personuppgifts- lagen påpekades med anledning av en motion att i den utsträckning som det är befogat med ett ställningstagande från riksdagens sida, finns det alltid möjlighet att ge regleringen på ett visst område i lag. I sådant fall är normgivning på lägre nivå i strid med lagregleringen utesluten, om inte annat följer av den aktuella lagen. Utskottet ville också för egen del framhålla att det saknades anledning att nu avvika från den tidigare fastlagda målsättningen att myndighets- register med att stort antal registrerade och ett särskilt känsligt inne- håll ska regleras särskilt i lag (1997/98:KU18 s. 43).

De uttalanden som gjordes beträffande behovet av lagform vid 1991 års grundlagsstiftningsärende och som bekräftades i samband med införandet av personuppgiftslagen har alltså under åren åbe- ropats i ett stort antal lagstiftningsärenden i samband med över- väganden kring frågan varför en viss registerförfattning borde ges

189

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

lagform (se t.ex. prop. 1999/2000:39 s. 78, prop. 2000/01:80 s. 131, prop. 2000/01:95 s. 55 och prop. 2002/03:135 s. 39).

Den tidigare grundlagsregleringen beträffande skyddet för den personliga integriteten

Under 1980-talet inträffade en rad händelser som väckte misstro mot den då ännu förhållandevis nya datatekniken och det sätt på vilket staten använde sig av denna för att registrera medborgarna. Exempelvis orsakade planer på en ny typ av folk- och bostads- räkning, benämnt Fobalt, byggd på samkörning av redan befintliga register, så häftiga protester att projektet inte kunde genomföras. År 1986 avslöjades att det sociologiska forskningsprojektet Metro- polit med Datainspektionens medgivande under lång tid hade sam- lat in och registrerat stora mängder känsliga persondata avseende cirka 15 000 utvalda svenskar och deras familjer. Avslöjandet ledde till ytterst skarp kritik i medierna och fick också politiska återverk- ningar.

Den år 1984 tillkallade Data- och offentlighetskommittén sökte fånga upp den utbredda oro för myndigheternas registerutnyttjande som fanns vid denna tid genom att i delbetänkandet Integritets- skyddet i informationssamhället 3, Grundlagsfrågor (Ds Ju 1987:8) föreslå en ny regel i regeringsformens fri- och rättighetskapitel av innebörd att varje medborgare skulle vara ”tillförsäkrad skydd mot registrering av uppgifter om honom med hjälp av automatisk data- behandling enligt bestämmelser som meddelas i lag”. Av delbetänk- andet framgår att kommittén var väl medveten om att ett sådant lagstadgat skydd redan fanns, främst genom datalagen och sekre- tesslagen, och att det föreslagna stadgandet i regeringsformen därför inte syftade till att stärka det materiella skyddet för den personliga integriteten utan i stället borde ses som en markering av vilken vikt samhället tillmätte själva frågan. Regeringen instämde i allt väsentligt i Data- och offentlighetskommitténs bedömningar. Föredragande statsrådet anförde att regeringens utgångspunkt var att ”ge grundlagsförankring åt det skydd för medborgarna som redan finns genom vanlig lagstiftning och på detta sätt befästa det rådande rättsläget”. Den reella innebörden var enligt förarbetena att riksdagen måste vara aktiv genom att stifta och vidmakthålla en datalagstiftning (prop. 1987/88:57 s. 9 och 11).

190

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

Lagförslaget antogs av riksdagen och innebar att, med ikraft- trädande den 1 januari 1989, ett nytt andra stycke infördes i 2 kap. 3 § RF med följande lydelse.

Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Bestämmelsen kom att gälla oförändrad fram till den 1 januari 2011. År 1994 infördes i regeringsformen (dåvarande 8 kap. 7 §) en

möjlighet för riksdagen att till regeringen eller den myndighet som regeringen bestämmer delegera rätten att meddela föreskrifter om skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling, varvid regeln i 2 kap. 3 § andra stycket inte ansågs hindra sådan delegation (prop. 1993/94:116 s. 15). I samband med införandet av personuppgiftslagen ändrades delegationsbestämmelsen i 8 kap. RF. Däremot gjordes alltså inga ändringar i 2 kap. 3 §.

Den nu gällande regleringen

Våren 2004 tillkallades en parlamentariskt sammansatt kommitté – Integritetsskyddskommittén – som bl.a. fick i uppgift att kartlägga och analysera sådan lagstiftning som rör den personliga integri- teten, överväga om regeringsformens bestämmelse om skyddet för den personliga integriteten i dåvarande 2 kap. 3 § andra stycket RF borde ändras och i så fall föreslå en ny grundlagsreglering.

I januari 2008 överlämnade Integritetsskyddskommittén sitt slut- betänkande SOU 2008:3. I betänkandet uttalades bl.a. att kom- mitténs kartläggning och analys hade visat att lagstiftaren inte lägger tillräcklig vikt vid integritetsskyddsaspekter när ny lagstiftning arbetas fram. Även rent allmänt värderades integritetsskyddet förhållandevis lågt i lagstiftningen. En bidragande orsak till detta fick anses vara att det i grundlagen inte fanns någon rättsligt verk- ande bestämmelse om medborgarnas rätt till skydd för personlig integritet som balanserar de övriga fri- och rättigheter som med- borgarna är tillförsäkrade. Enligt kommittén var det sammanfatt- ningsvis tydligt att det på grundlagsnivå behövde ges uttryck för en större respekt än för närvarande för den enskildes rätt till personlig integritet. Bestämmelser som ger ett utvidgat materiellt integritets-

191

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

skydd borde därför införas i regeringsformens kapitel om grund- läggande fri- och rättigheter (SOU 2008:3 s. 255 f.).

Integritetsskyddskommittén föreslog att ett nytt andra stycke av följande lydelse skulle införas i 2 kap. 6 §:

Även i annat fall än som avses i första stycket är varje medborgare gentemot det allmänna skyddad mot intrång, om det sker i hemlighet eller utan samtycke och i betydande mån innebär övervakning eller kartläggning av den enskildes personliga förhållanden.

Beträffande den föreslagna bestämmelsens tillämpning på hantering av personuppgifter i omfattande informationssamlingar gjorde kom- mittén följande uttalanden (a. a. s. 271).

Det allmännas hantering av uppgifter om enskilds personliga förhåll- anden sker inte sällan utan samtycke från den enskilde och kan till och med ske i hemlighet. Sådan hantering kan ha som uttalat syfte att kartlägga den enskildes personliga förhållanden. Som exempel på en hantering som rör uppgifter om enskilda personer som både sker i hemlighet och innebär en kartläggning av den enskildes personliga förhållanden av sådan omfattning att den bör omfattas av det nya grundlagsskyddet kan nämnas Säkerhetspolisens hantering av person- uppgifter. Som ett annat exempel kan nämnas polisens personuppgifts- hantering i underrättelseverksamhet och under en brottsutredning.

[…]

Som exempel på myndigheter eller myndighetsområden som har informationssamlingar beträffande enskildas personliga förhållanden som kan sägas ha en sådan omfattning att de i praktiken innebär en kartläggning, och i hög utsträckning består av uppgifter som ansetts särskilt skyddsvärda, kan nämnas Skatteverket, Kronofogdemyndig- heten, Försäkringskassan och socialtjänsten. En personuppgiftshante- ring som uteslutande sker av administrativa skäl, vilken regelmässigt brukar omfattas av svag eller ingen sekretess, kan däremot inte anses ha ett sådant skyddsvärde att den bör omfattas av ett grundlagsskydd för den personliga integriteten.

När det gäller hantering av personuppgifter i de informationssamlingar som kommer att omfattas av det utvidgade grundlagsskyddet är det självfallet så att inte alla led i hanteringen är att betrakta som sådana intrång som behöver omfattas av de särskilda förutsättningar som gäller för att intrång i den grundlagsskyddade rättigheten skall vara tillåtet. De från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ända- målet med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för

192

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

uppgifterna, skall lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl.

2010 års ändringar av regeringsformen

I prop. 2009/10:80 lade regeringen fram förslag till omfattande änd- ringar av regeringsformen som väsentligen byggde på Grundlags- utredningens förslag. I samma lagstiftningsärende föreslog rege- ringen en ny bestämmelse i 2 kap. RF som väsentligen byggde på Integritetsskyddskommitténs förslag. Förslaget antogs av riksdagen och den nya bestämmelsen i 2 kap. 6 § andra stycket RF trädde – liksom övriga grundlagsändringar – i kraft den 1 januari 2011.

Den nya bestämmelsen är utformad så att den reglerar förhåll- andet mellan den enskilde och det allmänna och sägs utgöra en be- gränsning av statsmakternas normgivningsbefogenheter inom ramen för rättighetsskyddet (prop. 2009/10:80 s. 176). Den är alltså av- sedd att få sin huvudsakliga innebörd genom de begränsningar som gäller för riksdagen att inskränka fri- och rättigheter (20–22 §§). Det finns däremot inte några sådana särskilda begränsningsförutsättningar som finns för bl.a. begränsningar av yttrande- och informations- friheten (jfr 2 kap. 23 och 24 §§).

Bestämmelsen innebär enligt sin ordalydelse att enskilda är skyddade mot åtgärder från det allmännas sida som innefattar be- tydande intrång i den personliga integriteten, om intrånget sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I motiven förs resonemang om hur dessa olika kriterier är avsedda att förstås (prop. 2009/10:80 s. 177 f.).

Uttrycket ”personliga förhållanden” avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretess- lagen (2009:400). Det innebär att regleringen kan komma att om- fatta vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifika- tionsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av ut- trycket. Liksom vid tillämpningen av offentlighets- och sekretess- lagstiftningen får vid prövningen av uttryckets närmare innebörd

193

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

vägledning hämtas från vad som enligt normalt språkbruk kan läggas i dess betydelse.

Vid behandlingen av uppgifter som rör den enskilde får ett inte- gritetsintrång normalt anses större om behandlingen sker utan den enskildes samtycke än om det sker efter dennes medgivande. Inne- börden av kravet på samtycke bör enligt motiven bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i regeringsformen (2 kap. 3 §). Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp (prop. 2009/10:80 s. 250). Beträffande ”kartläggning” görs i motiven vidare följande uttalande (a. prop. s. 180).

En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även Statistiska centralbyrån och andra statistikansvariga myndigheter, t.ex. Socialstyrelsen och Brottsförebyggande rådet, lagrar och bearbetar stora mängder uppgifter om enskildas personliga förhållanden i sina databaser. Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighets- specifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för t.ex. socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kust- bevakningen samt hos domstolarna. I flertalet fall är uppgifterna till- gängliga för myndigheterna på sådant sätt att lagringen och behand- lingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade personregister. Som exempel kan nämnas polisens belastningsregister. Registreringen av personuppgifter i registret kan sägas innebära en kartläggning av alla dem som har

194

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

dömts eller på annat sätt lagförts för brott, även om registrets uttalade ändamål är att ge information åt olika myndigheter om belastnings- uppgifter som behövs bl.a. för att utreda brott och bestämma straff samt vid lämplighets- och tillståndsprövning av skilda slag. På liknande sätt förhåller det sig med många andra register som används i den brottsbekämpande verksamheten, t.ex. polisens misstankeregister, finger- avtrycks- och DNA-register m.m. I detta sammanhang kan även näm- nas de olika associationsrättsliga register som Bolagsverket ansvarar för, bl.a. aktiebolagsregistret, handelsregistret och föreningsregistret. En omfattande behandling av personuppgifter sker vidare inom t.ex. hälso- och sjukvården.

Vid bedömning av vilka åtgärder som kan anses utgöra ett ”betyd- ande intrång” ska enligt motiven både åtgärdens omfattning och arten av det intrång åtgärden innebär beaktas. Även åtgärdens ända- mål och andra omständigheter kan ha betydelse.

Några exempel på tillämpningen

Datalagringsdirektivet

I prop. 2010/11:46 lämnades förslag till genomförande av Europa- parlamentets och rådets direktiv 2006/24/EG om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller all- männa kommunikationsnät och om ändring av direktiv 2002/58/EG. Direktivet syftade till att harmonisera medlemsstaternas regler om skyldigheter för leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter samt uppgifter som behövs för att identifiera en abonnent eller användare för att säkerställa att uppgifterna finns tillgängliga för avslöjande, utredning och åtal av allvarliga brott.

Direktivet föreslogs bli genomfört i svensk rätt genom regler intagna i lagen (2003:389) om elektronisk kommunikation, LEK. Lagringsskyldig skulle enligt 6 kap. 16 a § LEK den vara som be- driver anmälningspliktig verksamhet enligt 2 kap. 1 § samma lag. Därigenom omfattas leverantörer av allmänt tillgängliga kommu- nikationsnät.

I yttrande till justitieutskottet gjorde konstitutionsutskottet be- dömningen att det var fråga om mycket omfattande informations-

195

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

samlingar som delvis avser integritetskänsliga uppgifter, nämligen om vem som kommunicerade med vem, när det skedde, var de som kommunicerade befann sig och vilken typ av kommunikation som användes. Enligt utskottets mening sker ett integritetsintrång redan genom att uppgifterna lagras, även om merparten av de uppgifter som föreslås ska lagras troligen aldrig kommer att begäras ut för brottsutredningar. I likhet med regeringen ansåg därför utskottet att lagringen av trafikuppgifter medför ett intrång i enskildas per- sonliga integritet. Intrånget måste, mot bakgrund av den mängd trafikuppgifter om en enskild som kan komma att lagras, anses vara betydande. Den lagring av trafikuppgifter som föreslogs i proposi- tionen omfattades därför enligt utskottets mening av regerings- formens skydd i 2 kap. 6 § andra stycket för den personliga inte- griteten (2010/11:JuU14).

Det aktuella lagförslaget förklarades i mars 2011 vilande enligt 2 kap. 22 § RF. I mars 2012 avgav justitieutskottet i enlighet med dåvarande 4 kap. 9 § RO ett nytt betänkande i ärendet (2011/12:JuU28). Utskottet fann vid sin förnyade beredning av ärendet inte skäl att frångå den bedömning som gjordes i betänk- ande 2010/11:JuU14. Lagändringarna trädde i kraft den 1 maj 2012 (SFS 2012:126 och 127).

Den 8 april 2014 meddelade EU-domstolen dom i de förenade målen C-293/12 och C594/12, Digital Rights Ireland m.fl. I domen förklarade EU-domstolen datalagringsdirektivet ogiltigt. I Ds 2014:23 har gjorts en analys av vad domen får för konsekvenser för svensk rätt.

Kustbevakningsdatalagen

I prop. 2011/12:45 lade regeringen fram förslag till en lag om be- handling av personuppgifter i Kustbevakningens verksamhet, en kustbevakningsdatalag. Syftet med den föreslagna lagen var att ge Kustbevakningen möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Den föreslagna lagen reglerar, med några få undantag, all behandling av personuppgifter i Kustbevakningens operativa

196

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

verksamhet. Lagen ersatte förordningen (2003:188) om behandling av personuppgifter inom kustbevakningen.

Kustbevakningens verksamhet kan, något förenklat, delas in under de två huvudrubrikerna sjöövervakning och räddningstjänst. Kust- bevakningens uppgifter regleras primärt i förordningen (2007:853) med instruktion för Kustbevakningen, men även i de särskilda lagar och förordningar som innehåller bestämmelser om verksamheten samt i regleringsbrev och enskilda regeringsbeslut. Nämnas kan t.ex. lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning, lagen (2000:1225) om straff för smuggling, narkotika- strafflagen (1968:64), sjölagen (1994:1009), lagen (2003:778) om skydd mot olyckor och fartygssäkerhetslagen (2003:364).

Beträffande behovet av en ny lagstiftning rörande Kustbevak- ningens personuppgiftsbehandling gjordes bl.a. följande uttalande (prop. 2011/12:45 s. 62).

Personuppgiftslagen gäller generellt för all behandling av personupp- gifter, såvida det inte finns avvikande regler i lag eller förordning. I det lagstiftningsärende som föregick personuppgiftslagen uttalade rege- ringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får till- godoses genom andra författningar (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerlagar, har skett utifrån det principiella ställningstagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Sedan den 1 januari 2011 är enskilda skyddade gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär kartläggning eller övervakning av personliga förhållanden (2 kap. 6 § RF). Inskränkningar i detta skydd kan enbart ske i lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap. 20 och 21 §§ RF). Utgångspunkten för behovet av och villkoren för lagregleringen av behandling av person- uppgifter som utförs av myndigheter bör således numera tas i rege- ringsformens bestämmelser om integritetsskydd. Med hänsyn till omfattningen och arten av Kustbevakningens verksamhet, den ingrip- ande myndighetsutövning som ingår i uppgiften samt behovet av att kunna behandla personuppgifter även av känsligare slag inom främst den brottsbekämpande verksamheten anser regeringen att stora delar av Kustbevakningens personuppgiftsbehandling innefattar sådan inte- gritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket RF. Det finns därför ett behov av en särskild författningsreglering i lag av behandlingen av personuppgifter i Kustbevakningens verksamhet.

197

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

Uppgiftsutlämnande till utlandet m.m.

I prop. 2010/11:129 lämnades förslag på de lagändringar som krävdes för att genomföra det automatiserade utbyte av DNA-profiler, fingeravtryck och fordonsuppgifter som föreskrivs i EU:s råds- beslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och annan gränsöverskridande brottslig- het, det s.k. Prümrådsbeslutet.

Medlemsstaterna ska enligt rådsbeslutet ge varandra tillgång till uppgifter i de nationella DNA-, fingeravtrycks- och fordonsregistren. Uppgifterna ska utbytas via nationella kontaktställen som ska kunna göra automatiska sökningar i övriga medlemsstaters register.

Mot bakgrund av 2 kap. 6 § andra stycket RF gjordes i proposi- tionen den bedömningen att utländska myndigheters direktåtkomst till svenska register och svenska myndigheters direktåtkomst till utländska register bör regleras i lag (prop. 2010/11:129 s. 49 f).

Beträffande frågan om hur utbyte av uppgifter ur kriminal- register mellan EU:s medlemsstater i olika hänseenden förhåller sig till kravet på lagform enligt 2 kap. 6 § andra stycket RF, se prop. 2011/12:163 s. 26 f.

7.3.2Våra överväganden

Bedömning: Det torde höra till undantagen att en behandling av personuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF för att vara tillåten. Från normgivningssynpunkt saknas det därför som huvudregel hinder mot att bestämmelser som avviker från eller kompletterar inne- hållet i den generella lagen i form av t.ex. myndighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personuppgifter m.m. ges i förordningsform.

I den mån sådana myndighetsspecifika föreskrifter av något skäl ändå bedöms utgöra ingrepp i enskilds personliga förhållan- den och därför kräver lagform kan de tas in i bilaga till den generella lagen eller i annan lag.

Bortsett från de brottsbekämpande myndigheterna torde det bara vara i rena undantagsfall som behandling av personuppgifter

198

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

hos myndigheter kan anses innehålla några sådana särskilda moment som är av det slaget att behandlingen måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF.

Den nya grundlagsbestämmelsen med ett kompletterande skydd för den personliga integriteten i 2 kap. 6 § andra stycket RF om- fattar ett skydd mot betydande intrång. En fråga i detta samman- hang är därför vad som över huvud taget är att betrakta som in- trång i den personliga integriteten när det gäller automatiserad behandling av personuppgifter. Den frågan har inte behandlats när- mare i förarbetena till bestämmelsen. Bestämmelsen tar inte heller sikte specifikt på sådan behandling, utan i allmän mening använd- ning av information som rör vars och ens personliga förhållanden. I förarbetena anförs att grundlagsbestämmelsen är tillämplig när det är frågan om ett betydande ingrepp i den enskildes privata sfär (prop. 2009/10:80 s. 250). Vi har alltså anledning att inledningsvis ställa oss frågan när en automatiserad behandling alls kan utgöra ett ingrepp i den enskildes privata sfär. Först därefter kan ställning tas till när en behandling av personuppgifter också är att anse som ett betydande ingrepp.

Utgångspunkten i flera av de internationella konventioner och andra dokument som Sverige har förbundit sig att följa på data- skyddets område är att den enskildes rätt till sin personliga inte- gritet kan behöva skyddas i förhållande till principen om ett fritt flöde av information, oberoende av gränser, som också finns in- skriven i många internationella överenskommelser om fri- och rättig- heter. Så är exempelvis fallet med Europarådets konvention om skydd för enskilda vid automatisk databehandling (CETS 108) och dataskyddsdirektivet.

För svenskt vidkommande är utgångspunkten i normgivnings- hänseende – i vart fall såvitt avser myndigheter under regeringen – att det förhållandet att det allmänna registrerar personuppgifter om enskilda inte innebär några skyldigheter för den enskilde och inte heller i övrigt avser ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Bestäm- melser om behandling av personuppgifter är i stället i princip att anse som bestämmelser som införs för att skydda den enskilde. Registerförfattningar som reglerar behandling av personuppgifter hos de statliga myndigheter som lyder under regeringen anses

199

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

därför i princip kunna ha form av förordning enligt 8 kap. 7 § första stycket 2, dvs. de hör till regeringens primärområde.

Föreskrifter om behandling av personuppgifter anses alltså i princip ha till effekt att skydda den enskilde från en annars fri användning av uppgifterna. Frågan om när en automatiserad be- handling av personuppgifter kan utgöra ett intrång i den enskildes personliga integritet kan emellertid inte besvaras så enkelt som att så är fallet om behandlingen strider mot meddelade dataskydds- bestämmelser. Även bestämmelser som tillåter en viss behandling kan i princip innebära ett intrång i den enskildes personliga inte- gritet. Det hör samman med att varken vars och ens rätt till respekt för sitt privat- och familjeliv enligt artikel 8 i Europakonventionen eller den mer begränsade rätten till grundlagsskydd för den per- sonliga integriteten i 2 kap. RF utgör några absoluta rättigheter. De är i stället att betrakta som s.k. relativa rättigheter, eftersom de kan inskränkas i de fall och på det sätt som anges i respektive regelverk. Man måste alltså skilja på tillåtna och otillåtna intrång i den en- skildes personliga integritet.

Av Europadomstolens praxis rörande artikel 8 kan läsas ut att behandling av personuppgifter som är av känslig art i många fall kan anses beröra rätten till respekt för privatlivet. Beroende på omständigheterna kan artikeln anses ställa krav på behandlingen av sådana uppgifter i tre avseenden; dels i fråga om det berättigade i att alls registrera dem, dels i fråga om rätt för den enskilde att själv få ta del av uppgifterna och dels slutligen i fråga om skydd mot att andra får tillgång till uppgifterna (SOU 2008:3 s. 78 f.). I sina avgör- anden har domstolen först tagit ställning till om behandlingen av personuppgifter i sig har utgjort ett intrång i den enskildes privat- liv. Om ett intrång föreligger, har domstolen därefter bedömt om intrånget har haft ett legitimt intresse och i övrigt uppfyllt förut- sättningarna för att intrånget ska anses förenligt med konventio- nen. Först om det har varit frågan om ett intrång som inte upp- fyller konventionens krav har intrånget varit att anse som ett brott mot konventionen, varmed den enskilde har rätt till kompensation för kränkningen (se t.ex. målet Segerstedt-Wiberg m.fl. mot Sverige, dom den 6 juni 2006).

Europakonventionen utgör sedan år 1995 svensk lag. Rättigheterna i konventionen har vidare bekräftats i EU:s rättighetsstadga, som gjorts bindande för medlemsstaterna genom att en hänvisning till

200

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

stadgan har införts i artikel 6.1 i EU-fördraget. I rättighetsstadgan anges i artikel 7 att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Vidare före- skrivs i artikel 8 att var och en har rätt till skydd för de person- uppgifter som rör honom eller henne. Dessa uppgifter ska behand- las lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim eller lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. I artikeln anges också att en oberoende tillsynsmyndighet ska se till att dessa regler efter- levs.

Sett i perspektivet av den enskildes numera lagstadgade rätt till skydd för sitt privatliv i samband med behandling av personupp- gifter kan en bestämmelse som exempelvis tillåter det allmänna att utan samtycke från den enskilde behandla känsliga personuppgifter utgöra ett intrång i den enskildes personliga integritet. En sådan bestämmelse är alltså inte någon skyddsbestämmelse, utan skyddet i det fallet ligger i rättighetsbestämmelsen. En helt annan sak är att det ändå kan vara frågan om ett tillåtet intrång, om det uppfyller Europakonventionens krav på legitimitet och proportionalitet. Samma resonemang torde exempelvis kunna föras i fråga om dataskydds- direktivets möjlighet för medlemsstaterna att besluta om undantag från förbudet mot att utan samtycke behandla känsliga personupp- gifter om det finns ett viktigt allmänt intresse. Om ett undantag beslutas, torde det alltså i och för sig utgöra ett intrång i den enskildes rätt till en privat sfär, men det kan vara ett tillåtet intrång. I detta fall är det alltså bestämmelsen i direktivet – införlivad i den nationella lagstiftningen – som utgör skyddsbestämmelsen, medan den bestämmelse som medger ett undantag med hänsyn till ett viktigt allmänt intresse är att se som ett intrång i den enskildes rätt.

En föreskrift som tillåter ett intrång i den enskildes rätt till per- sonlig integritet, exempelvis genom att känsliga personuppgifter får behandlas utan samtycke, är rimligen också att se som ett ingrepp i enskilds personliga förhållanden. Det följer därmed av 8 kap. 2 § första stycket 2 RF att en sådan föreskrift ska ha form av lag eller i vart fall stöd av lag (jfr 8 kap. 3 § RF).

När registerlagar beslutas har det i allmänhet inte diskuterats i förarbetena huruvida lagnivån har betingats av att regleringen inte bara innehåller renodlade skyddsbestämmelser, som i och för sig

201

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

skulle kunna meddelas i form av en förordning, utan för att den också innehåller bestämmelser som tillåter ett ingrepp i den enskil- des personliga förhållanden. Vanligt är i stället att den ovan redo- visade motivledes uttalade ambitionen från tidigt 1990-tal åberopas, som innebär att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag. Denna uttalade ambition har med åren kommit att appliceras inte bara på förandet av regelrätta register, utan i vissa fall också på myndigheters per- sonuppgiftsbehandling som sådan. Om behandlingen t.ex. har innefattat stora mängder uppgifter eller särskilt känsliga uppgifter har det ofta ansetts föreligga ett behov av lagstöd även utan någon koppling till företeelsen ”register”. Något klart uttalande om huru- vida det finns moment i författningen som innebär att det enligt 8 kap. RF krävs lagstöd eller om det snarare är frågan om en poli- tisk ambition att skyddsregler i dessa fall bör finnas på denna nivå har således i allmänhet inte lämnats. Efter personuppgiftslagens införande har det inte heller förts några resonemang om huruvida den lagen skulle kunna anses utgöra ett tillräckligt lagstöd.

Som exempel på de resonemang i normgivningsfrågan som brukar föras i lagstiftningsärenden om nya registerförfattningar kan nämnas att Lagrådet i samband med införandet av registerförfatt- ningar för Skatteverket, Kronofogdemyndigheten och Tullverket uttalade att svensk rätt i och för sig inte fordrar att föreskrifter av det slag som fanns i de föreslagna lagarna ges form av lag. Det medförde att de normgivningsbemyndiganden som kunde finnas i förslagen i princip var onödiga (prop. 2000/01:33 s. 345). Rege- ringen kommenterade inte Lagrådets uttalande på annat sätt än att bestämmelser i de olika lagarna om att regeringen meddelar när- mare föreskrifter hade utformats i enlighet med Lagrådets syn- punkter (se t.ex. a. prop. s. 202). Det innebär emellertid att rege- ringen i och för sig får anses ha instämt i bedömningen att bestäm- melserna inte till någon del omfattades av ett krav enligt 8 kap. RF på att välja lagformen för de aktuella författningarna, men att den formen ändå valdes (jfr a. prop. s. 121). När nya registerförfatt- ningar införs handlar resonemangen kring normnivå också vanligt- vis om vad författningen som sådan anses kräva, i stället för vilka enskilda föreskrifter som eventuellt ska meddelas i form av lag.

Att resonemangen om normnivå för registerförfattningar har en politisk snarare än en rättslig prägel torde ha sin bakgrund i att de

202

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

första uttalandena om denna politiska ambition gjordes vid en tid då skyddet för den enskildes integritet hade fått en ökad aktualitet genom en allmän debatt där myndigheternas användning av person- uppgifter i vissa register kritiserades. Då fanns emellertid ännu inte någon rättsligt bindande regel som innebar ett allmänt skydd för personlig integritet i svensk lagstiftning, eftersom Europakonven- tionen ännu inte var inkorporerad. Det som fanns i form av en generell regel var målsättningsstadgandet i 1 kap. 2 § fjärde stycket RF som föreskriver att det allmänna ska verka för att demokratins idéer blir vägledande inom samhällets alla områden samt värna den enskildes privatliv och familjeliv.

Den nya bestämmelsen i 2 kap. 6 § andra stycket RF om ett generellt, om än begränsat, skydd för den personliga integriteten syftar alltså inte till att ange vilka föreskrifter om exempelvis be- handling av personuppgifter som ska ha form av lag i stället för förordning. Snarare torde bestämmelsen, som vi ser det, såvitt avser behandling av personuppgifter primärt ha funktionen att bland sådana intrång som omfattas av lagkravet enligt 8 kap. 2 § första stycket 2 RF skilja ut de intrång som är så kvalificerade att de ska omfattas av de särskilda begränsningar som enligt 2 kap. 20–22 §§ gäller för riksdagens möjligheter att besluta om en rättighets- inskränkande lag. Samtidigt följer det av regleringen rörande ikraft- trädandet av 2 kap. 6 andra stycket RF – äldre föreskrifter som ger stöd för åtgärder som innebär betydande intrång i den personliga integriteten behåller under en övergångsperiod sin giltighet även om föreskrifterna inte uppfyller regeringsformens krav på lagform

– att lagstiftaren har utgått från att det kan finnas regler som omfattas av bestämmelsen utan att för den skull också omfattas av något lagkrav enligt 8 kap. RF.

Utgångspunkten är emellertid att integritetsintressen som faller utanför grundlagsbestämmelsens tillämpningsområde, exempelvis vid behandling av personuppgifter, alltså inte behöver sakna skydd utan att där ändå kan gälla ett krav på att ett intrång tillåts enbart i form av lag (jfr prop. 2009/10:80 s. 177). Utrymmet för åtgärder som innebär begränsningar i den enskildes rätt till respekt för privatlivet begränsas vidare genom de krav som följer av Europakonventionen.

203

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

Vad får den höga detaljeringsgraden på lagnivå för konsekvenser?

Det kan visserligen hävdas att den uttalade ambitionen att myndig- hetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag i principiell mening har varit en god sak från integritetsskyddssynpunkt. Emellertid torde det enbart vara ett fåtal föreskrifter om myndigheters behandling av personupp- gifter som i rättslig mening kräver lagstöd. I stället torde merparten kunna meddelas i form av förordning. Vi återkommer till denna fråga nedan.

Ambitionen att ha samtliga de föreskrifter som behövs för ett visst verksamhetsområde eller en viss myndighets behandling av personuppgifter i en särskild författning på lagnivå har emellertid medfört uppenbara olägenheter för utvecklingen av en effektiv för- valtning eftersom det har inneburit en onödigt hög detaljeringsgrad på lagnivå. Reformarbeten som syftar till att effektivisera myndig- heternas hantering av sina ärenden, att ge en förbättrad service när det gäller enskildas insyn allmänt och i egna ärenden och att sam- verka med myndigheter och andra aktörer, och som inte i något avseende innebär ett intrång i de registrerades integritet, kompli- ceras av eller riskerar att inte alls bli av på grund av att den aktuella registerlagen i alltför hög grad detaljstyr behandlingen av person- uppgifter.

Att bedöma vilken normnivå som krävs för föreskrifter om behandling av personuppgifter utifrån den uttalade politiska ambi- tionen kan, som redan påpekats, i principiell mening vara bra för skyddet av enskildas personliga integritet. Den omständigheten att resonemang om normnivå enbart har denna utgångspunkt, och att de dessutom snarare handlar om att ha en uppfattning om författ- ningen som sådan än om de enskilda frågor den reglerar, riskerar enligt vår mening emellertid att leda till att de integritetsfrågor som skulle behöva bli belysta från ett rättighetsperspektiv inte får den uppmärksamhet de förtjänar. Det leder i sin tur till att det blir än svårare att identifiera i vilka fall det särskilda skyddet i 2 kap. 6 § andra stycket RF verkligen ska tillämpas.

Den uttalade ambitionen att vissa registerförfattningar ska ha form av lag kan alltså paradoxalt nog leda till en sämre rättslig ana-

204

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

lys av vilka intrång i den enskildes personliga integritet som en viss behandling av personuppgifter faktiskt kan innebära.

Finns det några typfall då en behandling av personuppgifter kan anses utgöra ett intrång och därför kräva stöd i lag?

Allmänt

Den omständigheten att personuppgifter behandlas på ett sätt som omfattas av dataskyddsdirektivet kan inte i sig anses utgöra ett intrång. Det är det sammanhang där behandlingen sker som avgör om behandlingen sedd för sig kan anses utgöra ett intrång i den enskildes rätt till en privat sfär. Föreskrifter om myndigheters behandling av personuppgifter reglerar i allmänhet inte vad en myndighet ska eller tillåts göra i sin verksamhet. Detta regleras i andra regelverk som föreskriver exempelvis vilka uppgifter och vilka befogenheter myndigheten har, vilka personuppgifter och andra uppgifter som ska samlas in och från vem samt vilka uppgifter som ska lämnas till andra utanför myndighetens verksamhet. Före- skrifter om behandling av personuppgifter handlar i stället i allmän- het om vilka krav som ska ställas på sådan behandling när myndig- heten utför sina uppgifter. I den mån det allmänna tillåts att göra intrång i enskildas privata sfär för att en myndighet ska kunna utföra en viss uppgift, exempelvis genom att enskilda åläggs en skyldighet att lämna uppgifter om personliga förhållanden till myn- digheten, regleras detta alltså i allmänhet i något annat regelverk än i en renodlad registerförfattning. Det innebär att föreskrifter om hur behandling av personuppgifter ska gå till i allmänhet kan med- delas i form av förordning genom regeringens egen rätt att besluta föreskrifter enligt 8 kap. 7 § RF, dvs. utan att något bemyndigande om detta i lag krävs.

Det torde alltså höra till undantagen att en behandling av per- sonuppgifter sedd för sig kan anses utgöra ett ingrepp i enskildas personliga förhållanden och därför kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF för att behandlingen ska vara tillåten.

Vad som nu sagts gäller normalt också i de fall en behandling får ske utan samtycke från den enskilde. Det finns emellertid några typsituationer där det kan finnas anledning att särskilt överväga om

205

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

det behövs stöd i lag för den avsedda behandlingen av personupp- gifter.

Som redan framgått är behandling av känsliga personuppgifter utan samtycke från den enskilde ett område som enligt Europa- domstolens praxis kan aktualisera frågor om intrång i den enskildes rätt till en privat sfär. Beträffande sådana uppgifter krävs därför särskilt noggranna överväganden i frågan om det behövs ett ut- tryckligt stöd i lag för den avsedda behandlingen. Det kan vidare konstateras att uppgiftsutbyte genom direktåtkomst, som alltså normalt medför krav på en sekretessbrytande regel som möjliggör åtkomsten, vanligtvis hämtar sitt stöd i en författning som reglerar behandling av personuppgifter. Bestämmelser som uttryckligen medger utökade befogenheter att sammanställa känsliga person- uppgifter eller uppgifter om brottslighet hämtar också vanligtvis sitt stöd i en s.k. registerförfattning. Nedan behandlas mer utförligt dessa typsituationer med avseende på när det kan vara frågan om ett intrång i den enskildes personliga integritet.

Personuppgifter med ett känsligt innehåll

Behandling av känsliga personuppgifter och även uppgifter om brottslighet kan i många fall anses beröra rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen. Av dataskydds- direktivet följer att behandling av känsliga personuppgifter i princip är förbjuden, om inte den enskilde har samtyckt till behandlingen. Denna huvudregel gäller även myndigheter. I direktivet räknas upp vissa undantagsfall då en behandling utan samtycke emellertid kan vara tillåten. Vidare ger direktivet medlemsstaterna möjlighet att i sin nationella lagstiftning eller genom beslut av tillsynsmyndigheten besluta om ytterligare undantag med hänsyn till ett viktigt allmänt intresse.

I 20 § PuL har det tagits in ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela undan- tag från förbudet att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Det kan konsta- teras att bestämmelsen utgör ett sådant bemyndigande i lag som krävs enligt 8 kap. 3 och 10 §§ RF i den mån den avsedda behand-

206

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

lingen av känsliga personuppgifter utgör ett sådant ingrepp i en- skilds personliga förhållanden som avses i 2 § första stycket 2.

Genom 20 § PuL är det alltså möjligt att meddela bestämmelser som tillåter en myndighet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse i form av förordning.

Som kommer att framgå i det följande föreslår vi att det i den generella lagen ges ett generellt stöd för myndigheter att behandla känsliga personuppgifter som motiveras med att det behövs med hänsyn till ett viktigt allmänt intresse. Det kommer alltså att finnas ett uttryckligt stöd för alla myndigheter att i viss omfattning behandla känsliga personuppgifter utan samtycke från den enskilde. Bestämmelsen kompletteras med ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela före- skrifter om ytterligare undantag i de fall det behövs för en viss myndighet eller en viss sektorsvis verksamhet. Det kan därför här finnas anledning att överväga i vilken utsträckning en sådan bestäm- melse faktiskt innebär ett sådant intrång i enskilds personliga för- hållanden som avses i 8 kap. 2 § första stycket 2 RF.

Det kan då inledningsvis konstateras att det inte kan anses givet att en behandling av känsliga personuppgifter som tillåts med hän- syn till ett viktigt allmänt intresse utgör ett intrång i den enskildes personliga integritet. I vilken mån så är fallet får bedömas utifrån det sammanhang där föreskriften ges. Om myndighetens verksam- het i övrigt är reglerad så att det redan finns bestämmelser som förutsätter eller tillåter att myndigheten använder sig av känsliga personuppgifter för att den ska kunna utföra sina uppgifter, kan det inte behövas något ytterligare stöd för det genom en bestäm- melse i lag som tillåter att uppgifterna hanteras genom automati- serad behandling, dvs. elektroniskt. Exempelvis torde den behand- ling av känsliga personuppgifter som sker hos Försäkringskassan vara en nödvändig följd av den verksamhet som myndigheten genom andra regelverk är ålagd att utföra. Den omständigheten att uppgifterna hanteras automatiserat torde alltså inte i sig innebära ett ingrepp i enskilds personliga förhållanden. Det förhållandet att Försäkringskassans verksamhet innebär att myndigheten samlar in och bevarar känsliga personuppgifter om en stor del av befolk- ningen torde emellertid innebära att särskilda överväganden be- höver göras beträffande ingrepp i enskilds personliga förhållanden om det exempelvis skulle bli aktuellt att ge en annan myndighet,

207

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

som inte tidigare har haft befogenhet att själv samla in den typen av uppgifter, en omfattande tillgång till Försäkringskassans informa- tionssamlingar.

Till skillnad från det som vi betecknar som informationshante- ringsförfattningar innehåller regelrätta registerförfattningar ofta en bestämmelse som föreskriver att registret i fråga ska föras. Stödet att få behandla personuppgifter i registret ges alltså i samma för- fattning som registret har inrättats genom. Om registret innehåller känsliga personuppgifter kan därmed de föreskrifter som innebär stöd för att föra registret i sig utgöra ett ingrepp i enskilds per- sonliga förhållanden. Ett exempel på ett sådant register med ett känsligt innehåll är belastningsregistret. Bestämmelserna i lagen (1998:620) om belastningsregister som reglerar registrets ändamål, innehåll och vilka som har rätt att få uppgifter från registret torde vara att anse som ingrepp i enskilds personliga förhållanden som kräver stöd i lag enligt 8 kap. 2 § första stycket 2 RF, medan bestämmelserna om gallring, tystnadsplikt, rätt till skadestånd m.m. syftar till att skydda den enskilde.

Andra myndigheter än den som har till uppgift att föra belast- ningsregistret torde sällan ha något behov av att på motsvarande sätt samla uppgifter om brottslighet. Enligt dataskyddsdirektivet är det, till skillnad från vad som gäller i fråga om känsliga person- uppgifter, inte förbjudet för myndigheter att behandla personupp- gifter som rör lagöverträdelser. Av de grundläggande kraven som ska vara uppfyllda vid behandling av personuppgifter torde det emellertid i allmänhet följa begränsningar i myndigheters möjlig- heter att i den omfattning som är syftet med belastningsregistret sammanställa den typen av uppgifter. Om någon annan myndighet än den som för belastningsregistret ska tillåtas att i en större omfatt- ning sammanställa uppgifter om brottslighet torde det alltså behöva övervägas om det innebär ett ingrepp i enskilds personliga förhåll- anden som i så fall kräver stöd i lag. Av dataskyddsdirektivet följer vidare att det är förbjudet för medlemsstaterna att tillåta att ett fullständigt register över brottmålsdomar förs under kontroll av någon annan än en myndighet (artikel 8.5).

208

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

Direktåtkomst

Bestämmelser som medger direktåtkomst till känsliga personupp- gifter förutsätter i allmänhet att det finns en sekretessbrytande bestämmelse som medger att uppgifterna utan någon ytterligare prövning kan lämnas ut till den som medgetts en sådan åtkomst. En sådan sekretessbrytande bestämmelse kan därför beroende på omständigheterna i det enskilda fallet utgöra ett ingrepp i den en- skildes personliga förhållanden, eftersom den innebär att den sekre- tess som normalt ska skydda uppgifterna inte längre ska gälla i för- hållande till en viss aktör som befinner sig utanför myndighetens verksamhet.

En direktåtkomst medges ofta för att effektivisera ett uppgifts- utbyte mellan myndigheter som redan äger rum. Om det tidigare uppgiftsutbytet sker med stöd av en sekretessbrytande bestäm- melse som medger att uppgifter lämnas ut utan hinder av sekretess, torde den omständigheten att uppgiftsutbytet nu ska ske genom direktåtkomst inte i sig innebära att det sker något ingrepp i enskilds personliga förhållanden. Att direktåtkomst får anses vara en mer ingripande form av uppgiftsutbyte än annat elektroniskt utlämnande hänger samman med att den väcker mer allmänna frågor om verksamhetsansvar och rättsäkerhet samt – beroende på omständig- heterna – i ett mer övergripande perspektiv kan sägas påverka den enskildes rätt till skydd för sina personuppgifter därför att särskilda frågor om informationssäkerhet aktualiseras (se vidare kapitel 5).

Ett uppgiftsutbyte av sekretessreglerade uppgifter som sker med stöd av den s.k. generalklausulen i 10 kap. 27 OSL, dvs. efter en avvägning mellan intresset av sekretess och den mottagande myn- dighetens behov av uppgifter, torde ofta inte kunna effektiviseras genom direktåtkomst utan att en ny mer definitivt sekretessbryt- ande bestämmelse införs som möjliggör sådan åtkomst. Eftersom en sådan sekretessbrytande bestämmelse innebär att någon intresse- avvägning i det enskilda fallet inte längre ska göras, kan det upp- fattas innebära en försvagning av sekretesskyddet vilket i sin tur kan utgöra ett ingrepp i enskilds personliga förhållanden. Ett upp- giftsutbyte mellan myndigheter med stöd av 10 kap. 27 § OSL kan emellertid ofta vara av sådant slag att det redan finns författnings- stöd för det genom en bestämmelse i lag eller förordning som med- ger att uppgifter rutinmässigt får lämnas ut. Utbytet kan också ha

209

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

sådan karaktär att uppgifter efter en intresseavvägning i praktiken alltid kan lämnas ut. Den omständigheten att en ny sekretess- brytande bestämmelse behöver införas för att möjliggöra att utbytet effektiviseras genom direktåtkomst behöver i ett sådant fall inte heller innebära ett ingrepp i enskildas personliga förhållanden.

Den omständigheten att direktåtkomst medges torde alltså många gånger inte i sig innebära att det sker något ingrepp i enskilds personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Föreskrifter om att direktåtkomst får medges torde därför som huvudregel kunna ges i förordning. Om direkt- åtkomsten emellertid förutsätter att enskildas sekretesskydd i reali- teten försvagas på så sätt att känsliga personuppgifter kan lämnas ut i betydligt större omfattning än vad som annars hade varit möjligt kan den emellertid vara att anse som ett sådant ingrepp i enskildas personliga förhållanden som förutsätter stöd i lag.

Av betydelse för om en direktåtkomst kan anses utgöra ett ingrepp i enskilds personliga förhållanden eller inte är naturligtvis också vilket förhållande de myndigheter har till varandra mellan vilket uppgiftsutbytet sker. Om myndigheternas verksamheter har nära anknytning till varandra och förutsätter att ett visst uppgifts- utbyte sker för att respektive myndighet ska kunna utföra sina uppgifter talar detta för att en direktåtkomst mellan dessa myndig- heter inte i sig utgör ett ingrepp i enskilds personliga förhållanden. Som exempel kan nämnas det uppgiftsutbyte som sker mellan Skatte- verkets beskattningsverksamhet, Kronofogdemyndigheten och Tull- verket, med bortseende från deras brottsutredande verksamhet. Om däremot brottsbekämpande myndigheter medges direktåtkomst till sekretessreglerade personuppgifter hos myndigheter som inte ägnar sig åt brottsbekämpning torde det regelmässigt vara frågan om ett ingrepp i enskilds personliga förhållanden som kräver stöd i lag, såvida inte uppgiftsutbytet är av ringa omfattning.

Sammanställningar av känsliga personuppgifter

I många registerförfattningar finns bestämmelser som begränsar myndigheters möjligheter att söka efter och sammanställa känsliga personuppgifter, s.k. sökbegränsningar. Redan av dataskyddsdirek- tivets regler om vilka grundläggande krav som ska uppfyllas vid en

210

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

behandling av personuppgifter följer visserligen begränsningar i möjligheterna att sammanställa personuppgifter på så sätt att sam- manställningen ska vara förenlig med det ändamål för vilket upp- gifterna samlades in. Uppgifterna ska också vara relevanta i förhåll- ande till ändamålet med sammanställningen och inte fler än vad som är nödvändigt för ändamålet. I en myndighets verksamhet åligger det alltså den som behandlar personuppgifter att göra dessa överväganden innan en sammanställning görs. Genom en bestäm- melse som föreskriver vissa sökförbud har emellertid lagstiftaren som vi ser det gjort denna bedömning ”på förhand” och klargjort att vissa sammanställningar inte ska få ske hos myndigheten. Sådana sökförbud innebär också begränsningar i enskildas möjlig- het att få en sammanställning gjord med stöd av reglerna om allmänna handlingar i 2 kap. TF (jfr 2 kap. 3 § tredje stycket). Om en myndighet däremot bedöms ha behov av att kunna göra sådana sammanställningar för att utföra sina uppgifter och att det därför behöver införas en uttrycklig bestämmelse som tillåter det, kan detta beroende på omständigheterna måhända anses utgöra ett ingrepp i enskilds personliga förhållanden. Det ändamål för vilket samman- ställningen tillåts ske torde vara avgörande för om det ska vara att anse som ett ingrepp i enskilds personliga förhållanden eller inte.

När kan behandling av personuppgifter vara ett betydande intrång?

Ovan har vi behandlat frågan om när behandling av personupp- gifter i sig kan anses utgöra ett sådant ingrepp i enskilds personliga förhållanden att det enligt 8 kap. 2 § första stycket 2 RF kräver stöd i lag. Nästa fråga blir då i vilken mån sådan behandling också eller därutöver kan anses utgöra ett betydande intrång i den mening som avses i 2 kap. 6 § andra stycket RF och i övrigt uppfyller de förutsättningar som anges i stadgandet, dvs. sker utan samtycke och innebär kartläggning eller övervakning av den enskildes per- sonliga förhållanden. Om grundlagsstadgandet är tillämpligt inne- bär det att kravet på lagform är obligatoriskt – dvs. bemyndiganden är uteslutna – och att de särskilda begränsningarna enligt 2 kap. 20– 22 §§ RF rörande förutsättningarna för riksdagen att besluta lagen gäller.

211

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

I 2 kap. 6 § första stycket RF räknas upp ett antal fall av intrång i den enskildes personliga integritet som ansetts kräva särskilt begränsande regler för att de ska kunna tillåtas genom lag. Det handlar exempelvis om kroppsvisitation, husrannsakan och hemlig avlyssning. I dessa fall är det alltså frågan om metoder för insamling av uppgifter om personliga eller ekonomiska förhållanden som ansetts utgöra särskilt svåra intrång i vars och ens rätt till en privat sfär. Vi har ovan konstaterat att behandling av personuppgifter däremot inte utgör en metod eller teknik som i sig innebär intrång i en- skildas personliga integritet, utan att det är det sammanhang där behandlingen sker som avgör om så är fallet.

Inledningsvis kan påpekas att 2 kap. 6 § andra stycket RF till sin ordalydelse inte särskilt tar sikte på behandling av personuppgifter. Tillämpningsområdet avser, liksom 8 kap. 2 § första stycket 2 RF, ”personliga förhållanden”. Ordalydelsen saknar referenser till inrätt- andet och förandet av personregister även om det av motiven framgår att det är ett slag av verksamhet som har avsetts träffas av bestämmelsen. I motiven framhålls att vad som ska avses med ”kartläggning” och ”övervakning” får bedömas med vad som enligt normalt språkbruk läggs i dessa begrepp. Det leder knappast tanken till personuppgiftsbehandling som sådan. Samtidigt finns det, som har framgått, motivuttalanden som kan sägas ge uttryck för att redan det förhållandet att omfattande eller känsliga informations- mängder hanteras hos en viss myndighet kan ses som ett slags kart- läggning som är av det slaget att grundlagsbestämmelsen ska anses vara tillämplig.

Det går alltså knappast att utifrån grundlagsstadgandets orda- lydelse avgöra i vilken mån stadgandet är tillämpligt på person- uppgiftsbehandling sedd för sig. Vad som kan komma att anses gälla här lär få utmejslas i det framtida lagstiftningsarbetet. Ytterst avgörs saken av konstitutionsutskottet som för riksdagens del prövar om ett visst lagförslag utgör en fri- och rättighetsbegränsning eller inte (jfr 2 kap. 22 § tredje stycket RF).

Av ställningstaganden som hittills gjorts i vissa lagstiftnings- ärenden rörande tillämpningen av stadgandet kan emellertid den slutsatsen dras att när en ny uppgift åläggs en myndighet uppgiften, beroende på omständigheterna, kan uppfattas som en sådan inte- gritetskränkande behandling som omfattas av grundlagsbestämmel- sen. En viss skyldighet för en brottsbekämpande myndighet att

212

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

lämna uppgifter till en annan sådan myndighet har t.ex. ansetts inte vara omfattat av grundlagsstadgandet så länge de båda myndig- heterna är svenska. Förhållandet har emellertid ansetts vara det motsatta om uppgifterna ska lämnas till en brottsbekämpande myndighet i utlandet. I båda fallen är fråga om en behandling av personuppgifter men det är alltså inte denna omständighet utan snarare den sakliga innebörden av åtgärden – att uppgifter ska ut- bytas – som har ansetts utslagsgivande för om det ska vara frågan om ett betydande intrång.

Enligt vår mening förefaller det naturligt att vid bedömningen av om grundlagsstadgandet är tillämpligt eller inte på det sättet utgå från den sakliga innebörden av en viss tänkt reglering. Lagstiftaren får således ställa sig frågan vad det är som avses ska ske. Om bedömningen då blir att en viss myndighetsuppgift träffas av grund- lagsstadgandet innebär detta att den uppgiften behöver regleras i lag och att de särskilda förutsättningarna för rättighetsbegränsade lagstiftning i 2 kap. RF då gäller. Det innebär däremot inte att all personuppgiftsbehandling som sker vid myndigheten i fråga nöd- vändigtvis kräver lagstöd. Det är alltså, som vi ser det, fråga om samma slags bedömning som behöver göras för att avgöra om en behandling av personuppgifter i sig utgör ett sådant ingrepp i en- skilds personliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF, dock att det nu också ska bedömas om det är frågan om ett betydande intrång.

Som framgått har det emellertid förekommit att lagstiftaren intagit den positionen att den behandling av personuppgifter som sker vid en viss myndighet till ”stora delar” är av det slaget att grundlagstadgandet blir tillämpligt och att därför all den person- uppgiftsbehandling som sker vid myndigheten har reglerats i lag, dvs. utöver det författningsstöd som redan finns för den faktiska verksamhet som myndigheten bedriver.

Det ska dock framhållas att grundlagstadgandet knappast kräver att lagstiftaren på detta sätt gör en avvägning av om en hel reglering för en viss verksamhet ska ha form av lag eller förordning. Det är som vi ser det endast de moment i verksamheten som utgör ett betydande intrång och i övrigt uppfyller förutsättningarna enligt stadgandet som måste ha stöd i lag. Det lagstiftningsärende där datalagringsdirektivet infördes i svensk rätt innebar inte någon ny skyldighet för en myndighet när det gäller behandling av uppgifter

213

En generell reglering – utgångspunkter och inledande ställningstaganden

SOU 2015:39

som rör enskilds personliga förhållanden, utan skyldigheten tog sikte på leverantörer av elektroniska kommunikationstjänster, dvs. enskilda aktörer. Emellertid syftade skyldigheten att lagra s.k. trafikuppgifter till att brottsbekämpande myndigheter skulle ha till- gång till uppgifterna för sin verksamhet. På så sätt rörde skyldig- heten förhållandet mellan enskilda och det allmänna. Redan den lagring av vars och ens trafikuppgifter som leverantörerna blev ålagda att utföra ansågs utgöra ett intrång i enskildas personliga integritet. Mot bakgrund av den mängd trafikuppgifter om en enskild som kunde komma att lagras, ansågs intrånget också vara betydande.

Datalagringen torde utgöra ett tydligt exempel på ett fall då grundlagsstadgandet blir tillämpligt med hänsyn till både det sätt som valdes för att brottsbekämpande myndigheter skulle ha möjlig- het att få tillgång till trafikuppgifter, nämligen att enskilda aktörer ålades att för brottsbekämpande ändamål lagra de uppgifter som de ursprungligen samlat in för att kunna utföra tjänster i förhållande till sina kunder, samt omfattningen av lagringen och uppgifternas integritetskänsliga karaktär.

Vi har för vår del svårt att se att grundlagsstadgandet kan ges den innebörden att det – bortsett från de brottsbekämpande myn- digheterna – kan finnas myndigheter eller kategorier av myndig- heter vilkas verksamhet är av det slaget att all den behandling av personuppgifter som äger rum där måste ha stöd i en sådan lag som endast får beslutas enligt reglerna i 2 kap. RF. Det förefaller också vara i rena undantagsfall som behandling av personuppgifter hos icke brottsbekämpande myndigheter kan anses innehålla några sär- skilda moment av personuppgiftsbehandling som typiskt sett kan ses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten och därför omfattas av grundlagsstadgandet.

Sammanfattning

Från allmän normgivningssynpunkt ser vi inga hinder mot att bestämmelser som avviker från eller kompletterar innehållet i den generella lagen i form av t.ex. myndighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personupp- gifter m.m. ges i förordningsform. I den mån sådana bestämmelser

214

SOU 2015:39

En generell reglering – utgångspunkter och inledande ställningstaganden

innebär åligganden för de kommunala myndigheterna krävs emeller- tid att bemyndiganden tas in i lagen (jfr 8 kap. 2 § första stycket 3 RF). Detsamma gäller förstås också beträffande sådana regleringar som är att se som ingrepp i enskilds personliga förhållanden. Vi återkommer till frågan om hur erforderliga bemyndiganden bör utformas i avsnitt 18.2.

Det torde bara vara i rena undantagsfall som något visst moment av behandling av personuppgifter i sig är att se som ett sådant betydande intrång att grundlagsstadgandet om skydd för den per- sonliga integriteten blir tillämpligt och regleringen därför måste ges i lag och beslutas i enlighet med 2 kap. RF. I den mån det finns sådana moment i myndighets- eller sektorsspecifik behandling av personuppgifter som anses utgöra ett sådant betydande intrång kan bestämmelser om detta ges lagform genom att tas in i bilaga till den generella lagen. Om det skulle anses mer ändamålsenligt att behand- lingen regleras i en egen författning, t.ex. för att det är frågan om hur ett visst integritetskänsligt register ska få föras snarare än att reglera hur personuppgifter får behandlas i en viss myndighets- verksamhet, kan regleringen givetvis också ges i en särskild lag som därmed gäller före den generella lagens bestämmelser.

Oavsett hur en viss reglering ska bedömas i normgivnings- hänseende är det naturligtvis inget som hindrar att myndighets- specifika föreskrifter av lämplighetsskäl eller andra skäl ändå be- döms bör ges i lag. Sådana föreskrifter – liksom föreskrifter som faktiskt kräver lagstöd och där den bedömningen görs att det av något skäl inte är lämpligt att utnyttja ett bemyndigande – kan också tas in i bilaga till den generella lagen.

215

8 Allmänna bestämmelser

8.1En bestämmelse om lagens syfte

8.1.1Bakgrund

Både i dataskyddsdirektivet och i personuppgiftslagen finns inled- ande bestämmelser om vilket övergripande syfte respektive regle- ring har. Sådana syftesbestämmelser förekommer även i en del registerförfattningar.

Dataskyddsdirektivet

I artikel 1 i direktivet föreskrivs under rubriken Direktivets syfte att medlemsstaterna ska i enlighet med direktivet skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter. Vidare får medlemsstaterna varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det nyss nämnda föreskrivna skyddet. Det bakomliggande syftet med dataskyddsdirektivet brukar anges vara att åstadkomma ett fritt flöde av personuppgifter inom Europeiska unionen. Det syftet ska uppnås genom en harmonisering av medlemsstaternas lagstiftning för att få en likvärdig skyddsnivå för enskilda personers fri- och rättigheter, särskilt rätten till privatliv, med avseende på behandling av personuppgifter.

Personuppgiftslagen

I 1 § anges att personuppgiftslagens syfte är att skydda människor mot att deras personliga integritets kränks genom behandling av personuppgifter. Eftersom ett fritt flöde av personuppgifter mellan

217

Allmänna bestämmelser

SOU 2015:39

medlemsstaterna i Europeiska unionen åstadkoms genom en åtmin- stone delvis harmoniserad lagstiftning till skydd mot kränkning av personlig integritet genom behandling av personuppgifter, ansågs det vid personuppgiftslagens införande inte motiverat att särskilt upp- lysa även om det fria flödet som ett särskilt syfte (prop. 1997/98:44 s. 115).

Förslaget till uppgiftsskyddsförordning

Det pågående reformarbetet syftar inte till något avsteg från vad som slogs fast om det grundläggande syftet med dataskydds- direktivet. Förordningens artikel 1 – med rubriken Syfte och mål – har visserligen modifierats något i struktur och ordalydelse i jäm- förelse med artikel 1 i direktivet. Någon ändring i sak torde detta inte innebära.

I förordningsförslaget (bl.a. motiveringen s. 1 och punkterna 5 och 6 i ingressen) framhålls att den snabba utvecklingen av infor- mationstekniken har omvandlat såväl ekonomin som samhällslivet inom EU. Vidare framhålls att förändringarna kräver en stark och mer sammanhängande ram för uppgiftsskyddet, uppbackad av ett kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. Enskilda bör ha kontroll över sina egna person- uppgifter och rättssäkerheten och smidigheten för enskilda, eko- nomiska operatörer och myndigheter bör stärkas. Enligt kom- missionen är det avgörande för den ekonomiska utvecklingen att bygga upp förtroendet för nätmiljön. Bristande förtroende gör att konsumenter tvekar att ”köpa på nätet” och att använda nya tjänster. Detta kan hämma utvecklingen av innovativa användningar av ny teknik. Skydd av personuppgifter spelar därför en central roll i den digitala agendan för Europa och mer allmänt i Europa 2020-stra- tegin (se avsnitt 3.1.4).

Det kan således konstateras att informationstekniken ges en fram- skjuten betydelse för en önskvärd samhällsutveckling på bred front. En robust dataskyddsreglering är inte bara ett mål i sig utan också ett medel att uppnå en önskad samhällsutveckling i ett längre perspektiv.

218

SOU 2015:39

Allmänna bestämmelser

Registerförfattningar

I registerförfattningar förekommer ibland bestämmelser som anger lagens övergripande syfte.

När det gäller informationshanteringsförfattningar förekommer syftesbestämmelser framför allt i sådana författningar som ersätter personuppgiftslagen och sedan hänvisar till olika bestämmelser i per- sonuppgiftslagen som ska ha motsvarande tillämpning då person- uppgifter behandlas inom ramen för informationshanteringsförfatt- ningens tillämpningsområde.

I exempelvis 1 kap. 1 § polisdatalagen (2010:361) anges det över- gripande syftet med lagen vara att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga inte- gritet kränks vid sådan behandling. Enligt motiven (prop. 2009/10:85 s. 66 f.) avspeglar utformningen av bestämmelserna den avvägning mellan å ena sidan intresset av en effektiv brottsbekämpning och å andra sidan intresset av skydd för den personliga integriteten som gjorts i lagstiftningsärendet. I 1 kap. 1 § kustbevakningsdatalagen (2012:145) finns en motsvarande bestämmelse om lagens syfte. Det finns dock exempel på informationshanteringsförfattningar med samma lagtekniska konstruktion vad avser förhållandet till person- uppgiftslagen som varken hänvisar till 1 § PuL eller har en egen syftes- bestämmelse.

I sådana informationshanteringsförfattningar som är konstruerade på det sättet att personuppgiftslagen gäller i den mån författningen i fråga inte innehåller avvikande bestämmelser förekommer i all- mänhet inte någon särskild syftesbestämmelse som ersätter eller gäller utöver vad som sägs i 1 § PuL.

Beträffande renodlade registerförfattningar förekommer bestäm- melser som anger författningens syfte eller ett visst registers syfte. För de så kallade publicitetsregistren anges ofta att registret ska ”ge offentlighet åt” ett visst förhållande, se t.ex. 1 § lagen (2000:224) om fastighetsregister eller 2 kap. 1 § aktiebolagsförordningen (2005:559).

219

Allmänna bestämmelser

SOU 2015:39

8.1.2Våra överväganden och förslag

Förslag: I den nya lagen införs en bestämmelse som anger vilket syfte lagen har. Detta är tudelat. Syftet är att dels ge myndig- heter möjlighet att behandla personuppgifter på ett ändamåls- enligt sätt i deras verksamheter, dels skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Bestämmelser om lagars syfte saknar normalt egentligt materiellt innehåll utan framstår mer som ett slags deklaration av de bakom- liggande och övergripande målen med de efterföljande lagbestäm- melserna med mer konkret reglering. Man kan därför fråga sig om det verkligen behövs en syftesbestämmelse av detta slag i den nya lagen. Onekligen har emellertid en syftesbestämmelse en informa- tiv och pedagogisk betydelse.

Ett uttryckligt fastslående av lagens syfte har emellertid inte enbart en symbolisk eller informativ betydelse. Att en lags syfte an- ges i lagen kan få relevans i rättstillämpningen genom att ge väg- ledning för tolkningen av de materiella bestämmelserna i lagen. Vidare klargör en sådan bestämmelse att lagen enbart innehåller sådana bestämmelser som är av dataskyddsrättslig karaktär.

Sammanfattningsvis anser vi således att det finns skäl att ta in en bestämmelse om lagens syfte i den nya lagen.

Hur bör lagens syfte anges?

En syftesbestämmelse måste av naturliga skäl vara övergripande. Vi bedömer att en bestämmelse som föreskriver att lagens syfte är att dels ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt, dels skydda människor mot att deras person- liga integritet kränks vid myndigheternas informationshantering väl fångar regleringens målsättning på ett sätt som passar för alla myn- digheter oavsett vad för slags verksamhet de bedriver.

Syftet att ge möjligheter till en ändamålsenlig personuppgifts- behandling är viktigt att framhålla. För myndigheter är det av helt avgörande betydelse att kunna behandla personuppgifter genom elektronisk informationshantering för att utföra sina uppgifter i överensstämmelse med de krav som ställs på bl.a. rättssäkerhet,

220

SOU 2015:39

Allmänna bestämmelser

effektivitet och en önskvärd servicenivå. Detta kan inte sällan inne- bära att myndigheter exempelvis måste ges större förutsättningar att behandla personuppgifter utan den registrerades samtycke än vad som gäller utanför den offentliga sektorn. Den nya lagen med anknytande föreskrifter kommer att innehålla bestämmelser som skapar sådana förutsättningar.

Vad som är en ändamålsenlig personuppgiftsbehandling kan inte slås fast i generella termer utan varierar i hög grad beroende på vad för slags verksamhet det handlar om.

Det andra ledet i den föreslagna syftesbestämmelsen – att lagens syfte är att skydda människor mot att deras personliga integritet kränks vid myndigheters personuppgiftsbehandling – är av central betydelse. Genom syftesbestämmelsen kommer detta till uttryck i lagen. Härigenom framgår vidare indirekt att verksamhetsreglering av olika slag faller utanför lagens syfte. Lagens bestämmelser ska enbart inriktas på att reglera informationshanteringen i förhållande till det skydd som personuppgiftsbehandling påkallar.

Att myndigheters behandling av personuppgifter inte medför kränkningar av människors personliga integritet är alltså en central målsättning för regleringen. Samtidigt är vissa intrång nödvändiga för att myndigheterna ska kunna utföra sina uppgifter. Regleringen bör därför ge uttryck för en väl avvägd balans och proportionalitet mellan, å ena sidan, samhällets behov av att myndigheter kan be- handla personuppgifter i sin verksamhet och, å andra sidan, skyddet för den personliga integriteten. Ett gott integritetsskydd är av funda- mental betydelse för att myndigheterna alls ska kunna ges förut- sättningar att behandla personuppgifter med ett bevarat förtroende från allmänhetens sida. På ett övergripande plan kan det alltså sägas finnas ett samspel mellan integritetsskydd och förutsättningar för en ändamålsenlig informationshantering. Detta tydliggörs genom den tudelade syftesbestämningen – ändamålsenlighet respektive inte- gritetsskydd – och illustrerar att de båda målen gäller parallellt.

221

Allmänna bestämmelser

SOU 2015:39

8.2Lagens tillämpningsområde

8.2.1Vilka myndigheter bör omfattas av lagens tillämpningsområde?

Förslag: Lagen ska i princip tillämpas av alla myndigheter. Med myndigheter avses i lagen detsamma som i regeringsformen, dvs. alla statliga och kommunala organ utom riksdagen och de beslut- ande kommunala församlingarna.

Vi har i avsnitt 7.2 redogjort för varför det bör införas en samlad lag för myndigheterna med generella bestämmelser till skydd för personuppgifter.

Enligt vår mening talar övervägande skäl för att lagen bör vara tillämplig hos alla slags myndigheter och inte t.ex. bara sådana som i dag omfattas av särskilda registerförfattningar. Det är enligt vår mening angeläget att ett och samma grundläggande regelverk gäller inom hela myndighetssektorn. Att samma grundläggande regler för behandling av personuppgifter gäller för alla myndigheter ger ökad tydlighet och transparens. Det ger också bäst förutsättningar för effektivitetshöjande myndighetsgemensamma lösningar, exempelvis uppgiftsbyte myndigheter emellan.

Att alla myndigheter kommer att omfattas av lagens tillämpnings- område är också ägnat att väsentligt underlätta den reformering av regelverket som kommer att behöva göras som ett resultat av det pågående reformarbetet inom EU som kan förväntas leda till att dataskyddsdirektivet ersätts av en allmän uppgiftsskyddsförordning.

Med myndigheter avses här detsamma som i regeringsformen, dvs. alla statliga och kommunala organ utom riksdagen och de be- slutande kommunala församlingarna.

222

SOU 2015:39

Allmänna bestämmelser

8.2.2Vilka verksamheter bör omfattas av lagens tillämpningsområde?

Förslag: Vissa verksamheter undantas från lagens tillämpnings- område nämligen

en myndighets administrativa verksamhet,

en myndighets verksamhet som personuppgiftsbiträde, och

sådan verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påfölj- der.

Våra direktiv är öppna i fråga om tillämpningsområdet. I direktiven klargörs emellertid att den brottsbekämpande verksamheten inte omfattas av utredningsuppdraget. Ett skäl till detta är att den verk- samheten inte omfattas av förslaget till allmän uppgiftsskydds- förordning utan av ett förslag till direktiv om uppgiftsskydd i den brottsbekämpande verksamheten. Härmed avses verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, utreda, av- slöja eller lagföra brott eller verkställa straffrättsliga påföljder (se artikel 2.2 e i uppgiftsskyddsförordningen, jfr även artikel 1.2 i gällande dataskyddsrambeslut). För Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kriminal- vården och Övervakningsnämnderna är brottsbekämpande verk- samhet den dominerande uppgiften. Även Kustbevakningen, Skatte- verket och Tullverket har uppdrag att bedriva brottsbekämpande verksamhet. De allmänna domstolarnas verksamhet på det straff- rättsliga och straffprocessuella området hör också till den brotts- bekämpande verksamheten i här aktuell bemärkelse.

Den brottsbekämpande verksamheten ska alltså inte omfattas av lagens tillämpningsområde. Till bilden hör vidare att den brotts- bekämpande verksamheten till stora delar nyligen genomgått eller genomgår en översyn av regleringen av personuppgiftsbehandling. Polisdatalagen och kustbevakningsdatalagen är tämligen nya för- fattningar och det pågår lagstiftningsarbete bl.a. såvitt avser Åklagar- myndigheten samt beträffande Tullverkets brottsbekämpande verk- samhet. Registerförfattningsregleringen av den brottsbekämpande

223

Allmänna bestämmelser

SOU 2015:39

verksamheten är emellertid inte i alla delar heltäckande. Exempelvis förekommer behandling av personuppgifter med stöd av person- uppgiftslagen i brottsbekämpande verksamhet vid Nationellt foren- siskt centrum, en enhet inom Polismyndigheten.

Nästa fråga blir då om personuppgiftsbehandling i all slags övrig myndighetsverksamhet än den som uttryckligen undantagits från utredningsuppdraget bör omfattas av den nya lagens tillämpnings- område.

Det säger sig självt att myndigheters behandling av person- uppgifter sker i varierande och mångfacetterade verksamheter. Redan de registerförfattningar som finns i dag spänner över en mycket brokig verksamhetskarta som innefattar myndighetsverk- samhet inom såväl staten som landstingen och kommunerna. Både myndigheters handläggning av ärenden samt s.k. faktiskt handlande (t.ex. vård av en patient eller en myndighets serviceverksamhet enligt 4 § FL) omfattas inte sällan av informationshanteringsförfatt- ningar. Båda slagen av verksamhet, som inte alltid är så lätta att avgränsa, bör enligt vår mening omfattas av den nya lagens tillämp- ningsområde. Behandling av personuppgifter behövs emellertid inte bara i den egentliga sakverksamheten utan även för t.ex. övergrip- ande planering, verksamhetsuppföljning och egentillsyn. Normalt handlar det då om ”återanvändning” genom olika slags bearbetning av personuppgifter som redan samlats in i den löpande verksam- heten. Även sådan behandling bör omfattas av lagen, eftersom det ingår i myndigheternas ansvar att planera, administrera och kvali- tetssäkra sin verksamhet. Det är vår uppfattning att utgångspunk- ten bör vara att den nya lagen ska gälla, om det inte föreskrivits något undantag eller annat följer av avvikande bestämmelser. I linje härmed anser vi att det inte bör införas någon beskrivning av vilka verksamhetsområden som omfattas av lagens tillämpningsområde. Verksamhetsområdet ska i stället framgå motsatsvis.

I fråga om vilka undantag som uttryckligen bör föreskrivas, ut- över den brottsbekämpande verksamheten, gör vi följande överväg- anden.

Generellt gäller på registerlagstiftningsområdet att den person- uppgiftsbehandling som sker i myndigheternas rent administrativa verksamhet med t.ex. personal- och lokalfrågor, materialförsörj- ning och ekonomiadministrativa göromål utan närmare koppling till sakverksamheten faller utanför den särreglering som register-

224

SOU 2015:39

Allmänna bestämmelser

författningarna omfattar. Detta brukar framgå indirekt av det sätt som registerförfattningens tillämpningsområde beskrivs på samt av förarbetsuttalanden (se t.ex. 1 § studiestödsdatalagen och prop. 2008/09:96 s. 76). Vi menar att det är naturligt att den rent intern- administrativa verksamheten med t.ex. personal-, lokal- och ekonomi- administration även framgent regleras av personuppgiftslagen i stället för av den nya lagen. I myndigheternas administration behandlas nämligen inte personuppgifter som samlats in då myndigheterna fullgör de uppgifter som de är ålagda att utföra inom ramen för deras verksamhet. Myndigheternas administration är därmed i prin- cip likställd den som sker hos enskilda personuppgiftsansvariga i rollen som t.ex. arbetsgivare och påkallar inte en särreglering i för- hållande till den allmängiltiga regleringen i personuppgiftslagen. Visserligen finns det skillnader, hos myndigheter genereras exem- pelvis allmänna handlingar även inom personaladministrationen, men de skillnader som finns utgör enligt vår mening knappast till- räckliga skäl för att avvika från den ordning som hittills gällt. Det sagda innebär att myndigheternas administrativa verksamhet bör undantas från den nya lagens tillämpningsområde.

Av stor vikt för den samlade regleringens konsekvens och begrip- lighet är att bestämmelserna har en tydlig adressat. Det förekom- mer registerförfattningar som är otydliga på den punkten. Ett exempel är studiestödsdatalagen som enligt lagens bestämmelse om tillämpningsområde bara gäller för Centrala studiestödsnämndens verksamhet (1 § studiestödslagen). Dock är lagens bestämmelse om direktåtkomst så avfattad att den tycks rikta sig till mottagande myndigheter genom att reglera hur deras direktåtkomst till nämndens personuppgiftssamlingar får användas. Den samlade reglering som vi föreslår bör vara tydlig på denna punkt. Lagen ska i allt väsentligt därför enbart ta sikte på de förutsättningar och skyldigheter som gäller för en personuppgiftsansvarig myndighet. Bestämmelsernas adressat ska alltså genomgående vara den myndighet som är per- sonuppgiftsansvarig.

Som närmare kommer att behandlas i avsnitt 10.1 förekommer emellertid att myndigheter behandlar personuppgifter såsom person- uppgiftsbiträde till en personuppgiftsansvarig, vilken kan vara såväl en annan myndighet som en enskild. För att uppnå den efter- strävade tydligheten angående vem som är skyldig att följa lagens bestämmelser, eller se till att lagens bestämmelser följs, bör per-

225

Allmänna bestämmelser

SOU 2015:39

sonuppgiftsbehandling som en myndighet utför i egenskap av per- sonuppgiftsbiträde därför undantas från lagens tillämpningsområde. Det är sedan en annan sak att lagens bestämmelser i praktiken ändå kommer att gälla även för en myndighet som är personuppgifts- biträde om den personuppgiftsansvarige är en myndighet vars be- handling omfattas av lagen. Förhållandet blir dock ett annat då den personuppgiftsansvarige är en enskild aktör.

Det förekommer ibland att en myndighet utan att vara person- uppgiftsbiträde behandlar personuppgifter genom sådan teknisk lagring eller teknisk bearbetning för annan myndighets räkning som avses i 2 kap. 10 § första stycket TF. Det kan vara fråga om såväl en begränsad it-tjänst som överlämnande av hela it-driften. Vi ser dock inte anledning att föreslå något undantag för en myndig- hets verksamhet med att lagra eller bearbeta upptagningar med personuppgifter för annans räkning som motsvarar undantaget för myndigheters personuppgiftsbehandling såsom personuppgifts- biträde. Den nya lagens tillämpningsområde kommer således att omfatta en myndighets behandling bestående av lagring eller bearbet- ning för annans räkning som avses i 2 kap. 10 § första stycket TF.

I våra direktiv berörs inte frågan om vad som bör gälla beträffande personuppgiftsbehandlingar inom de delar av den offent- liga sektorn som inte omfattas av den unionsrättsliga regleringen, t.ex. inom försvarsområdet. Från det materiella tillämpningsområdet för uppgiftsskyddsförordningen undantas, utöver brottsbekämpande verksamhet, enligt artikel 2 bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unions- lagstiftningen, särskilt avseende nationell säkerhet, eller som medlems- staterna utför när de bedriver verksamhet som omfattas av kapitel 2 i EU-fördraget (som innehåller särskilda bestämmelser om den gemensamma utrikes- och säkerhetspolitiken).

Dataskyddsdirektivets materiella tillämpningsområde är på mot- svarande sätt begränsat (artikel 3).

Personuppgiftslagen är däremot tillämplig även på verksamheter som inte omfattas av unionsrätten. I förarbetena anfördes bl.a. att en begränsning av lagens tillämpningsområde till vad som krävs enligt direktivet skulle strida mot vad som tillämpats under lång tid i Sverige, nämligen ett system som utgår från en generell lag kompletterad med särregler i s.k. registerförfattningar. Om viss offentlig verksamhet skulle generellt undantas från personuppgiftslagen, fanns det risk

226

SOU 2015:39

Allmänna bestämmelser

för att viss behandling inom den offentliga sektorn inte skulle komma att omfattas av någon lagstiftning med motsvarande syfte som den lagen. Personuppgiftslagen gjordes därför generellt tillämplig till att omfatta även verksamhet utanför det som numera benämns unionsrätten (prop. 1997/98:44 s. 40).

Vårt uppdrag innebär, som tidigare framgått, att utforma en reglering som är väl anpassad till den pågående dataskyddsreformen inom EU. Om möjligt ska vi skapa en reglering som kan fungera som ett komplement till den unionsrättsliga regleringen på om- rådet. Detta skulle kunna tala för att en kommande anpassning av den föreslagna lagen till uppgiftsskyddsförordningen underlättas om lagens tillämpningsområde överensstämmer med uppgiftsskydds- förordningens. Därmed skulle det inte finnas någon risk för att ett inordnande i den föreslagna lagen av verksamhet som faller utanför unionsrätten bara blir en temporär ordning. Genomförandet av uppgiftsskyddsförordningen förefaller emellertid inte vara nära före- stående och under alla förhållanden kan det antas, mot bakgrund av vad som nu är känt om innehållet i den kommande förordningen, att det kommer att finnas ett tämligen stort utrymme för nationell reglering av myndigheters behandling av personuppgifter. Det finns därmed, menar vi, goda förutsättningar för att finna en lös- ning för hur lagen bör anpassas till den kommande uppgiftsskydds- förordningen utan hinder av att även verksamhet som inte omfattas av unionslagstiftningen ingår i lagens tillämpningsområde. Vi anser därför att det stora värde ur tillämpningssynpunkt som finns i en så långt möjligt samlad reglering för enskilda myndigheters behand- ling av personuppgifter – alldeles oavsett om verksamheten om- fattas av unionsrätten eller inte – väger tyngre än de komplika- tioner som måhända kan uppstå i samband med ett införande av uppgiftsskyddsförordningen. Vi bedömer därför att tillämpnings- området inte bör begränsas till myndighetsverksamhet som om- fattas av unionsrätten. I avsnitt 19.2.3 återkommer vi till frågan om lagens tillämpningsområde.

227

Allmänna bestämmelser

SOU 2015:39

8.2.3Lagens förhållande till befintliga registerförfattningar m.m.

Förslag och bedömning: Lagen ska – med undantag för person- uppgiftslagen och bestämmelser som meddelats med stöd av den lagen – vara subsidiär i förhållande till bestämmelser i annan lag eller förordning som avviker från lagens bestämmelser. Befint- liga registerförfattningar fortsätter därför att vara tillämpliga även efter lagens införande. Lagens tillämpningsområde vid ikraft- trädandet blir därmed sådan personuppgiftsbehandling hos myn- digheter som sker med stöd av personuppgiftslagen. Avsikten är emellertid att dataskyddsrättslig särreglering i form av register- författningar efter hand bör upphävas eller i vart fall förenklas och att den nya lagen därmed blir tillämplig i stället. Eventuella behov av fortsatt särreglering kan tillgodoses genom att sådana bestämmelser tas in i en till lagen anslutande förordning eller vid behov, i bilaga till lagen.

Flertalet regelrätta registerförfattningar innehåller verksamhetsreg- lering i det avseendet att de tilldelar en myndighet uppgiften att vara registerhållare och därutöver innehåller närmare regler om uppgifter som ska hämtas in, registreras osv., dvs. regler som inte tar sikte på personuppgiftsbehandling som sådan. Som har framgått av avsnitt 7.2 menar vi att den nya lagen enbart bör innehålla be- stämmelser som utgör dataskyddsregler och att nyss nämnda register- författningar inte bör beröras förutom i de delar som avser data- skyddsreglering. Det finns ett flertal sådana reglerade register inom olika sektorer, t.ex. receptregistret, fastighetsregistret, handelsbolags- registret, olika hälsodataregister m.m. Nya sådana register kommer att behöva inrättas och därmed regleras. Vi ser, som redan sagts, ingen anledning att ha som ambition att försöka ersätta den typen av regelrätta registerförfattningar genom att i stället reglera verk- samhetsspecifika registerfrågor i anslutning till den nya lagen. Som har framgått talar sakliga skäl med styrka emot detta.

De bestämmelser som finns i sådana författningar om person- dataskydd såsom t.ex. regler om personuppgiftsansvar, sökbegräns- ningar m.m. kommer emellertid att efter hand kunna anpassas för att harmoniera med den nya lagen. Huruvida den nya lagen ska ersätta sådana bestämmelser eller inte får bedömas från fall till fall.

228

SOU 2015:39

Allmänna bestämmelser

Att det även i fortsättningen kommer att finnas renodlade register- författningar utesluter alltså på inget sätt att sådana författningar ”rensas” från dataskyddsbestämmelser varefter författningen bara innehåller de verksamhetsregler m.m. som bör gälla för registret. Sådana bestämmelser som utgör särreglering i förhållande till den av oss föreslagna lagen och som alltjämt anses behövas, skulle då kunna föras in i den till lagen anslutande förordningen. Huruvida en sådan ordning bör tillämpas för ett enskilt register eller om det är mera lämpligt att särregleringen finns kvar i den särskilda register- författningen måste dock avgöras i det särskilda fallet. Vi återkom- mer till detta i avsnitt 19.1.

På motsvarande sätt förhåller det sig beträffande andra typer av författningar som varken är renodlade registerförfattningar eller informationshanteringsförfattningar utan tillhör den kategori författ- ningar som har inslag av bestämmelser om behandling av person- uppgifter bland annan slags reglering. En sådan författning är kamera- övervakningslagen (2013:416). Ett annat exempel är lagen (2001:99) om officiell statistik med anknytande förordning som innehåller särreglering om behandling av personuppgifter i sådan särskild statistikverksamhet som bedrivs av statistikansvariga myndigheter, t.ex. Försäkringskassan och Centrala studiestödsnämnden.

Däremot är det vår ambition att de registerförfattningar som har karaktär av informationshanteringsförfattningar efter hand avveck- las och ersätts av den nya lagen, eventuellt med viss fortsatt sär- reglering i anslutande förordning eller, vid behov, i bilaga till lagen.

Den nya lagen bör alltså inte redan genom ikraftträdandet ersätta några befintliga registerförfattningar. För detta krävs anpassningar som kräver en analys och avvägning av vilka behov av särregler det finns på olika områden och på vilken normnivå dessa särregler i så fall bör ges.

För att få en fungerande omställningsprocess och för att på längre sikt öppna för flexibilitet när det gäller utrymme för att, efter en närmare analys, låta viss reglering helt eller delvis kvarstå eller införas helt åtskild från den samlade regleringen bedömer vi alltså att den nya lagen måste göras subsidiär i förhållande till annan särreglering i lag eller förordning med undantag för personupp- giftslagen och personuppgiftsförordningen. Vi föreslår därför att en sådan bestämmelse tas in i lagen.

229

Allmänna bestämmelser

SOU 2015:39

8.2.4Vilka slags behandlingar och uppgifter bör omfattas av lagens tillämpningsområde?

Förslag: Lagen ska tillämpas vid sådan behandling av person- uppgifter som är helt eller delvis automatiserad. Lagen gäller även för manuell behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av per- sonuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier. Tillämpningsområdet motsvarar alltså personuppgiftslagens tillämpningsområde.

En fråga rörande tillämpningsområdet är vilka slags behandlingar som ska omfattas av regleringen. Dataskyddsdirektivet liksom personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad samt även annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (artikel 2 c och 3.1 i direktivet och 5 § PuL). Man brukar beskriva det sist- nämnda med att det syftar på manuella register. Uppgiftsskydds- förordningens tillämpningsområde är i detta hänseende detsamma som dataskyddsdirektivets (artikel 2.1 och 4.4).

Det normala för befintliga informationshanteringsförfattningar är att de i detta avseende har samma tillämpningsområde som personuppgiftslagen. Något skäl till varför den nya lagen skulle av- vika från denna ordning kan vi inte se. Vi föreslår därför en bestäm- melse med en med dataskyddsdirektivet överensstämmande defini- tion av vad för slags behandling som lagen är tillämplig på.

En annan fråga som ibland regleras i registerförfattningar är om även andra uppgifter än personuppgifter ska omfattas av regleringen.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 § PuL, se även dataskyddsdirektivet artikel 2). Ibland utsträcks en reglering i en registerförfattning till att även avse uppgifter om avlidna (t.ex. patientdatalagen) eller juridiska personer (t.ex. lagen om behand- ling av uppgifter i Skatteverkets beskattningsverksamhet). Detta har då föranletts av särskilda förhållanden inom de reglerade verk- samheterna.

230

SOU 2015:39

Allmänna bestämmelser

De regler som den nya lagen ska innehålla ska gälla generellt. Det ter sig mot den bakgrunden inte lämpligt att utvidga regle- ringen till att omfatta andra kategorier av registrerade än vad som följer av den unionsrättsliga dataskyddsregleringen. Förslaget till uppgiftsskyddsförordning innehåller ingen förändring på denna punkt i förhållande till dataskyddsdirektivet. De generella bestäm- melserna i lagen bör således endast gälla för behandling av person- uppgifter i den mening som avses i 3 § PuL.

Det är en annan sak att det fortsatt på vissa områden kan finnas anledning att låta vissa särbestämmelser omfatta även uppgifter om avlidna personer eller juridiska personer.

8.3Lagens förhållande till personuppgiftslagen

Som har framgått av avsnitt 7.1.3 anser vi alltså att det inte finns skäl att invänta resultatet av reformarbetet inom EU utan att den nya lagen bör ges en utformning som är förenlig med gällande rätt. Den nya lagen måste därför förhålla sig till personuppgiftslagen. Frågan är på vilket sätt det bör ske.

8.3.1Bakgrund

Tre regleringsmodeller

Enligt 2 § PuL gäller avvikande bestämmelser i annan lag eller för- ordning framför personuppgiftslagens bestämmelser. Personuppgifts- lagen är således subsidiär i förhållande till andra författningar i lag eller förordning.

Vid dataskyddsdirektivets genomförande förutsattes att det skulle finnas ett fortsatt behov, framför allt inom den offentliga sektorn, av sektorspecifik särreglering i särskilda författningar som skulle gälla före personuppgiftslagen. Traditionen från datalagens tid med en generellt tillämplig lag som kompletteras av specifika register- författningar borde därför fortsätta (prop. 1997/98:44 s. 40 f.). Med personuppgiftslagen kom emellertid den lagtekniska konstruktionen för särregleringens förhållande till den generella regleringen i per- sonuppgiftslagen att bli en komplex och omdiskuterad fråga. Olika mer eller mindre parallella lagstiftningsärenden ledde till att det

231

Allmänna bestämmelser

SOU 2015:39

ganska snart efter personuppgiftslagens införande utformades olik- artade konstruktioner. Detta förhållande präglar än i dag register- lagstiftningen och utgör en av delförklaringarna till varför rätts- området kommit att uppfattas som svårtillgängligt. Tre förekom- mande varianter eller modeller kan urskiljas, den kompletterande, den hänvisande och den heltäckande modellen.

De flesta registerförfattningar är utformade i enlighet med den kompletterande modellen. Den tekniken kännetecknas av att sär- regleringen endast kompletterar eller ersätter personuppgiftslagen i frågor som är specifika för de verksamheter som omfattas av särlagstiftningen. Detta innebär att den myndighet som berörs måste tillämpa såväl den särskilda registerförfattningen som person- uppgiftslagen vid sin behandling av personuppgifter. Personupp- giftslagen ska alltså tillämpas om inte annat följer av registerförfatt- ningen eller av föreskrifter som meddelats med stöd av register- författningen. Detta gäller alldeles oavsett om registerförfattningen i fråga innehåller eller inte innehåller någon bestämmelse som anger vilket förhållande som gäller mellan författningen och personupp- giftslagen. Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt personuppgiftslagen får avgöras med tillämpning av sedvanliga metoder för tolkning av författningar (prop. 1997/98:44 s. 115 f.). Trots att det i teknisk mening alltså inte måste regleras att registerförfattningen och personuppgifts- lagen kompletterar varandra på detta sätt innehåller registerförfatt- ningar ofta bestämmelser som ger uttryck för förhållandet till per- sonuppgiftslagen, dvs. det anges på ett eller annat sätt att person- uppgiftslagen gäller utöver registerförfattningen.

Den kompletterande modellen, som alltså är den vanligaste, gäller för bl.a. Arbetsförmedlingen, Centrala studiestödsnämnden, För- säkringskassan, Kriminalvården, Skatteverkets skattebrottsenheter, Totalförsvarets rekryteringsmyndighet samt myndigheter inom hälso- och sjukvården och socialtjänsten. I författningar med denna kon- struktion brukar det uttryckas särskilt hur lagen förhåller sig till personuppgiftslagen, som regel under en särskild rubrik, exempel- vis Förhållandet till personuppgiftslagen eller något liknande, se t.ex. 2 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 1 kap. 4 § patientdatalagen (2008:355) och 2 § studiestödsdatalagen (2009:287).

232

SOU 2015:39

Allmänna bestämmelser

Även i renodlade registerförfattningar förekommer att förhåll- andet till personuppgiftslagen klargörs genom uttryckliga bestäm- melser. I 3 § lagen om receptregister (1996:1156) och i 2 § lagen (2001:558) om vägtrafikregister finns exempelvis uttryckliga bestäm- melser av innebörd att personuppgiftslagen gäller utöver författ- ningen i fråga. Lagen (2000:224) om fastighetsregister och handels- registerlagen (1974:157) utgör exempel på motsatsen.

Enligt den hänvisande modellen anges i registerförfattningen att den gäller i stället för personuppgiftslagen, om inte annat anges i bestämmelser i registerförfattningen som hänvisar till särskilt ut- pekade bestämmelser i personuppgiftslagen som ska vara tillämp- liga även vid behandling av personuppgifter enligt registerförfatt- ningen i fråga. Även vid den hänvisande modellen måste alltså myndigheten tillämpa såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Däremot behöver man inte jämföra bestämmelserna i de båda författningarna för att komma fram till vad som gäller. Den hänvisande modellen används bl.a. i de informationshanteringsförfattningar som gäller för behandling av personuppgifter i Skatteverkets beskattnings- och folkbokföringsverksamhet, Kronofogdemyndighetens verksamhet och i Tullverkets verksamhet. Tekniken används även i bl.a. polis- datalagen (2010:361) och i kustbevakningsdatalagen (2012:145) samt föreslås i en ny lag för personuppgiftsbehandlingen i dom- stolarnas rättskipande och rättsvårdande verksamhet (Ds 2013:10).

Vid registerförfattningar som är konstruerade enligt den hel- täckande modellen är personuppgiftslagen över huvud taget inte tillämplig beträffande den behandling av personuppgifter som reg- leras genom författningen. De bestämmelser i personuppgiftslagen som trots detta ska tillämpas i den aktuella verksamheten upprepas i stället i registerförfattningen, vilket i praktiken innebär ett slags dubbelreglering. Fördelen är att tillämparen inte behöver läsa i två olika lagar – registerförfattningen respektive personuppgiftslagen – för att konstatera vilka bestämmelser som reglerar den aktuella per- sonuppgiftsbehandlingen. Registerförfattningen är således heltäck- ande i det avseendet att den helt ersätter personuppgiftslagen. Denna modell används i lagen (2007:258) om behandling av person- uppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst samt i lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse-

233

Allmänna bestämmelser

SOU 2015:39

och utvecklingsverksamhet. Den heltäckande modellen används också i kameraövervakningslagen (2013:460).

Vissa motivuttalanden rörande regleringsmodell

Man kan fråga sig av vilka skäl det har valts olika lösningar för relationen mellan personuppgiftslagen och den aktuella särregleringen. Något givet svar på den frågan finns dock inte. För- och nackdelar med de olika modellerna har emellertid diskuterats i förarbeten, en diskussion som här kort ska redogöras för.

En av de första informationshanteringsförfattningar som inför- des efter personuppgiftslagens ikraftträdande var dåvarande polisdata- lagen (1998:622) som utformades i enlighet med den komplette- rande modellen. Flera remissinstanser, bl.a. JO, hade i stället för- ordat en mer fullständig lösning med en inarbetning i polisdata- lagen av tillämpliga bestämmelser i personuppgiftslagen. Regeringen avvisade emellertid en sådan lösning och anförde att ett system som upprepar personuppgiftslagens bestämmelser i polisdatalagen och i de övriga registerförfattningar som måste anpassas till personupp- giftslagens bestämmelser skulle bli väldigt tungrott. Regeringen an- såg därför att man borde undvika en dubbelreglering. Däremot framhölls vikten av att behovet av särreglering noga övervägs och att registerlagstiftningen görs så tydlig att det inte råder någon tvekan om vilka regler i personuppgiftslagen som gäller trots sär- regleringen (prop. 1997/98:97 s. 97).

Registerförfattningsutredningen kom strax därefter att, i sina förslag rörande personuppgiftsbehandlingen inom bl.a. skatte-, exekution- och tullväsendet, föreslå en hänvisande modell där det angavs vilka bestämmelser i personuppgiftslagen som skulle vara tillämpliga. Enligt utredningen fanns ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka be- stämmelser i personuppgiftslagen som är tillämpliga inom de om- råden som regleras i speciallagarna. Utredningen framhöll att även om detta innebär att det är nödvändigt för lagtillämparen att ha personuppgiftslagen till hands, undanröjs en hel del av det merarbete det innebär för denne att gå igenom lagarna parallellt och jämföra olika bestämmelser (SOU 1999:105 s. 204). Lagrådet fann dock i det aktuella lagstiftningsärendet att lagstiftningstekniken var otillfreds-

234

SOU 2015:39

Allmänna bestämmelser

ställande. Den var också enligt Lagrådet riskfylld, med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att, vid kommande lagändringar, hänvisningarna till personuppgiftslagen blir felaktiga eller ofullständiga. Tekniken synes ha tillkommit av hänsyn till myn- digheternas bekvämlighet men detta syfte skulle enligt Lagrådet lika gärna ha kunnat vinnas genom administrativa anvisningar (prop. 2000/01:33 s. 345). Regeringen valde dock, trots Lagrådets invändningar, att använda den av utredningen föreslagna hänvis- ande modellen och anförde, utöver de skäl utredningen hade fram- hållit, att lagen därmed blir överskådlig och tydlig för tillämparen. Den medför också överskådlighet för den enskilde som därigenom lättare kan utnyttja de rättigheter som tillerkänns denne (a. prop. s. 88).

Efter lagstiftningsärendet rörande skatte-, exekution- och tull- väsendet utformades i stort sett alla nya informationshanterings- författningar enligt den kompletterande modellen, frånsett den för Tullverkets brottsbekämpande verksamhet från år 2005. I olika för- arbeten och i utredningsdirektiv uttalade regeringen att de särskilda registerförfattningarna som huvudregel bör gälla utöver person- uppgiftslagen och begränsas till att avse frågor som är specifika för den verksamhet som regleras av lagstiftningen (se t.ex. prop. 2008/09:96 s. 30 f. och dir. 2004:95).

Vid valet av den heltäckande modellen för informationshante- ringsförfattningarna för Försvarsmaktens underrättelsetjänst respek- tive Försvarets radioanstalt framhölls som en viktig faktor att data- skyddsdirektivet inte är tillämpligt på den aktuella personupp- giftsbehandlingen. Det fanns således inte något behov av att kunna överblicka om direktivet blivit korrekt genomfört på det aktuella området (prop. 2006/07:46 s. 45).

Genom den nu gällande polisdatalagen kom den hänvisande modellen att på nytt genomföras i en större reform för dataskydds- regleringen inom polisväsendet. Även kustbevakningsdatalagen är utformad enligt den hänvisande modellen. Inte i något av dessa fall framförde Lagrådet några förnyade invändningar. I allt väsentligt anförde regeringen samma skäl för att välja den hänvisande modellen som i samband med lagstiftningsärendet för skatte-, exekution- och tullväsendet (se prop. 2009/10:85 s. 79 f.). Dessutom anfördes att det är av värde att lagar för myndigheter som i allt ökande

235

Allmänna bestämmelser

SOU 2015:39

omfattning samarbetar är uppbyggda enligt samma lagstiftnings- teknik (jfr lagen om behandling av uppgifter i Tullverkets brotts- bekämpande verksamhet). Liknande argument för en hänvisande lösning anförs i promemorian med förslag till domstolsdatalag (Ds 2013:10 s. 54 f.).

8.3.2Våra överväganden och förslag

Förslag och bedömning: Lagen ska gälla i stället för personupp- giftslagen. Den ska dock särskilt hänvisa till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av personuppgifter enligt den nya lagen. Sådana hänvisningar ska bl.a. göras till bestämmelserna om defi- nitioner och om förhållandet till offentlighetsprincipen.

Det finns ett antal bestämmelser i personuppgiftslagen som över huvud taget inte är aktuella att tillämpa på myndighets- området. Det finns vidare ett antal regler i personuppgiftslagen som visserligen skulle kunna sägas ha relevans även vid myndig- heters behandling av personuppgifter men som ändå inte bör vara tillämpliga vid personuppgiftsbehandling enligt den nya lagen. Det gäller bl.a. den s.k. missbruksregeln i 5 a §, bestämmelsen om personuppgiftsbehandling för direkt marknadsföring i 11 § och bestämmelsen om automatiserade beslut i 29 §.

Förhållandet till personuppgiftslagen

Det är väsentligt att den lagtekniska konstruktionen för hur för- hållandet mellan den nya lagen och personuppgiftslagen ska reg- leras blir ändamålsenlig. I det ligger framför allt en ambition att regleringen ska vara tydlig, lätt att tillämpa och inte riskera att ge upphov till osäkerhet. De redovisade modeller som förekommer bland gällande registerförfattningar är, som framgått, alla förenade med vissa nackdelar. Vi har emellertid inte funnit någon ytterligare regleringsteknik som eliminerar samtliga dessa nackdelar. Någon av de nämnda modellerna bör därför väljas.

Vid valet av modell bör beaktas att lagen kommer att ha en mycket brett tillämpningsområde, i vart fall efter hand. Det är

236

SOU 2015:39

Allmänna bestämmelser

därför ändamålsenligt med en reglering som är så ”självbärande” som möjligt, dvs. som inte i någon större omfattning förutsätter att det ska göras komplicerade analyser av relationen mellan bestäm- melser i den nya lagen respektive personuppgiftslagen. Detta skulle kunna sägas tala för att utforma lagen i enlighet med den heltäck- ande modellen där man alltså inför bestämmelser som motsvarar sådana bestämmelser i personuppgiftslagen som ska vara tillämp- liga. En sådan lösning skulle emellertid bli mycket tungrodd och resultera i en omotiverad dubbelreglering. Till detta kommer att den nya lagen inte syftar till en ny implementering av dataskydds- direktivet på myndighetsområdet utan till att skapa en för myndig- heter bättre anpassad reglering avseende de särförhållanden som inte på ett adekvat sätt kunnat tas om hand genom personupp- giftslagens generella reglering. En heltäckande lag torde vidare göra nödvändiga reformer i samband med införandet av den allmänna uppgiftsskyddsförordningen avsevärt mer komplicerade. En hel- täckande modell bör därför inte väljas.

Vi instämmer i de invändningar mot den kompletterande modellen som framförts genom åren om att det inte sällan uppstår svårig- heter att bedöma vilka bestämmelser i personuppgiftslagen som fortfarande är tillämpliga vid behandling av personuppgifter enligt en informationshanteringsförfattning. Fråga kan t.ex. uppstå huru- vida en bestämmelse i författningen helt eller delvis ersätter en viss bestämmelse i personuppgiftslagen eller om den ”bara” komplette- rar bestämmelsen som alltså fortfarande skulle kunna vara tillämp- lig i och för sig. Det är också svårt att bedöma vilka konsekvenser ändringar i personuppgiftslagen får på tillämpningsområdet för registerförfattningar utformade enligt den kompletterande modellen. Ett exempel är införandet av den s.k. missbruksregeln (5 a § PuL). Enligt den bestämmelsen behöver vissa centrala bestämmelser i per- sonuppgiftslagen inte tillämpas vid behandling av personuppgifter i s.k. ostrukturerat material. I förarbetena till missbruksregeln berördes inte vilka konsekvenser den nya bestämmelsen skulle få för då gällande informationshanteringsförfattningar vars tillämpnings- område omfattar personuppgiftsbehandling i både strukturerat och ostrukturerat material. Ofta har dessa särlagar, såvitt kan förstås av deras förarbeten, utformats med den förutsättningen att exempel- vis de grundläggande kraven i 9 § PuL alltid ska gälla. Det kan alltså konstateras att den farhåga Lagrådet förde fram rörande den hän-

237

Allmänna bestämmelser

SOU 2015:39

visande modellen, om att svårigheter kan uppstå genom att hänvis- ningar blir felaktiga om personuppgiftslagen ändras, har ett slags mot- svarighet beträffande vilka konsekvenser ändringar i personuppgifts- lagen får för registerförfattningar utformade enligt den komplette- rande modellen.

Vi menar att övervägande skäl talar för att den hänvisande modellen är den mest lämpliga lagtekniska konstruktionen beträff- ande den nya lagens förhållande till personuppgiftslagen. Därigenom blir regleringen tydlig och lättillämpad. Vi menar också att den modellen erfarenhetsmässigt skapar bäst förutsättningar för att undvika att oklara rättslägen uppstår. Vidare bedömer vi att den hänvisande modellen är avgjort bäst lämpad för att möta de för- ändringar som kan antas komma att behöva ske som ett resultat av ett införande av en unionsrättslig uppgiftsskyddsförordning.

Vi föreslår därför en bestämmelse som innebär att den nya lagen ska gälla i stället för personuppgiftslagen och att det särskilt hänvisas till vissa bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid myndigheters behandling av per- sonuppgifter enligt den nya lagen. Anledningen till uttrycket ”på motsvarande sätt” är att flertalet bestämmelser i personuppgifts- lagen avser situationer då något görs ”enligt lagen” eller så refereras på annat sätt till ”lagen”. Med lagen avses i dessa bestämmelser personuppgiftslagen. Meningen är emellertid att syftningen, i de fall en hänvisning görs från den nya lagen, ska avse den lagen och inte personuppgiftslagen (jfr prop. 2012/13:163 s. 47 f. och 109).

Nedan gör vi vissa allmänna överväganden rörande vissa bestäm- melser som vi föreslår att den nya lagen ska hänvisa till eller som vi föreslår inte ska vara tillämpliga vid behandling av personuppgifter enligt lagen. Beträffande flertalet bestämmelser i personuppgifts- lagen kommer det att i kapitel 9–18 närmare behandlas huruvida vi föreslår hänvisningar eller om ersättande bestämmelser innehåll- ande motsvarigheter till bestämmelser i personuppgiftslagen i stället föreslås. I detta kapitel behandlas bara de bestämmelser som rör mer allmänna frågor eller som inte anknyter till något av de följ- ande kapitlen.

238

SOU 2015:39

Allmänna bestämmelser

Vissa bestämmelser i personuppgiftslagen som bör gälla enligt den nya lagen

I 3 § PuL definieras ett antal begrepp – behandling (av personupp- gifter), blockering (av personuppgifter), mottagare, personuppgifter, personuppgiftsansvarig, personuppgiftsbiträde, personuppgifts- ombud, den registrerade, samtycke, tillsynsmyndighet, tredjeland och tredje man – som har sin motsvarighet i artikel 2 i dataskydds- direktivet. I ett flertal fall används motsvarande begrepp i den nya lagen. Dessa bör ges samma innebörd som i personuppgiftslagen. En hänvisning till 3 § bör därför göras.

I 8 § första stycket PuL anges att bestämmelserna i person- uppgiftslagen inte ska tillämpas i den utsträckning det skulle in- skränka en myndighets skyldighet enligt 2 kap. TF att lämna ut personuppgifter. Detta förhållande följer i och för sig redan av den formella lagkraftens princip, dvs. att grundlag har företräde framför vanlig lag. Det har dock ansetts väsentligt att förtydliga och upp- lysa om förhållandet mellan den grundlagsstadgade handlingsoffent- ligheten och dataskyddsdirektivet (prop. 1997/98:44 s. 46). Bestäm- melsen är alltså inte avsedd att ha någon materiell betydelse.

I registerförfattningar konstruerade enligt den hänvisande modellen brukar hänvisas till att 8 § PuL ska vara tillämplig. Vi anser oss inte ha anledning att närmare gå in på den tidvis mycket omdiskuterade frågan om offentlighetsprincipens förhållande till dataskyddsdirektivet utan konstaterar bara att den svenske lagstift- aren intagit den positionen att tryckfrihetsförordningen i detta hänseende har företräde framför direktivet. Vi bedömer att en hän- visning till bestämmelsen om förhållandet till handlingsoffentlig- heten lämpligen bör göras även i den nya lagen.

Vissa bestämmelser i personuppgiftslagen som inte bör gälla enligt den nya lagen

Det finns ett antal bestämmelser i personuppgiftslagen som över huvud taget inte är aktuella att tillämpa på myndighetsområdet.

Bestämmelserna i 4 § om territoriella tillämpningsområdet är ett exempel. Det säger sig självt att svenska myndigheter är etablerade i Sverige.

239

Allmänna bestämmelser

SOU 2015:39

Undantaget i 6 § för privat behandling av personuppgifter är ett annat exempel på en bestämmelse i personuppgiftslagen som inte är relevant för myndigheter.

Vad därefter gäller 7 § första stycket om förhållandet till tryck- och yttrandefriheten avser detta sådana grundlagsskyddade rättig- heter för medborgarna i förhållande till det allmänna som inte är något som tillkommer eller kan åberopas av myndigheter. Någon sådan hänvisning är alltså inte aktuell.

Av 7 § andra stycket följer att vissa bestämmelser i personupp- giftslagen inte ska tillämpas på sådan personuppgiftsbehandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Inom en hel del myndigheter bedrivs onek- ligen journalistisk verksamhet, t.ex. genom personaltidningar eller utgivande av mer publika facktidningar eller facklitteratur. Även litterärt skapande förekommer. På vissa särskilda myndigheter, så- som t.ex. konsthögskolor, statliga eller kommunala teatrar eller museer bedrivs vidare konstnärligt skapande i betydande omfatt- ning. För att undantagen i andra stycket ska kunna tillämpas krävs emellertid att personuppgiftsbehandlingen uteslutande sker för de angivna syftena. Ett sådant ensidigt syfte torde knappast kunna sägas förekomma i verksamhet som en myndighet ansvarar för. Vi anser därför att det inte bör hänvisas till 7 § andra stycket.

Utöver de nu nämnda bestämmelserna finns några ytterligare bestämmelser i personuppgiftslagen som bör behandlas i detta sammanhang.

En sådan bestämmelse är den s.k. missbruksregeln i 5 a §. Enligt paragrafens första stycke behöver 9, 10, 13–19, 21–26, 28, 33, 34 och 42 §§ PuL inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. I andra stycket föreskrivs att sådan behandling som avses i första stycket, dvs. behandling i s.k. ostrukturerat material, inte får utföras om den innebär en kränkning av den registrerades personliga integritet. Myndigheter är inte undantagna från tillämpningsområdet för miss- bruksregeln. Av förarbetena till bestämmelsen framgår emellertid att den motiverats av helt andra skäl än att underlätta myndigheternas informationshantering.

240

SOU 2015:39

Allmänna bestämmelser

Till stöd för att göra undantagen enligt 5 a § har lagstiftaren i huvudsak åberopat artikel 13.1 g i dataskyddsdirektivet om möjlig- heter att göra undantag med hänsyn till skyddet av fri- och rättig- heter. Härmed åsyftas framför allt rätten till yttrandefrihet och informationsfrihet, dvs. rättigheter som enligt 2 kap. 1 § RF tillkom- mer var och en gentemot det allmänna (prop. 2005/06:173 s. 31 f.). Myndigheter kan inte åberopa dessa rättigheter och torde inte ha sådana fri- och rättigheter som avses i artikel 13.1 g dataskydds- direktivet. Man kan därvid fråga sig om det över huvud taget är förenligt med dataskyddsdirektivet att tillämpa 5 a § på myndig- hetsområdet. Från rent principiella utgångspunkter vore det vidare klart otillfredsställande om myndigheterna ägnade sig åt person- uppgiftsbehandling som för att vara laglig skulle behöva rättfär- digas enbart med stöd av undantagsregeln i 5 a §. Utgångspunkten bör tvärtom vara att dataskyddsdirektivets hanteringsregler ska iakttas. Vi kan inte heller se att missbruksregeln generellt sett fyller något egentligt behov för myndigheternas del, bortsett från att man slipper göra vissa rättsliga bedömningar och analyser som annars skulle krävas. Sådana faktorer uppväger dock inte, menar vi, de tungt vägande principiella skäl som talar mot missbruksregelns tillämplig- het hos myndigheterna.

Det kan för övrigt anmärkas att det mesta tyder på att miss- bruksregeln inte kommer att kunna behållas vid införandet av upp- giftsskyddsförordningen. Att för myndigheternas vidkommande ut- mönstra missbruksregeln ligger således helt i linje med vårt uppdrag att skapa en reglering som är väl anpassad till den unionsrättsliga dataskyddsreformen.

Någon hänvisning till 5 a § bör alltså inte göras. I senare avsnitt kommer vi att behandla huruvida det i avgränsade frågor behövs något motsvarande undantag för behandling av personuppgifter som sker i ostrukturerat material.

I 11 § anges att personuppgifter inte får behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den person- uppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.

Myndigheter ägnar sig inte åt direkt marknadsföring. Däremot förekommer att personuppgifter lämnas ut från en myndighet till en mottagare som avser använda uppgifterna för direkt marknads- föring. En del myndigheter har vidare rätt att i det syftet sälja per-

241

Allmänna bestämmelser

SOU 2015:39

sonuppgifter. Det förekommer att myndigheter för en förteckning över anmälningar från enskilda registrerade som motsatt sig använd- ning för marknadsföringssyfte. Någon möjlighet för myndigheten att med stöd av 11 § vägra lämna ut personuppgifter rörande registrerade som gjort en anmälan till myndigheten enligt 11 § torde i praktiken inte finnas när den som begär ut uppgifterna åberopar 2 kap. TF till stöd för sin begäran om att få ut uppgifterna. Däremot kan sekretess eventuellt föreligga enligt 21 kap. 7 § OSL (beträffande denna paragraf, se avsnitt 11.2). Någon hänvisning till 11 § PuL bör därför inte göras. Det innebär dock, som vi ser det, självfallet inte något hinder mot att myndigheter fortsätter att till- handahålla blanketter och särskild information om möjligheten för registrerade att anmäla att de motsätter sig användning för mark- nadsföringsändamål och att myndigheten fortsätter föra en förteck- ning över sådana anmälningar.

Slutligen ska beröras 29 § PuL om automatiserade beslut. I den paragrafens första stycke föreskrivs att om ett beslut som har rättsliga följder för en fysisk person eller annars har märkbara verk- ningar för den fysiska personen, grundas enbart på automatiserad behandling av sådana personuppgifter som är avsedda att bedöma egenskaper hos personen, ska den som berörs av beslutet ha möjlig- het att på begäran få detta omprövat av någon person. Andra stycket handlar om information som ska lämnas vid beslut som avses i första stycket.

Automatiserat beslutsfattande förekommer i den offentliga förvalt- ningen. Däremot torde det inte förekomma det slags automatiserade beslut som avses i 29 § PuL. I den utsträckning sådana beslut ändå förekommer, följer av grundläggande rättssäkerhetsprinciper inom förvaltningen att besluten kan omprövas respektive överklagas. Vi bedömer att det inte torde förekomma automatiserade beslut av det slag som avses i 29 § som inte går att få omprövade av en befatt- ningshavare. Mot den bakgrunden behövs ingen hänvisning till 29 §.

242

9 Tillåten behandling

9.1Hur bestäms vad som är en statlig eller kommunal myndighets verksamhet?

Regeringsformen innehåller de grundläggande bestämmelserna om den svenska förvaltningsorganisationen. Enligt 1 kap. 1 § RF utgår all offentlig makt i Sverige från folket. Den förverkligas genom ett representativt och parlamentariskt statsskick och genom kommu- nal självstyrelse. Vidare anges att den offentliga makten utövas under lagarna. Därigenom slås fast principen om all maktutövnings lag- bundenhet, legalitetsprincipen. Den gäller inte bara domstolar och förvaltningsmyndigheter utan även riksdag och regering. På det kommunala området gäller den i lika hög grad som på det statliga (Holmberg m.fl., kommentaren till 1 kap. 1 § RF).

I 1 kap. 4 § RF föreskrivs att riksdagen är folkets främsta före- trädare. Riksdagen stiftar lag, beslutar om skatt till staten och be- stämmer hur statens medel ska användas. Riksdagen granskar rikets styrelse och förvaltning.

Enligt 1 kap. 6 § RF är det regeringen som styr riket. Rege- ringen är ansvarig inför riksdagen. Av 1 kap. 8 § RF framgår att det för rättskipningen finns domstolar och för den offentliga förvalt- ningen statliga och kommunala förvaltningsmyndigheter.

I 8 kap. RF finns bestämmelser om vilka föreskrifter som med- delas genom lag, dvs. genom beslut av riksdagen, genom förordning av regeringen och av andra myndigheter efter bemyndigande av riksdagen eller regeringen. Enligt 8 kap. 2 § första stycket 3 med- delas föreskrifter om grunderna för kommunernas organisation och verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden genom lag.

Ytterligare grundläggande bestämmelser om den statliga förvalt- ningen finns i 12 kap. RF. Av 1 § följer att Justitiekanslern och

243

Tillåten behandling

SOU 2015:39

andra statliga förvaltningsmyndigheter, som inte enligt regerings- formen eller annan lag är myndigheter under riksdagen, lyder under regeringen.

I 12 kap. 2 och 3 §§ finns bestämmelser om den statliga förvalt- ningens självständighet. Enligt 2 § får ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot en enskild eller mot en kommun eller som rör tillämpningen av lag. I 3 § föreskrivs att förvaltningsupp- gifter inte får fullgöras av riksdagen i vidare mån än vad som följer av grundlag eller riksdagsordningen.

Enligt 12 kap. 4 § RF kan förvaltningsuppgifter överlämnas åt kommuner. Denna föreskrift innebär endast en erinran om vad som ändå gäller på grund av 1 kap. 8 § och 8 kap. 2 § första stycket 3 (Holmberg m.fl., kommentaren till 12 kap. 4 § RF).

I 14 kap. finns bestämmelser om kommunerna. Enligt 1 § utövas beslutanderätten i kommunerna av valda församlingar. I 2 § föreskrivs att kommunerna sköter lokala och regionala angelägen- heter av allmänt intresse på den kommunala självstyrelsens grund. Närmare bestämmelser om detta finns i lag. På samma grund sköter kommunerna även de övriga angelägenheter som bestäms i lag.

Närmare om de statliga myndigheterna

I den mån statliga myndigheters verksamhet inte är lagreglerad ankommer det på regeringen att bestämma om detta. Som framgått följer av 12 kap. 1 § RF att huvudregeln är att de statliga myndig- heterna lyder under regeringen. Förvaltningen har således att för- verkliga regeringens politik. Den har en lydnadsrelation till rege- ringen, inte till riksdagen eller medborgarna och inte heller till ett enskilt statsråd. Det är också regeringen som lämnar uppdragen till förvaltningen. Annorlunda uttryckt kan man säga att regeringen delegerar en del av sitt ansvar till myndigheterna. Förutom på det område där förvaltningens lydnadsplikt gentemot regeringen enligt 12 kap. 2 § RF inte gäller, dvs. då det är fråga om ärenden som rör myndighetsutövning mot enskilda eller mot kommuner eller när det gäller tillämpning av lag, är alltså regeringen inför riksdagen ytterst ansvarig för allt som myndigheterna gör (SOU 2007:75

244

SOU 2015:39

Tillåten behandling

s.40). När det gäller samspelet mellan regeringen och myndig- heterna har det ansetts viktigt att betona att förvaltningen också har en legitim rätt att hävda sina ståndpunkter och att den också förutsätts stå för olika värden (a. bet. s. 41).

Regeringen lämnar sina uppdrag till förvaltningen på olika sätt. Det kan ske genom att regeringen inom ramen för sin kompetens enligt 8 kap. RF utfärdar föreskrifter för förvaltningen. I den mån en myndighets uppgifter inte har fastställts i en lag, lägger rege- ringen fast myndighetens uppgifter i en förordning med instruk- tion för myndigheten. Regeringen anvisar vidare medel för myndig- heternas verksamhet inom ramen för riksdagens budgetbeslut enligt bestämmelserna i 9 kap. RF. I regleringsbrev till de statliga myn- digheterna utfärdar regeringen regler om hur dessa medel får an- vändas av myndigheterna. Även regleringsbreven kan innehålla uppdrag från regeringen till myndigheten i fråga. Uppdrag till myn- digheterna kan också ges i särskilda beslut.

Regeringen har bedömt att det för varje förvaltningsmyndighet

kommittéer och särskilda utredare undantagna – bör finnas en förordning med instruktion för myndigheten (prop. 2009/10:175

s.111 f.). En sådan förordning kan vara gemensam för flera myn- digheter med liknande verksamhet eller för flera myndigheter inom samma förvaltningsområde. I instruktionen bör myndighetens an- svarsområde, uppgifter, ledningsform och andra för myndigheten specifika förhållanden regleras. Instruktionen bör enligt regeringen vara det grundläggande instrumentet i regeringens styrning av myndigheterna. Uppgifter som är tidsbegränsade eller som kan förväntas att ändras inom en närmare framtid liksom uppgifter eller uppdrag där regeringen ser behov av att vara utförlig i beskriv- ningen är exempel på sådant som vanligen däremot inte regleras i instruktionen utan i annat beslut. Sedan 2009 gäller vidare att myn- digheterna i enlighet med förordningen (2000:605) om årsredovis- ning och budgetunderlag i sin årsredovisning ska redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av myndighetens instruktion och till vad regeringen, i förekommande fall, har angett i regleringsbrev eller i något annat beslut. Detta innebär att revisionen fortsättningsvis som regel görs med utgångspunkt i myndigheternas instruktion.

Regeringens åtgärder för att lyfta fram myndigheters instruk- tion som basen för den löpande styrningen och återrapporteringen

245

Tillåten behandling

SOU 2015:39

av respektive myndighets verksamhet syftade till att öka inslaget av långsiktighet i styrningen av myndigheterna och därmed skapa en mer ändamålsenlig styrning (skr. 2013/14:155 s. 71). Regeringen har genomfört ett omfattande arbete med att se över merparten av alla instruktioner och regleringsbrev i syfte att renodla använd- ningen av dessa styrinstrument, där instruktionen alltså är det huvudsakliga styrinstrumentet. Detta arbete har lett till att rege- ringens beskrivning av myndigheternas ordinarie verksamhet har minskat väsentligt i regleringsbreven samtidigt som den ökat i myn- dighetsinstruktionerna under åren 2008–2012 (2012/13:KU10 s. 88 och 98 f.).

Närmare om de kommunala myndigheterna

Enligt 2 kap. 1 § KL får kommuner och landsting själva ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens eller landstingets område eller deras medlemmar och som inte ska handhas av enbart staten, en annan kommun, ett annat landsting eller någon annan. Paragrafen innehåller den grundlägg- ande bestämmelsen om kommunernas och landstingens allmänna kompetens, alltså vad de frivilligt får ägna sig åt. Allmänintresset är det ledande motivet för kommunal verksamhet (Lindquist/Losman, Kommunallagen, 14:e uppl., 2013, s. 22 f). För att en angelägenhet ska kunna betecknas som kommunal måste den i någon mening knyta an till kommunens eller landstingets geografiska område eller till medlemmarna. Paragrafen ger därmed uttryck för den s.k. loka- liseringsprincipen. Till områdena för kommuners och landstings allmänna kompetens hör bl.a. elförsörjningen, idrotts- och fritids- anläggningar, folkbildning och kulturverksamhet samt bostadsbygg- ande. Verksamhet som utgör frivilliga åtaganden för kommunerna beslutas av kommunerna själva.

I 2 kap. 4 § KL hänvisas till att det finns särskilda föreskrifter om kommunernas och landstingens befogenheter och skyldigheter på vissa områden. Sådan speciallagstiftning innebär utvidgningar eller undantag i förhållande till de allmänna principerna för kom- munal verksamhet och tar över reglerna i kommunallagen. Särskilda föreskrifter finns bl.a. i lagen (2009:47) om vissa kommunala befogen- heter, den s.k. befogenhetslagen. Den reglerar i flera hänseenden

246

SOU 2015:39

Tillåten behandling

kompetensgränsen mellan stat och kommun. Med särskilda före- skrifter avses också speciallagar som ålägger kommuner och lands- ting att bedriva eller sörja för vissa verksamheter och fullgöra olika uppgifter. För kommunerna gäller det exempelvis förskola, skola, socialtjänst, äldreomsorg, stöd och service till vissa funktions- hindrade, kommunal hälso- och sjukvård, kollektivtrafik, färdtjänst, plan- och byggväsende, räddningstjänst, renhållning/avfallshante- ring, lokal miljötillsyn och livsmedelskontroll, vattenförsörjning och avlopp, bostadsförsörjningsansvar, överförmyndarverksamhet och bibliotek. Obligatoriska uppgifter för landstingen är bl.a. hälso- och sjukvård, tandvård, smittskydd och kollektivtrafik. Ekonomiskt sett utgör kommunernas och landstingens obligatoriska verksam- heter den absolut största delen av deras verksamhet.

I 3 kap. KL finns bestämmelser om kommunernas och lands- tingens organisation och verksamhetsformer. Enligt 1 § ska det i varje kommun eller landsting finnas en beslutande församling; kommunalfullmäktige eller landstingsfullmäktige. I 2 § föreskrivs att fullmäktige i en kommun eller ett landsting ska tillsätta en styrelse. Vidare sägs i 3 § att fullmäktige ska tillsätta de nämnder som utöver styrelsen behövs för att fullgöra kommunens eller landstingens uppgifter enligt särskilda författningar och för verk- samheten i övrigt. Uppgifterna enligt 3 § får också fullgöras genom en för kommuner och landsting gemensam nämnd (3 a §). I 9 och 10 §§ finns bestämmelser om i vilka ärenden som enbart fullmäk- tige är behörig att besluta respektive när fullmäktige kan uppdra åt en nämnd att besluta i dess ställe. I 6 kap. 33–38 §§ KL finns före- skrifter om delegering av beslutanderätt i ärenden inom en nämnds verksamhetsområde.

Enligt 3 kap. 13 § KL har nämnderna en egen beslutanderätt, förutom i de frågor som fullmäktige delegerat till dem, dels i fråga om den egna förvaltningen, dvs. vardagliga beslut i den löpande verksamheten, dels i frågor som de enligt lag eller annan författning ska handha.

I detta sammanhang kan också nämnas att det genom föreskrif- ter i 3 kap. 16 § andra stycket KL ges möjlighet för en kommun eller ett landsting att, under vissa förutsättningar, lämna över vården av en kommunal angelägenhet till ett privaträttsligt subjekt.

247

Tillåten behandling

SOU 2015:39

9.2När får myndigheter behandla personuppgifter?

9.2.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Kapitel II i dataskyddsdirektivet innehåller allmänna bestämmelser om när personuppgifter får behandlas. Medlemsstaterna ska inom de begränsningar som bestämmelserna i artiklarna 6–21 innebär, precisera på vilka villkor behandling av personuppgifter är tillåten (artikel 5). Kapitlet är indelat i nio underavdelningar. Avdelning I – Principer om uppgifternas kvalitet – innehåller artikel 6. Avdel- ning II – Principer som gör att uppgiftsbehandling kan tillåtas – innehåller artikel 7. Dessa artiklar ska redovisas mer ingående i det följande. Övriga avdelningar innehåller bestämmelser om bl.a. sär- skilda behandlingskategorier (artikel 8–9), informationsplikt m.m. (artikel 10–12), möjligheter till undantag och begränsningar (arti- kel 13), den registrerades rätt att göra invändningar (artikel 14–15), sekretess och säkerhet (16–17) samt anmälningsplikt till tillsyns- myndighet m.m. (artikel 18–21).

Enligt artikel 6.1 dataskyddsdirektivet ska medlemsstaterna före- skriva att personuppgifter

a.ska behandlas på ett korrekt och lagligt sätt,

b.ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,

c.ska vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,

d.ska vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgär- der måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,

248

SOU 2015:39

Tillåten behandling

e.förvaras på ett sätt som förhindrar identifiering av den regi- strerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för his- toriska, statistiska eller vetenskapliga ändamål.

Enligt artikel 6.2. åligger det den registeransvarige att säkerställa att punkten 1 efterlevs.

I artikel 7 anges att medlemsstaterna ska föreskriva att person- uppgifter får behandlas endast om

a.den registrerade otvetydigt har lämnat sitt samtycke, eller

b.behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller

c.behandlingen är nödvändig för att fullgöra en rättslig förplikt- else som åvilar den registeransvarige, eller

d.behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, eller

e.behandlingen är nödvändig för att utföra en arbetsuppgift av all- mänt intresse eller som är ett led i myndighetsutövning som ut- förs av den registeransvarige eller tredje man till vilken uppgift- erna har lämnats ut, eller

f.behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana in- tressen uppvägs av den registrerades intressen eller dennes grund- läggande fri- och rättigheter som kräver skydd under artikel 1.1.

Artiklarna 6 och 7 kan sägas bilda den yttre ramen för hur och när behandling av personuppgifter alls får ske. De rättsliga grunderna i artikel 7 är en uttömmande uppräkning av de situationer när en behandling av personuppgifter kan anses vara tillåten. Får uppgift- erna behandlas enligt någon av de rättsliga grunderna i artikel 7, måste emellertid också kraven i artikel 6 följas. Bestämmelserna är alltså kumulativa och utgör de allmänna förutsättningarna för tillåten personuppgiftsbehandling enligt dataskyddsdirektivet. För särskilda

249

Tillåten behandling

SOU 2015:39

uppgiftskategorier, överföring till tredjeland m.m. finns ytterligare begränsningar.

Från de grundläggande principerna i artikel 6.1 får medlems- staterna genom lagstiftning begränsa omfattningen av de skyldig- heter och rättigheter som anges i artikel 6.1 då det är nödvändigt med hänsyn till vissa specifika intressen som anges i artikel 13.1, bl.a. a) statens säkerhet, b) försvaret, c) allmän säkerhet, e) ett viktigt ekonomiskt eller finansiellt intresse hos unionen eller en medlemsstat och g) skyddet av den registrerades eller andras fri- och rättigheter. I övrigt finns inga bestämmelser i dataskyddsdirek- tivet som medger medlemsstaterna att föreskriva undantag eller begränsningar i förhållande till artikel 6.

Vad gäller artikel 7 finns inget motsvarande utrymme för undan- tag genom nationell lagstiftning. EU-domstolen har uttalat att med- lemsstaterna, enligt artikel 5, varken får foga ytterligare principer för tillåtligheten av behandlingen av personuppgifter till dem som nämns i artikel 7 eller föreskriva ytterligare villkor som påverkar räckvidden av artikelns sex principer (dom den 24 november 2011 i förenade målen C-468/10 och C-469/10, ASNEF och FECEMED punkt 32 och 36).

Personuppgiftslagen

Artiklarna 6 och 7 i dataskyddsdirektivet har genomförts i svensk rätt i princip ordagrant genom 9 och 10 §§ PuL. När myndigheter, liksom enskilda, behandlar personuppgifter måste det således ske dels i enlighet med vissa grundläggande krav på behandlingen som föreskrivs i 9 § PuL, dels måste behandlingen kunna hänföras till något av de i 10 § uppräknade fall då det över huvud taget är tillåtet att behandla personuppgifter. De båda bestämmelserna är alltså, liksom motsvarigheterna i dataskyddsdirektivet, kumulativa. Avser behandlingen känsliga personuppgifter eller personnummer eller samordningsnummer finns därutöver ytterligare restriktioner vilka gäller också för myndigheter, se 13–16, 18–19 och 22 §§ PuL.

Om personuppgifter behandlas på så sätt att de inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har struk- turerats för att påtagligt underlätta sökning efter eller samman- ställning av personuppgifter, dvs. behandling i s.k. ostrukturerat

250

SOU 2015:39

Tillåten behandling

material, gäller ett flertal undantag från personuppgiftslagens hanteringsregler, däribland 9, 10 och 13 §§ PuL. Detta följer av den s.k. missbruksregeln i 5 a § enligt vilken bestämmelserna i vissa uppräknade paragrafer inte behöver följas vid behandling av per- sonuppgifter i s.k. ostrukturerat material under förutsättning att behandlingen inte innebär en kränkning av den registrerades per- sonliga integritet. Missbruksregeln, som infördes genom 2006 års ändringar i personuppgiftslagen (prop. 2005/06:173), är fakultativ, inget hindrar att hanteringsreglerna ändå tillämpas.

Närmare om de grundläggande kraven

I 9 § PuL anges alltså de grundläggande krav på behandlingen av personuppgifter som alltid måste vara uppfyllda när person- uppgifter behandlas, även i en myndighets verksamhet, i den mån inte missbruksregeln kan tillämpas. Det är den personuppgifts- ansvarige som ansvarar för att de grundläggande kraven är upp- fyllda. Det gäller även om den faktiska personuppgiftsbehandlingen sker hos ett personuppgiftsbiträde och oavsett om biträdet är en myndighet eller en enskild aktör. Den registrerade anses inte kunna med rättslig verkan ge sitt samtycke till att personuppgifter om honom eller henne behandlas i strid med paragrafen (Öman/Lindblom, s. 194).

Bestämmelserna i 9 § PuL är avsedda att ha samma innebörd som bestämmelserna i artikel 6 i dataskyddsdirektivet. I 9 § första stycket formuleras kraven uppdelade i följande punkter. Den person- uppgiftsansvarige ska se till att

a.personuppgifter behandlas bara om det är lagligt,

b.personuppgifter alltid behandlas på ett korrekt sätt och i enlig- het med god sed,

c.personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d.personuppgifter inte behandlas för något ändamål som är ofören- ligt med det för vilket uppgifterna samlades in,

e.de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

251

Tillåten behandling

SOU 2015:39

f.inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g.de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella,

h.alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i.personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Punkterna a och b om att personuppgifter får behandlas bara om det är lagligt och korrekt syftar bl.a. på att behandlingen måste kunna hänföras till de rättsliga grunder för behandlingen som anges i 10 § PuL och inte heller i övrigt strider mot någon bestämmelse i personuppgiftslagen eller anknytande föreskrifter. Ordalydelsen utesluter i och för sig inte att annan lagstiftning också åsyftas. Enligt uttalanden i doktrinen kan det framgå av annan lagstiftning, t.ex. brottsbalken eller marknadsföringslagen, när det är olagligt att behandla personuppgifter (Öman/Lindblom, s. 195). Den frågan kan dock ställas vad som egentligen avses med lagligheten som ett grundkrav enligt personuppgiftslagen. Inte minst när det gäller myndigheters behandling av personuppgifter finns en mycket stor mängd författningar utöver personuppgiftslagen som är styrande för informationshanteringen och vars lagenliga efterföljande berörd personuppgiftsansvarig myndighet har ett övergripande ansvar för, oavsett personuppgiftsansvaret. Som exempel kan nämnas reglerna om användningen av hemliga tvångsmedel i 27 kap. RB som utgör en förfarandereglering för hemlig inhämtning av information, vilken givetvis kan innefatta personuppgifter. Det kan te sig naturligt att läsa 9 § första stycket a PuL på så sätt att en hantering av upptagningar från hemliga tvångsmedel som strider mot rätte- gångsbalkens krav också skulle vara i strid mot personuppgifts- lagens grundläggande krav på att personuppgifter bara får behand- las om det är lagligt. Likaså skulle en behandling av personuppgifter som strider mot något förbud mot att röja en sekretessbelagd personuppgift kunna anses olaglig i den mening som avses i 9 § första stycket a PuL.

252

SOU 2015:39

Tillåten behandling

Datalagskommittén ansåg för sin del att det är osäkert om data- skyddsdirektivets krav i artikel 6.1 a på att medlemsstaterna ska föreskriva att personuppgifter ska behandlas på ett korrekt och lag- ligt sätt har någon självständig betydelse. Punkterna a om laglighet och b om korrekthet togs dock med bland de grundläggande kraven i 9 § PuL för säkerhets och fullständighets skull (SOU 1997:39 s. 350). Detta kommenterades inte i propositionen till personupp- giftslagen (prop. 1997/98:44). Det förefaller således inte ha funnits någon klar uppfattning hos den svenska lagstiftaren om vad som egentligen åsyftas med kravet enligt 9 § första stycket a om att personuppgifter ska behandlas lagligt och vilken konsekvensen blir i dataskyddsrättsligt hänseende om t.ex. en myndighet behandlar personuppgifter i strid mot någon bestämmelse i en annan författ- ning än personuppgiftslagen. Detta kan i sin tur ha betydelse för frågan om räckvidden av det skadeståndssanktionerade personupp- giftsansvaret enligt 48 § PuL, dvs. skyldigheten att betala skade- stånd för en kränkning av den registrerades personliga integritet orsakad av en personuppgiftsbehandling i strid med personupp- giftslagen. I vilken mån en sådan skyldighet kan uppstå på grund av att en personuppgiftsbehandling t.ex. strider mot rättegångsbalken och därför inte är laglig även om någon annan bestämmelse i personuppgiftslagen inte överträtts förefaller oklart.

Punkterna c och d anger att personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål samt att redan insamlade personuppgifter inte får användas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in, den s.k. finalitetsprincipen. Finalitetsprincipen är en allmän data- skyddsrättslig princip som getts en uttrycklig och central roll i dataskyddsdirektivet och därmed även i personuppgiftslagen, bl.a. genom att finalitetsprincipen konkretiserats till att vara en av de hanteringsregler som den personuppgiftsansvarige ska vara ålagd att följa. Att bestämningen av ändamålet eller ändamålen för insam- ling av personuppgifter sker på ett korrekt sätt i enlighet med punkten c har emellertid betydelse inte bara för vilka efterföljande behandlingar som får ske utan även för de återstående grundlägg- ande kraven i 9 § första stycket. Utan särskilda och uttryckligt angivna ändamål går det knappast att bedöma huruvida person- uppgifter är adekvata, relevanta och inte för många eller lagras för länge osv. Detta därför att sådana bedömningar alltid ska ske i

253

Tillåten behandling

SOU 2015:39

förhållande till det eller de ändamål som personuppgifterna be- handlas för. Ändamålsbestämning och finalitetsprincipen m.m. kom- mer att behandlas mer ingående nedan i avsnitt 9.2.3.

När det gäller punkten i om hur länge personuppgifter får be- varas har den bestämmelsen en tämligen begränsad räckvidd på myndigheternas område eftersom den inte gäller i den mån den inkräktar på myndigheters skyldigheter enligt arkivlagstiftningen att bevara allmänna handlingar, 8 § andra stycket PuL. Däremot gäller punkten i för personuppgifter som ingår i upptagningar som inte utgör allmänna handlingar.

När behandling av personuppgifter är tillåten

Bestämmelserna i 10 § PuL innehåller – liksom artikel 7 i dataskydds- direktivet – en uttömmande uppräkning av de fall då person- uppgifter alls får behandlas. Faller en myndighets personuppgifts- behandling inte in under någon av de rättsliga grunder som anges i 10 § är den alltså otillåten. Det spelar därvid ingen roll om det hand- lar om personuppgifter som direkt pekar ut en registrerad person eller om det handlar om t.ex. s.k. pseudonymiserade uppgifter eller uppgifter som annars endast indirekt kan härledas till den registrerade personen. Det spelar heller ingen roll om det handlar om insamling av personuppgifter för ett visst ändamål eller behandling av redan insamlade uppgifter för ett nytt ändamål. Även om det nya ända- målet inte är oförenligt med det ursprungliga ändmålet och därför uppfyller det grundläggande kravet i 9 § första stycket d, måste den nya behandlingen dessutom omfattas av någon av grunderna i 10 §.

Enligt 10 § PuL är huvudregeln att personuppgifter får behand- las om den registrerade, dvs. den som en personuppgift avser, har lämnat sitt samtycke till behandlingen. Med samtycke avses enligt 3 § PuL varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Behand- ling får också ske om personuppgiftsbehandlingen är nödvändig för att

a.ett avtal med den registrerade ska kunna fullgöras eller åtgärder som den registrerade begärt ska kunna vidtas innan ett avtal träffas,

254

SOU 2015:39

Tillåten behandling

b.den personuppgiftsansvarige ska kunna fullgöra en rättslig skyl- dighet,

c.vitala intressen för den registrerade ska kunna skyddas,

d.en arbetsuppgift av allmänt intresse ska kunna utföras,

e.den personuppgiftsansvarige eller en tredje man till vilken person- uppgifter lämnas ut ska kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f.ett ändamål som rör ett berättigat intresse hos den personupp- giftsansvarige eller hos en sådan tredje man till vilken person- uppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränk- ning av den personliga integriteten.

Det kan knappast sägas gälla några skarpa gränser mellan de rätts- liga grunderna i 10 a–e § utan de kan vara överlappande på det sättet att en situation faller in under mer än en punkt. Det är dock i och för sig alltid tillräckligt att en behandling faller in under i vart fall en punkt. Det är alltså fråga om alternativa grunder för behand- ling.

För myndigheter torde framför allt punkterna b, d och e om- fatta sådan personuppgiftsbehandling som behövs i myndigheter- nas verksamheter. Som redan har framhållits torde t.ex. en stor del av den behandling som utförs inom den offentliga sektorn vara tillåten med stöd av punkten e, i vart fall när det gäller en myndig- hets egentliga verksamhet (Öman/Lindblom, s. 239). Det är mer tveksamt om bestämmelsen omfattar behandling som äger rum inom en myndighets interna administration och som exempelvis rör personalfrågor. Sådan behandling kan emellertid vara tillåten enligt någon av de andra punkterna som räknas upp i 10 §. Punkten a om behandling i samband med avtal torde t.ex. kunna aktualiseras hos en personuppgiftsansvarig myndighet när den agerar på det civil- rättsliga området t.ex. i samband med anställningsförhållanden eller vid köp av varor eller tjänster. Punkten c om behandling för att skydda den registrerades vitala intressen torde också kunna aktuali- seras hos vissa myndigheter. I litteraturen har nämnts som exempel situationer i samband med tvångsvård eller vård av medvetslösa eller i räddningstjänsten (Öman/Lindblom, s. 236).

255

Tillåten behandling

SOU 2015:39

I punkten f finns vidare ett slags generalklausul som medger behandling efter en intresseavvägning. För myndigheters del kan konstateras att en behandling av personuppgifter som bedöms tillåten efter den intresseavvägning som ska göras enligt f också torde vara tillåten enligt något av fallen i a–e och i vart fall enligt d, dvs. att en arbetsuppgift av allmänt intresse ska kunna utföras. Punkten f torde därmed normalt sett inte ha så stor självständig relevans vid myndigheters behandling av personuppgifter. Det har dock förekommit att punkten f ansetts tillämplig vid myndigheters behandling av personuppgifter. Exempelvis har olika myndigheters publicering av personuppgifter på internet prövats utifrån en intresseavvägning enligt 10 § f PuL (Datainspektionens beslut 2004- 09-08, dnr 454-2004 och Justitiekanslerns beslut 2007-09-26, dnr 3497-06-40). Högsta förvaltningsdomstolen har vidare i ett fall rörande en kommuns behandling av gymnasieelevers fingeravtryck prövat förutsättningarna för behandling genom en intresseavvägning enligt punkten f (RÅ 2008 ref. 83).

Innebörden av det nödvändighetsrekvisit som föreskrivs för be- handling oberoende av samtycke enligt punkterna a–f kan inte sägas vara helt klar. Rekvisitet innebär emellertid inte att det ska vara faktiskt omöjligt att utföra en arbetsuppgift utan sådan auto- matiserad behandling av personuppgifter som omfattas av person- uppgiftslagen. Enligt Datalagskommittén är nödvändighetsrekvisitet i detta avseende inte uppfyllt om arbetsuppgiften kan utföras nästan lika enkelt eller billigt utan behandling av personuppgifter (SOU 1997:39 s. 359). Domstolsdatautredningen uttalade som sin mening att det sannolikt räcker med att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg (SOU 2001:100 s. 90).

Sedan dessa uttalanden gjordes har emellertid EU-domstolen gjort vissa uttalanden om nödvändighetsrekvisitet i artikel 7 i dom den 16 december 2008 i mål C-524/06, Huber. Målet rörde bl.a. tolk- ningen av artikel 7 e – om behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myn- dighetsutövning – i samband med en förbundsstatlig tysk myndig- hets centrala utlänningsregister. Domstolen uttalade att begreppet nödvändighet, såsom det följer av artikel 7 e, inte kan förstås olika från medlemsstat till medlemsstat utan att det är ett självständigt gemenskapsrättsligt begrepp. Det konstaterandet gjordes med beakt-

256

SOU 2015:39

Tillåten behandling

ande av målet enligt artikel 1.1 i direktivet att göra skyddsnivån likvärdig i alla medlemsstater och att syftet med artikel 7 e är att begränsa ett av de fall i vilket behandling av personuppgifter tillåts (punkt 52). I det aktuella fallet gjorde domstolen bedömningen att nödvändighetsrekvisitet var uppfyllt och behandlingen därmed tillåten om registret a) för det första endast innehöll uppgifter som var nödvändiga för myndighetens rättsliga hantering i ett visst av- seende och b) för det andra om den centrala registerföringen medgav en mer effektiv hantering jämfört med om aktuella myn- digheter i stället skulle behöva vända sig till varje kommunalt register där motsvarande uppgifter fanns. Nödvändighetsrekvisitet var dock inte uppfyllt såvitt avsåg personuppgifter som behövdes för statis- tiska ändamål, eftersom det bedömdes räcka med anonyma upp- gifter (punkt 58–68).

Något nödvändighetsrekvisit gäller alltså inte enligt 10 § PuL vid behandling som sker med den registrerades samtycke. Oavsett på vilken grund en behandling är tillåten enligt 10 § måste emeller- tid de grundläggande kraven enligt 9 § följas, t.ex. att inte fler personuppgifter behandlas än vad som behövs för ändamålen m.m.

Bestämmelserna i 10 § PuL om grund för behandlingen hör till det slag av hanteringsregler som inte behöver tillämpas om miss- bruksregeln i 5 a § gäller, dvs. vid behandling av personuppgifter i ostrukturerat material. Detta kan tyckas motsägelsefullt eftersom dataskyddsdirektivet som framgått inte medger undantag från artikel 7 vilken alltså motsvaras av 10 § PuL. Av förarbetena till 5 a § framgår emellertid att bedömningen baseras på att den typ av behandling som omfattas av 5 a § kan antas alltid falla in under bestämmelsen 7 f i dataskyddsdirektivet om tillåten behandling efter en intresseavvägning och att det enligt direktivet är tillåtet för medlemsstaterna att närmare precisera hur den angivna intresse- avvägningen utfaller i olika fall (prop. 2005/06:173 s. 33 f.).

Som redan nämnts finns utöver uppräkningen i 10 § ytterligare restriktioner som träffar myndigheters behandling av speciella upp- giftskategorier, nämligen känsliga personuppgifter samt personnum- mer eller samordningsnummer. Dessa restriktioner berörs mer ingående nedan i avsnitt 9.3. Innebär en personuppgiftsbehandling att uppgifter överförs till tredjeland, dvs. till en stat som inte ingår i EU eller EES, måste också 33–35 §§ följas. Myndigheters över- föring av personuppgifter till tredjeland behandlas i kapitel 12.

257

Tillåten behandling

SOU 2015:39

Förslaget till uppgiftsskyddsförordning

Kommissionen

Kommissionens förslag till uppgiftsskyddsförordning motsvarar i grunden de principer och kriterier för under vilka förutsättningar behandling av personuppgifter är tillåten som anges i dataskydds- direktivet.

Artikel 5 i uppgiftsskyddsförordningen – med rubriken Prin- ciper om behandling av personuppgifter – motsvarar artikel 6 i direktivet, dock med några förändringar. Bland annat finns ett tillägg om att uppgifterna ska behandlas på ett öppet sätt i förhållande till den registrerade (öppenhetsprincipen) och ett klargörande beträff- ande att behandlade uppgifter ska vara begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personupp- gifter (uppgiftsminimeringsprincipen). Det har vidare uppställts ett krav på att uppgifterna alltid ska vara aktuella, dvs. inte bara när detta är nödvändigt vilket gäller enligt direktivet. Vidare har ordet ”utplånas” i direktivet ersatts med ordet ”raderas” i kommissionens förslag. Dessutom har beträffande den registeransvariges övergrip- ande ansvar tillagts att ansvaret omfattar efterlevnaden av de olika kraven ”vid varje behandling”. Ytterligare vissa justeringar har gjorts.

Genom artikel 21 i förordningen klargörs unionens eller med- lemsstaternas befogenheter att behålla eller införa begränsningar av de principer som fastställs i artikel 5. Sådan begränsning får dock bara ske om den är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle och syftar till att garantera vissa uppräknade intressen som i stort överensstämmer med de som omfattas av artikel 13 i dataskyddsdirektivet. En viss skillnad gentemot data- skyddsdirektivet synes dock föreligga genom att det i 21.1 c för- ordningen hänvisas till ”andra av unionens eller en medlemsstats allmänna intressen, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland…”. I jäm- förelse med motsvarande bestämmelse i artikel 13.1 e i direktivet tycks alltså begränsningar för ett allmänt intresse inte bara kunna avse ekonomiska eller finansiella intressen även om det är dessa intressen som i första hand avses komma i fråga. I artikel 21.2 i för- ordningen föreskrivs att alla begränsningar enligt 21.1 ska innehålla

258

SOU 2015:39

Tillåten behandling

särskilda bestämmelser åtminstone avseende målen för behand- lingen och fastställandet av den personuppgiftsansvarige.

Artikel 6 i kommissionens förslag – med rubriken När person- uppgifter får behandlas (Lawfulness of processing) – motsvarar artikel 7 i dataskyddsdirektivet men är utbyggd. Samma rättsliga grunder för behandling, punkterna a–f, återfinns även i uppgifts- skyddsförordningen. En skillnad är att det i artikel 6.1 a i förord- ningen uttryckligen anges att den enskildes samtycke måste avse behandling för ett eller flera specifika ändamål. Ett samtycke in blanco till personuppgiftsbehandling för ospecifika ändamål är alltså inte en rättsligt godtagbar grund. Detta har dock redan tidigare an- setts gälla – bl.a. genom definitionen av begreppet samtycke i arti- kel 2 dataskyddsdirektivet om att samtycke ska vara en ”särskild” viljeyttring – och förordningen innebär därvid mest ett klargörande.

När det gäller artiklarna 6.1 c om behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registrerade och 6.1 e om behandling som är nödvändig för att utföra en arbets- uppgift av allmänt intresse eller som utförs som ett led i myndig- hetsutövning som utförs av den registrerade anges i artikel 6.3, att dessa grunder för behandling ska föreskrivas i unionslagstiftningen eller lagstiftningen i den medlemsstat vars lagstiftning den register- ansvarige lyder under. Sådan nationell lagstiftning måste uppfylla ett mål av allmänt intresse eller vara nödvändig för att skydda andras fri- och rättigheter, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

En nyhet föreskrivs i artikel 6.4 där det anges att när ändamålet med ytterligare behandling inte är förenligt med det ändamål för vilket personuppgifterna har samlats in, måste behandlingen ha en rättslig grund i minst en av de grunder som anges i artikel 6.1 a–e. Detta ska särskilt gälla eventuella ändringar av förutsättningarna och de allmänna villkoren för ett avtal. Bestämmelsen torde inne- bära en uppmjukning av den s.k. finalitetsprincipen.

Vad gäller artikel 6.1. f om behandling efter en intresseavväg- ning, dvs. den bestämmelse som motsvarar artikel 7 f i direktivet, föreskrivs att den bestämmelsen inte ska gälla för behandling som utförs av myndigheter i deras myndighetsutövning. I den engelska versionen uttrycks detta med ”…carried out by public authorities in the performance of their tasks.” Den svenska lydelsen, som talar

259

Tillåten behandling

SOU 2015:39

om myndighetsutövning i stället för en myndighets uppgifter, ger således ett snävare intryck än den engelska. Det kan nämnas att Artikel 29-gruppen har angett att förändringen eventuellt kan komma att leda till en bredare tolkning av vad som är ett allmänt intresse eller myndighetsutövning alternativt att tolkningen av undantaget från intresseavvägningsgrunden kommer att bli restriktiv (Opinion 06/14 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC s 23).

Artikel 7 – med rubriken Villkor för samtycke – har inte någon motsvarighet i dataskyddsdirektivet. Däri föreskrivs bl.a. att den registrerades samtycke inte ska utgöra en rättslig grund för behand- lingen, om det föreligger en betydande obalans mellan den registre- rades och den registeransvariges ställning (artikel 7.4). Enligt punkt 34 i ingressen till förordningen torde, när den registeransvarige är en myndighet, obalans endast uppkomma vid specifika uppgifts- behandlingar där myndigheten i kraft av sina offentliga befogen- heter kan ålägga skyldigheter och samtycket, med hänsyn tagen till den registrerades intresse, inte kan anses ha lämnats frivilligt.

Europaparlamentet

Europaparlamentet har i sin resolution rörande uppgiftsskydds- förordningen föreslagit vissa ändringar i förordningen.

När det gäller artikel 5 kan nämnas att vad gäller kravet enligt punkten d på att uppgifter ska vara aktuella har parlamentet föreslagit en återgång till att det bara ska gälla om det är nödvän- digt. Vidare har parlamentet föreslagit två nya punkter med krav på personuppgiftsbehandlingen, nämligen att de ska behandlas på ett sätt som ger de registrerade möjlighet att effektivt utöva sina rättig- heter (effektivitet), och att de ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet). Parlamentet har vidare föreslagit väsentliga ändringar i artikel 21 om möjligheter att lagstifta om begränsningar, bl.a. har man föreslagit att det inte ska vara möjligt för medlemsstater att genom lagstiftning begränsa skyldig- heterna enligt artikel 5.

260

SOU 2015:39

Tillåten behandling

Beträffande artikel 6.3 har parlamentet föreslagit ett tillägg om att medlemsstaterna inom ramen för bestämmelserna i förord- ningen får i nationell lagstiftning reglera detaljer som rör behand- lingens laglighet, särskilt med avseende på registeransvariga, behand- lingsändamål och ändamålsbegränsning, uppgifternas karaktär och de registrerade, behandlingsmetoder och behandlingsförfaranden, mottagare samt lagringstid. Vidare har parlamentet bl.a. förordat en strykning av den av kommissionen föreslagna bestämmelsen i arti- kel 6.4, som delvis rör finalitetsprincipen.

Parlamentet har vidare föreslagit att bestämmelsen i artikel 7.4 om att samtycke inte är en rättslig grund för behandling, om det föreligger en betydande obalans mellan den registrerades och den registeransvariges ställning, stryks.

Några kommentarer

Vad gäller de allmänna förutsättningarna för myndigheters behand- ling av personuppgifter kan konstateras att förordningens bestäm- melser i grunden bibehåller vad som följer av direktivet. De för- ändringar som i detta sammanhang kan påtalas särskilt är dels upp- mjukningen av finalitetsprincipen, dels att behandling efter en intresseavvägning enligt nuvarande 9 § f PuL inte kommer att vara tillämplig vid myndigheters behandling av personuppgifter, i vart fall inte vid behandling som sker i deras myndighetsutövning.

Vilken betydelse i praktiken det skulle innebära för myndigheter att behandlingar för nya men oförenliga ändamål får ske om den nya behandlingen faller in under någon av de rättsliga grunderna för behandling är svårt att bedöma. Helt klart innebär det – från ett dataskyddsrättsligt perspektiv – ett ökat utrymme för nya behand- lingar av redan insamlade personuppgifter. Som vi redan påpekat i olika sammanhang omfattas myndigheternas verksamheter och infor- mationshantering emellertid av annan reglering som sätter gränser för myndigheters aktiviteter, en reglering som delvis leder till samma resultat som den nuvarande finalitetsprincipen varför en sådan för- ändring troligen skulle få en mindre betydelse för myndigheter än för enskilda personuppgiftsansvariga. Det förefaller för övrigt ganska osäkert om kommissionens förslag i denna del kommer att genom- föras.

261

Tillåten behandling

SOU 2015:39

Även när det gäller den andra förändringen, att behandling efter en intresseavvägning enligt punkten f inte kommer att vara tillämp- lig vid myndigheters behandling av personuppgifter, anser vi att det inte är troligt att den förändringen får så stor betydelse för myn- digheter. De övriga rättsliga grunderna för behandling av person- uppgifter oberoende av samtycke täcker, som har framgått, myn- digheters behov av personuppgiftsbehandling i deras verksamheter. Något egentligt behov av att kunna behandla personuppgifter efter en intresseavvägning torde alltså inte finnas.

9.2.2Reglering i registerförfattningar

Registerförfattningar har som redan framgått utformats på olika sätt vad avser bl.a. struktur och begreppsapparat. Det är en täm- ligen stor skillnad mellan det vi kallar renodlade registerförfatt- ningar, som alltså gäller viss registerföring och som ofta handlar om personuppgiftsbehandling som myndigheter ska utföra, och sådana informationshanteringsförfattningar som reglerar vilken personuppgiftsbehandling som myndigheter får utföra inom vissa närmare angivna verksamheter.

Den förstnämnda kategorin kännetecknas av att författningarna inte lämnar så stort utrymme för den personuppgiftsansvariga myn- digheten att göra bedömningar utifrån 9 eller 10 § PuL, i vart fall inte när det gäller myndighetens eget primära handhavande av registret i fråga. Registrets ändamål, vilka personuppgifter som ska samlas in och registreras, hur länge uppgifterna får bevaras m.m., dvs. frågor som annars måste bedömas utifrån de grundläggande kraven i 9 §, är ofta redan reglerade och själva registerföringen är en uppgift för myndigheten som medför sådan nödvändig personupp- giftsbehandling som omfattas av 10 § b (om registret ska föras enligt författningen) eller d eller e (om registret får föras).

Gemensamt för registerförfattningar av den kategori som vi kallar informationshanteringsförfattningar är normalt att det av förarbetsuttalanden eller av direkta hänvisningar till personupp- giftslagen framgår att de grundläggande kraven i 9 § PuL också ska gälla vid behandling av personuppgifter enligt registerförfattningen i fråga medan 10 § ersätts av regleringen i registerförfattningen.

262

SOU 2015:39

Tillåten behandling

9.2.3Särskilt om ändamålsbestämning

Den allmänna regleringen

Dataskyddsdirektivet och personuppgiftslagen

Som har framgått följer av artikel 6.1 i dataskyddsdirektivet och 9 § första stycket c och d och andra stycket PuL att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att senare behandling av redan insamlade personupp- gifter får inte ske för något ändamål som är oförenligt med det eller de ursprungligt angivna ändamålen (finalitetsprincipen).

Det följer av definitionen av begreppet personuppgiftsansvarig i 3 § PuL att det är den personuppgiftsansvarige som har att be- stämma och ange de särskilda ändamålen med behandlingen. Det är en skyldighet att se till att ändamålet eller ändamålen är uttryckligt angivna redan när uppgifterna samlas in. Något hinder mot att ange flera parallella insamlingsändamål finns inte alldeles oavsett om de sinsemellan kan tyckas vara oförenliga. Något rättsligt krav på den personuppgiftsansvarige att nedteckna ändamålen eller ändamålet med behandlingen av personuppgifter finns heller inte (prop. 1997/98:44 s. 63 f.). Bestämmelserna i 23–25 §§ PuL om informa- tion till den registrerade när personuppgifterna samlas in medför dock som regel att ändamålen måste uppges redan när behand- lingen påbörjas. Den personuppgiftsansvarige är därutöver skyldig att uppge ändamålen antingen i anmälan till tillsynsmyndigheten (36 §) eller till var och en som begär en sådan upplysning (42 §) eller i s.k. registerutdrag till den registrerade (26 §).

Enligt personuppgiftslagen krävs vidare att de ursprungliga ända- målen är ”särskilda”. En alltför allmänt eller vagt hållen ändamåls- beskrivning är alltså inte godtagbar. Hur pass detaljerad ändamåls- angivelsen ska vara för att uppfylla lagens krav på att vara särskild kunde enligt Datalagskommittén avgöras i praxis eller genom preci- serande reglering i förordning eller genom Datainspektionens före- skrifter (SOU 1997:39 s. 350).

Ändamålen ska vidare vara berättigade (”legitimate” i direktivets engelska version). I förarbetena till personuppgiftslagen angavs att det rekvisitet infördes närmast för säkerhets och fullständighets skull eftersom det angavs som ett krav i artikel 6 i dataskydds- direktivet. Det är dock, på samma sätt som nämnts ovan beträff-

263

Tillåten behandling

SOU 2015:39

ande kravet på lagenlighet enligt 9 § första stycket a PuL, osäkert om bestämmelsen om berättigade ändamål har någon självständig betydelse. I vilka fall det är berättigat att samla in och behandla personuppgifter följer ju indirekt av personuppgiftslagen.

Finalitetsprincipen – senare behandling av insamlade personuppgifter för nya ändamål

Om en tilltänkt behandling av redan insamlade personuppgifter inte direkt omfattas av de ursprungliga ändamålen måste det prövas om ändamålet med den senare behandlingen är oförenligt med de ursprungliga ändamålen. Detta följer av 9 § första stycket d. Det är genom den bestämmelsen finalitetsprincipen kommer till uttryck. Datalagskommittén (SOU 1997:39) uttalade att vad som är ofören- ligt med de ursprungliga ändamålen får bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspek- tionen kan utfärda (a. bet. s. 351).

Bestämmelsen i 9 § första stycket d PuL medför bl.a. att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda insamlade uppgifter finns angivna redan då uppgifterna samlas in. Enligt Registerförfattningsutredningen (SOU 1999:105 s. 253) antydde begreppet ”oförenligt” som sådant att det finns visst utrymme för tolkningen att behandling som sker efter insamlandet inte direkt måste motsvaras av ett från början givet ändamål utan ett visst spelrum torde alltså finnas. Socialdatautredningen resone- rade kring oförenlighetsrekvisitet, i ett ofta åberopat uttalande, genom att anföra att man vid en ”oförenlighetsprövning” bör hypo- tetiskt utgå från hur en registrerad typiskt sett, alltså inte den registrerade i det enskilda fallet, skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får be- handlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet (SOU 1999:109 s. 160).

Finalitetsprincipen aktualiseras bl.a. då en personuppgiftsansva- rig lämnar ut uppgifter till en annan personuppgiftsansvarig för att användas av denne för något eget ändamål. Mottagarens ändamål får då inte vara oförenligt med utlämnarens ursprungliga ändamål. Om så är fallet strider utlämnarens behandling mot finalitetsprin-

264

SOU 2015:39

Tillåten behandling

cipen. Mottagarens behandling, å andra sidan, torde i så fall kunna strida mot 9 § första stycket a och b PuL om att behandlingen ska vara laglig och korrekt.

I doktrinen har det hävdats att en registrerad inte med rättslig verkan kan samtycka till att personuppgifter behandlas i strid med finalitetsprincipen. Om den registrerade ger sitt samtycke till att redan insamlade personuppgifter används för nya ändamål som är oförenliga med de som var bestämda vid insamlandet, får detta anses jämställt med en ny insamling av personuppgifterna. Det är alltså inte nödvändigt att samla in personuppgifterna en gång till (Öman/Lindblom, s. 204). Artikel 29-gruppen har dock anlagt ett annat synsätt som innebär att inhämtande av särskilt samtycke till behandling för ett nytt ändamål är en omständighet, ett slags kom- pensatorisk faktor, bland flera omständigheter som kan tillmätas relevans när det ska bedömas om den nya behandlingen är oförenlig med det ursprungliga ändamålet eller inte (Data Protection Working Party, Opinion 03/2013 on purpose limitation, 00569/13/EN WP 203, s. 27).

Ändamålsbestämning i registerförfattningar

Allmänt

Utgångspunkten är alltså att det följer av personuppgiftslagen att det är den personuppgiftsansvarige som bestämmer för vilka ända- mål personuppgifter behandlas. I registerförfattningar anges emeller- tid regelmässigt uttryckligen i författningen de ändamål för vilka personuppgifter får behandlas. Regeringen har, bl.a. i motiven till studiestödsdatalagen (2009:287), uttryckt att det i en speciallag som riktar sig mot en särskilt angiven verksamhet faller sig naturligt att direkt i lagen ange för vilka ändamål personuppgifter får behandlas på det mer avgränsade område lagen avser att täcka (prop. 2008/09:96 s. 40.).

Syftet med ändamålsbestämmelser i registerförfattningar är nor- malt att ange en yttersta ram inom vilken uppgifterna får behandlas (se t.ex. prop. 1997/98:97 s. 121, prop. 2000/01:33 s. 99 och SOU 2006:82 s. 178). Ramen gäller alla typer av behandlingar som kan komma ifråga (jfr definitionen av behandling av personuppgifter i 3 § PuL). Ändamålsbestämmelser är därför av central betydelse i dessa för-

265

Tillåten behandling

SOU 2015:39

fattningar. I många registerförfattningar förekommer ändamåls- bestämmelserna under rubriker som ”Ändamål”, ”Ändamålen med behandlingen” eller ”När behandling av personuppgifter är tillåten”.

Preciseringen av ändamål

Ändamålen ska alltså enligt 9 § första stycket c PuL vara särskilda, dvs. ändamålsangivelserna får inte vara alltför allmänt hållna. Det ligger dock i sakens natur att när ändamål regleras genom författ- ningsbestämmelser dessa ofta måste formuleras ganska generellt, det gäller särskilt beträffande det vi kallar informationshanterings- författningar.

När det gäller frågan om vilken grad av precisering som kan krävas har Socialdatautredningen påpekat att viss ledning kan fås av bestämmelserna i 9 § första stycket e och f PuL om att det är ett grundläggande krav att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behand- lingen samt att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen. Om inte ändamålet eller ändamålen har en viss grad av precision, kan man knappast bedöma huruvida personuppgifterna är adekvata och relevanta eller för många (SOU 1999:109 s. 156). I motiven till lagen (2001:454) om be- handling av personuppgifter inom socialtjänsten anfördes att ända- målen bör vara så preciserade att förhållandena utgör ett tillräckligt skydd för den personliga integriteten samtidigt som de inte utgör ett hinder vid förändring av verksamheten (prop. 2000/01:80 s. 142). I det lagstiftningsärendet frångick regeringen Socialdatautred- ningens förslag om att de närmare ändamålen skulle bestämmas av personuppgiftsansvarig myndighet. I lagen anges under rubriken När behandling av personuppgifter är tillåten att personuppgifter får behandlas bara om behandlingen är nödvändig för att arbets- uppgifter inom socialtjänsten ska kunna utföras. Lagrådet anmärkte att en sådan bestämmelse framstår som en motsvarighet till 10 § PuL och inte som en ändamålsbestämning, något som Lagrådet ansåg var en brist (a. prop. s. 272). Regeringen fann dock att det var lämpligare att reglera ändamålen i förordning. Den aktuella bestäm- melsen kompletteras därför med att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om begränsning av

266

SOU 2015:39

Tillåten behandling

tillåtna ändamål. Regeringen har i förordningen (2001:637) om be- handling av personuppgifter inom socialtjänsten meddelat närmare föreskrifter om tillåtna ändamål.

Ändamålsregleringen på socialtjänstens område är dock inte typisk. I de fall det är fråga om en registerlag som kompletteras av bestämmelser i en anslutande förordning är de närmare ändamåls- bestämmelserna oftast intagna på lagnivå och inte i förordning. Skälet till detta torde vara att, mot bakgrund av ändamålsbestäm- ningens centrala roll för persondataskyddet, det sedan länge har ansetts som principiellt viktigt att riksdagen beslutar ändamål för stora och integritetskänsliga personregister. Samma synsätt har präg- lat utformningen av senare decenniers författningar som reglerar personuppgiftsbehandling vid informationshantering i viss verk- samhet och inte bara vid förandet av ett visst register. I en hel del informationshanteringsförfattningar anges i förarbetena att ändamåls- bestämmelserna är den yttre ramen för den tillåtna personupp- giftsbehandlingen inom tillämpningsområdet samt att det förutsätts eller krävs att den personuppgiftsansvariga myndigheten anger mer preciserade ändamål för specifika behandlingar inom den tillåtna ramen. I registerförfattningar förekommer vidare föreskrifter om att regeringen eller den myndighet som regeringen bestämmer får föreskriva begränsningar i förhållande till lagens ändamålsbestäm- melser. Ett exempel är 6 § lagen (2002:546) om behandling av person- uppgifter i den arbetsmarknadspolitiska verksamheten.

Vad gäller innehållet i de specifika ändamål som anges i de olika informationshanteringsförfattningarna skiljer de sig åt beroende på vilken verksamhet som avses. I motiven har normalt gjorts vissa generella uttalanden angående vad som behöver anges i ändamåls- bestämmelserna.

I lagstiftningsärendet angående lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet uttalade Lagrådet att en särskild ändamålsbestämmelse som ger stöd för att uppgifter som behandlas i verksamheten även får behandlas för pla- nering, uppföljning och utvärdering är obehövlig (prop. 2004/05:164 s. 179). Lagrådet ansåg att planering, uppföljning och utvärdering av verksamhet är en integrerad del av själva verksamheten och inte någon fristående aktivitet som behöver regleras särskilt. Behandling av personuppgifter för dessa ändamål får alltså ske utan att det ut- tryckligen framgår av de i lagen angivna ändamålen. Liknande

267

Tillåten behandling

SOU 2015:39

bedömningar har även gjorts i senare lagstiftningsärenden (se t.ex. prop. 2009/10:85: s. 116).

Det förekommer dock att planering, uppföljning och utvärde- ring anges som särskilda uttryckliga ändamål i registerförfattningar, t.ex. i 114 kap. 7 § 5 socialförsäkringsbalken, 3 § andra stycket lagen (2001:617) om behandling av personuppgifter inom kriminal- vården och 2 kap. 4 § 5 patientdatalagen (2008:355). I motiven till patientdatalagen anfördes att behovet av att särskilt ange för vilka ändamål personuppgifter ska få behandlas måste bedömas från fall till fall, med utgångspunkt från bl.a. hur övriga ändamålsbestäm- melser är utformade i den aktuella författningen (prop. 2007/08:126 s. 58 f.). En tydlig ändamålsreglering kräver att ändamålen formu- leras specifikt och med en hög konkretiseringsgrad och till följd härav bör planering, uppföljning och utvärdering, enligt motiven, uttryckligen anges i lagens uppräkning av ändamål. Det kan här nämnas att Patientdatautredningen beträffande ändamålen verksam- hetsuppföljning och kvalitetssäkring anförde att de behövde anges som självständiga ändamål eftersom det i vissa fall kunde före- komma insamling av personuppgifter för dessa ändamål., t.ex. i form av brukarenkäter eller kvalitetsregisterföring, och inte bara sekun- där återanvändning för dessa syften av redan insamlade person- uppgifter för det primära ändamålet vårddokumentation (SOU 2006:82 s. 185 f.).

En registerförfattning kan vidare innehålla dels generella ända- målsbestämmelser avseende all personuppgiftsbehandling inom en viss verksamhet, dels ändamålsbestämmelser som endast avser ett visst register eller databas som regleras i registerförfattningen. Ett exempel är lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet. I lagen särregleras person- uppgiftsbehandlingen i fyra olika databaser, där varje databas har egna ändamålsbestämmelser.

Behandling som är nödvändig eller som behövs

I personuppgiftslagen används dataskyddsdirektivets nödvändighets- begrepp när det t.ex. handlar om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen liksom beträffande i vilka situationer behandling kan vara tillåten

268

SOU 2015:39

Tillåten behandling

utan den registrerades samtycke (artikel 6 d och 7 b–f direktivet och 9 § f och 10 § a–f PuL). I många informationshanterings- författningar används nödvändighetsbegreppet även i ändamåls- bestämmelser. Det förekommer emellertid också att det i stället anges att personuppgifter får behandlas om det behövs för ett visst ändamål osv. Så är t.ex. fallet beträffande informationshanterings- författningarna för Skatteverkets beskattningsverksamhet och folk- bokföring, Tullverkets tullverksamhet, Kronofogdemyndigheten, Arbetsförmedlingens arbetsmarknadspolitiska verksamhet, hälso- och sjukvården (patientdatalagen) samt Centrala studiestödsnämnden (studiestödsdatalagen). Såvitt kan utläsas av förarbetena finns inga indikationer på att uttryckssättet ”behövs” betydelsemässigt skulle åsyfta något annat än vad som avses med nödvändighetsbegreppet i personuppgiftslagen. I vart fall framgår ingen sådan avsedd skillnad av motiven. I motiven till studiestödsdatalagen har i stället klar- gjorts att med att ”behandlingen behövs” för olika syften avses detsamma som när det i 10 § PuL anges att behandlingen är nöd- vändig (prop. 2008/09:96 s. 134).

Primära och sekundära ändamål

Det förekommer vidare att det i registerförfattningar görs en upp- delning av ändamålen i primära och sekundära sådana. De primära ändamålen avses tillgodose den behandling som behövs i myndig- hetens egna verksamhet medan de sekundära ändamålen tar sikte på myndighetens utlämnande av uppgifter för att tillgodose andras behov. Syftet är således att göra det tydligt hur uppgifterna får användas i den egna verksamheten och i vilka syften de får lämnas ut till andra. Ett utlämnande av personuppgifter som sker som ett led i den egna verksamheten, inte i syfte att tillgodose andras behov, anses vanligtvis omfattas av de primära ändamålen (Sören Öman, Särskilda registerförfattningar, Festskrift till Peter Seipel, s. 699 f.).

De primära ändamålen kan alltså sägas vara styrande för vilka personuppgifter som får samlas in hos myndigheten. I doktrinen har hävdats att relationen mellan de primära och sekundära ända- målen får förstås så att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse person-

269

Tillåten behandling

SOU 2015:39

uppgifter som myndigheten samlat in och i övrigt behandlat för sina egna primära ändamål. Att ett utlämnande enligt de sekundära ändamålen endast avser sådana personuppgifter som får behandlas enligt de primära ändamålen framgår ibland av författningstexten i registerförfattningarna. Regleringen i 2 kap. 7 och 8 §§ polisdata- lagen är ett exempel på detta, dvs. att det framgår att behandling för sekundära ändamål bara får avse personuppgifter som redan samlats in för primära ändamål. Detta framgår av att det i 8 §, som reglerar de sekundära ändamålen, uttryckligen anges att personuppgifter som redan behandlas enligt 7 §, dvs. för primära ändamål, även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet.

Regleringen i 1 kap. 4 och 5 §§ lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet har en annan konstruktion. Där anges det inte att de sekundära ändamålen som listas i 5 § endast avser behandling av uppgifter som redan har samlats in och behandlas av Skatteverket för något av de primära ändamål som anges i 4 §. Enligt denna lagtekniska utformning finns det således inget som i och för sig hindrar att Skatteverket samlar in personuppgifter för ändamål som bara tillgodoser andra aktörers behov så länge som dessa behov återfinns bland de sekundära ändamålen i lagens 1 kap. 5 §. Syftet med regleringen tycks emeller- tid ha varit att de sekundära behoven i allt väsentligt ska avse upp- gifter som Skatteverket redan har samlat in för den egna verksam- hetens behov, dvs. att de sekundära ändamålen avser ett slags åter- användning. På så sätt liknar regleringen den i polisdatalagen, även om detta alltså inte har kommit till uttryck i utformningen av regleringen.

Ytterligare en skillnad i utformningen av ändamålsregleringen i registerförfattningarna är att det dels förekommer uttömmande bestämningar av samtliga ändamål – såväl primära som sekundära – för vilka behandling får ske, dels den varianten att de i författ- ningen angivna ändamålen kompletteras med en möjlighet att vidare- behandla redan insamlade uppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Skillnaden består således i att lagstiftaren i det senare fallet har gett den personuppgiftsansvariga myndigheten utrymme att själv bestämma kompletterande ”sekun- dära” ändamål. Det är alltså myndigheten själv som måste beakta finalitetsprincipen. Man brukar då tala om att ”finalitetsprincipen

270

SOU 2015:39

Tillåten behandling

tillämpas” men vad som i strikt rättslig mening avses är snarare en tillämpning av bestämmelsen i 9 § första stycket d PuL.

Ändamålsbestämmelser och uppgiftsutlämnande

Särskilt beträffande myndigheters personuppgiftsbehandling genom utlämnande av personuppgifter har finalitetsprincipen varit föremål för diskussion eftersom det inte sällan uppstått osäkerhet kring frågan om förhållandet mellan denna princip, ändamålsbestäm- melser i registerförfattningar och bestämmelser i bl.a. offentlig- hets- och sekretesslagen som föreskriver utlämnande eller medger att uppgifter lämnas ut utan hinder av sekretess. Enligt t.ex. 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekre- tessbelagd eller det skulle hindra arbetets behöriga gång. Skyldig- heten anses utgöra en precisering av den allmänna samverkans- skyldighet som gäller för myndigheter enligt 6 § FL. Det har ifråga- satts om denna skyldighet står i strid med finalitetsprincipen och därmed dataskyddsdirektivet.

Offentlighets- och sekretesskommittén uttalade i sitt huvud- betänkande Ny sekretesslag (SOU 2003:99 s. 231 f.) att regering och riksdag redan vid personuppgiftslagens tillkomst fick anses ha tagit ställning till att bestämmelsen i 15 kap. 5 § SekrL (numera 6 kap. 5 § OSL) inte strider mot dataskyddsdirektivet. Det beror på att den detaljerade sekretessregleringen avseende integritetskänsliga uppgifter gäller även i förhållandet mellan myndigheter och mellan självständiga verksamhetsgrenar inom samma myndighet, dock att lagstiftaren har infört sekretessbrytande regler som innebär att sekretesskyddade uppgifter under vissa förutsättningar kan lämnas ut till annan myndighet. Kommittén fortsatte (a. bet. s. 232):

Genom denna ordning uppnås samma syfte som man vill åstadkomma genom finalitetsprincipen. Myndigheterna hindras att lämna ut inte- gritetskänsliga uppgifter till andra myndigheter, för ändamål som av lagstiftaren bedömts vara oförenliga med de ändamål för vilka upp- gifterna samlats in. De uppgifter som inte försetts med något sekre- tesskydd eller som omfattas av sekretessbrytande regler har av lag- stiftaren ansetts vara av sådan karaktär att utlämnanden till andra myndigheter, eller, när det gäller sekretessbrytande regler, vissa myn- digheter, inte kan anses vara oförenliga med det ändamål för vilket

271

Tillåten behandling

SOU 2015:39

uppgifterna samlats in. Detta ställningstagande kommer till uttryck i [dåvarande] 15 kap. 5 § sekretesslagen.

Offentlighets- och sekretesskommittén resonerade på samma sätt rörande utlämnande av sekretesskyddade uppgifter som sker på en myndighets eget initiativ, eftersom utlämnandet även i sådant fall måste ske med stöd av en sekretessbrytande bestämmelse. När de sekretessbrytande bestämmelserna införts har lagstiftaren, anförde kommittén, gjort en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. För enskilda måste det anses stå klart att utlämnande med stöd av sekretessbrytande bestämmelser kan komma att ske.

Kommitténs bedömningar är emellertid inte okontroversiella. Det har hävdats att kommitténs tolkning av finalitetsprincipen i detta avseende är synnerligen liberal (Öman/Lindblom, s. 167).

Såvitt avser finalitetsprincipens tillämplighet på registerförfatt- ningarnas område anförde kommittén vidare följande (SOU 2003:99 s. 236 f.).

När det gäller frågan om ett utlämnande mellan myndigheter enligt sekretesslagen är förenligt med finalitetsprincipen som den kommer till uttryck i registerförfattningarna bör samma bedömning som ovan redovisats göras. Ett uppgiftslämnande till en annan myndighet skall anses förenligt med finalitetsprincipen om det är tillåtet enligt sekre- tesslagen, annars inte.

Beträffande utlämnanden som sker på begäran av en annan myndighet och där alltså 15 kap. 5 § sekretesslagen är tillämplig kan det dessutom hävdas att utlämnandet skall ske på grund av lex specialis. En särskild lag om behandling av personuppgifter anger vanligtvis generellt i vilka fall behandling av en uppgift får ske. Ett utlämnande av uppgiften är en av många olika slags behandlingar av uppgiften. En bestämmelse om uppgiftsskyldighet avser emellertid en specifik behandling. Bestäm- melserna om uppgiftsskyldighet bör därmed betraktas som lex speci- alis i förhållande till en mer generell bestämmelse om när uppgifter får behandlas och gälla i första hand.

[…]

Om det visar sig vara så att en särskild lag om behandling av per- sonuppgifter uttömmande anger i vilka fall uppgifter får lämnas är finalitetsprincipen inte tillämplig. Skulle utlämnandet ske efter begäran bör det närmast vara 15 kap. 5 § sekretesslagen som utgör den gene- rella lagstiftningen, medan den särskilda lagen om behandling av per- sonuppgifter blir lex specialis i förhållande till 15 kap. 5 §. Bestäm-

272

SOU 2015:39

Tillåten behandling

melserna i registerlagstiftningen skulle alltså i detta fall gå före sekre- tesslagen och utlämnandet utgöra en otillåten behandling.

Även Integritetsskyddskommittén har berört frågeställningen om ändamålsbestämmelser i registerförfattningar och finalitetsprincipen samt påpekat att oklarheterna härvidlag och bristen på samordning och enhetlighet i utformningen av registerförfattningarna medför svårigheter i tillämpningen och överblickbarheten i regelverket, vilket i sin tur innebär en risk för onödiga integritetsintrång, se delbetänkandet Skyddet för den personliga integriteten – Kartlägg- ning och analys (SOU 2007:22 s. 462).

Såvitt avser registerförfattningars ändamålsbestämmelser anförde kommittén bl.a. följande (a. bet. s. 465 f.).

Bestämmelser om sekundära ändamål är emellertid problematiska från den synpunkten att de ibland också avses ge svar på frågan om när uppgifter får lämnas ut. Ibland avser de sekundära ändamålen att uttömmande reglera för vilka ändamål och till vilka som uppgifter får lämnas ut. Så är fallet i den reglering som avser behandling av per- sonuppgifter inom Tullverkets brottsbekämpande verksamhet. Där synes bestämmelserna syfta till att, i betydligt större omfattning än vad som gäller enligt sekretesslagen, inskränka möjligheterna att lämna ut uppgifter till andra myndigheter. Om bestämmelserna skall tillämpas i enlighet med detta syfte torde man för uppgifter som behandlas i enlighet med lagen – vilket bör vara i stort sett alla uppgifter eftersom handläggningen i allt väsentligt är datoriserad – i praktiken ha infört en absolut sekretess i förhållande till andra myndigheter, trots att det i sekretesslagen anges att sekretess på detta område gäller med ett om- vänt skaderekvisit.

Bestämmelser om sekundära ändamål kan också vara avsedda att inte uttömmande ange när uppgifter får lämnas ut. Ett sådant syfte framgår i allmänhet inte av lagtexten, men brukar anges i förarbetena. På skatteområdet omfattar de sekundära ändamålen utlämnande till såväl myndigheter som till enskilda som bedriver författningsreglerad verk- samhet. I lagtexten görs ingen skillnad mellan utlämnanden som sker på grund av uppgiftsskyldighet, efter en sekretessprövning enligt 14 kap. 3 § sekretesslagen eller därför att det är fråga om utlämnande av offentliga uppgifter. Bestämmelsen synes snarast utgöra någon slags exemplifiering av när utlämnanden kan komma att ske (jfr prop. 2000/01:33 s. 99). Även denna typ av bestämmelser försvårar möjlig- heterna att avgöra vilket skydd respektive vilka inskränkningar i den enskildes integritet som det är fråga om.

273

Tillåten behandling

SOU 2015:39

Ett grundläggande problem i sammanhanget synes vara att inte heller när det gäller bestämmelser i registerförfattningar om ändamål med behandlingen har lagstiftaren på något enhetligt sätt tagit ställning till hur sådana regler förhåller sig till bestämmelser i andra lagar som också kan ha betydelse i sammanhanget. Problemet behandlades bland annat av Lagrådet beträffande förslaget om lagstiftning för behandling av personuppgifter på socialförsäkringsområdet (prop. 2002/03:135 s. 159 f.).

I våra direktiv anför regeringen att såsom Integritetsskyddskom- mittén uppmärksammat förekommer det numera sådana uttöm- mande ändamålsregleringar som leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen. Enligt regeringens mening bör utgångspunkten vara att ändamålsregle- ringar som utesluter en tillämpning av finalitetsprincien inte ska förekomma. För att undvika oklarheter beträffande huruvida finali- tetsprincipen får tillämpas, dvs. att myndigheten kan göra en egen bedömning av om nya ändamål är oförenliga med ursprungliga ändamål eller inte – för att exempelvis bedöma om en vidare- behandling av personuppgifter som inte uttryckligen anges i de reg- lerade ändamålen är tillåten eller inte – finns det i nyare register- författningar inte sällan uttryckliga hänvisningar till regeln i 9 § första stycket d PuL alternativt att en bestämmelse med motsvar- ande innehåll tagits in i författningen. Ett exempel är 2 kap. 5 § patientdatalagen där det framgår att personuppgifter som samlats in och behandlas för primära ändamål enligt 2 kap. 4 § också får behandlas för att fullgöra uppgiftslämnande som sker i överens- stämmelse med lag eller förordning samt att i övrigt gäller 9 § första stycket d och andra stycket PuL. Ändamålsregleringen i patient- datalagen är emellertid uttömmande i den meningen att vårdgivare inte själva får besluta om ytterligare primära ändamål för vilket eller vilka personuppgifter kan samlas in i och behandlas i verksamheten, i vart fall inte utan den registrerades uttryckliga samtycke.

Men det finns också från senare tid exempel på författningar som innehåller en uttömmande ändamålsbeskrivning även såvitt avser användning av insamlade uppgifter för nya ändamål. Exem- pelvis har lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa utformats på så sätt att det inte lämnats något utrymme åt den personuppgiftsansvariga

274

SOU 2015:39

Tillåten behandling

myndigheten att göra en egen bedömning av om nya ändamål är oförenliga med ursprungliga ändamål eller inte.

I förarbetena till sådana bestämmelser har det brukat anges att personuppgiftslagens finalitetsprincip därmed inte är tillämplig (se t.ex. prop. 2012/13:163 s. 50). Det kan emellertid hävdas att innebörden av uttömmande ändamålsregleringar av det slaget också kan beskrivas på det sättet att lagstiftaren redan har tillämpat finali- tetsprincipen och därvid funnit att varje nytt ändamål skulle vara oförenligt med de författningsreglerade ändamålen. Registerför- fattningens ändamålsreglering är alltså snarare ett uttryck för finalitetsprincipen så som den tillämpats av lagstiftaren.

Avslutningsvis finns det skäl att erinra om att även om en ända- målsreglering är uttömmande så är, utan att detta särskilt anges, en behandling av personuppgifter som sker för att uppfylla offentlig- hetsprincipen enligt 2 kap. TF under alla förhållanden alltid tillåten. Detta följer av grundlags företräde framför vanlig lag.

9.2.4Våra överväganden och förslag

Personuppgiftslagens grundläggande krav ska gälla även då myndigheter behandlar personuppgifter

Förslag: De grundläggande kraven på behandling av person- uppgifter i 9 § PuL ska tillämpas då myndigheter behandlar personuppgifter. Detta ska gälla oberoende av om behandlingen sker i s.k. strukturerat eller ostrukturerat material. I den nya lagen ska detta tydliggöras genom en hänvisning till 9 § PuL.

Principerna om uppgifternas kvalitet i dataskyddsdirektivets arti- kel 6 – eller de grundläggande kraven på behandling av person- uppgifter som principerna benämns i 9 § PuL – är några av de mest centrala och grundläggande i den dataskyddsrättsliga regleringen.

Att myndigheter ska uppfylla de grundläggande dataskydds- rättsliga principerna vid behandling av personuppgifter får anses självklart och någon annan generell ordning torde strida mot data- skyddsdirektivets krav.

Däremot skulle det måhända kunna hävdas att de grundläggande kraven i 9 § PuL i hög grad ändå redan gäller indirekt för myn-

275

Tillåten behandling

SOU 2015:39

digheterna genom annan reglering. Exempelvis ställer objektivitets- principen och likhetsprincipen enligt 1 kap. 9 § RF, allmänna för- valtningsrättsliga principer såsom dessa kommer till uttryck i för- valtningslagen, reglerna om handlingsoffentlighet och insyn enligt 2 kap. TF, offentlighets- och sekretesslagens och arkivlagens regler om ordning och bevarande av allmänna handlingar m.m. samt myndighetsinstruktioner och andra regleringar som styr vilka upp- gifter en myndighet har, sammantaget krav på myndigheterna att bara behandla personuppgifter lagligt och korrekt, att samla in upp- gifter bara för författningsreglerade syften eller annars bestämda och berättigade ändamål, att se till att personuppgifter är riktiga och att korrigera felaktigheter osv.

Vid dataskyddsdirektivets implementering i Sverige fördes det inte något resonemang om huruvida det redan fanns nationell reg- lering som motsvarade kraven i artikel 6.1 när det gäller personupp- giftsbehandling i myndigheters informationshantering och vilken betydelse detta i så fall skulle ha.

Som vi ser det är det med tanke på kopplingen mellan de grund- läggande kraven i 9 § PuL och dels den registrerades rättigheter, t.ex. att kunna göra anspråk på skadestånd för kränkning vid be- handling i strid mot bl.a. 9 § PuL, dels tillsynsmyndighetens befogenheter, emellertid uppenbart att den särskilda regleringen i 9 § har en självständig betydelse även på myndighetsområdet. Detta alldeles oavsett att motsvarande krav på personuppgiftsbehand- lingen i vart fall delvis kan härledas ur annan reglering som har betydelse för myndigheternas informationshantering. Den data- skyddsrättsliga regleringen med specifika skyldigheter, rättigheter och ett eget sanktionssystem utgör nämligen en rättslig dimension som går utöver den som följer av annan reglering av myndigheters informationshantering. Vidare är det av praktiska skäl givetvis en fördel om regleringen är heltäckande och tydlig i fråga om vilka skyldigheter som myndigheten har vad gäller just personuppgifts- behandling.

Till detta kommer alltså att det under alla förhållanden knappast torde vara förenligt med dataskyddsdirektivet att enbart förlita sig på att annan redan befintlig reglering av myndigheternas informa- tionshantering skulle vara tillräcklig för att fullt ut garantera det skydd som artikel 6 föreskriver. De grundläggande kraven i 9 § PuL bör således gälla även enligt den generella lag som vi föreslår. Vi ser

276

SOU 2015:39

Tillåten behandling

ingen anledning att reglera detta på något annat sätt än genom en hänvisning till den paragrafen. Nästa fråga blir då om hänvisningen till 9 § ska gälla utan undantag. Vi återkommer till den frågan i det följande.

Vi har i avsnitt 8.3.2 gjort bedömningen att den s.k. miss- bruksregeln i 5 a § PuL inte bör vara tillämplig vid myndigheters behandling av personuppgifter. Därmed följer att de grundläggande kraven enligt 9 § måste följas av myndigheter även vid behandling av personuppgifter i ostrukturerat material, t.ex. vid e-posthante- ring, på webbplatser eller i sociala medier m.m. Som har framgått ser vi det som en självklarhet att myndigheter i sin informations- hantering alltid ska följa sådana basala krav på laglighet, korrekthet, ändamålsbestämning, adekvans, riktighet och återhållsamhet m.m. som 9 § PuL ger uttryck för. Vi har inte heller kunnat identifiera något reellt eller berättigat behov för myndigheterna till avvikelser från något av paragrafens grundläggande krav. Till detta kommer att det av annan reglering alltså följer att myndigheterna ska han- tera personuppgifter på ett sätt som står i samklang med 9 § PuL och detta gäller givetvis alldeles oavsett om behandlingen sker i strukturerad eller ostrukturerad form. Någon bestämmelse som i något avseende kompenserar för att missbruksregeln inte ska vara tillämplig i fråga om de grundläggande kraven vid behandling av personuppgifter i ostrukturerat material anser vi alltså inte vara motiverad.

Ändamålsbestämning

Bedömning: Någon begränsning av för vilka ändamål myndig- heter får behandla personuppgifter bör inte införas i den nya lagen. Därmed blir huvudregeln att det är den personuppgifts- ansvariga myndigheten som, inom ramen för sitt uppdrag, har att närmare specificera för vilket eller vilka ändamål person- uppgifter behandlas i verksamheten. Dessa ändamål måste upp- fylla det grundläggande kravet på att vara särskilda och uttryck- ligt angivna redan vid insamlingen.

Det kan dock på vissa områden, t.ex. i fråga om särskilt integritetskänsliga informationssamlingar, finnas anledning att genom särskilda föreskrifter i lag eller förordning om ända-

277

Tillåten behandling

SOU 2015:39

målsbegränsningar ange ramar för myndigheters personupp- giftsbehandling. Sådana föreskrifter kan tas in i bilaga till lagen eller i annan lag eller förordning.

En grundläggande princip i dataskyddsregleringen är alltså att den personuppgiftsansvarige, senast när personuppgifter samlas in, ska ange särskilda ändamål för den planerade behandlingen. Dessa ändamål sätter gränser för hur uppgifterna därefter får behandlas. Både dataskyddsdirektivet och den föreslagna uppgiftsskydds- förordningen öppnar dock för att medlemsstaterna i sin lagstift- ning kan bestämma ändamålen för behandlingen (se dataskydds- direktivets definition av personuppgiftsansvarig i artikel 2, motsvar- ande bestämmelse finns i artikel 4 i uppgiftsskyddsförordningen).

Vid vår inventering och genomgång av befintliga registerförfatt- ningar, i synnerhet beträffande sådana som vi kallar informations- hanteringsförfattningar, har vi kunnat konstatera att många ända- målsbestämmelser inte tycks leva upp till de krav som ställs på att bestämda ändamål ska vara särskilda och bestämda (9 § första stycket c PuL). Ofta är tillämpningsområdet för en informations- hanteringsförfattning beskrivet som ett visst slags verksamhet hos en personuppgiftsansvarig myndighet. Ibland är de primära ända- målen i lagens ändamålsbestämmelser i princip identiska med det beskrivna tillämpningsområdet. Ett exempel är polisdatalagen som har tillämpningsområdet den brottsbekämpande verksamheten. Denna består av verksamhet för att förebygga, förhindra eller upp- täcka brottslig verksamhet samt utreda och beivra brott. Samma kriterier utgör tillåtna primära ändamål enligt lagen vid sidan om ändamålet diarieföring (1 kap. 2 § samt 2 kap. 7 och 9 §§ polisdata- lagen). Den föreslagna domstolsdatalagen har en liknande konstruk- tion med ett tillämpningsområde, rättskipande och rättsvårdande verksamhet, som i realiteten är identiskt med det tillåtna primära ändamålet enligt lagen, handläggning av mål och ärenden (Ds 2013:10).

Det är tydligt att på så sätt angivna ändamålsbeskrivningar knappast har som syfte att utgöra egentliga ändamålsbestämningar. Syftet är snarare att ändamålsbeskrivningen ska utgöra en preci- sering i förhållande till 10 § PuL av när personuppgifter alls får be- handlas i en viss verksamhet och ofta även i förhållande till 15– 20 §§ PuL såvitt avser känsliga personuppgifter. Ett ofta uttalat

278

SOU 2015:39

Tillåten behandling

syfte är att på så sätt sätta en ram för personuppgiftsbehandlingen inom vilken den personuppgiftsansvarige måste bestämma sådana särskilda, uttryckliga och berättigade ändamål som avses i 9 § första stycket c PuL (se t.ex. prop. 2007/08:126 s. 227 f.). Man kan alltså säga att det har kommit att ske en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling. Detta kan tyckas vara otillfredsställande från rent systematisk utgångspunkt. Det finns vidare från integritetsskyddssynpunkt, menar vi, vissa problem med sådana vida ändamålsbestämningar som nyss nämnts. Det finns nämligen en risk för att tillämparen sammanblandar ändamål med rättslig grund och godtar ett i författning bestämt allmänt ändamål som ett i och för sig särskilt och tillräckligt preciserat ändamål och därför drar den felaktiga slutsatsen att personupp- giftslagens krav är uppfyllda. Ett belysande exempel är uppgifts- samlingen benämnd ”Kringresande” som förts hos Polismyndig- heten i Skåne med uppgifter om en stor mängd personer av romsk härkomst. I sin granskning av registret fann Säkerhets- och integri- tetsskyddsnämnden stora brister. Den allvarligaste bristen ansåg nämnden vara att ändamålet med personuppgiftsbehandlingen var alldeles för vitt. Visserligen föll det ändamål som åberopats, ”Läns- övergripande brottslighet”, inom ramen för sådan underrättelse- verksamhet som avses med det ändamål som anges i 2 kap. 7 § 1 polisdatalagen. Det uppfyllde dock inte det grundläggande kravet i 9 § första stycket c PuL – som också gäller vid behandling enligt polisdatalagen – på att insamling bara ska ske för särskilda, uttryck- ligt angivna och berättigade ändamål. Nämnden fortsatte enligt följ- ande (uttalande 2013-11-15, dnr 173-2013).

Ett oprecist ändamål ger inga ramar för personuppgiftsbehandlingen, vilket i praktiken sätter integritetsskyddet ur spel. Vidare är det klar- lagt att det inte finns behov av att registrera alla de personer som finns i uppgiftsamlingen, inte ens med det vida ändamål som gällt. En annan allvarlig brist är att det inte finns ett tillräckligt tydligt samband mellan den av polismyndigheten angivna brottsligheten och de personupp- gifter som behandlas. Sammantaget förefaller därför uppgiftssamlingen i vart fall delvis ha fått karaktären av en ”bra att ha”-uppgiftssamling.

Genom att i registerlagar ange mycket vida ändamål riskerar man alltså att tillämparen betraktar varje personuppgiftsbehandling som faller in under det i författning beskrivna ändamålet som en laglig

279

Tillåten behandling

SOU 2015:39

personuppgiftsbehandling eller, i vart fall, att varje begränsning i förhållande till lagens ändamålsbestämning är tillräcklig som ända- målsprecisering. Mot den bakgrunden menar vi att det kan ge ett i praktiken bättre integritetsskydd om den personuppgiftsansvarige är hänvisad enbart till att utifrån de grundläggande kraven i 9 § första stycket c på eget ansvar formulera ändamål som är tillräckligt specifika för att ge ledning för vilka uppgifter som är adekvata och inte för många för den aktuella behandlingen osv. Sådana mer speci- fika ändamålsbestämningar är vidare ägnade att underlätta för dels enskilda registrerade som vill kontrollera ändamålsenligheten i behandlingen av uppgifter om honom eller henne, dels tillsynsmyn- dighetens motsvarande kontroll.

Även när författningsreglerade ändamål är mer begränsade till sin utformning innefattar bestämningen ofta ett bemyndigande för den personuppgiftsansvariga myndigheten att behandla personupp- gifter som behövs för att utföra en uppgift som myndigheten under alla förhållanden är ålagd att utföra enligt annan lagstiftning, myn- dighetsinstruktion, regeringsbeslut eller liknande. Något förenklat kan förhållandet beskrivas som att myndigheten enligt register- lagen får behandla de personuppgifter som myndigheten måste behandla i enlighet med vad som direkt eller indirekt följer av annan reglering som styr vilka uppgifter myndigheter har. Såvitt avser Skatteverket föreskrivs t.ex. i 1 kap. 4 § första stycket 2 lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet att verket får behandla uppgifter som behövs för det bestämmande av pensionsgrundande inkomst som Skatteverket samtidigt har ett åligg- ande att beräkna enligt 59 kap. SFB.

Som vi ser det är emellertid regler om vad myndigheter ska och får göra – och därmed vilken informationshantering som de be- höver ägna sig åt – i grunden verksamhetsfrågor som inte hör hemma i dataskyddsregleringen utan bör regleras i annat samman- hang. En informationshanteringsförfattning bör enligt vår mening bara innehålla sådana bestämmelser som behövs därför att den insam- lade informationen innehåller personuppgifter som hanteras elek- troniskt – eller i manuella register – och därmed aktualiserar data- skyddsrättsliga frågor. Att genom ändamålsbestämningar styra vilka personuppgifter myndigheterna får samla in i sin verksamhet för att utföra sina åligganden innebär alltså ett slags dubbelreglering som inte alltid ter sig som en lämplig ordning.

280

SOU 2015:39

Tillåten behandling

Visserligen görs det genom ändamålsbestämningar tydligt för allmänhet och för registrerade inom vilka ramar myndigheter får samla in och behandla personuppgifter. Detta kan ha ett värde, särskilt när den reglering utifrån vilken myndigheter bedriver sin verksamhet är uppsplittrad på en mängd olika författningar och på skilda normnivåer. Information om vilken personuppgiftsbehand- ling som sker inom en viss myndighet kan emellertid mycket väl ges på annat sätt än genom författningsreglering. Vi återkommer till den frågan i kapitel 16.

Enligt vår mening kan det – bortsett från särskilt integritets- känslig behandling – ifrågasättas i vilken mån det egentligen är till gagn för registrerades personliga integritet med den ”dubbelreglering” som ges genom att först föreskriva att myndigheten ska göra något och sedan att den också får göra det. Till detta kommer att sådan dubbelreglering kan motverka effektiviteten i förvaltningen även när detta knappast är påkallat från integritetsskyddsynpunkt. Om en ny uppgift åläggs en myndighet och uppgiften ställer krav på personuppgiftsbehandling som inte redan faller in under en befint- lig ändamålsbestämmelse, måste denna först ändras. Det kan vara en tämligen arbetskrävande och utdragen process eftersom ända- målsbestämmelser ofta har lagform. Såvitt vi har erfarit är det på inget sätt ovanligt att planerade nya effektivitetsfrämjande myndig- hetsövergripande samarbeten bromsas eller omöjliggörs därför att nödvändigt informationsutbyte förhindras på grund av att någon parts ändamålsbestämmelser inte är anpassade till den nya upp- giften. Ändamålsbestämmelser kan alltså föranleda tids- och resurs- krävande lagstiftningsåtgärder även i situationer när detta inte framstår som särskilt angeläget från integritetsskyddssynpunkt.

Det är vidare vår uppfattning att frågan i vad mån en myndighet får lämna ut personuppgifter till andra myndigheter inte bör reg- leras genom ändamålsbestämmelser. Den diskussion som förekom- mit genom åren visar t.ex. att bestämmelser om s.k. sekundära ändamål ofta leder till tillämpningsproblem och osäkerhet angående förhållandet till andra bestämmelser, främst de i offentlighets- och sekretesslagen. Dessutom kan sekundära ändamål, som i realiteten ofta inte är uttömmande angivna, bidra till att uppgifter uppfattas vara i högre grad kringgärdade av restriktioner beträffande utläm- nanden än vad som egentligen är fallet. Vi instämmer alltså i vad Integritetsskyddskommittén anfört om att utlämnande av uppgifter

281

Tillåten behandling

SOU 2015:39

till andra myndigheter inte bör regleras genom ändamålsbestäm- melser. En helt annan sak är att det kan krävas bestämmelser som tillåter rutinmässigt utbyte av sekretessreglerade personuppgifter mellan myndigheter på sätt som ger stöd för att tillämpa den sekre- tessbrytande s.k. generalklausulen i 10 kap. 27 § OSL. Sådana be- stämmelser bör dock, som vi redan har berört i avsnitt 5.7.2, inte rubriceras som eller i övrigt utformas som dataskyddsrättsliga ända- målsbestämmelser.

Sammanfattningsvis menar vi alltså att det finns avsevärda nack- delar förknippade med den regleringsmodell som hittills tillämpats och som inneburit att ändamålen – såväl primära som sekundära – ofta har författningsreglerats. Vi ser det inte som ändamålsenligt att den nya lagen skulle utgå från en huvudregel om att sådana bestämmelser ska finnas. Visserligen kan det inte uteslutas att det i specifika fall kan finnas en befogad anledning för lagstiftaren att genom ändamålsbestämningar reglera utrymmet när det gäller för vilka syften personuppgifter får behandlas. Det torde framför allt vara aktuellt beträffande personuppgifter i särskilt integritetskäns- liga register eller andra uppgiftssamlingar. Exempelvis kan det vid direktåtkomst till sådana uppgiftssamlingar finnas anledning att genom för den mottagande myndigheten bindande bestämmelser reglera för vilka ändamål den ska få använda sin direktåtkomst genom att faktiskt överföra tillgängliga personuppgifter till sin verk- samhet för läsning, nedladdning eller någon annan åtgärd som inne- bär en behandling i lagens mening. Sådana avgränsade ända- målsbestämmelser kan ges i den förordning som är avsedd att an- sluta till den nya lagen eller, om det är lämpligare, i en särskild författning. I den mån det bedöms att lagform erfordras kan sådana bestämmelser tas in i en bilaga till den nya lagen. Valet kan bl.a. påverkas av var själva direktåtkomsten regleras, se vidare avsnitt 11.1 angående våra överväganden och förslag beträffande regleringen av direktåtkomst.

Mot bakgrund av det sagda är det vår samlade bedömning att den nya lagen inte bör innehålla några ändamålsbestämmelser eller förutsätta att sådana bestämmelser ska finnas. Vi föreslår därför inte någon sådan reglering. Vidare är det vår uppfattning att huvud- regeln bör vara att ändamålen för myndigheters personuppgifts- behandling inte bör särregleras i förhållande till den nya lagen.

282

SOU 2015:39

Tillåten behandling

Behandling av insamlade personuppgifter för nya ändamål

Bedömning: Finalitetsprincipen ska gälla då myndigheter behand- lar personuppgifter med stöd av den generella lagen. Detta följer av hänvisningen till 9 § PuL.

Myndigheter kan bedriva sådan verksamhet där separata behand- lingar sker för skilda ändamål eller för flera ändamål samtidigt. Finalitetsprincipen såsom den kommer till uttryck i 9 § första stycket d PuL ger utrymme för en rimlig flexibilitet hos person- uppgiftsansvariga myndigheter utan att det i alltför hög grad sker på bekostnad av den registrerades intresse av att insamlade upp- gifter om honom eller henne inte används i en oöverblickbar kedja av nya ändamål och sammanhang. Finalitetsprincipen såsom den kommer till uttryck i personuppgiftslagen bör alltså gälla även för myndigheter. Detta behöver inte regleras särskilt utan följer av hänvisningen till 9 § PuL. Den grundläggande regeln om att per- sonuppgifter inte får behandlas för något ändamål som är ofören- ligt med det för vilket uppgifterna samlades in blir därmed generellt tillämplig enligt den nya lagen.

Liksom normalt är fallet i dag, får det då behov uppstår inom den egna myndigheten av att behandla personuppgifter för nya ända- mål göras en bedömning av om det nya ändamålet är oförenligt med de ursprungliga ändamål som fanns angivna då uppgifterna samlades in till myndigheten. Även om bedömningen blir att det nya ändamålet inte är oförenligt med det ursprungliga, så innebär det inte med självklarhet att behandlingen för det nya ändamålet är tillåten. Behandlingen för det nya ändamålet måste även vara nödvän- dig för att myndigheten ska kunna utföra en verksamhet som myn- digheten ska eller får bedriva. Även de övriga grundläggande kraven i 9 § PuL måste iakttas. Personuppgifterna måste t.ex. vara adekvata och inte för många i förhållande till det nya ändamålet m.m.

När det gäller frågan om utlämnande av personuppgifter till andra myndigheter eller till enskilda är det alltså vår uppfattning att behandling i form av utlämnanden är förenliga med finalitetsprin- cipen så länge som utlämnandena som sådana sker i överens- stämmelse med lag eller förordning enligt vilken uppgifterna får eller ska lämnas ut. Härmed avses i första hand utlämnanden till annan myndighet enligt 6 kap. 5 § OSL och utlämnanden av sekre-

283

Tillåten behandling

SOU 2015:39

tessreglerade uppgifter till en annan myndighet eller enskild, på be- gäran eller på eget initiativ, som sker med stöd av någon sekretess- brytande bestämmelse. Vi menar alltså att lagstiftaren genom att reglera ett uppgiftslämnande får anses ha tagit ställning till att så- dana utlämnanden som ska eller får ske inte är oförenliga med ursprungliga ändamål. Myndigheterna är alltså bundna av den pröv- ning enligt finalitetsprincipen som lagstiftaren gjort genom exem- pelvis en sekretessbrytande bestämmelse. I praktiken innebär detta att den nya lagen inte reglerar i vad mån personuppgifter får be- handlas genom att lämnas ut från en myndighet så länge som utlämnandet sker i enlighet med offentlighets- och sekretesslagen eller bestämmelser i annan författning av innebörd att uppgifter får eller ska lämnas, på begäran eller självmant. En helt annan sak är att de krav som den nya lagen ställer på den personuppgiftsbehandling som själva utlämnandet innefattar givetvis ändå gäller, exempelvis kravet på adekvata säkerhetsåtgärder. Även vid sådana utlämnanden

– liksom vid annan behandling av insamlade personuppgifter för icke oförenliga nya ändamål – måste vidare de grundläggande kraven i 9 § PuL iakttas. Det är t.ex. inte tillåtet vid ett enstaka fall av utlämnande på begäran av annan myndighet att lämna ut fler per- sonuppgifter än vad som behövs för syftet med utlämnandet, dvs. att tillgodose mottagande myndighets begäran. Detta gäller alldeles oavsett om det kan leda till merarbete inom myndigheten att t.ex. sortera bort viss överflödig information före utlämnandet (9 § första stycket f PuL).

Tillämpningen av finalitetsprincipen ger således inte upphov till någon verklig – eller skenbar – konflikt mellan den nya lagen och sekretesslagstiftningen och bestämmelser i andra författningar som påbjuder eller tillåter uppgiftsutbyte. Vi har övervägt behovet av att klargöra detta genom en särskild föreskrift i den nya lagen men kommit till slutsatsen att detta inte behövs. Eftersom den nya lagen ska vara subsidiär till avvikande bestämmelser i annan lag eller för- ordning kommer bestämmelser i annan lag eller förordning om att utlämnanden ska eller får ske alltid att ha företräde.

284

SOU 2015:39

Tillåten behandling

Vilka personuppgifter får behandlas?

Bedömning: Utöver det slags personuppgifter för vilka data- skyddsdirektivet uppställer särskilda krav – känsliga person- uppgifter, uppgifter om lagöverträdelser m.m. och personnum- mer eller samordningsnummer – bör det inte införas några reg- ler om vilka personuppgifter som får eller inte får behandlas. Det grundläggande kravet på att inte fler personuppgifter än vad som är nödvändigt för ändamålet med behandlingen tillsammans med de övriga grundläggande kraven i 9 § PuL sätter gränsen för vilka personuppgifter som får behandlas.

Från integritetssynpunkt är det väsentligt att inte andra person- uppgifter behandlas hos en myndighet än vad som är befogat ut- ifrån myndighetens verksamhetsbehov. Dessa behov varierar i samma grad som det finns skillnader i myndigheternas verksamheter, dvs. i hög grad. Vi har emellertid ställt oss frågan om det finns skäl att – utöver det slags personuppgifter för vilka dataskyddsdirektivet uppställer särskilda krav, känsliga personuppgifter och uppgifter om lagöverträdelser m.m. – införa generella regler om vilket slags per- sonuppgifter som myndigheter ska få behandla.

De grundläggande kraven enligt 9 § PuL innebär att insamling av uppgifter bara får ske för särskilda, uttryckliga och berättigade ändamål. De grundläggande kraven innebär vidare att personupp- gifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella. Hänvisningen till 9 § PuL innebär att de kraven kommer att gälla även vid behandling enligt den nya lagen. Att behandla ovidkommande eller onödigt många personuppgifter sett till de bestämda ändamålen är därmed olagligt. Dessa grundlägg- ande krav innebär en såväl kvantitativ som kvalitativ begränsning i fråga om vilka personuppgifter som alls får behandlas inom en myndighet. Kan t.ex. en arbetsuppgift utföras tillfredsställande även med utlämnande av personuppgifter, t.ex. uppgifter om registre- rades namn, är de grundläggande kraven i 9 § första stycket e och f inte uppfyllda, namnet behövs nämligen inte.

285

Tillåten behandling

SOU 2015:39

Prövningen av om en personuppgift är nödvändig för en viss behandling eller inte måste enligt vår mening göras kontinuerligt av myndigheterna och inte bara då uppgiften registreras eller på annat sätt samlas in i verksamheten. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den hanteringen. Det sagda innebär t.ex. att även om uppgiften om den registrerades namn med nödvändighet måste behandlas i handläggningen av ett ärende där den registrerade är part, så kanske namnuppgiften inte behövs vid en senare behandling t.ex. för att göra verksamhets- uppföljningar, i undervisningssammanhang eller för att informera allmänheten om principiellt viktiga avgöranden exempelvis genom att publicera dem på myndighetens webbplats. Det måste alltså vid sådan senare behandling alltid prövas om det går att utelämna per- sonuppgifterna eller, i vart fall, att endast använda uppgifter som indirekt går att härleda till enskild person.

Enligt vår mening följer det av kraven enligt 9 § första stycket e, om adekvans och relevans i förhållande till ändamålen med behand- lingen, samt f, om uppgiftsminimering, att myndigheter i så stor utsträckning som är möjligt använder personuppgifter som endast indirekt är hänförliga till den registrerade. Vi menar att detta också är förenligt med en rättssäker, effektiv och smidig förvaltning. I många sammanhang då sammanställd data tas fram för utförandet av en viss arbetsuppgift kan t.ex. olika former av kodning vara ett lämpligt sätt att skydda enskildas integritet.

I sammanhanget bör vidare erinras om att för det fall fullständig avidentifiering från verksamhetssynpunkt är ett fullgott alternativ till att använda direkta eller indirekta personuppgifter, är de lagliga förutsättningarna för att alls behandla personuppgifter utan den registrerades samtycke inte uppfyllda. Behandlingen behövs helt enkelt inte.

Som vi ser det innebär de grundläggande kraven enligt 9 § PuL en tillräcklig avgränsning i fråga om vilka slags personuppgifter myndigheter ska få behandla. Vi ser därmed inget behov av att in- föra några ytterligare regler om detta i den nya lagen.

286

SOU 2015:39

Tillåten behandling

En allmän och heltäckande rättslig grund för myndigheternas behandling av personuppgifter

Förslag: Bestämmelserna i 10 § a–f PuL om när behandling av personuppgifter är tillåten oberoende av samtycke ska inte tillämpas när myndigheter behandlar personuppgifter enligt den nya lagen. I stället införs en bestämmelse i lagen som innebär att en myndighet får behandla personuppgifter om det är nödvän- digt för att myndigheten ska kunna utföra sin verksamhet.

Det är ett starkt allmänt intresse att myndigheterna ska kunna bedriva sina olika slags verksamheter på ett ändamålsenligt sätt, även om det innefattar elektronisk behandling av personuppgifter. Informationsteknikens genomslag på alla nivåer och i alla samman- hang medför att myndigheter i praktiken inte kan välja att behandla personuppgifter manuellt, i vart fall inte på ett sätt som inte om- fattas av personuppgiftslagens regler. Det allmänna intresset av att myndigheternas verksamhet bedrivs effektivt och ändamålsenligt tillsammans med karaktären på myndigheternas verksamhet med- för vidare att personuppgiftsbehandlingen knappast kan bygga på att registrerade lämnar sitt samtycke till behandlingen.

Artikel 7 i dataskyddsdirektivet innebär att medlemsstaterna ska föreskriva att personuppgifter får behandlas utan samtycke bara i de fall som anges i artikeln. Bestämmelsen i artikel 7 har i princip ordagrant implementerats genom 10 § PuL om när personuppgifts- behandling är tillåten. Det står klart att artikel 7 i dataskyddsdirek- tivet på ett eller annat sätt måste genomföras även i den lag med en samlad reglering av myndigheters personuppgiftsbehandling som vi föreslår. Frågan är om detta, såsom beträffande 9 § PuL, bör ske genom en hänvisning till 10 § eller om det bör ske genom införan- det av en reglering som ersätter den paragrafen, dvs. genom den metod som kan sägas vara den normala beträffande registerförfatt- ningar.

De allmänt hållna bestämmelserna i 10 § PuL riktar sig till alla personuppgiftsansvariga oavsett om de är enskilda eller myndig- heter och är bl.a. av den anledningen inte helt enkla att tillämpa på myndighetsområdet. Vi menar att en särskild bestämmelse med motsvarande innebörd i den generella lagen kan antas på ett bättre sätt tydliggöra och förenkla vad som ska gälla i fråga om när myn-

287

Tillåten behandling

SOU 2015:39

digheter får behandla personuppgifter. När det gäller utformningen av en sådan bestämmelse beaktar vi följande.

Varken en statlig eller kommunal myndighet kan på eget ini- tiativ ta på sig nya uppgifter. Utgångspunkten är således att frågan om vilken personuppgiftsbehandling som behöver ske inom en viss myndighet styrs av vad myndigheten ålagts i form av uppgifter. Myndigheters verksamhet består emellertid inte enbart av aktivi- teter som direkt går att identifiera såsom utförande av rättsliga skyldigheter, myndighetsutövning eller andra uppgifter och befogen- heter som klart framgår av författning, regleringsbrev eller särskilda beslut. Varje myndighet har också ett ansvar för att planera, följa upp och kontrollera den egna verksamheten. En aktiv verksamhets- utveckling och kvalitetssäkring är vidare av mycket stor betydelse inom den offentliga sektorn och något som förväntas av alla myndigheter. Även i sådan verksamhet uppstår emellertid behov av att behandla personuppgifter. Ofta handlar det om analyser eller statistiska bearbetningar av uppgifter som redan har samlats in i myndighetens löpande verksamhet, men det kan också handla om insamling av uppgifter t.ex. genom enkäter m.m. Här kan också nämnas myndigheternas serviceverksamhet, kommunala medborgar- dialoger m.m. som bl.a. kan innebära aktiviteter som innefattar personuppgiftsbehandling. Nu nämnda exempel på aktiviteter är i normalfallet inte reglerade beträffande vad som ska utföras och hur det ska ske på samma sätt som är fallet beträffande myndigheternas ordinarie verksamheter. Det innebär dock inte att de sker i ett rättsligt vakuum. Den yttre ramen är givetvis det samband som alltid måste finnas med myndighetens grundläggande uppgifter och be- fogenheter.

Vissa myndigheter har utöver sina reglerade uppgifter också getts befogenheter att bedriva uppdragsverksamhet som kan inne- fatta försäljning av varor eller tjänster m.m. Detta framgår ofta av myndighetens instruktion, såsom är fallet t.ex. beträffande Statens fastighetsverk, E-hälsomyndigheten eller Skogsstyrelsen. Ett annat exempel är Lantmäteriet som har ålagts att försörja samhället med grundläggande information och därutöver getts befogenheter att bedriva uppdragsverksamhet i form av försäljning av olika tjänster. Forskningsverksamhet är en verksamhet som Folkhälsomyndigheten har getts befogenhet att bedriva medan det för andra myndigheter är ett åliggande, t.ex. för universitet och högskolor eller Brotts-

288

SOU 2015:39

Tillåten behandling

förebyggande rådet. Verksamhet av nu angivet slag kan regelmässigt också antas förutsätta att behandling av personuppgifter sker.

Till det sagda kommer reglering som direkt eller indirekt ålägger myndigheterna skyldigheter att registrera eller dokumentera infor- mation vari det med nödvändighet kan ingå personuppgifter, t.ex. generella bestämmelser såsom 5 kap. OSL om registrering av all- männa handlingar eller mer specifik reglering för olika myndigheter att utföra t.ex. viss dokumentering m.m. Alla myndigheter har vidare skyldigheter att tillhandahålla och bevara allmänna hand- lingar vilket som regel inbegriper behandling av personuppgifter.

Myndigheters verksamhet är således inte egeninitierad utan styrd både när det handlar om ålagda uppgifter och givna befogenheter. Vi föreslår mot den bakgrunden en bestämmelse som anger att en myndighet får behandla personuppgifter när det är nödvändigt för att myndigheten ska kunna utföra sin verksamhet. Härmed avses sådan verksamhet som en myndighet enligt det ovan sagda ska eller får bedriva. En sådan generell rättslig grund för myndigheters personuppgiftsbehandling är ägnad att i hög grad förenkla för myndigheterna när de ska bedöma om en viss personuppgifts- behandling är tillåten eller inte samtidigt som den tydliggör för all- mänheten vilken rätt myndigheterna har att behandla personupp- gifter oberoende av de registrerades samtycke.

Enligt vår bedömning kan det inte råda någon tvekan om att en generell regel av angivet slag är förenlig med dataskyddsdirektivet. Som har framgått ovan råder det knappast något tvivel om att myndigheters verksamhet ryms under de olika punkterna i artikel 7 och den föreslagna bestämmelsen kan inte sägas innebära någon utvidgning i sak av vad som följer av den artikeln. Vad det är fråga om är behandling av personuppgifter som är nödvändig för att en arbetsuppgift av allmänt intresse eller som ett led i myndighets- utövning ska kunna utföras (artikel 7 e, jfr 10 § d och e PuL). För- utom att myndighetsverksamhet som ska eller får bedrivas är av allmänt intresse, sker informationshanteringen i verksamheten ofta som en följd av en rättslig förpliktelse (artikel 7 c, jfr 10 § b PuL). Den av oss föreslagna bestämmelsen kommer alltså sakligt sett inte att innebära någon förändring gentemot vad som skulle följa av en tillämpning av 10 § PuL.

För att en personuppgiftsbehandling ska vara tillåten räcker det emellertid inte med att myndigheten är ålagd eller har befogenhet

289

Tillåten behandling

SOU 2015:39

att utföra en viss verksamhet. Enligt artikel 7 i direktivet krävs också att det är nödvändigt att behandla personuppgifterna.

Vi har övervägt om nödvändighetsbegreppet, på motsvarande sätt som gjorts i flera informationshanteringsförfattningar, kunde ersättas av uttryckssättet att personuppgiftsbehandlingen ska behövas. På så sätt skulle obalansen i förhållande till begreppsanvändningen i offentlighets- och sekretesslagen kunna elimineras. I sekretesslag- stiftningen används nämligen rekvisitet nödvändigt med en avsevärt mera snäv innebörd än vad som åsyftas med samma rekvisit i dataskyddsdirektivet. Enligt exempelvis 10 kap. 2 § OSL om nöd- vändigt utlämnande används rekvisitet nödvändigt för att tillämp- ningen av den sekretessbrytande bestämmelsen ska vara restriktiv och för att markera att det inte ska finnas utrymme för att tillämpa bestämmelsen för att motverka nedsatt effektivitet i myndighetens verksamhet. Men dataskyddsdirektivets och personuppgiftslagens nödvändighetsbegrepp är alltså avsevärt mera tillåtande. Det vore en god sak om man genom ett annat ordval kunde markera betydelseskillnaden mellan sekretesslagstiftningen och dataskydds- regleringen. Ordet nödvändig – ”necessary” i den engelska versionen – används emellertid i direktivet som ett självständigt unionsrättsligt begrepp (EU-domstolens dom den 16 december 2008 i mål C- 524/06, Huber). Mot den bakgrunden anser vi inte att det finns utrymme att ersätta ordet nödvändig med ordet behövs eller något annat uttryck eftersom detta skulle riskera att leda till en tolkning som vore oförenlig med unionsrätten. Vi föreslår därför att begrep- pet nödvändig ska användas även i den nya lagen.

Med nödvändighetsrekvisitet avses detsamma som i 10 § PuL. Den närmare innebörden är således inte entydig. Som har framgått har det antagits att om en arbetsuppgift kan utföras nästan lika enkelt eller billigt med utelämnande av personuppgifter eller med personuppgifter som har avidentifierats, är rekvisitet inte uppfyllt (SOU 1997:39 s. 359). Viss vägledning ges vidare av EU-dom- stolens ovan nämnda dom i målet Huber. Till bilden hör vidare att det inte är helt oproblematiskt att särskilja frågorna om dels vilken behandling som är nödvändig för en verksamhet av visst slag, dels huruvida det grundläggande kravet att inte använda fler person- uppgifter än vad som är nödvändigt för ändamålet med behand- lingen är uppfyllt (9 § f PuL). Det är emellertid en svårighet som redan gäller vid en tillämpning av personuppgiftslagen och som

290

SOU 2015:39

Tillåten behandling

tycks vara inbyggd i dataskyddsdirektivet. Detta exemplifieras av Huber-domen där det t.ex. inte ansågs nödvändigt enligt artikel 7 e att behandla personuppgifter för statistikändamål. Den prövningen kan tyckas ligga nära det slags prövning som måste göras enligt principen om uppgiftsminimering enligt de grundläggande kraven. Frågeställningen om avgränsningen – eller rättare överlappningen – mellan nödvändighetskravet enligt den rättsliga grunden för myndig- heters behandling som föreslås tas in i den nya lagen och de grund- läggande kraven enligt 9 § PuL är alltså en generell företeelse som måste hanteras i rättstillämpningen. Det är också en överlappning som tycks leva vidare vid införandet av en kommande uppgifts- skyddsförordning. Enligt kommissionens förslag ska dels gälla som en princip om behandling av personuppgifter att ”personuppgifter bara ska behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör personupp- gifter” (artikel 5 c), dels gälla att behandlingen, om den sker utan samtycke, ska vara nödvändig för vissa situationer (artikel 6.1 b–c).

Betydelsen av den registrerades inställning

Förslag: Det ska anges i den nya lagen att behandling av per- sonuppgifter som är tillåten enligt lagen eller föreskrifter som meddelats i anslutning till lagen får utföras även om den en- skilde motsätter sig behandlingen.

Vi föreslår alltså en grundläggande regel om att personuppgifter får

– utan den registrerades samtycke – behandlas av en myndighet när det är nödvändigt för att myndigheten ska kunna utföra verksam- het som myndigheten ska eller får bedriva. Bestämmelsen ersätter 10 § PuL och är, som vi framhållit ovan, enligt vår mening förenlig med vad som sammantaget följer av artikel 7 b–f dataskyddsdirek- tivet.

I dataskyddsdirektivet tillmäts emellertid den enskilde registre- rades inställning till personuppgiftsbehandling som regel en central och avgörande betydelse. Direktivet innehåller bestämmelser som berör frågor om verkan av att den enskilde registrerade dels sam- tycker till, dels motsätter sig en personuppgiftsbehandling. Genom artikel 7 åläggs medlemsstaterna att föreskriva att personuppgifter

291

Tillåten behandling

SOU 2015:39

får behandlas endast om den registrerade otvetydigt har lämnat sitt samtycke eller någon av de grunder för behandling utan samtycke som anges i b–f om nödvändig behandling är uppfyllda. Samtycke definieras i artikel 2 h som varje slag av frivillig, särskild och infor- merad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom. Enligt artikel 14 a i data- skyddsdirektivet ska den registrerade tillförsäkras rätten att – i vart fall då personuppgifter får behandlas utan samtycke därför att en arbetsuppgift av allmänt intresse skall kunna utföras eller i samband med myndighetsutövning eller efter en intresseavvägning (artikel 7 e och f, jfr 10 § d–f PuL) – ”när som helst av avgörande och be- rättigade skäl som rör hans personliga situation motsätta sig be- handling av uppgifter som rör honom, utom när den nationella lag- stiftningen föreskriver något annat” När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter.

Sverige har utnyttjat den möjlighet till undantag i den nationella lagstiftningen som ges i artikel 14 a. Enligt personuppgiftslagen har den registrerade bara getts en uttrycklig rätt att motsätta sig be- handling för direkt marknadsföring, 11 § PuL, samt en rätt enligt 12 § PuL att återkalla ett lämnat samtycke då behandling av per- sonuppgifter bara är tillåten med ett sådant samtycke enligt vissa angivna paragrafer. I övrigt kan den registrerade inte med rättslig verkan motsätta sig sådan behandling som är tillåten enligt 10 § personuppgiftslagen.

I särlagar i förhållande till personuppgiftslagen, främst informa- tionshanteringsförfattningar, förekommer ibland bestämmelser som klargör att den registrerade inte med rättslig verkan kan motsätta sig den behandling av personuppgifter som är tillåten enligt lagen i fråga. Bestämmelserna har tillkommit mot bakgrund av att Lag- rådet i några tidiga lagstiftningsärenden rörande särlagar för myn- digheters behandling av personuppgifter förordade att bestämmel- ser skulle intas i lagarna som uttryckligen angav att den registrerade inte hade rätt att motsätta sig personuppgiftsbehandlingen enligt särlagarna, se t.ex. prop. 2000/01:33 s. 346 och lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet samt 114 kap. SFB rörande behandling av personuppgifter inom socialförsäkringens administration. Lagrådet, och senare även rege- ringen, har därvid åberopat ett behov av en uttrycklig reglering mot

292

SOU 2015:39

Tillåten behandling

bakgrund av vad artikel 14 a i dataskyddsdirektivet föreskriver om att den enskilde åtminstone i vissa fall skall garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning, se ovan.

Mera sällan förekommer reglering som klargör vad som gäller i fråga om huruvida den registrerades eventuella samtycke till en viss personuppgiftsbehandling i sig kan utgöra en legitim grund för be- handlingen.

I 2 kap. 3 § patientdatalagen föreskrivs att behandling som inte är tillåten enligt lagen ändå får ske, med vissa undantag enligt an- givna paragrafer i lagen, om den enskilde lämnat uttryckligt samtycke till behandlingen. Vidare föreskrivs att regeringen får med- dela föreskrifter om att en behandling som inte är tillåten enligt lagen inte heller i andra fall får utföras trots att den enskilde uttryckligen samtyckt till behandlingen. I motiven till bestämmel- sen anfördes bl.a. att paragrafen kan sägas ge uttryck för att en enskilds uttryckliga samtycke till en viss behandling av personupp- gifter rörande honom eller henne normalt ska respekteras (prop. 2007/08:126 s. 227).

Av 7 § studiestödsdatalagen framgår att den enskilde kan sam- tycka till behandling för andra ändamål än de i lagen angivna ändamålen för behandling som är tillåten oavsett om den regi- strerade motsätter sig den. I motiven till bestämmelsen anfördes bl.a. att Centrala studiestödsnämnden redan erbjuder service av visst slag åt studiestödsberättigade. I den serviceverksamheten kan det finnas behov av att behandla registrerades personuppgifter för andra ändamål än dem som anges i studiestödsdatalagen. En förut- sättning för den erbjudna servicen är att de registrerade samtycker till att deras personuppgifter behandlas för serviceändamålet. Enligt regeringen fanns det inget beaktansvärt integritetsskyddsintresse som talade mot att sådan behandling skulle få ske med stöd av den registrerades samtycke. Mot den bakgrunden fann regeringen vidare att det inte var nödvändigt med bestämmelser som förbjuder eller gör det möjligt att förbjuda behandling i studiestödsverksamheten som sker med den registrerades samtycke (prop. 2008/09:96 s. 47 f.).

När det gäller sådana informationshanteringsförfattningar som gäller i stället för personuppgiftslagen men där det hänvisas till be- stämmelser i personuppgiftslagen som ska vara tillämpliga före-

293

Tillåten behandling

SOU 2015:39

kommer i gällande rätt ingen hänvisning till 10 § PuL, vare sig till samtyckesgrunden eller till grunderna för behandling utan sam- tycke. Inte heller brukar hänvisas till 15 § enligt vilken förbudet mot behandling av känsliga personuppgifter inte gäller om den regi- strerade uttryckligen samtyckt till behandlingen. Däremot hänvisas inte sällan till 34 § PuL enligt vilka den registrerades samtycke utgör laglig grund för överföring av personuppgifter till tredjeland. Ett exempel på det sagda är lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Såsom denna lag konstru- erats torde det emellertid inte finnas något utrymme för Skatte- verket att behandla personuppgifter med stöd av den enskildes sam- tycke om inte behandlingen ryms inom de ramar som ges i ända- målsregleringen i 1 kap. 4 och 5 §§.

Ska den registrerade kunna motsätta sig behandling?

Som vi redan har konstaterat kan myndigheternas informations- hantering knappast göras beroende av att den registrerade sam- tycker till behandlingen. Inte heller bör den registrerade kunna motsätta sig behandlingen. Liksom i dag bör således gälla att den enskildes inte med stöd av dataskyddsregleringen ska kunna hindra en personuppgiftsbehandling som sker lagligen. Mot den bakgrun- den bör det införas en bestämmelse som klargör att den registre- rade inte kan motsätta sig en sådan behandling av personuppgifter som är tillåten enligt lagen. Utan en uttrycklig bestämmelse om detta är det nämligen tveksamt om regleringen kan anses utgöra en sådan nationell lagstiftning som krävs enligt artikel 14 a i data- skyddsdirektivet för att göra undantag från kravet på att enskilda ska garanteras en rätt att motsätta sig behandling som sker för att bl.a. utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Av lagtekniska skäl bör detta framgå i en egen bestämmelse i den nya lagen snarare än genom en hänvisning till 12 § PuL.

294

SOU 2015:39

Tillåten behandling

Samtycke som rättslig grund för behandling?

Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl dataskyddsdirektivet som personuppgiftslagen. En av- görande skillnad mellan samtycke och de övriga rättsliga grunderna för behandling är att det vid samtycke inte finns något nödvän- dighetsrekvisit. Vi har ställt oss frågan i vilken mån det kan finnas anledning att i den nya lagen föreskriva samtycke som rättslig grund för viss behandling. Om samtycke skulle vara en rättslig grund för myndigheters personuppgiftsbehandling skulle en myndighet inte behöva ta ställning till om personuppgiftsbehandlingen är nödvän- dig för att myndigheten ska kunna utföra sin verksamhet.

Man kan anta att det kommer att uppkomma situationer i myndigheternas verksamheter där det antingen anses etiskt lämp- ligt att inhämta den enskildes samtycke eller där detta behövs för att undanröja tveksamheter om behandlingen i fråga verkligen är nödvändig för att myndigheten ska kunna utföra sin verksamhet. Rena servicefunktioner kan vara exempel på detta. Många myndig- heter är aktiva när det gäller att skapa och tillhandahålla elektronisk service för medborgarna, t.ex. e-tjänster eller andra serviceåtagan- den som kan inbegripa personuppgiftsbehandling. Detsamma kan gälla för verksamhetsutveckling genom egeninitierad försöksverk- samhet, bemötandeprojekt eller liknande som t.ex. kan inbegripa enkätundersökningar eller intervjuer och som myndigheterna visser- ligen utför inom ramen för sina verksamheter men som man inte är direkt ålagda att utföra. I den mån det är fråga om frivilligt del- tagande kommer detta givetvis rent faktiskt bara att kunna äga rum med den registrerades samtycke. Huruvida samtycket också ska utgöra den rättsliga grunden för personuppgiftsbehandlingen är en helt annan sak.

Vi menar att det är av avgörande betydelse för förtroendet för myndigheternas verksamhet att utgångspunkten bör vara att myn- digheterna dels bara behandlar personuppgifter när det är nödvän- digt i dataskyddsrättslig mening, dels inte ägnar sig åt verksamhet som ligger utanför vad myndigheterna alls får göra. För det fall den registrerades otvetydiga samtycke skulle utgöra en rättslig grund för myndigheters behandling av personuppgifter skulle det ge en myndighet ett indirekt stöd för att samla in personuppgifter och bedriva verksamhet som det inte är meningen att myndigheten ska

295

Tillåten behandling

SOU 2015:39

ägna sig åt, vilket knappast är önskvärt. Det är en helt annan sak att myndigheterna inom ramen för sina respektive uppdrag har stor frihet att själva bestämma vad som ska göras och hur det ska ske när det t.ex. gäller sådana frågor som service, verksamhetsplanering och utveckling m.m.

Den generella rättsliga grunden som vi föreslagit ovan – att sådan behandling är tillåten som är nödvändig för att myndigheten ska kunna utföra sin verksamhet – hindrar inte att personuppgifter behandlas i samband med t.ex. e-tjänster, bemötandeprojekt eller vid myndigheters verksamhet i sociala medier. Däremot måste myn- digheten, som vid alla andra aktiviteter, alltså ställa sig frågan om e- tjänsten, projektet osv. är en verksamhet som myndigheten får ägna sig åt. Dessutom måste den frågan ställas om personuppgifts- behandlingen verkligen är nödvändig för aktiviteten i fråga. En ordning som innebär att myndigheterna skulle kunna behandla per- sonuppgifter utan att det rent faktiskt är påkallat för bedrivandet av myndighetens verksamhet vore enligt vår mening från principiella synpunkter klart betänklig.

Det finns vidare skäl att betona att man måste skilja på frågan om rättslig grund för behandlingen av personuppgifter och på hur uppgifter rent faktiskt kan eller får samlas in. Även om en viss personuppgiftsbehandling i och för sig är tillåten innebär det inte att uppgifter får samlas in med tvång. Insamlandet kan förutsätta den registrerades frivilliga medverkan och eget uppgiftslämnande eller att myndigheten har givits rätt att inhämta uppgifterna från annan myndighet eller enskild, t.ex. en arbetsgivare. Frågor som t.ex. uppgiftsskyldighet för enskilda ska regleras i anslutning till regleringen av respektive sakverksamhet och har inget samband med samtycke som rättslig grund för personuppgiftsbehandling. Såvitt avser t.ex. e-tjänster innebär detta att tvångsanslutning förut- sätter författningsstöd i något slags verksamhetsreglering.

Mot bakgrund av det sagda menar vi att den registrerades sam- tycke inte bör vara en självständig rättslig grund för myndigheters behandling av personuppgifter enligt den nya lagen. Vi föreslår alltså ingen sådan regel. Det innebär principiellt sett en förändring i förhållande till gällande rätt, i vart fall såvitt avser den behandling som inte är särreglerad i registerförfattningar utan som stöder sig på personuppgiftslagen. Det praktiska behovet av samtycke som enda rättsliga grund för myndigheters personuppgiftsbehandling torde

296

SOU 2015:39

Tillåten behandling

emellertid vara obetydligt, varför vi inte ser att detta kommer att leda till några olägenheter.

Det kan tyckas som om dataskyddsdirektivet ovillkorligen kräver att även artikel 7 a om samtycke måste genomföras i all lagstiftning rörande personuppgiftsbehandling som omfattas av direktivets tillämpningsområde. Direktivet är emellertid i allt väsentligt inrik- tat på att skapa en dataskyddsreglering som åstadkommer ett har- moniserat integritetsskydd inom unionen vad gäller enskilda aktö- rers behandling av personuppgifter för att på så sätt möjliggöra ett fritt utbyte av personuppgifter över nationsgränserna. Visserligen omfattas även myndigheter av direktivet. Vi kan dock inte se det som stridande mot direktivet att beträffande den offentliga sektorn avstå från att föreskriva samtycke som rättslig grund. Det kan knappast sägas att Sverige därmed avviker från direktivet genom att skapa ett bättre eller sämre integritetsskydd än vad direktivet inne- bär. Inte heller kan det förhållandet att samtycke inte ska vara rättslig grund för myndigheters personuppgiftsbehandling rimligen verka hindrande för det fria flödet av personuppgifter mellan med- lemsstaterna.

9.3Tillåten behandling av särskilda kategorier av personuppgifter

9.3.1Känsliga personuppgifter

Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Enligt artikel 8.1 i dataskyddsdirektivet ska medlemsstaterna för- bjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

I artikel 8.2 föreskrivs undantag från förbudet att behandla de uppgifter som avses i 8.1. Dessa rör om

a)den registrerade lämnat sitt uttryckliga samtycke till sådan be- handling, utom i de fall medlemsstatens lagstiftning säger att samtycke inte kan upphäva förbudet i punkt 1,

297

Tillåten behandling

SOU 2015:39

b)behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbets- rätten, i den omfattning detta är tillåtet enligt en nationell lag- stiftning som föreskriver lämpliga skyddsåtgärder, eller

c)behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller

d)behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbun- den kontakt med detta och uppgifterna inte lämnats ut till tredje man utan den registrerades samtycke, eller

e)behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.

Vidare sägs i artikel 8.3 att punkt 1 inte gäller när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller admini- stration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårds- området och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnads- plikt eller av en annan person är ålagd en liknande tystnadsplikt.

Enligt artikel 8.4 får medlemsstaterna antingen i sin nationella lagstiftning eller genom beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2. Som förutsättningar gäller att det finns lämpliga skyddsåtgärder och att det sker av hän- syn till ett viktigt allmänt intresse.

298

SOU 2015:39

Tillåten behandling

Personuppgiftslagen m.m.

Bestämmelserna i artikel 8.1–8.4 dataskyddsdirektivet har genom- förts i svensk rätt genom 13–20 §§ PuL. De uppgifter som avses i artikel 8.1 betecknas i personuppgiftslagen som känsliga personupp- gifter (13 § tredje stycket).

Direktivets bestämmelser har i sak oförändrade förts över till personuppgiftslagen. Det generella förbudet mot behandling av käns- liga personuppgifter finns i 13 §. I 14 § första stycket finns endast en upplysning om att det finns undantag från förbudet i 13 § i de fall som anges i 15–19 §§. I 15 § finns en bestämmelse som tillåter behandling vid samtycke och efter den registrerades tydliga offent- liggörande, i 16 § anges de fall av nödvändig behandling som avses i artikel 8.2 a–c, undantaget för ideella organisationer m.fl. finns i 17 § och för hälso- och sjukvård i 18 §.

I 19 § har den svenske lagstiftaren utnyttjat möjligheten enligt 8.4 i direktivet att i nationell lagstiftning medge undantag från för- budet att behandla känsliga personuppgifter med hänsyn till ett viktigt allmänt intresse. Genom bestämmelsen tillåts att sådana uppgifter, under vissa förutsättningar, får behandlas för forsknings- eller statistikändamål. I förarbetena anförde regeringen att forsk- ning och statistik är så viktiga områden att de borde regleras redan i den nya lagen (prop. 1997/98:44 s. 70).

Genom 20 § bemyndigas regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare undantag från för- budet i 13 §, om det behövs med hänsyn till ett viktigt allmänt intresse. Uttrycket viktigt allmänt intresse avses ha samma inne- börd som enligt artikel 8.4 i direktivet (prop. 1997/98:44 s. 129).

Om känsliga personuppgifter behandlas på så sätt att de inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är behandlingen tillåten enligt den s.k. missbruksregeln i 5 a § som innebär undantag från flera av lagens hanteringsregler. Det gäller under förutsättning att behand- lingen inte innebär en kränkning av den registrerades personliga integritet.

Bemyndigandet i 20 § har utnyttjats av regeringen genom att det i 8 § PuF har införts en bestämmelse som föreskriver att det, ut- över vad som följer av 5 a § och 15–19 §§ PuL, är tillåtet för myn-

299

Tillåten behandling

SOU 2015:39

digheter att behandla känsliga personuppgifter i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det.

Förslaget till uppgiftsskyddsförordning

Även i kommissionens förslag till uppgiftsskyddsförordning finns i artikel 9.1–9.3 särskilda bestämmelser om när behandling av käns- liga personuppgifter är tillåten. Bestämmelserna är utformade på grundval av motsvarande regler i dataskyddsdirektivet och avser samma typer av uppgifter, dock med tillägg för genetiska uppgifter. Också förordningen innehåller ett principiellt förbud mot behand- ling av sådana uppgifter. Nu gällande undantagsgrunder återfinns i förslaget. Därutöver har en ny grund tillkommit. Det rör undan- taget som tillåter behandling enligt artikel 9.2 i som rör personupp- gifter som är nödvändig för historiska, statistiska eller vetenskap- liga forskningsändamål med förbehåll för de villkor och skydds- åtgärder som avses i artikel 83.

I artikel 9.2 g finns förslag till ett undantag som motsvarar det som nu finns i artikel 8.4 i dataskyddsdirektivet och som är av särskilt intresse såvitt avser myndigheters verksamhet. Enligt för- slaget är behandling av känsliga personuppgifter tillåten om den är nödvändig för att genomföra en arbetsuppgift som utförs i allmän- hetens intresse, på grundval av unionslagstiftningen eller en medlemsstats lagstiftning som ska innehålla bestämmelser om lämpliga åtgärder för att säkerställa den registrerades berättigade intressen. Det krävs alltså inte längre att det ska vara fråga om ett viktigt allmänt intresse, utan det räcker med att det finns ett all- mänintresse för att undantag ska kunna göras. Vidare nämns inte längre uttryckligen att tillsynsmyndigheten får besluta om undantag.

I den svenska översättningen görs en kommatering som ger intryck av att det är fråga om en uppräkning, dvs. att behandling får ske dels om den är nödvändig för att genomföra en arbetsuppgift som utförs i allmänhetens intresse, dels på grundval av unions- lagstiftningen eller en medlemsstats lagstiftning. Den engelska ver- sionen ger emellertid intryck av att det ska vara fråga om en be- handling som utförs i allmänhetens intresse på grundval av antingen unionslagstiftningen eller en medlemsstats lagstiftning.

300

SOU 2015:39

Tillåten behandling

Enligt förslaget till artikel 9.3 ska kommissionen ha befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare pre- cisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av de särskilda kategorier av personuppgifter som avses i punkt 1 och de undantag som fastställs i punkt 2.

I Europaparlamentets resolution med ändringsförslag föreslås att det alltjämt ska krävas att det är frågan om ett ”viktigt” allmänt intresse för att ett undantag ska vara tillåtet. Parlamentet föreslår också tillägg i uppräkningen av vilka uppgifter som ska omfattas, bl.a. ifråga om uppgifter om sexuell läggning och biometriska upp- gifter.

Några kommentarer

Det kan konstateras att såväl dataskyddsdirektivet som förslaget till uppgiftsskyddsförordning medger att det införs lagstiftning som tillåter behandling av känsliga personuppgifter om det behövs med hänsyn till ett allmänt intresse. Enligt direktivet krävs vidare att det är fråga om ett viktigt allmänt intresse. I kommissionens förslag till uppgiftsskyddsförordning finns emellertid inte något krav på att allmänintresset ska vara viktigt.

Som ytterligare förutsättningar gäller enligt direktivet och för- slaget till förordning att en tillåtelse att behandla känsliga person- uppgifter ska förenas med lämpliga åtgärder för att skydda den registrerades berättigade intressen.

Det kan konstateras att uppgiftsskyddsförordningen, till skillnad från dataskyddsdirektivet, inte är lika tydlig med på vilket sätt en undantagssituation ska manifesteras. Enligt direktivet är det tydligt att ett undantag förutsätter att det beslutats om ett sådant genom antingen lagstiftning eller beslut av tillsynsmyndigheten. Av förord- ningen framgår inte lika tydligt vad det är som ska framgå av antingen unionslagstiftningen eller en medlemsstats lagstiftning, dvs. om det är undantaget eller om det är den arbetsuppgift av all- mänt intresse som kräver behandling av känsliga personuppgifter för sitt fullgörande som kan motivera ett undantag.

301

Tillåten behandling

SOU 2015:39

Våra överväganden och förslag

Förslag: Utöver vad som följer av 15, 16, 18 och 19 §§ PuL – vilka paragrafer den nya lagen ska hänvisa till som tillämpliga på motsvarande sätt vid personuppgiftsbehandling enligt lagen – tillåts myndigheter att behandla känsliga personuppgifter om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggning av det. I annan verksamhet får känsliga personuppgifter behandlas endast i löpande text.

Regeringen eller den myndighet som regeringen bestämmer bemyndigas att medge ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Nuvarande författningsstöd för myndigheters behandling av känsliga personuppgifter

Enligt dataskyddsdirektivet gäller alltså speciella regler för särskilda kategorier av uppgifter. En sådan kategori är det slag av uppgifter som i personuppgiftslagen betecknas som känsliga personuppgifter. Enligt direktivet är det som huvudregel förbjudet att behandla så- dana uppgifter. Ett sådant förbud har därför införts genom 13 § PuL.

Som framgått är det emellertid tillåtet att behandla känsliga per- sonuppgifter om den registrerade har lämnat sitt samtycke till be- handlingen eller det är fråga om vissa särskilda situationer som räk- nas upp i artikel 8.2–8.3 i direktivet. Motsvarande undantag har införts i 15–19 §§ PuL. Det kan konstateras att dessa särskilda undantagsfall inte på långa vägar ger möjlighet för myndigheter att behandla känsliga personuppgifter i alla de situationer då en sådan behandling kan vara nödvändig. Myndigheters möjlighet att be- handla personuppgifter kan inte heller göras beroende av att den enskilde ger sitt samtycke till behandlingen. Det finns därför ett behov av att på myndighetsområdet ge möjlighet att, oavsett av om det finns samtycke från enskilde, behandla känsliga personupp- gifter även i andra fall än de som särskilt räknas upp i dataskydds- direktivet.

Enligt artikel 8.4 i direktivet finns det möjlighet att medge ytter- ligare undantag från förbudet att behandla känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse. I en mängd registerlagar

302

SOU 2015:39

Tillåten behandling

medges med stöd av undantaget i direktivet och 2 § PuL behandling av känsliga personuppgifter på aktuella myndighetsområden. Genom 20 § PuL bemyndigas regeringen eller den myndighet som rege- ringen bestämmer att meddela föreskrifter om sådana undantag. Generellt tillämpliga bestämmelser har också meddelats på förord- ningsnivå med stöd av det bemyndigandet. Enligt 8 § PuF tillåts myndigheter att – utöver vad som följer av 5 a och 15–19 §§ PuL – behandla känsliga personuppgifter i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Som framgått har det med stöd av direktivets möjlighet till undantag även införts bestämmelser i 19 § PuL som tillåter behand- ling av känsliga personuppgifter för forsknings- eller statistikända- mål. Dessa bestämmelser gäller för både myndigheter och enskilda.

För en myndighet som behandlar personuppgifter enbart med stöd av personuppgiftslagen och det inte är fråga om en sådan be- handling som avses i 15–19 §§ PuL eller 8 § PuF, kan således 5 a § PuL ge ett visst ytterligare utrymme för att behandla känsliga personuppgifter. Av förarbetena till bestämmelsen framgår emeller- tid att syftet med denna undantagsbestämmelse knappast var att underlätta myndigheters behandling av personuppgifter. Det följer emellertid uttryckligen av utformningen av 8 § PuF att stadgandet i 5 a § PuL är tillämpligt även för myndigheterna (se vidare över- vägandena i avsnitt 8.3.2 om behovet av en regel motsvarande 5 a § PuL på myndighetsområdet).

Det finns behov av ett generellt undantag som i tillräcklig utsträckning tillåter myndigheter att behandla känsliga personuppgifter

Mot bakgrund av betydelsen av en väl fungerande förvaltning är det enligt vår uppfattning ett viktig allmänt intresse att myndigheter kan behandla de känsliga personuppgifter som förekommer i deras verksamhet, oavsett hur uppgifterna har hamnat där, och att myn- digheterna kan behandla dem på samma sätt som de i övrigt be- handlar personuppgifter. Samtidigt indikerar direktivets krav på att det ska vara frågan om ett viktigt allmänt intresse att en tillåtande bestämmelse ska ges en restriktiv utformning och ha som utgångs- punkt att kravet på nödvändighet för att det ska vara tillåtet att behandla känsliga personuppgifter bör vara större än vad som gäller i fråga om personuppgifter som inte är känsliga.

303

Tillåten behandling

SOU 2015:39

En bestämmelse som generellt medger att myndigheter får be- handla känsliga personuppgifter bör därför ges en sådan utform- ning att den motsvarar ett minsta möjliga gemensamma behov hos myndigheterna av att behandla sådana personuppgifter.

Det kan konstateras att det i princip förekommer eller i vart fall kan förekomma känsliga personuppgifter i all myndighetsverksam- het. På en del verksamhetområden är behovet av att behandla käns- liga personuppgifter stort, exempelvis inom socialförsäkringen, hälso- och sjukvården och socialtjänsten. På andra områden är behovet betydligt mindre och någon insamling för egen del av känsliga per- sonuppgifter sker därför inte, eftersom det inte behövs för att hantera myndighetens ärenden. Parter i ärenden hos sådana myn- digheter kan emellertid själva uppge känsliga personuppgifter – exempelvis uppgifter om hälsa – i sina inlagor till myndigheten. Det ligger således i dessa fall delvis utanför myndighetens kontroll om känsliga personuppgifter förekommer i verksamheten eller inte. En myndighet bör i ett sådant fall inte vara hänvisad till att behandla dessa uppgifter på ett annat sätt än det som annars gäller beträff- ande myndighetens verksamhet, dvs. exempelvis genom att endast dokumentera eller bevara uppgifterna i pappersform. Det kan alltså konstateras att alla myndigheter har behov av att automatiserat kunna behandla även känsliga personuppgifter.

Dataskyddsdirektivet kräver att förbudet mot att behandla sådana uppgifter i princip även gäller på myndighetsområdet. Det prin- cipiella förbudet enligt 13 § PuL mot att behandla känsliga person- uppgifter måste således gälla även för myndigheter. En hänvisning till den bestämmelsen bör därför göras i den nya lagen. Det behövs emellertid ett generellt undantag som i erforderlig utsträckning medger sådan behandling utöver vad som följer av de särskilda undantagsfall som kan bli aktuella att tillämpa på myndighets- området (15, 16, 18 och 19 §§ PuL).

Det generella undantag för myndigheters behandling av känsliga personuppgifter som finns i 8 § PuF är begränsat på så sätt att det endast tar sikte på behandling i löpande text. Det tillåter vidare endast behandling av uppgifter som har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Det kan konstateras att bestämmelsen således inte tillåter den behandling av känsliga person- uppgifter som kan förekomma i en myndighets verksamhet som inte utgör ärendehandläggning, dvs. s.k. faktisk verksamhet. Det

304

SOU 2015:39

Tillåten behandling

kan exempelvis handla om rådgivning och annan service, uppfölj- ning eller olika former av samverkan utan ärendeanknytning mellan myndigheter eller i förhållande till enskilda.

Det behov som i övrigt kan finnas eller uppstå av att behandla känsliga personuppgifter inom olika myndigheter får antas ha häm- tat sitt stöd i undantagsbestämmelsen i 5 a § PuL, såvida inte någon tillämplig särreglering föreligger. Den bestämmelsen har emellertid inte införts i syfte att underlätta myndigheters behandling av personuppgifter. Det torde vidare i praktiken vara mycket svårt för en myndighet att avgöra om dess behandling av känsliga person- uppgifter riskerar att utgöra en kränkning av den registrerades per- sonliga integritet i den mening som avses i 5 a § PuL. Det kan därför varken med hänsyn till behovet av en fungerande verksam- het hos myndigheterna eller till den enskildes rätt till skydd för sina personuppgifter anses tillfredsställande att myndigheterna i sista hand måste förhålla sig till denna bestämmelse då det uppstår ett behov av att behandla känsliga personuppgifter som inte kan uppfyllas inom ramen för övriga bestämmelser. Vi anser därför att det finns ett tydligt behov av att i den nya lagen införa en bestäm- melse som generellt tillåter behandling av känsliga personuppgifter i större omfattning än vad det nuvarande generella undantaget i 8 § PuF innebär. En sådan generellt tillåtande bestämmelse kan också i väsentlig mån bidra till att minska behovet av att genom sär- reglering på olika myndighetsområden tillåta sådan behandling.

Den omständigheten att myndigheter automatiserat behandlar de känsliga personuppgifter som de behöver för att kunna utföra sina uppgifter kan i normalfallet inte i sig anses utgöra något sådant ingrepp i enskilds personliga förhållanden som avses i 8 kap. 2 § andra stycket 2 RF och som i så fall kräver stöd i lag. Utgångs- punkten är således att bestämmelser av detta slag i normalfallet ligger inom regeringens primärområde och därför kan meddelas i förordning. Genom en bestämmelse i den nya lagen som i viss begränsad utsträckning tillåter att myndigheter behandlar känsliga personuppgifter ges emellertid ett stöd i lag i den mån detta krävs enligt 8 kap. 2 § andra stycket 2 RF.

305

Tillåten behandling

SOU 2015:39

Känsliga personuppgifter i ärenden

Myndigheter bör generellt tillåtas att behandla känsliga person- uppgifter som har lämnats i ett ärende eller är nödvändiga för hand- läggningen av det. I de fall känsliga personuppgifter förekommer i en inlaga som har lämnats till myndigheten i ett ärende som den handlägger kan det knappast krävas att det är nödvändigt att myn- digheten behandlar uppgiften. Myndigheten saknar ju kontroll över vilka uppgifter som förekommer i inlagor som kommer in till den, men har samtidigt ett behov av att kunna hantera en inlaga även om myndigheten inte har något behov av att i ett senare skede be- handla de känsliga personuppgifter som kan finnas där. I den mån känsliga personuppgifter behöver behandlas av annat skäl, exempel- vis på grund av att myndigheten själv har samlat in uppgiften, bör det emellertid krävas att det är nödvändigt att den känsliga per- sonuppgiften behandlas i ärendet. Frågan om det är nödvändigt att behandla uppgiften får därmed avgöras med hänsyn till vilken typ av ärende det är frågan om.

Bestämmelsen i 8 § PuF som generellt tillåter myndigheter att behandla känsliga personuppgifter är begränsad på så sätt att den bara är tillämplig på ärendehandläggning. Den är också begränsad såtillvida att den bara tillåter behandling av sådana uppgifter i löpande text.

Det kan konstateras att myndigheters ärenden i dag vanligen hanteras inom ramen för ett elektroniskt ärendehanteringssystem, dvs. annorlunda uttryckt i en databas. Som exempel på databaser som bl.a. innehåller ärendehanteringssystem kan nämnas beskatt- ningsdatabasen och socialförsäkringsdatabasen. I den mån det i myndigheters ärendedokumentation finns känsliga personuppgifter behöver de alltså kunna behandlas i ärendehanteringssystemen inte bara om de förekommer i löpande text. En bestämmelse som generellt tillåter myndigheter att behandla känsliga personuppgifter bör således tillåta hantering av känsliga personuppgifter inom ramen för ett ärendehanteringssystem oavsett om de förekommer i löp- ande text eller inte. Myndigheters möjlighet att behandla känsliga personuppgifter vid handläggning av ärenden kan därför inte begrän- sas till löpande text.

Genom att personuppgifter samlas i ett system som innebär att de blir tillgängliga även utanför de enskilda ärendena kan det finnas

306

SOU 2015:39

Tillåten behandling

tekniska möjligheter att göra sammanställningar eller bearbeta infor- mationen på annat sätt. Den särskilda risk för skyddet av känsliga personuppgifter som kan anses uppstå genom att uppgifterna samlas på detta sätt och görs möjliga för bearbetning får motverkas bl.a. genom att det införs sökbegränsningar. Vi återkommer till den frågan i avsnitt 9.4.

Känsliga personuppgifter i annan verksamhet

Myndigheters verksamhet består inte endast av handläggning av ärenden. Även annan verksamhet förekommer, såsom exempelvis rådgivning och annan service, uppföljning och olika former av sam- verkansprojekt. Känsliga personuppgifter kan behöva behandlas också i sådan verksamhet. I vilken utsträckning sådan verksamhet förekommer hos myndigheterna går inte att beskriva på något enhet- ligt sätt. Det kan dock konstateras att s.k. faktisk verksamhet torde förekomma i någon mån hos alla myndigheter och kan t.o.m. vara den dominerande inom vissa myndighetsområden, exempelvis inom utbildningsväsendet. Enligt vår uppfattning har den generellt tillåtande bestämmelse som för myndigheternas del redan finns i 8 § PuF, därför en alltför begränsad utformning för att kunna uppfylla ett minsta möjliga behov av att behandla känsliga person- uppgifter på myndighetsområdet. Vi anser därför att en bestäm- melse som generellt tillåter myndigheter att behandla känsliga per- sonuppgifter också bör kunna tillämpas på annan verksamhet än ärendehandläggning. Den generellt tillåtande bestämmelsen bör i denna del emellertid vara begränsad till behandling av känsliga person- uppgifter i löpande text. Enligt vår uppfattning kan man däremot inte motivera att det med hänsyn till ett viktigt allmänt intresse finns ett behov hos alla myndigheter att i verksamhet som inte ut- gör handläggning av ärenden bygga upp datoriserade uppgiftssam- lingar, exempelvis i form av regelrätta register eller databaser, där känsliga personuppgifter får registreras i strukturerad form. I viss sådan myndighetsverksamhet kan det däremot finnas ett sådant behov. Detta förutsätter i så fall särskild reglering.

Med den utformning som nu föreslås för en bestämmelse som generellt tillåter myndigheter att behandla känsliga personuppgifter

307

Tillåten behandling

SOU 2015:39

torde det inte finnas något kvarstående behov av ett undantag mot- svarande 5 a § PuL för att sådan behandling ska vara möjlig.

Ytterligare behov av att behandla känsliga personuppgifter får regleras särskilt

I den mån det finns andra behov hos vissa myndigheter av att få behandla känsliga personuppgifter som inte kan uppfyllas inom ramen för den generella bestämmelse som nu föreslås, får det i så- dant fall ske genom särskilda bestämmelser. Det kan då ske genom särreglering som i större utsträckning än den generella lagen tillåter behandling av känsliga personuppgifter hos en viss myndighet eller inom ett visst verksamhetsområde.

I 20 § PuL ges regeringen eller den myndighet som regeringen bestämmer bemyndigande att meddela föreskrifter om ytterligare undantag, utöver 15–19 §§, från förbudet i 13 § mot att behandla känsliga personuppgifter om det behövs med hänsyn till ett viktigt allmänt intresse. Enligt vår uppfattning bör ett liknande bemyn- digande införas i den nya lagen. En myndighets behov av att be- handla känsliga personuppgifter som inte kan uppfyllas genom den generella bestämmelsen kan därmed regleras särskilt både på lag- och förordningsnivå eller i form av en myndighetsföreskrift.

Avslutningsvis kan noteras att det inte är självklart att ett sådant bemyndigande är förenligt med den föreslagna utformningen av artikel 9.2 g i uppgiftsskyddsförordningen. Enligt den föreslagna artikeln ska en behandling av känsliga personuppgifter vara tillåten på grundval av unionslagstiftningen eller en medlemsstats lagstift- ning. Till skillnad från artikel 8.4 i dataskyddsdirektivet föreslås så- ledes ingen uttrycklig hänvisning till att en medlemsstats tillsyns- myndighet kan besluta om undantag från förbudet att behandla känsliga personuppgifter med hänsyn till ett allmänt intresse. Som redan påpekats är det frågan om förordningen över huvud taget anbefaller att det ska beslutas om ett undantag. Texten kan också tolkas så att det är själva den arbetsuppgift av allmänt intresse som kan motivera ett undantag som ska framgå av lagstiftning inom antingen unionen eller medlemsstaten.

Kommissionens förslag till uppgiftsskyddsförordning innehåller inte heller, till skillnad från dataskyddsdirektivet, något krav på att ett undantag från förbudet att behandla känsliga personuppgifter

308

SOU 2015:39

Tillåten behandling

behövs med hänsyn till ett viktig allmänt intresse, utan det räcker med att det är frågan om ett allmänt intresse. EU-parlamentet har i sin resolution med ändringsförslag emellertid föreslagit att det allt- jämt ska finnas ett krav på att det frågan om ett viktigt allmänt intresse. I nuläget är det oklart vilket krav som kommer att ställas för att ett undantag ska vara tillåtet.

I avvaktan på att det bringas klarhet i nämnda frågor föreslår vi inte någon alternativ utformning av den aktuella bestämmelsen med hänsyn till en kommande uppgiftsskyddsförordning, utan ut- går från att lagen även på sikt kan innehålla såväl ett krav på att det ska vara frågan om ett viktigt allmänt intresse som ett bemyndig- ande i denna del.

9.3.2Personuppgifter om lagöverträdelser m.m.

Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Enligt artikel 8.5 i dataskyddsdirektivet får behandling av uppgifter om lagöverträdelser, brottsmålsdomar eller säkerhetsåtgärder utföras endast under kontroll av en myndighet eller – om lämpliga skydds- åtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullstän- digt register över brottmålsdomar får dock föras endast under kon- troll av en myndighet.

Medlemsstaterna får föreskriva att uppgifter som rör admini- strativa sanktioner eller avgöranden i tvistemål också ska behandlas under kontroll av en myndighet.

Personuppgiftslagen m.m.

Bestämmelserna i artikel 8.5 har genomförts i svensk rätt på så sätt att det genom 21 § första stycket PuL har införts ett förbud för andra än myndigheter att behandla personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

309

Tillåten behandling

SOU 2015:39

Enligt 21 § andra stycket PuL tillåts att andra än myndigheter behandlar sådana personuppgifter som avses i första stycket för forskningsändamål, om behandlingen har godkänts enligt lagen (2002:460)om etikprövning av forskning som avser människor. I tredje och fjärde stycket bemyndigas regeringen eller den myndig- het som regeringen bestämmer att meddela dels föreskrifter, dels beslut i enskilda fall om undantag från förbudet i första stycket. Datainspektionen har meddelat föreskrifter som medger enskilda att i vissa fall behandla personuppgifter om lagöverträdelser m.m. (DIFS 2010:1). Som exempel kan nämnas att behandling är nöd- vändig för att fullgöra en föreskrift på socialtjänstområdet, för att föra anteckningar i fristående skolors elevvårdande verksamhet och för att kontrollera jävssituationer i advokatverksamhet.

Förslaget till uppgiftsskyddsförordning

Enligt artikel 9.1 i Kommissionens förslag till uppgiftsskyddsförord- ning är det förbjudet att behandla personuppgifter om fällande domar i brottmål eller därmed sammanhängande säkerhetsåtgärder.

I 9.2 j anges att förbudet i punkt 1 inte ska gälla om behand- lingen utförs antingen under kontroll av en officiell myndighet eller behandlingen är nödvändig för att fullgöra en förpliktelse i lagstift- ning eller bestämmelser som den registeransvarige omfattas av, eller för att genomföra en arbetsuppgift som utförs för viktiga ändamål av allmänt intresse, i den mån som den bemyndigas av unionslag- stiftningen eller en medlemsstats lagstiftning som föreskriver lämp- liga skyddsåtgärder. Ett fullständigt register över brottmålsdomar ska föras endast under kontroll av en myndighet.

Av artikel 9.3 följer att kommissionen ska ha befogenhet att anta delegerade rättsakter i syfte att precisera kriterierna, villkoren och de lämpliga skyddsåtgärderna för behandlingen av även denna kategori av uppgifter och de undantag som fastställs i punkt 2.

I Europaparlamentets resolution med ändringsförslag föreslås att förbudet i artikel 9.1 också ska ta sikte på administrativa åtgär- der, domar, brott eller misstänkta brott. Det föreslår också att det i artikel 9.2 anges att alla register över brottmålsdomar ska föras endast under kontroll av en myndighet.

310

SOU 2015:39

Tillåten behandling

Våra överväganden

Bedömning: Det behövs ingen bestämmelse som generellt tillåter myndigheter att behandla personuppgifter om lagöverträdelser m.m. eftersom detta redan följer av dataskyddsdirektivets och personuppgiftslagens bestämmelser. Det finns inte heller något behov av att, utöver vad som redan följer av de grundläggande kraven i 9 § PuL, generellt begränsa myndigheters möjlighet att behandla denna kategori av personuppgifter.

Gällande rätt uppställer inget krav på särskilt författningsstöd för myndigheters behandling av personuppgifter om lagöverträdelser m.m.

Dataskyddsdirektivets förbud mot att behandla personuppgifter om lagöverträdelser m.m. och personuppgiftslagens motsvarande bestämmelse i 21 § riktar sig till andra än myndigheter.

För myndigheter gäller således enligt direktivet och personupp- giftslagen inga särskilda krav för att de ska få behandla denna kate- gori av personuppgifter. Myndigheter har således möjlighet att be- handla sådana uppgifter under samma förutsättningar som gäller för övriga personuppgifter, dvs. att det är fråga om en tillåten be- handling enligt 9 och 10 §§ PuL.

Det är emellertid vanligt att man i registerförfattningar reglerar i vilken utsträckning personuppgifter om lagöverträdelser m.m. får behandlas. Som exempel kan nämnas lagen (2001:181) om behand- ling av uppgifter i Skatteverkets beskattningsverksamhet där det i 1 kap. 7 § och 2 kap. 4 § föreskrivs att personuppgifter om lagöver- trädelser m.m. och känsliga personuppgifter får behandlas under samma förutsättningar i beskattningsdatabasen och i annat samman- hang. I förarbetena till dessa bestämmelser nämns inte personupp- gifter om lagöverträdelser särskilt, utan de omtalas som ”känsliga personuppgifter m.m.” (prop. 2000/01:33 s. 100 f.). Motiven för att särreglera dessa kategorier av personuppgifter förefaller alltså vara desamma. En särreglering av känsliga personuppgifter är emellertid nödvändig för att det ska vara tillåtet för t.ex. Skatteverket att behandla den typen av uppgifter, medan detta alltså inte är fallet när det gäller uppgifter om lagöverträdelser m.m. Av förarbetena framgår inte vad särregleringen i fråga om den senare kategorin av uppgifter avses tillföra i förhållande till vad som annars gäller enligt

311

Tillåten behandling

SOU 2015:39

personuppgiftslagen, exempelvis att regleringen skulle syfta till att begränsa den behandling som annars skulle vara tillåten.

Det saknas behov av att införa en särskild reglering för myndigheters behandling av personuppgifter om lagöverträdelser m.m.

Det finns alltså varken i dataskyddsdirektivet eller i personupp- giftslagen något förbud för myndigheter att behandla personupp- gifter om lagöverträdelser m.m. Det ställs således inget krav på att det införs särskilda regler för att det ska vara tillåtet för myndig- heter att behandla denna kategori av uppgifter. Någon generell be- stämmelse som tillåter myndigheter att behandla personuppgifter om lagöverträdelser m.m. behövs alltså inte. Vi föreslår därför inte någon sådan bestämmelse.

Frågan blir därefter om det finns ett generellt behov av att be- gränsa myndigheters möjlighet att behandla denna kategori av personuppgifter i likhet med vad som ibland förekommer i register- författningar. Ett sådant behov skulle kunna föreligga om det finns en särskild anledning att anta att de grundläggande kraven i 9 § PuL inte utgör ett tillräckligt ”skydd” för denna kategori av uppgifter.

I likhet med vad som gäller i fråga om känsliga personuppgifter kan uppgifter om lagöverträdelser m.m. komma in till myndigheten genom en inlaga från en person som har ett ärende aktuellt hos myndigheten, oavsett om myndigheten har bett om det eller inte. Det finns således ett generellt behov hos myndigheterna av att kunna behandla även denna kategori av uppgifter inom ramen för sina sedvanliga förvaltningsuppgifter. Till skillnad från vad som gäller i fråga om känsliga personuppgifter torde det däremot vara en relativt begränsad grupp myndigheter som har behov av att för egen del samla in och behandla personuppgifter om lagöverträdel- ser m.m. Om så är fallet, beror det på att myndigheten har fått i uppdrag att bedriva en verksamhet där denna typ av uppgifter behövs. Redan därigenom bör det således vara tydligt vilka myndig- heter som behöver behandla denna typ av uppgifter för att kunna utföra sina uppgifter. För dessa myndigheter bör det således redan vara särskilt uttryckt eller stå klart på annat sätt för vilka konkreta ändamål och på vilket sätt personuppgifter om lagöverträdelser m.m. får behandlas. Myndigheter som inte behöver behandla denna kate- gori av uppgifter för att kunna utföra sina uppgifter torde följakt-

312

SOU 2015:39

Tillåten behandling

ligen inte heller kunna formulera något ändamål som kan motivera en sådan behandling. Enligt vår uppfattning innebär de grundlägg- ande kraven i 9 § således en tillräcklig begränsning för myndig- heters möjlighet att behandla personuppgifter om lagöverträdelser m.m., liksom beträffande övriga personuppgifter. Vi föreslår därför inte att det införs någon generell begränsning i fråga om myndig- heters möjlighet att behandla denna kategori av personuppgifter.

9.3.3Personnummer och samordningsnummer

Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Enligt artikel 8.7 ska medlemsstaterna bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.

Personuppgiftslagen

Enligt 22 § PuL får uppgifter om personnummer eller samordnings- nummer behandlas utan samtycke bara när det är klart motiverat med hänsyn till

a)ändamålen med behandlingen,

b)vikten av en säker identifiering, eller

c)något annat beaktansvärt skäl.

Av förbetena till 22 § PuL framgår att bestämmelserna i princip oförändrade i sak har överförts från den tidigare datalagen (1973:289). Regeringen anförde i sammanhanget att om någon ger sitt sam- tycke är det självklart att personnummer också ska få behandlas (prop. 1997/98:44 s. 77). Vidare påpekades, med anledning av att datalagens bestämmelse om återgivande av personnummer på data- utskrifter inte hade överförts till nya lagen, att redan den överförda huvudregeln innebär att en uppgift om personnummer får behand- las bara när den behandlingen är klart motiverad med hänsyn till något beaktansvärt skäl. Att ha en särskild regel med annat rekvisit

313

Tillåten behandling

SOU 2015:39

– särskilda skäl – om just den behandling som själva återgivandet utgör skulle enligt regeringen bara grumla regleringen.

Av 50 § c PuL följer att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om i vilka fall användning av personnummer är tillåten.

Bemyndigandet har utnyttjats av regeringen bl.a. på så sätt att det i 12 § tredje stycket PuF föreskrivs att en kommun, ett lands- ting eller ett kommunalförbund aldrig får föra över personnummer eller samordningsnummer till tredjeland.

Förslaget till uppgiftsskyddsförordning

Kommissionens förslag till uppgiftsskyddsförordning innehåller inte någon motsvarande bestämmelse som den i dataskyddsdirektivet. Den uppställer alltså inget krav på medlemsstaterna att bestämma på vilka villkor ett nationellt identifikationsnummer m.m. får behand- las.

Våra överväganden och förslag

Förslag och bedömning: Bestämmelsen i 22 § PuL bör inte gälla för myndigheter utan 9 § innebär tillräckliga krav för när behandling av personnummer eller samordningsnummer är tillåten. Däremot bör det införas en ny bestämmelse som innebär att denna kategori av uppgifter får tas in i ett beslut endast om be- slutet rör frågan om någons identitet eller motsvarande person- liga förhållanden, det är nödvändigt för att beslutet ska kunna verkställas eller om det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer bör också i fortsättningen ha möjlighet att meddela bestämmel- ser om i vilka fall behandling av personnummer och samord- ningsnummer är tillåten.

314

SOU 2015:39

Tillåten behandling

Vad innebär gällande rätt i fråga om myndigheters möjlighet att behandla uppgifter om personnummer och samordningsnummer?

Det kan konstateras att dataskyddsdirektivet ställer upp ett krav på att medlemsstaterna ska bestämma på vilka villkor som ett natio- nellt identifikationsbegrepp får behandlas. Direktivet föreskriver dock inte hur dessa villkor ska se ut. Det står alltså medlems- staterna fritt att bestämma detta.

Enligt 22 § PuL gäller att myndigheter får behandla uppgifter om personnummer och samordningsnummer under samma förut- sättningar som gäller för enskilda. Sådan behandling får utan sam- tycke ske bara när det är klart motiverat med hänsyn till ändamålen med behandlingen (a), vikten av en säker identifiering (b) eller något annat beaktansvärt skäl (c).

I registerförfattningar hänvisas ofta till att 22 § PuL gäller även vid en behandling enligt den författningen. Om en registerförfatt- ning innehåller särskilda bestämmelser som tar sikte på behandling av personuppgifter i en databas, ingår ofta personnummer i den uppräkning av personuppgifter som får behandlas i databasen med hänvisning till de ändamål för vilka behandling av personuppgifter får ske. Som exempel på sådan reglering kan nämnas registerför- fattningarna på skatte- respektive socialförsäkringsområdet (1 kap. 3 § andra stycket och 2 kap. 3 § lagen [2001:181] om behandling av uppgifter i Skatteverkets beskattningsverksamhet samt 114 kap. 15 § första stycket SFB). Genom särregleringen har det således gjort klart att behandling av personnummer och samordnings- nummer i databasen är klart motiverad om den sker för de ändamål som gäller för behandling av personuppgifter i den aktuella verk- samheten.

Bestämmelserna i 22 § PuL om när personnummer får användas har alltså överförts från den tidigare datalagen. Motsvarande bestäm- melser fanns i 7 § andra stycket datalagen. Den paragrafens första stycke föreskrev de allmänna villkoren för att ett personregister skulle få inrättas och hur det skulle föras. I fråga om registrering av personnummer gällde dessutom att registrering fick ske endast när det var klart motiverat med hänsyn till registrets ändamål, vikten av en säker identifiering eller av annat beaktansvärt skäl. Vidare gällde att personnummer fick återges på datautskrifter endast när det

315

Tillåten behandling

SOU 2015:39

fanns särskilda skäl. Denna sista mening överfördes inte till person- uppgiftslagen eftersom den ansågs obehövlig.

I förarbetena till 7 § andra stycket datalagen (prop. 1990/91:60 s. 69) anfördes bl.a. följande. Användningen av personnummer i registersammanhang bör alltid prövas från integritetssynpunkt, och onödig användning ska betraktas som integritetsintrång. Registre- ringen ska vara påkallad av något skäl. Det ska vara fråga om ett skäl som objektivt framstår som befogat. Fall då det kan finnas sådana objektiva skäl är bl.a. vissa forskningsregister och andra register där det är särskilt viktigt med en säker identifiering, t.ex. för att tillgodose förutsedda framtida forskningsbehov.

Av 7 § andra stycket datalagen framgick att en registrering av personnummer var tillåten om det var klart motiverat antingen med hänsyn till registrets ändamål eller på grund av vikten av en säker identifiering eller av annat beaktansvärt skäl. Om ändamålet med registret i sig inte motiverade att personnummer registrerades kunde alltså en registrering ändå vara tillåten, om den var klart motiverad med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl.

Formuleringen i 7 § andra stycket datalagen överfördes till 22 § PuL i princip oförändrad med undantag för att ordet register byttes ut mot ordet behandling. Det innebär att bestämmelsen i person- uppgiftslagen har fått ett betydligt vidare tillämpningsområde än bestämmelsen i datalagen, som bara omfattade användning av per- sonnummer i personregister. Den ska nu tillämpas vid all behand- ling av personnummer och samordningsnummer (Öman/Lindblom, s. 348). En konsekvens av att bestämmelsen nu riktar sig mot all behandling av sådana uppgifter, och inte bara i personregister, är att vad som sägs i 22 § a PuL även torde innefatta det som föreskrivs i b och c. Att personnummer och samordningsnummer kan få be- handlas om det är klart motiverat med hänsyn till vikten av en säker identifiering eller något annat beaktansvärt skäl har således inte längre någon självständig betydelse, utan får uppfattas som en exemplifiering av vad som kan vara ett godtagbart ändamål.

Enligt 9 § första stycket f PuL får inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet, vilket också kan uttryckas som att det ska vara klart motiverat att en uppgift om personnummer behandlas. Vidare sägs i samma stycke c att person- uppgifter bara får samlas in för särskilda, uttryckligt angivna och

316

SOU 2015:39

Tillåten behandling

berättigade ändamål. Berättigade ändamål torde innebära detsamma som beaktansvärda skäl. I 22 § nämns dock uttryckligen att vikten av en säker identifiering är ett beaktansvärt skäl som kan motivera att uppgifter om personnummer eller samordningsnummer får be- handlas. Det utgör alltså en komplettering i förhållande till de krav som annars redan gäller enligt 9 § PuL.

Eftersom det är fråga om att använda personuppgifter som ut- gör hjälpmedel för identifikation, kan man fråga sig om inte vikten av en säker identifiering är ett så självklart godtagbart ändamål att det inte behöver nämnas särskilt i lagtexten. Att det nämndes ut- tryckligen i 7 § datalagen hade däremot en särskild betydelse, eftersom det markerade att detta ändamål kunde utgöra ett själv- ständigt och beaktansvärt skäl att registrera personnummer även om ändamålet med registret i sig inte kunde motivera detta.

Mot bakgrund av ovanstående kan det alltså sättas ifråga om be- stämmelserna i 22 § PuL egentligen har någon självständig betydelse vid sidan av vad som redan gäller enligt de grundläggande kraven i 9 §.

Finns det behov av en särskild bestämmelse på myndighetsområdet?

Det kan alltså konstateras att innebörden av 22 § PuL är oklar både vad avser hur de uppräknande fallen i a–c förhåller sig till varandra och i vilken utsträckning bestämmelserna i sak innebär några andra krav än de som redan följer av 9 §.

På myndighetsområdet används personnummer och samordnings- nummer i mycket stor utsträckning. Om personuppgifter används i en myndighets verksamhet förekommer i princip alltid också upp- gifter för att fastställa den enskildes identitet, dvs. personnummer eller samordningsnummer. Det är därför inte tillfredsställande att den bestämmelse som ska tillämpas vid användning av denna typ av uppgifter inte är klar till sin innebörd. Enligt vår uppfattning bör 22 § PuL därför inte gälla på myndighetsområdet, utan vilka grund- läggande krav som ska vara uppfyllda för att ett personnummer eller samordningsnummer ska få behandlas bör i stället framgå, lik- som för övriga personuppgifter, av 9 §. Att vikten av en säker identifiering kan utgöra ett berättigat ändamål får i det samman- hanget anses självklart.

317

Tillåten behandling

SOU 2015:39

Vad som däremot kan vara motiverat att införa i en samlad reglering för myndigheternas behandling av personuppgifter är en bestämmelse som syftar till att utgöra ett särskilt skydd vid sprid- ning av personnummer eller samordningsnummer. Det kan konsta- teras att sekretessbestämmelser som syftar till att skydda uppgifter om enskildas personliga eller ekonomiska förhållanden ofta inte gäller för en myndighets eller domstols beslut. Den möjlighet som finns att skydda personnummer eller samordningsnummer inom ramen för den verksamhet som myndigheten bedriver, vilken inne- bär att uppgifter i handlingar från verksamheten kan skyddas med hänsyn till sekretess, finns alltså vanligen inte när det gäller myn- digheters eller domstolars avgöranden.

Bestämmelsen i 7 § andra stycket andra meningen datalagen med särskilda regler om återgivande av personnummer i datautskrifter syftade till att utgöra ett särskilt skydd i samband med spridning av personnummer. I förarbetena (prop. 1990/91:60 s. 69) anfördes att särskilda skäl för att tillåta spridning av personnummer på detta sätt kan vara att en viss mottagare behöver uppgifterna för identi- tetskontroll, registersökning eller registrering. Det var enligt före- dragande statsrådet helt klart att mantalsskrivningsbevis, person- bevis och liknande intyg fick innehålla personnummer även i fort- sättningen. Mottagaren använder normalt dessa intyg för sådana ändamål att kravet på särskilda skäl är uppfyllt.

Från praxis rörande tillämpningen av 7 § andra stycket andra meningen datalagen kan nämnas regeringens beslut 1994-12-01 (Dnr Ju 94/1) om att Riksförsäkringsverket inte fick ange person- nummer på utskrifter från assistansersättningsregistret. Utskrift- erna skulle användas för utbetalning av ersättning. Ett annat exem- pel är regeringens beslut 1996-04-25 (Dnr Ju 95/2469) om att uni- versitet och högskolor inte fick använda personnummer på tenta- menslistor och liknande utskrifter som ska anslås. En utförlig redo- visning av praxis rörande tillämpning av 7 § andra stycket datalagen finns i Öman/Lindblom, s. 356 f.

I samband med att 22 § PuL infördes bedömdes det inte finnas något behov av att låta bestämmelsen i 7 § andra stycket andra meningen datalagen med särskilda regler om återgivande av person- nummer i datautskrifter få någon motsvarighet i personuppgifts- lagen. Detta innebar enligt regeringen inte någon ändring i sak (prop. 1997/98:44 s. 77).

318

SOU 2015:39

Tillåten behandling

Det kan konstateras att ett personnummer eller samordnings- nummer i sig inte kan anses integritetskränkande. Däremot kan denna kategori av uppgifter användas på ett sätt som innebär risker för den enskildes integritet. Senare tids debatt kring bedrägerier genom s.k. identitetsstöld är ett exempel på detta. En särskild risk i det sammanhanget är när denna typ av uppgifter öppet exponeras och blir föremål för spridning utan att det kan anses motiverat. En behandling av personnummer eller samordningsnummer kan alltså vara klart motiverad med hänsyn till den personuppgiftsansvariges ändamål med att behandla uppgifterna, medan det däremot inte alls är motiverat att uppgifterna sprids utanför verksamheten. De grund- läggande kraven i 9 § PuL, liksom de nuvarande bestämmelserna i 22 §, innebär visserligen att personnummer eller samordnings- nummer inte får behandlas genom att återges i ett beslut och där- igenom öppet exponeras och spridas, om det inte är nödvändigt med hänsyn till ändamålet med att göra uppgifterna i beslutet offentliga. Denna typ av uppgifter återges emellertid i dag i myn- digheters och domstolars beslut i en utsträckning som i varje en- skilt fall knappast kan anses vara motiverad. Enligt vår uppfattning finns det därför skäl för att införa en bestämmelse som särskilt skyddar personnummer eller samordningsnummer i samband med upprättandet av beslut. Bestämmelsen bör inte utformas så att den hindrar spridning av avgöranden på grund av att de innehåller uppgifter om personnummer eller samordningsnummer. I stället bör skyddet för en onödig spridning åstadkommas genom en reg- lering som innebär en begränsning i myndigheternas möjlighet att återge personnummer eller samordningsnummer i sina avgöranden i förhållande till de grundläggande kraven i 9 § PuL, dvs. det ska gälla särskilda restriktioner även om behandlingen som sådan är tillåten. En sådan bestämmelse knyter an till den bestämmelse som tidigare fanns i 7 § andra stycket andra meningen datalagen. Där- med åstadkommer man, i likhet med syftet med den bestämmelsen, ett särskilt skydd i samband med öppen exponering av person- nummer och samordningsnummer genom myndigheters och dom- stolars avgöranden.

Vi föreslår därför att det införs en bestämmelse som innebär att det i myndigheters avgöranden får tas in personnummer eller samordningsnummer endast när det är nödvändigt med hänsyn till vissa skäl som uttryckligen framgår av bestämmelsen. En sådan

319

Tillåten behandling

SOU 2015:39

bestämmelse förhindrar därigenom ett slentrianmässigt eller inte till- räckligt övervägt återgivande av sådana uppgifter. Samtidigt måste bestämmelsen fånga upp de skäl som kan anses motivera att denna typ av uppgifter tas in i myndighetens avgörande i en viss fråga.

Den fråga som har avgjorts genom myndighetens eller dom- stolens beslut kan vara av sådant slag att det är av särskild vikt att partens identitet så långt det är möjligt klargörs i avgörandet. Så kan självklart vara fallet när avgörandet i vidare mening rör frågor om parts identitet eller status, såsom t.ex. beslut rörande folkbok- föring eller uppehållstillstånd. Särskilda skäl kan också finnas när det i avgörandet behandlas frågor om lagöverträdelser eller tvångsåtgärder av olika slag, då det inte får uppstå någon risk för förväxling av vilken person som berörs av avgörandet i fråga. Detsamma kan sägas om ett avgörande som i sig utgör en exeku- tionstitel (jfr 3 kap. 1 § utsökningsbalken) eller som t.ex. utgör ett individuellt tillstånd till något. Det förekommer vidare att det i en myndighets eller domstols avgörande anges personnummer, men inte övriga uppgifter som återger personens namn och adress. Det är då fråga om en person som har skyddade personuppgifter enligt 22 kap. 1 § OSL, s.k. folkbokföringssekretess. I de nu nämna fallen är det således frågan om situationer då personnummer eller sam- ordningsnummer behöver återges för att beslutet ska kunna verk- ställas. Det finns också myndigheter vars verksamhet är uppbyggd kring användning av personnummer och där t.ex. domstolsavgöran- den därför måste innehålla personnummer för att kunna knytas till rätt ärende. I sådana fall handlar det alltså om att det är nödvändigt att återge denna typ av uppgifter i beslutet för ett behov som är hänförligt till den beslutande myndigheten. Även i sådana fall kan det finnas tillräckliga skäl för att personnummer eller samordnings- nummer kan tas in i beslutet.

Däremot torde det inte kunna hävdas att tredje man kan ha ett sådant behov av att känna till en parts personnummer eller samord- ningsnummer, utöver de situationer då sådana uppgifter behövs för att kunna verkställa beslutet, att det särskilt kan motivera att så- dana uppgifter återges i ett myndighetsbeslut.

Vi föreslår därför att personnummer eller samordningsnummer får återges i en myndighets beslut endast om beslutet i vidare mening rör frågan om någons identitet eller det är nödvändigt för

320

SOU 2015:39

Tillåten behandling

att beslutet ska kunna verkställas eller om det krävs med hänsyn till den beslutande myndighetens behov av identifieringsuppgifter.

Bemyndiganden att meddela ytterligare föreskrifter

Det kan också i fortsättningen finnas behov av att på vissa myn- dighetsområden införa särskilda bestämmelser om när behandling av personnummer och samordningsnummer är tillåten. Regeringen eller den myndighet som regeringen bestämmer bör därför, i likhet med vad som i dag gäller enligt 50 § c PuL, ha möjlighet att med- dela närmare bestämmelser om i vilka fall behandling av person- nummer och samordningsnummer är tillåten.

9.4Sökbegränsningar

9.4.1Allmänna utgångspunkter

I myndigheternas verksamhet finns ett behov av att kunna använda sig av den information som myndigheten har tillgång på ett så effektivt sätt som möjligt. Att information numera i princip undan- tagslöst hanteras elektroniskt inom myndigheterna innebär dels bättre möjligheter och enklare förfaranden för att över huvud taget produ- cera information i form av bl.a. olika dokument och uppgifts- samlingar, dels väsentligt förbättrade möjligheter att sammanställa den information som myndigheten har tillgång till. Den elektro- niskt framställda informationen utgör därigenom ett kraftfullt verktyg för att uppnå effektivitet och utgör således ett värdefullt hjälpmedel för att uppnå hög kvalitet i exempelvis beslutsunderlag, vid uppföljning och när det gäller att uppfylla skyldigheter och ge service i förhållande till parter och andra enskilda.

Möjligheten att kunna söka och sammanställa information är så- ledes mycket värdefull för myndigheterna och något som de all- mänt får anses ha ett stort behov av. Samtidigt som möjligheten att elektroniskt kunna sammanställa information är ett kraftfullt verktyg för att uppnå en effektiv informationshantering, kan den emellertid innebära särskilda risker för skyddet av personuppgifter. Redan på datalagens tid fanns därför bestämmelser om att Data- inspektionen i sina tillstånd för att inrätta och föra ett person-

321

Tillåten behandling

SOU 2015:39

register skulle meddela föreskrifter om de bearbetningar av person- uppgifterna i registret som fick göras med automatisk databehand- ling, om det behövdes för att förebygga risk för otillbörliga intrång i den enskildes personliga integritet (6 § första stycket 5). Det före- kom alltså redan före personuppgiftslagens införande föreskrifter i fråga om begränsningar i möjligheterna att söka fram och samman- ställa personuppgifter dels i beslut av Datainspektionen, dels genom bestämmelser i den tidens registerförfattningar.

Dataskyddsdirektivet och personuppgiftslagen innehåller inte några bestämmelser som särskilt tar sikte på att skydda person- uppgifter i samband med sammanställning av uppgifter. Sökning och sammanställning av uppgifter som sker elektroniskt är emeller- tid en form av behandling som omfattas av direktivets och person- uppgiftslagens bestämmelser om det är fråga om personuppgifter.

Av de grundläggande kraven i 9 § PuL följer emellertid vissa begränsningar i fråga om vilka sammanställningar som är tillåtna att göra. Som exempel kan nämnas att en sammanställning av person- uppgifter inte får göras för ett ändamål som är oförenligt med det för vilket uppgifterna en gång samlades in, att uppgifterna ska vara adekvata och relevanta för ändamålet med sammanställningen och att inte fler uppgifter än vad som är nödvändigt för ändamålet med behandlingen får sammanställas.

I många registerförfattningar finns bestämmelser som uttryck- ligen reglerar vilka sökbegrepp som alltid är förbjudna att använda och som således omöjliggör en sammanställning utifrån dessa per- sonuppgifter. Man kan säga att sådana begränsningar utgör en miniminivå för det skydd som vid en tillämpning av 9 § PuL ändå ska iakttas av myndigheten när den söker och sammanställer per- sonuppgifter. Den typen av förbud utgör också ett hinder för en myndighet att sammanställa personuppgifter på begäran av en enskild i enlighet med den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF. Sådana sökbegränsningar utgör således ett absolut hinder för en myndighet när det gäller dess möjlighet att sammanställa uppgifter för behov både i den egna verksamheten och i fråga om en begäran från en enskild inom ramen för dennes rätt att ta del av allmänna handlingar enligt bestämmelserna i 2 kap. TF. Det finns därför anledning att överväga om det i den nya lagen bör finnas sådana sökbegränsningar som ska gälla generellt.

322

SOU 2015:39

Tillåten behandling

9.4.2Våra överväganden och förslag

Förslag och bedömning: Det införs en bestämmelse som inne- bär att myndigheter vid en sökning får som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsik- ter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening eller uppgifter som rör hälsa eller sexualliv endast i den utsträckning som det finns särskilt författningsstöd för det. Så- dant stöd kan anges genom föreskrifter som tas in i bilagan till lagen, i annan lag eller i förordning. Därmed gäller alltså som huvudregel ett generellt förbud för myndigheter att som sök- begrepp använda uppgifter som leder till att känsliga person- uppgifter sammanställs.

I bestämmelsen bör klargöras att detta förbud inte gäller vid sökning i en viss handling eller i ett visst ärende.

Något behov av att generellt förbjuda myndigheter att an- vända andra kategorier av personuppgifter som sökbegrepp finns inte. I lagen tas in ett bemyndigande som tillåter regeringen att meddela sådana föreskrifter i de fall det finns ett särskilt behov av detta.

Sökbegränsningar i fråga om känsliga personuppgifter

Vi har i avsnitt 9.3 konstaterar att alla myndigheter kan ha ett behov av att behandla känsliga personuppgifter. Det beror på att en myndighet till viss del inte kan kontrollera huruvida den typen av uppgifter förekommer i dess informationssamlingar eftersom exem- pelvis parter i en myndighets ärenden själva kan uppge sådana upp- gifter i t.ex. en inlaga till myndigheten. Enligt vårt förslag ska det, såsom undantag från det principiella förbudet i 13 § PuL, vara tillåtet för myndigheter att behandla känsliga personuppgifter både i löpande text och inom ramen för ett ärendehanteringssystem. Det sistnämnda innebär att känsliga personuppgifter kan förekomma i större informationssamlingar, där storleken bestämts utifrån hur myndigheten väljer att koppla ihop olika ärenden med varandra. Inom en sådan informationssamling kan det alltså vara tekniskt möjligt att söka och sammanställa även känsliga personuppgifter.

323

Tillåten behandling

SOU 2015:39

Många registerförfattningar innehåller sökbegränsningar som tar sikte på känsliga personuppgifter. Det brukar ibland uttryckas så att det är en känslig personuppgift som inte får användas som sökbegrepp (se t.ex. prop. 2009/10:85 s. 155). Personuppgifter är i dataskyddsdirektivets mening all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (artikel 2). Det är alltså frågan om uppgifter som kan knytas till en viss person. En personuppgift är känslig om den exempelvis rör hälsa. Det ska således vara frågan om en uppgift som rör en viss persons hälsa. Ordet ”schizofren” är en uppgift som används för att beteckna ett visst hälsotillstånd hos de personer som lider av detta. Det kan därför i någon mening anses vara en personuppgift. Det är emellertid inte en personuppgift i direktivets mening, eftersom ordet i sig inte tar sikte på en viss person. Om det i en författning har föreskrivits att känsliga personuppgifter inte får användas som sökbegrepp kan man därför få intrycket av att vad som avses är att det i fråga om en viss person inte får göras en sökning som förknippar denne med en uppgift som rör hans eller hennes hälsa. Vad som åsyftas är emellertid att det inte ska vara tillåtet att göra en sammanställning som inne- håller personuppgifter genom att t.ex. använda ordet ”schizofren” som sökbegrepp, dvs. ett ord som i sig inte är en personuppgift men som rör hälsa. Resultatet av en sådan sökning kommer då att utgöra en sammanställning av de personer som förekommer i den aktuella informationssamlingen till vilka detta ord kan hänföras. Genom att använda ett visst ord som sökbegrepp, som i sig inte är en personuppgift, i syfte att göra en sammanställning som inne- håller personuppgifter kan således känsliga personuppgifter avslöjas. En motsvarande sökning i syfte att göra en sammanställning som inte innehåller personuppgifter i direktivets mening, exempelvis i en databas för vetenskaplig referenslitteratur, omfattas däremot inte av en sådan sökbegränsning.

Det torde enligt vår mening bara vara ett begränsat antal myn- digheter som för den egna verksamheten kan sägas ha något egent- ligt behov av att kunna göra sammanställningar av känsliga person- uppgifter inom ramen för sina ärendehanteringssystem eller andra informationssamlingar som hos myndigheten innehåller personupp- gifter. Det talar för att det kan finnas skäl att i den nya lagen införa en generell begränsning som tar sikte på möjligheterna att göra sammanställningar i den information som samlats hos myndig-

324

SOU 2015:39

Tillåten behandling

heterna såvitt avser känsliga personuppgifter. Många registerförfatt- ningar innehåller, som redan påpekats, sådana sökbegränsningar. Enligt vår uppfattning finns det därför ett behov av att i den nya lagen ha en bestämmelse som innebär en sådan begränsning. Vid en sökning bör det därför vara tillåtet att som sökbegrepp använda uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv endast i den utsträck- ning som det finns särskilt författningsstöd för det. Sådant stöd kan ges genom föreskrifter som tas in i bilagan till lagen, i annan lag eller i förordning. Enligt lagen kommer därmed som huvudregel att gälla ett generellt förbud för myndigheter att som sökbegrepp an- vända uppgifter som leder till att känsliga personuppgifter samman- ställs. Vi föreslår alltså att det införs en bestämmelse med detta innehåll.

Förbudet mot att använda sådana uppgifter som sökbegrepp som leder till att känsliga personuppgifter sammanställs ska inte gälla vid sökning i en viss handling eller i ett visst ärende. Det bör framgå uttryckligen av den bestämmelse som vi nu föreslår.

Sökbegränsningar i fråga om andra särskilda kategorier av personuppgifter

Uppgifter om lagöverträdelser m.m.

I avsnitt 9.3 har vi vidare gjort bedömningen att det inte behöver införas några särskilda regler vare sig när det gäller att tillåta myn- digheter att behandla personuppgifter om lagöverträdelser m.m. eller att begränsa användandet av den typen av uppgifter utöver vad som redan följer av de grundläggande kraven i 9 § PuL.

Skälet till att vi bedömer att det inte genom en särskild be- stämmelse behöver införas en begränsning när det gäller en myn- dighets behandling av personuppgifter om lagöverträdelser m.m. är bl.a. att myndigheter, till skillnad från vad som är fallet med käns- liga personuppgifter, endast i begränsad utsträckning för egen del kan behöva samla in och behandla den typen av uppgifter. Den typen av uppgifter kan därför inte sägas generellt sett vara vanligt före- kommande i myndigheters informationssamlingar. Till skillnad från vad som är fallet med känsliga personuppgifter, som kan före-

325

Tillåten behandling

SOU 2015:39

komma i stort sett hos vilken myndighet som helst, är situationen vad beträffar uppgifter om lagöverträdelser m.m. alltså inte sådan att det på grund av innehållet i myndigheternas informationssam- lingar allmänt sett finns ett behov av att uppväga den risk som upp- står för enskildas integritetsskydd genom särskilda bestämmelser om sökbegränsningar. Det torde därför inte finnas något behov av att införa ett generellt sökförbud – som då skulle behöva förses med en hel rad undantag – när det gäller den typen av uppgifter för att begränsa myndigheters möjligheter att göra sammanställningar av sådana uppgifter.

Som redan påpekats syftar ett sökförbud också till att utgöra ett särskilt skydd för den aktuella kategorin personuppgifter i samband med att myndigheten fullgör sin skyldighet enligt 2 kap. 3 § TF att sammanställa uppgifter på begäran av en enskild. Om ett förbud att använda uppgifter om lagöverträdelser m.m. inte införs innebär det således att en myndighet i princip är skyldig att göra en samman- ställning av sådana uppgifter om en sådan begärs ut, så länge den kan göras med rutinbetonade åtgärder. Det förutsätter emellertid att uppgifterna inte skyddas av sekretess.

För den händelse det är fråga om ett myndighetsområde där ett omvänt skaderekvisit gäller för uppgifter om enskilds personliga för- hållanden, dvs. en presumtion för sekretess, torde det finnas små möjligheter att lämna ut uppgifter om lagöverträdelser m.m. Ett svagare sekretesskydd finns dock om sekretess gäller med ett rakt skaderekvisit, dvs. med presumtion för offentlighet. Det torde bero på sammanhanget om en uppgift om lagöverträdelser m.m. är att anse som typiskt sett känslig och därför skulle omfattas av sådan sekretess.

Enligt 21 § PuL är det dock som huvudregel förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser m.m. Det innebär att en begäran från en enskild om att från en myn- dighet få ut en sammanställning av personuppgifter om lagöver- trädelser m.m. torde aktualisera en prövning enligt 21 kap. 7 § OSL. Om den enskildes åsyftade behandling av uppgifterna inte tillhör de undantagsfall då en sådan behandling är tillåten för enskilda, ut- gör 21 kap. 7 § OSL ett hinder mot att lämna ut uppgifterna. Mot bakgrund av att det endast i undantagsfall är tillåtet för enskilda att behandla personuppgifter om lagöverträdelser m.m. utgör enligt vår uppfattning 21 kap. 7 § OSL ett tillräckligt skydd för denna typ av

326

SOU 2015:39

Tillåten behandling

uppgifter i fråga om skyldigheten att göra sammanställningar på begäran av en enskild. Vi bedömer därför att det inte heller på grund av en myndighets skyldighet enligt 2 kap. 3 § TF finns ett behov av att införa ett generellt förbud mot använda uppgifter om lagöverträdelser m.m. som sökbegrepp.

Uppgifter om personnummer och samordningsnummer

Vi har i avsnitt 9.3.3 funnit att 9 § PuL innehåller tillräckliga krav för att personuppgifter om personnummer och samordningsnummer ska ges ett tillfredsställande skydd när myndigheter behandlar denna typ av uppgifter, med undantag för när det gäller återgivande av sådana uppgifter i myndigheters beslut.

Om ett personnummer används som sökbegrepp innebär det att man, när detta är tekniskt möjligt, kan söka fram och sammanställa exempelvis alla ärenden om en viss person hos en viss myndighet. Det kan konstateras att myndigheter allmänt sett får anses ha ett stort och i hög grad berättigat behov av att kunna göra den typen av sökningar och det kan inte anses typiskt sett integritetskänsligt att så sker.

Mot den bakgrunden kan det enligt vår bedömning inte anses motiverat att införa något ytterligare sådant skydd som ett gene- rellt sökförbud kan utgöra i samband med utlämnanden av nu aktu- ella personuppgifter enligt 2 kap. TF utöver det skydd som redan ges genom bestämmelser om sekretess.

Vi föreslår därför inte någon generell begränsning när det gäller myndigheters möjlighet att använda personuppgifter om personnum- mer och samordningsnummer som sökbegrepp.

Sökbegränsningar i fråga om övriga personuppgifter

Vi har i avsnitt 9.3 bedömt att det inte behövs några särskilda be- stämmelser, utöver 9 § PuL, om vilka övriga personuppgifter som får eller inte får behandlas. I registerförfattningar förekommer i all- mänhet inte bestämmelser som syftar till att begränsa använd- ningen av personuppgifter, som inte hör till de särskilda kategori- erna av uppgifter, som sökbegrepp. Däremot förekommer begräns- ningar som tar sikte på att söka fram enskilda handlingar i data-

327

Tillåten behandling

SOU 2015:39

baser. Det brukar då anges vilka sökbegrepp som får användas, exempelvis namn och ärendenummer.

Det finns emellertid ett undantag från det som nu sagts och det rör uppgifter som avslöjar nationell anknytning.

Vårt förslag innebär att det blir förbjudet för myndigheterna att använda uppgifter som avslöjar eller rör känsliga personuppgifter som sökbegrepp. Därigenom kan uppgifter som avslöjar ras eller etniskt ursprung inte användas som sökbegrepp. Uppgifter om en persons nationalitet har i lagstiftning som rör behandling av person- uppgifter inte ansetts vara uppgifter som normalt avslöjar ras eller etniskt ursprung (prop. 2009/10:85 s. 325). I 1 kap. 5 § första stycket 2 diskrimineringslagen (2008:567) definieras emellertid begreppet etnisk tillhörighet som nationellt eller etniskt ursprung, hudfärg eller annat liknande förhållande. Av detta förhållande kan emeller- tid inte slutsatsen dras att uppgifter om en persons nationalitet i dataskyddsdirektivets mening alltid är att betrakta som en känslig personuppgift. En sådan uppgift blir dock känslig om den i det enskilda fallet skulle avslöja etniskt ursprung.

I flertalet fall är en uppgift om nationalitet alltså inte en uppgift som är känslig. Det kan dock finnas situationer där det finns ett behov av att skydda uppgifter som avslöjar nationalitet, exempelvis för att förhindra att personer utsätts för förföljelse. Av det skälet gäller enligt 21 kap. 5 § OSL sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållanden mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen är inte begränsad till någon viss verksamhet, utan ska tillämpas hos alla myndigheter. I verksamhet för kontroll av utlän- ningar gäller vidare enligt 37 kap. 1 § OSL ett mer allmänt sekre- tesskydd för uppgift om enskilds personliga förhållanden.

I Skatteverkets folkbokföringsverksamhet förekommer uppgifter som avslöjar nationell anknytning i stor utsträckning. I 2 kap. 10 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet finns förbud mot att använda vissa upp- gifter som avslöjar nationell anknytning. Exempelvis gäller att upp- gifter om medborgarskap får användas endast i fråga om med- borgarskap i Sverige, Danmark, Norge, Finland och Island samt om

328

SOU 2015:39

Tillåten behandling

medborgarskap inom eller utom EU (unionsmedborgarskap eller icke unionsmedborgarskap).

Även i de förordningar som för närvarande reglerar behandling av personuppgifter hos domstolarna finns bestämmelser som för- bjuder domstolarna att använda uppgifter om nationalitet som sök- begrepp. I förslaget till en ny domstolsdatalag föreslås också sådana begränsningar.

Det kan alltså konstateras att en uppgift om en persons natio- nalitet kan vara en känslig personuppgift i dataskyddsdirektivets mening om den avslöjar personens etniska ursprung. Så är emeller- tid normalt inte fallet. Enligt vår uppfattning finns det därför inget behov av att införa bestämmelser i den nya lagen som generellt begränsar myndigheters möjlighet att använda uppgifter om natio- nalitet som sökbegrepp för behov som kan finnas för att den egna verksamheten ska kunna utföras. I den mån det i viss myndighets- verksamhet finns ett särskilt behov av begränsningar, exempelvis för att det där förekommer uppgifter om nationalitet i stor ut- sträckning som i Skatteverkets folkbokföringsverksamhet eller hos domstolarna, finns det inget som hindrar att det införs sådana be- stämmelser.

Det kan vidare konstateras att det vid utlämnanden från alla myndigheter finns möjlighet att med hänsyn till behovet av att skydda någon från förföljelse hindra utlämnande av uppgifter om nationalitet genom sekretessbestämmelsen i 21 kap. 5 § OSL.

Behov av andra begränsningar i särskilda fall

Om det finns ett särskilt behov av att begränsa möjligheterna till sökning och sammanställning av personuppgifter i en viss myndig- hetsverksamhet, exempelvis för att det i likhet med folkbokföringen är vanligt med uppgifter om nationell anknytning, innebär den generella lagen inget hinder mot att genom en bestämmelse i lag eller förordning meddela särskilda bestämmelser om sökbegräns- ningar. En sådan bestämmelse kommer därmed att utgöra en preci- sering av de grundläggande krav som gäller enligt 9 § PuL, till vilken den nya lagen hänvisar. I den mån sådana begränsningar tar sikte på en kommun, kan de anses innebära ett åliggande för kommunen. Regeringen bör därför bemyndigas i den nya lagen att meddela

329

Tillåten behandling

SOU 2015:39

föreskrifter om begränsningar i möjligheterna att använda andra sökbegrepp än sådana som avslöjar känsliga personuppgifter.

330

10Personuppgiftsansvar och säkerhet

10.1Personuppgiftsansvar

10.1.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Utgångspunkten enligt dataskyddsdirektivet är att det alltid ska finnas någon som bär ansvaret för att dataskyddsreglerna följs vid behand- ling av personuppgifter och som den enskilde registrerade kan vända sig till för att göra gällande sina rättigheter. I direktivet an- vänds begreppet registeransvarig som benämning på den ansvarige (controller i direktivets engelska version). Registeransvaret är vidare en utgångspunkt när det ska bedömas vilken medlemsstats lagstift- ning som är tillämplig på en viss personuppgiftsbehandling och, följaktligen, vilket lands tillsynsmyndighet som är behörig att vidta åtgärder.

Begreppet registeransvarig definieras i artikel 2 d direktivet på följande sätt.

Registeransvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av person- uppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten.

Av definitionen följer att registeransvaret kan vara gemensamt för flera personer eller organ.

Utöver begreppet registeransvarig definieras bl.a. begreppet regi- sterförare (processor på engelska) såsom den fysiska eller juridiska

331

Personuppgiftsansvar och säkerhet

SOU 2015:39

person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning (arti- kel 2 f).

Dessa definitioner ger viss ledning i fråga om vilka slags organ vid sidan av fysiska personer som kan vara registeransvariga eller registerförare. Begreppet registeransvarig (respektive begreppet regi- sterförare) tar sikte på organet som sådant och inte på någon en- skild person inom organet ifråga, t.ex. någon viss personlig före- trädare för organet eller någon av dem som faktiskt behandlar upp- gifterna, dvs. som utgör s.k. medhjälpare och i den egenskapen be- handlar personuppgifter under den registeransvariges eller register- förarens direkta ansvar.

Personuppgiftslagen

I personuppgiftslagen används begreppen personuppgiftsansvarig och personuppgiftsbiträde i stället för dataskyddsdirektivets uttryck registeransvarig respektive registerförare. Definitionerna i 3 § PuL av personuppgiftsansvarig och personuppgiftsbiträde är i sak iden- tiska med direktivets (prop. 1997/98:44 s. 119) dock att det i defini- tionen av personuppgiftsansvarig inte tagits med dels det som nämns i direktivet om vad för slags aktör som kan vara ansvarig eller biträde, dels vad som gäller när ändamålen och medlen för behand- lingen bestäms av nationella lagar och andra författningar eller av unionsrätten. Personuppgiftsansvarig är enligt 3 § PuL den som en- sam eller tillsammans med andra bestämmer ändamålen med eller medlen för behandlingen av personuppgifter.

Förslaget till uppgiftsskyddsförordning

Definitionen av registerförare är densamma i kommissionens för- slag till uppgiftsskyddsförordning som i dataskyddsdirektivet. Lik- som för närvarande lämnas ett utrymme för medlemsstater att i nationell reglering fastställa vem som är personuppgiftsansvarig.

I artikel 24 finns en bestämmelse som syftar till att klargöra gemensamma registeransvarigas ansvar vad avser förhållandet dem emellan och gentemot den registrerade. Artikeln med rubriken Gemensamma registeransvariga har följande lydelse.

332

SOU 2015:39

Personuppgiftsansvar och säkerhet

Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra ska de gemen- samma registeransvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan.

Europaparlamentet har i sin resolution med förslag till ändringar i uppgiftsskyddsförordningen föreslagit ett tillägg i artikel 24 om att arrangemanget ska återspegla de gemensamma registeransvarigas respektive roller och förhållanden gentemot den registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade. I fall av oklar ansvarsfördelning ska var och en av de registeransvariga vara solidariskt ansvariga.

Genom artikel 26 anges registerförares (dvs. personuppgift- biträdens) ställning och skyldigheter. Bestämmelserna innebär bl.a. att en registerförare som behandlar andra personuppgifter än de som anges i den registeransvariges instruktioner ska anses som en gemensam registeransvarig. Vidare ska i avtalet mellan den register- ansvarige och registerföraren föreskrivas att en registerförare får engagera en annan registerförare bara om den registeransvarige först har godkänt det, att registerföraren ska lämna alla resultat till den registeransvariga vid behandlingens slut och inte behandla person- uppgifterna på annat sätt och att både den registeransvarige och tillsynsmyndigheten ska ges tillgång till all information som krävs för att kontrollera registerförarens skyldigheter enligt artikel 26. En nyhet är också att den registeransvarige och registerföraren skrift- ligen ska dokumentera den registeransvariges instruktioner till regi- sterföraren.

10.1.2Allmänt om personuppgiftsansvar och om personuppgiftsbiträden

Personuppgiftsansvaret innebär bl.a. en skyldighet att se till att de i 9 § PuL angivna grundläggande kraven på behandling av person- uppgifter iakttas. Vidare innebär personuppgiftsansvaret en skyl- dighet att självmant och på särskild begäran lämna information till den registrerade (23–27 §§), att på den registrerades begäran rätta, blockera eller utplåna personuppgifter som inte behandlats i enlig- het med personuppgiftslagen (28 §), att vidta lämpliga tekniska och

333

Personuppgiftsansvar och säkerhet

SOU 2015:39

organisatoriska åtgärder för att skydda de personuppgifter som be- handlas (31 §), att – enligt huvudregeln – anmäla all automatiserad behandling av personuppgifter till tillsynsmyndigheten, dvs. Data- inspektionen (36 §) samt att ersätta den registrerade för den skada en lagstridig behandling av personuppgifter för med sig (48 §).

Den personuppgiftsansvarige kan anlita ett personuppgiftsbiträde för att behandla personuppgifter för den ansvariges räkning. Ett personuppgiftsbiträde ska finnas utanför den egna organisationen och kan vara en juridisk eller fysisk person som i sin tur kan ha anställda medhjälpare vilka i praktiken är de som ombesörjer person- uppgiftsbehandlingen under personuppgiftsbiträdets direkta ansvar. Ett personuppgiftsbiträde och dennes medhjälpare anses inte vara tredje man i personuppgiftslagens mening (3 §). De kan därför utan hinder av de bestämmelser i personuppgiftslagen som gäller utläm- nande till tredje man få del av de personuppgifter som ska behand- las för den ansvariges räkning.

Personuppgiftsbiträden kan i sin tur anlita ”underbiträden”. Data- inspektionen har för situationer där ett huvudbiträde anlitar ett eller flera underbiträden ansett att kravet på personuppgiftsbiträdes- avtal kan uppfyllas genom att den personuppgiftsansvarige ger ett huvudbiträde mandat att ingå avtal med underbiträden. Av ett sådant avtal måste framgå att varje underbiträde har samma skyldigheter som huvudbiträdet. Den personuppgiftsansvarige ska alltid ha kännedom om vilka personuppgiftsbiträden som behandlar person- uppgifter för dennes räkning. I annat fall kan den personuppgifts- ansvarige inte uppfylla säkerhetskraven och kraven på kontroll av personuppgiftsbiträden (Datainspektionens webbplats, samråds- yttrande november 2011, dnr 1421-2011).

Ett personuppgiftsbiträde (inklusive dennes eventuella medhjälp- are) får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige (30 §). Ett skriftligt avtal med detta villkor måste upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Varken av lagen eller av dataskydds- direktivet framgår hur utförliga instruktioner som den personupp- giftsansvarige måste lämna sina medhjälpare. Datalagskommittén framhöll att den personuppgiftsansvarige i princip bär ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kom- mer att utföras (SOU 1997:39 s. 408). Dessutom måste det före- skrivas i avtalet att personuppgiftsbiträdet är skyldigt att vidta de

334

SOU 2015:39

Personuppgiftsansvar och säkerhet

tekniska och organisatoriska säkerhetsåtgärder som avses i 31 § för att skydda de behandlade personuppgifterna. Det är den person- uppgiftsansvarige som ansvarar för att personuppgiftsbiträdesavtal finns. Såvitt avser behandling som sker i det allmännas verksamhet har bestämmelser i författning företräde framför instruktioner (jfr 2 § och 30 § tredje stycket PuL).

Datainspektionen brukar framhålla att instruktionerna till ett personuppgiftsbiträde ska vara så tydliga att otillåten behandling inte kommer att utföras. Instruktionerna kan exempelvis gälla ända- målen med behandlingen, tredjelandsöverföring och utlämnande till tredje man. Vad gäller kravet på säkerhet ska den personuppgifts- ansvarige kunna förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna (31 § andra stycket PuL). Den personuppgiftsansvarige har alltså ansvar för att kon- trollera att biträdet både kan utföra och också faktiskt vidtar lämp- liga säkerhetsåtgärder.

Den personuppgiftsansvarige har i förhållande till den registre- rade ett fortsatt skadeståndssanktionerat ansvar för att personupp- giftslagen följs vid personuppgiftsbehandlingen hos personuppgifts- biträdet. Den personuppgiftsansvarige kan således uppdra den faktiska behandlingen av personuppgifterna till biträdet, men aldrig avsäga sig personuppgiftsansvaret. Det är ytterst den personuppgifts- ansvarige som ansvarar för att personuppgiftsbehandlingen sker lagenligt och som därför kan bli skadeståndsskyldig gentemot en enskild vid biträdets felaktiga hantering. I förhållande till den regi- strerade har personuppgiftsbiträdet inget direkt ansvar för person- uppgiftsbehandlingens lagenlighet. Det är en annan sak att biträdet kan bli skadeståndsskyldigt gentemot den personuppgiftsansvarige för eventuella brott mot dennes instruktioner, men då på kon- traktsrättslig grund och alltså inte i enlighet med personuppgifts- lagens skadeståndsregel.

Ett personuppgiftsbiträdesavtal innebär inte med nödvändighet att det angivna biträdet vid en rättslig prövning verkligen befinns vara personuppgiftsbiträde i personuppgiftslagens mening. Det krävs att det faktiskt förhåller sig på det viset, dvs. att biträdet behandlar uppgifter bara i enlighet med instruktioner från den personupp- giftsansvarige. Kammarrätten i Stockholm har i ett avgörande under- känt ett personuppgiftsbiträdesavtal eftersom den personuppgifts-

335

Personuppgiftsansvar och säkerhet

SOU 2015:39

ansvarige och biträdet rent faktiskt inte behandlade personuppgif- ter för samma ändamål. ”Biträdets” behandling kunde därför inte anses ske för den personuppgiftsansvariges räkning (dom 2013-10- 29, mål nr 2757-13).

Personuppgiftsansvar inom det allmänna

I personuppgiftslagens definition anges alltså inte på motsvarande sätt som i dataskyddsdirektivet vad för slags aktör som kan vara personuppgiftsansvarig. Det förhållandet att personuppgiftsansvaret är skadeståndssanktionerat torde emellertid innebära att ansvaret ytterst måste bäras av ett rättssubjekt, dvs. en fysisk eller juridisk person som kan svara vid domstol och ikläda sig eller åläggas en rättslig skyldighet, t.ex. den att utge skadestånd.

I det allmännas verksamhet anses det dock normalt vara en statlig eller kommunal myndighet som är personuppgiftsansvarig för personuppgiftsbehandlingen snarare än den juridiska personen

– staten, landstinget eller kommunen – i vart fall under förutsätt- ning att myndigheten är så självständig att den är en förvaltnings- myndighet. I flertalet registerförfattningar som reglerar personupp- giftsansvaret är det vidare myndigheter som pekats ut som person- uppgiftsansvariga trots att de alltså inte utgör egna rättssubjekt i rättslig mening.

Det förhållandet att statliga och kommunala myndigheter inte utgör juridiska personer innebär bl.a. att skadeståndstalan på grund av en myndighets behandling i strid med personuppgiftslagen måste väckas gentemot den juridiska personen, dvs. staten, lands- tinget eller kommunen.

I ett avgörande av JK rörande krav på skadestånd enligt 48 § PuL på grund av att en länsstyrelse hade registrerat en felaktig upp- gift om körkortsspärr i vägtrafikregistret, uppkom fråga om vilken av de inblandade statliga myndigheterna som skulle betala skade- ståndet, Vägverket i egenskap av personuppgiftsansvarig för registret eller länsstyrelsen såsom den myndighet som hade gjort den fel- aktiga inmatningen. JK konstaterade att det är staten som är ersätt- ningsskyldig samt att om flera enheter inom staten är berörda, bör fördelningen av ansvaret myndigheterna emellan bli en fråga för staten själv. Därvid tillämpade JK den principen att ersättningen

336

SOU 2015:39

Personuppgiftsansvar och säkerhet

skulle utges av den enhet som bar huvudansvaret för felet, i det aktuella fallet länsstyrelsen (JK 2006-09-12, dnr 1127-05-42).

Personuppgiftsbiträden inom det allmänna

Det är inte ovanligt att myndigheter anlitar personuppgiftsbiträden, t.ex. en servicebyrå eller en konsult, för att utföra personuppgifts- behandlingar för myndighetens räkning (se t.ex. JO 2012/13 s. 362 om Försäkringskassans personuppgiftsbiträdesavtal med Demo- skop). På senare år har användning av s.k. molntjänster blivit van- ligare, inte minst i kommunal förvaltning, vilket innebär att det måste träffas personuppgiftsbiträdesavtal med leverantören av tjänsten.

Vad särskilt gäller molntjänster har Datainspektionen i ett infor- mationsblad närmare behandlat vad beställare av en molntjänst måste klargöra i avtalet med ett personuppgiftsbiträde. Utöver vad som direkt framgår av personuppgiftslagen och vad som nämnts ovan om underbiträden framhålls bl.a. att det ska finnas tekniska och praktiska förutsättningar att utreda misstankar om att någon hos personuppgiftsbiträdet haft obehörig åtkomst till personupp- gifterna och att parterna vet vilka åtgärder som ska vidtas vid av- talets upphörande så att personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter.

Det förekommer också att myndigheter behandlar personupp- gifter som personuppgiftsbiträden åt andra myndigheter. Inte sällan handlar det då om utkontraktering av it-drift från en myndighet till annan myndighet som tillhandahåller it-baserade funktioner. Vidare förekommer det att myndigheter är personuppgiftsbiträde åt en- skilda.

Inom hälso- och sjukvårdens olika system för sammanhållen journalföring m.m. synes det vara särskilt vanligt med personupp- giftsbiträdesavtal där en myndighet uppträder som personuppgifts- biträde i ganska komplicerade konstellationer på olika nivåer och med t.ex. underbiträden till personuppgiftsbiträden på sätt som på- minner om stora entreprenadförhållanden (SOU 2014:23 s. 212).

Sveriges Kommuner och Landsting har utformat en mall för personuppgiftsbiträdesavtal i samband med sammanhållen journal- föring där personuppgiftsansvariga (t.ex. privata vårdgivare som har avtal om skattefinansierad vård med ett landsting) ger fullmakt för

337

Personuppgiftsansvar och säkerhet

SOU 2015:39

biträdet (landstinget) att träffa avtal med underbiträden (t.ex. it- leverantörer). Mallen synes vara utformad utifrån Datainspektio- nens vägledande uttalande. Sveriges Kommuner och Landsting har vidare i en vägledning om molntjänster i skolan utformat rekom- mendationer om vad personuppgiftsbiträdesavtal med molnleveran- törer minst ska innehålla. Innebär molntjänster att personuppgifter lagras i tredjeland, dvs. utanför EU och EES, måste det, med vissa undantag, också finnas ett kontrakt med sådana standardavtals- klausuler som EU-kommissionen utformat för överföring av person- uppgifter till ett personuppgiftsbiträde i tredjeland (jfr 13 § PuF).

Som framgått ovan är det den personuppgiftsansvarige och inte personuppgiftsbiträdet som gentemot registrerade bär det skade- ståndssanktionerade ansvaret för lagenligheten i behandlingen. Detta gäller alldeles oavsett om det är en myndighet som är person- uppgiftsbiträde. Däremot har en myndighet som behandlar person- uppgifter i egenskap av personuppgiftsbiträde ett direkt ansvar att följa andra i sammanhanget relevanta författningsbestämmelser, exempelvis regleringen i 2 kap. TF, offentlighets- och sekretess- lagen, arkivlagen, förvaltningslagen m.m. Det ansvaret torde inte i sig påverkas av huruvida myndighetens personuppgiftsbehandling sker i rollen som personuppgiftsbiträde eller som personuppgifts- ansvarig och det är inte heller ett ansvar som kan bli föremål för avtalskonstruktioner av något slag.

När en myndighet anlitar personuppgiftsbiträden för att behandla personuppgifter måste myndigheten, för det fall personuppgifterna omfattas av sekretess, göra en noggrann bedömning av om sekre- tessen utgör ett hinder för ett sådant arrangemang. JO har belyst denna fråga i ett beslut i vilket allvarlig kritik riktades mot vård- givare för att i strid mot hälso- och sjukvårdssekretessen ha lämnat ut patientuppgifter till anställda vid ett företag med vilket man ingått personuppgiftsbiträdesavtal om utförande av läkarsekreterar- tjänster för journalföring (beslut 2014-09-09, dnr 3032-2011).

E-delegationen har i delbetänkandet Så enkelt som möjligt för så många som möjligt – Bättre juridiska förutsättningar för samverkan och service (SOU 2014:39) behandlat sekretessfrågor i samband med att en myndighet tillhandahåller it-drift åt en annan myn- dighet. Vidare behandlas vad som gäller i sekretesshänseende när en myndighet tillhandahåller e-tjänster i form av s.k. elektroniska för- var – t.ex. e-tjänsten Mina meddelanden – åt enskilda eller s.k. pre-

338

SOU 2015:39

Personuppgiftsansvar och säkerhet

sentationstjänster som sammanställer uppgifter från den egna myn- digheten eller annan för visning för en enskild.

Närmare om personuppgiftsansvarets räckvidd

Vem som är personuppgiftsansvarig för en viss behandling av per- sonuppgifter är en fråga som ibland kan vara svår att besvara. Det som ska bedömas är vem som bestämmer över ändamålen och medlen för personuppgiftsbehandlingen och det är de faktiska om- ständigheterna i det enskilda fallet som är avgörande. Olika avtalskonstruktioner där personuppgiftsansvaret preciseras kan be- aktas i bedömningen men avgörande är alltid vem (eller vilka) som faktiskt har bestämt över personuppgiftsbehandlingen (Öman/ Lindblom, s. 93).

Det finns exempel i praxis på att domstol, efter en bedömning av hur det faktiskt förhållit sig med bestämmanderätten över ända- mål och medel, bortsett från ett upprättat personuppgiftsbiträdes- avtal mellan myndigheter. Förvaltningsrätten i Stockholm prövade om ett universitet var personuppgiftsansvarig eller personuppgifts- biträde avseende en viss datatjänst, Svensk nationell datatjänst, SND. I SND hanterades forskningsdata vari ingick bl.a. person- uppgifter som kom från andra forskningshuvudmän än universitetet. Ett personuppgiftsbiträdesavtal fanns enligt vilket universitetet var personuppgiftsbiträde till de olika forskningshuvudmännen när det gällde personuppgifterna i SND. Förvaltningsrätten fann dock, efter en bedömning av omständigheterna, att universitetet inte hanterade uppgifterna efter instruktioner från forskningshuvud- männen utan i själva verket bestämde över ändamålen med och medlen för behandlingen. Universitet befanns därför vara person- uppgiftsansvarigt trots personuppgiftsbiträdesavtalet (dom 2013- 10-14, mål nr 9987-12).

Att identifiera vem eller vilka bland flera möjliga aktörer som är personuppgiftsansvarig kan alltså ibland vara komplicerat. En annan dimension på ansvarsfrågan som kan vålla svårigheter är att slå fast vad personuppgiftsansvaret i olika delar omfattar. Övergripande frågor såsom anordnande och administration av tekniska informations- system och liknande kan t.ex. vara relevanta för bedömningen av vem som bestämmer över medlen för personuppgiftsbehandlingen.

339

Personuppgiftsansvar och säkerhet

SOU 2015:39

Detta i sin tur kan alltså leda till svårigheter att bedöma hur per- sonuppgiftsansvaret allmänt sett ska avgränsas eller vilken räckvidd personuppgiftsansvaret ska anses ha i ett enskilt fall.

EU-domstolen har i mål C-131/12 Google Spain bedömt bl.a. frågan om personuppgiftsansvar såvitt avser publicering av person- uppgifter på webbplatser och sökmotorleverantörers verksamhet. En spansk tidning hade år 1998 publicerat vissa personuppgifter om en person i upplagor som sedermera kommit att återpubliceras elektroniskt på internet. Den registrerade ansåg att uppgifterna inte längre borde finnas med i resultaten från en sökning med Googles sökmotor på hans namn.

EU-domstolen konstaterade att sökmotorer spelade en avgöran- de roll vid den totala spridningen av uppgifterna genom att göra dem tillgängliga för varje internetanvändare som gör en sökning på en persons namn. Enligt domstolen kan den organisering och aggregation av information publicerad på internet som görs av sökmotorerna i syfte att göra det enklare för användarna att få till- gång till informationen – när sökningen efter informationen görs utifrån namnet på en fysisk person – leda till att användarna genom förteckningen över sökresultaten erhåller en strukturerad översikt av information på internet rörande denna person, vilken gör det möjligt för dem att bilda sig en mer eller mindre detaljerad upp- fattning av den berörda personen. En sökmotorleverantörs verk- samhet kan således på ett betydande sätt, och utöver vad som redan skett genom webbplatsutgivarnas verksamhet, påverka grundlägg- ande rättigheter avseende privatlivet och skyddet för personupp- gifter. Därför måste sökmotorleverantören, i egenskap av person som bestämmer ändamålen och medlen för behandlingen av per- sonuppgifter, inom ramen för sitt ansvar, sin behörighet och sina möjligheter säkerställa att verksamheten uppfyller kraven i direktiv 95/46 för att de garantier som föreskrivs i direktivet ska få full verkan och för att ett effektivt och fullständigt skydd för de be- rörda personerna ska kunna förverkligas, bland annat när det gäller deras rätt till respekt för privatlivet. Enligt EU-domstolen skulle därför artikel 2 b och 2 d i dataskyddsdirektivet tolkas dels så, att en sökmotors verksamhet – som består i att lokalisera information som har publicerats eller lagts ut på internet av tredje män, indexera den på automatisk väg, lagra den tillfälligt och slutligen ställa den till förfogande för internetanvändare enligt en viss prioriterings-

340

SOU 2015:39

Personuppgiftsansvar och säkerhet

ordning – ska anses utgöra ”behandling av personuppgifter” i den mening som avses i artikel 2 b, när informationen innehåller personuppgifter, dels så, att sökmotorleverantören ska anses vara ”registeransvarig”, dvs. personuppgiftsansvarig, för nämnda behand- ling av personuppgifter i den mening som avses i artikel 2 d (punk- terna 37–41).

Ytterligare en fråga som kan ställas är när i informations- hanteringsprocessen personuppgiftsansvaret inträder. Den frågan aktualiserades i rättsfallet HFD 2012 ref. 21. Målet rörde Försäk- ringskassans elektroniska självbetjäningstjänster via dels en SMS- tjänst för anmälan av tillfällig föräldrapenning, dels en tjänst för arbetsgivares anmälan av anställdas sjukdomsfall, en s.k. Infra- tjänst. I båda fallen lämnades uppgifter genom elektroniska kom- munikationskanaler via olika operatörer och uppgifterna var inte tillgängliga för Försäkringskassan förrän det att de nådde kassans elektroniska mottagningsställe. Frågan i målet gällde om Försäkrings- kassan skulle betraktas som personuppgiftsansvarig redan innan uppgifterna blev tillgängliga för myndigheten och att myndigheten därför var skyldig att göra en risk- och sårbarhetsanalys avseende de aktuella självbetjäningstjänsterna. Utan att närmare beröra reg- leringen av personuppgiftsansvaret i tillämplig registerförfattning (dåvarande 6 § lagen [2003:763] om behandling av personuppgifter inom socialförsäkringens administration, numera 114 kap. 6 § SFB) utgick Högsta förvaltningsdomstolen från regleringen i person- uppgiftslagen. Domstolen fann att det var Försäkringskassan som hade bestämt såväl ändamålen med behandlingen av personupp- gifterna (att göra vissa anmälningar) som medlen för behandlingen (anvisandet av de särskilda kommunikationsvägarna). Enligt dom- stolen förutsätter personuppgiftsansvar att den som bestämt ända- mål och medel för behandlingen också utför behandlingen, dvs. vidtar åtgärder som innefattar behandling enligt 3 § PuL eller att sådana åtgärder utförs för dennes räkning. Även om Försäkrings- kassan saknade möjligheter att påverka hur uppgifterna hanterades innan de blev tillgängliga för kassan var de åtgärder med person- uppgifterna som vidtogs innan de blev tillgängliga att betrakta som ett led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Den omständigheten att Försäkringskassan saknade fak- tisk möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för myndigheten kunde visserligen innebära svårigheter

341

Personuppgiftsansvar och säkerhet

SOU 2015:39

vid bedömningen av de skyldigheter och sanktionsmöjligheter som föreskrivs i personuppgiftslagen men detta hindrade inte att kassan hade ansvar för att göra en risk- och sårbarhetsanalys för den aktu- ella sms-tjänsten. Försäkringskassans personuppgiftsansvar ansågs alltså inträda på ett tidigare stadium än vad som motsvarade För- säkringskassans faktiska kontroll över personuppgifterna.

När flera aktörer är involverade i processer eller informations- system där personuppgifter behandlas – t.ex. vid interaktiva tjänster på nätet eller i myndighetsövergripande samarbeten – kan det upp- komma frågor kring vem eller vilka som är personuppgiftsansvariga för de olika momenten i hanteringen. Varken dataskyddsdirektivet eller personuppgiftslagen innehåller några bestämmelser till ledning för hur den frågan ska bedömas. I punkt 47 i ingressen till direk- tivet anges dock att när ett meddelande som innehåller personupp- gifter översänds genom förmedling av en organisation för telekom- munikation eller elektronisk post, vars enda ändamål är att över- sända sådana meddelanden, blir det normalt den från vilken med- delandet härrör och inte den som erbjuder den nämnda tjänsten som anses ansvara för behandlingen av personuppgifterna. De som erbjuder sådana tjänster kommer dock normalt att anses som an- svariga för behandlingen av de ytterligare personuppgifter som fordras för att tjänsten ska kunna användas.

Det brukar framhållas att – när flera aktörer är involverade – det är av stor vikt att berörda parter redan innan en tilltänkt person- uppgiftsbehandling påbörjas sinsemellan analyserar och klargör hur det förhåller sig med personuppgiftsansvaret för olika moment eller situationer och överväger eventuella personuppgiftsbiträdesfunk- tioner m.m. (se t.ex. Datainspektionens vägledning för kommuner: Personuppgifter och e-förvaltning, s. 45 f. och SOU 2006:82 s. 342). I sammanhanget kan vidare nämnas att det är ett krav enligt 23–25 §§ PuL att den registrerade får information om vem som är person- uppgiftsansvarig för behandlingen av personuppgifter om honom eller henne. Utgångspunkten är alltså att det inte ska förekomma någon personuppgiftsbehandling utan att det är tydligt för den en- skilde registrerade vem som är ansvarig. I den mån flera person- uppgiftsansvariga är involverade i en och samma personuppgifts- behandling torde därigenom gälla ett krav på att den enskilde regi- strerade informeras om hur personuppgiftsansvaret fördelas mellan aktörerna.

342

SOU 2015:39

Personuppgiftsansvar och säkerhet

Artikel 29-gruppen har behandlat frågor om personuppgifts- ansvarets räckvidd och fördelning mellan olika aktörer m.m. i en rapport från 2010 (opinion 1/2010 in the concept of ”controller” and ”processor”, 00264/10/EN WP 169). När det gäller person- uppgiftsansvarets fördelning i komplexa situationer med flera in- blandade aktörer har gruppen intagit ett ganska flexibelt betrakt- elsesätt på frågan om personuppgiftsansvar är gemensamt eller uppdelat. I rapporten framhålls att registeransvaret är ett funk- tionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger. Det är de faktiska omständigheterna som ska vara avgörande vid bedömningen. I samarbeten mellan aktörer som delar ändamål och medel för personuppgiftsbehandlingen kan per- sonuppgiftsansvaret vara gemensamt medan samarbeten i form av informationsutbyten mellan aktörer som behandlar personuppgifter för olika ändamål ofta kan ses som överföring av data mellan sepa- rata personuppgiftsansvariga. Vid gemensamma infrastrukturer där flera aktörer tillsammans bestämmer medlen för behandling av personuppgifter kan aktörerna vara gemensamt ansvariga för infra- strukturen även om de inte har samma ändamål för sina respektive personuppgiftsbehandlingar för vilka de är separat personuppgifts- ansvariga. I rapporten nämns också andra exempel på fall där personuppgiftsansvaret vid olika samarbeten m.m. kan vara delvis gemensamt, delvis uppdelat. Vidare betonas att ansvaret mycket väl kan vara differentierat mellan aktörerna och att olika grader av kon- troll kan ge upphov till olika grader av ansvar. Avtalsmässiga villkor och förhållanden mellan aktörerna kan vara användbara vid bedöm- ningen av ansvarets förläggande eller fördelning, särskilt om det inte finns någon anledning att ifrågasätta att avtalet korrekt speglar verkligheten. I komplexa system kan enskilda registrerades rätt till information och andra rättigheter enligt dataskyddsdirektivet tillgodoses på olika nivåer av de olika aktörerna. Särskilt viktigt är dock att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot bestämmelserna är tydligt fördelade i kom- plexa behandlingsmiljöer samt att inga situationer uppstår där skyl- digheter och rättigheter som följer av dataskyddsdirektivet inte följs av någon av aktörerna. Så länge som fullständig efterlevnad garanteras, bör de inblandade aktörerna ha utrymme till flexibilitet i fördelningen av skyldigheter och ansvar. Den enskilde registrerade måste dock i komplexa behandlingsmiljöer få utförlig information

343

Personuppgiftsansvar och säkerhet

SOU 2015:39

om de olika aktörerna och personuppgiftsbehandlingens olika moment samt om hur ansvaret för att tillgodose den enskildes rättigheter fördelas mellan aktörerna.

Särskilt om personuppgiftsansvar vid tillgång till uppgifter genom direktåtkomst m.m.

När en myndighet har direktåtkomst till en annan myndighets personuppgifter kan det uppkomma frågeställningar rörande person- uppgiftsansvarets avgränsning och räckvidd, exempelvis om hur långt den utlämnande myndighetens ansvar sträcker sig och när den mottagande myndighetens ansvar inträder.

Enligt Datalagskommittén borde den som t.ex. via ett nätverk har åtkomst till och kan läsa och söka bland personuppgifter utan självständig rätt eller faktisk möjlighet att ändra, komplettera eller radera uppgifterna normalt inte anses vara personuppgiftsansvarig (SOU 1997:39 s. 334). En sådan begränsad tillgång innebär näm- ligen ingen bestämmanderätt över ändamål och medel som förut- sätts för personuppgiftsansvar. Om denne dock med eller utan rätt faktiskt börjar bestämma över ändamålen och medlen genom att t.ex. ändra, komplettera eller radera bland uppgifterna, inträder dock ett personuppgiftsansvar. Samma ståndpunkt har Datainspek- tionen framfört i ett informationsblad om personuppgiftsansvar (Datainspektionens informationsblad november 1999, uppdaterad januari 2008, se även t.ex. prop. 2007/08:126 s. 61 f.).

I litteraturen har framhållits att den som gör en databas med personuppgifter tillgänglig för tredje man via nätverk eller annan teknisk förbindelse (s.k. online-tjänst) är ensam personuppgifts- ansvarig för den behandling av personuppgifter som de utomståen- des sökningar och bearbetningar av databasen innebär, men inte för de vidare behandlingar som de utomstående kan komma att utföra avseende de insamlade personuppgifterna (Öman/Lindblom, s. 97).

En utlämnande myndighet kan knappast undgå att vara person- uppgiftsansvarig för det utlämnande som åtgärden att göra person- uppgifterna tillgängliga för annan innebär. Det kan vidare konsta- teras att en myndighets direktåtkomst till en annan myndighets uppgiftssamlingar inte med automatik medför något personupp- giftsansvar för sådan personuppgiftsbehandling som sker när en befattningshavare hos en mottagande myndighet i ett enskilt fall tar

344

SOU 2015:39

Personuppgiftsansvar och säkerhet

del av uppgifter i uppgiftssamlingen. Den gängse uppfattningen torde vara att det då är den utlämnande myndigheten som är per- sonuppgiftsansvarig, i vart fall så länge som den mottagande myn- digheten inte kan komplettera eller ändra uppgifterna.

Däremot förefaller det klart att en mottagande myndighet som laddar ned och sparar en kopia av uppgifterna som införlivas i de egna informationssamlingarna i vart fall senast i och med den åtgär- den blir personuppgiftsansvarig för den behandling som åtgärden innebär och för den fortsatta behandlingen av uppgifterna. Nor- malt torde den utlämnande myndigheten inte ha ett kvarstående personuppgiftsansvar för den mottagande myndighetens fortsatta behandling.

10.1.3Reglering i registerförfattningar

Enligt artikel 2 d i dataskyddsdirektivet kan medlemsstaterna i natio- nell rätt utse den registeransvarige när ändamålen och medlen för behandlingen bestäms av nationella författningar eller gemenskaps- rätten. Denna möjlighet har i Sverige utnyttjats flitigt genom reg- lering av personuppgiftsansvar i registerförfattningar.

I den mån en registerförfattning har lagform med komplette- rande bestämmelser i en anknytande förordning, brukar person- uppgiftsansvaret regleras i lagen. Ett undantag härifrån är personuppgiftsbehandlingen inom socialtjänsten där personuppgifts- ansvaret reglerats i förordning (6, 11, 17 och 22 §§ förordningen [2001:637] om behandling av personuppgifter inom socialtjänsten).

I vissa fall har regleringen av personuppgiftsansvaret motiverats med att detta ansetts nödvändigt med tanke på att ändamålen anges i lagen i stället för att bestämmas av den aktuella myndigheten. Det har nämligen befarats att tveksamhet annars kan uppstå om huru- vida myndigheten verkligen har ett sådant inflytande över ända- målen med behandlingen att den blir att anse som personuppgifts- ansvarig vid en tillämpning av personuppgiftslagens regler (se t.ex. Lagrådets synpunkter i prop. 1997/98:80 s. 117 och 1997/98:108 s. 90). Från integritetsskyddssynpunkt har det vidare ofta ansetts lämpligt att på ett tydligt sätt peka ut vem som är personuppgifts- ansvarig för den behandling som regleras i en registerförfattning (se t.ex. prop. 2000/01:126 s. 33).

345

Personuppgiftsansvar och säkerhet

SOU 2015:39

Det vanligaste är att en myndighet som omfattas av en register- författning anges som personuppgiftsansvarig för den behandling av personuppgifter ”som myndigheten utför”.

Mindre vanligt är att en myndighet ges ett personuppgiftsansvar även för personuppgiftsbehandling som andra myndigheter utför. När detta förekommer handlar det ofta om renodlade register- författningar som reglerar förandet av vissa register. Exempelvis har Lantmäteriet enligt 5 § lagen (2000:224) om fastighetsregister ett ensamt personuppgiftsansvar för fastighetsregistret trots att flera kommunala lantmäterimyndigheter också är registerförande. I motiven diskuterades för- och nackdelar med ensamt respektive uppdelat personuppgiftsansvar. Det uppdelade ansvar som kunde tänkas skulle i så fall bygga på att den myndighet som för in en uppgift i registret också är den som har möjlighet att se till att det sker på ett korrekt sätt och därför borde ansvara för den uppgiften medan Lantmäteriet skulle ges ett övergripande ansvar. Ett sådant uppdelat personuppgiftsansvar ansågs dock ge upphov till ganska komplicerade frågor eftersom införda uppgifter sprids till olika delar av registret på ett sätt som införande kommunal myndighet saknar kontroll över, vilket skulle ha betydelse även för hur långt- gående Lantmäteriets övergripande ansvar skulle vara. Ett uppdelat ansvar skulle vidare medföra att det för den enskilde i många situationer skulle framstå som oklart vem han eller hon kunde vända sig till för att utverka sina rättigheter. Ett ensamt ansvar för Lant- mäteriet bedömdes därför vara mest fördelaktigt för den enskilde registrerade (prop. 1999/2000:39 s. 81 f.).

I det vi kallar informationshanteringsförfattningar är alltså det normalt förekommande ett uppdelat personuppgiftsansvar i den meningen att det anges att varje myndighet ansvarar för den be- handling som den myndigheten utför. Så är t.ex. fallet beträffande Skatteverket, Kronofogdemyndigheten och Tullverket enligt informa- tionshanteringsförfattningarna på området skatt, folkbokföring, exekution och tull. Både Kronofogdemyndigheten och Tullverket har eller får ges direktåtkomst till Skatteverkets beskattnings- databas. Även socialnämnder kan få sådan direktåtkomst (se 1 kap. 5 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 1 kap. 6 § lagen om behandling av uppgifter i Tull- verkets verksamhet och 11 § förordningen om behandling av per- sonuppgifter inom socialtjänsten). I förarbetena berördes inte hur

346

SOU 2015:39

Personuppgiftsansvar och säkerhet

bestämmelserna om personuppgiftsansvar i mottagande myndig- heters informationshanteringsförfattningar förhåller sig till Skatte- verkets ansvar när Skatteverket lämnar ut personuppgifter till dem via direktåtkomst, dvs. vem som har personuppgiftsansvaret för de konkreta behandlingar som sker då någon av de mottagande myn- digheterna gör en sökning i beskattningsdatabasen. Så skedde där- emot i förarbetena till kustbevakningsdatalagen (2012:145). Den lagen liknar nyss nämnda informationshanteringsförfattningar på så sätt att den myndighet som omfattas av lagens tillämpningsområde enligt en lagbestämmelse är ”personuppgiftsansvarig för den be- handling som myndigheten utför” (2 kap. 4 § kustbevakningsdata- lagen). Flera myndigheter har direktåtkomst till Kustbevakningens uppgiftssamlingar. Beträffande frågan om vad som gäller i fråga om personuppgiftsansvar när en annan myndighet använder direkt- åtkomsten enbart för att läsa en uppgift framhöll regeringen följ- ande (prop. 2011/12:45 s. 199).

Den myndighet som samlar in och lagrar personuppgifter är person- uppgiftsansvarig för den behandlingen. Om samma uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på något annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret för en och samma personuppgift ligga hos flera myndigheter. Var och en av dessa ansvarar för den egna behandlingen.

Frågan om personuppgiftsansvarets fördelning diskuterades tämligen ingående i lagstiftningsärendet rörande personuppgiftsbehandling i verksamhet inom socialförsäkringens administration, dvs. hos För- säkringskassan och Pensionsmyndigheten, numera reglerad i 114 kap. SFB. Enligt 114 kap. 6 § är en myndighet inom socialförsäkringens administration personuppgiftsansvarig för ”den behandling av per- sonuppgifter som den utför”. I förarbetena till bestämmelsen diskuterades frågan om lämpligheten i myndighetsgemensamt per- sonuppgiftsansvar. Till bilden hör att Försäkringskassan vid denna tid ännu inte hade bildats utan det fanns en myndighetsstruktur med Riksförsäkringsverket som central myndighet och ett antal fristående försäkringskassor mellan vilka ansvaret skulle fördelas. Regeringen anförde att det inte var ändamålsenligt att i lag i detalj specificera vem som skulle vara personuppgiftsansvarig för alla de olika typer av behandlingar som kunde tänkas förekomma inom

347

Personuppgiftsansvar och säkerhet

SOU 2015:39

socialförsäkringens administration. Särskilt gällde detta de mer kom- plexa förhållanden som rådde vid myndighetsgemensam använd- ning av de stora register som ingår i socialförsäkringsdatabasen. I stället borde personuppgiftsansvaret fördelas genom en regel av mer övergripande karaktär som tog sikte på den myndighet som utför en viss behandling. Enligt regeringen var det den enskilda behandlingen som skulle utgöra grunden för fördelningen av person- uppgiftsansvaret. Regeringen fortsatte enligt följande (prop. 2002/03:135 s. 52 f.).

Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktua- liseras, dock inte längre än fram till den tidpunkt då den myndigheten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en personuppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.

För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behand- lingar som utförs. Förslaget om fördelning av personuppgiftsansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling.

I övergripande frågor, såsom ansvar för att tekniska eller organisa- toriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret för- delas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riks- försäkringsverket i verksinstruktionen att vara ansvarig systemägare för Riksförsäkringsverkets och försäkringskassornas gemensamma IT- system att det är verket som har personuppgiftsansvaret vad avser sådana frågor. Enligt regeringens uppfattning innebär det lämnade för- slaget i princip ett sådant “gemensamt” personuppgiftsansvar som ett flertal försäkringskassor efterlyst. Att införa en bestämmelse som innefattar begreppet “gemensamt personuppgiftsansvar” är dock inte i sig ägnat att bringa större klarhet rörande fördelningen av person- uppgiftsansvaret eftersom det i enlighet med vad som anförts ovan i själva verket är så att personuppgiftsansvaret splittras upp på de olika myndigheterna. Enligt regeringens uppfattning bör personuppgifts- ansvaret i stället fördelas utifrån en bestämmelse som tar sikte på vilken myndighet som utför en behandling av personuppgifter.

348

SOU 2015:39

Personuppgiftsansvar och säkerhet

Även i patientdatalagen (2008:355), en informationshanteringsför- fattning som ska tillämpas av en stor mängd personuppgiftsansva- riga vårdgivare, finns bestämmelser som fördelar personuppgifts- ansvaret. Varje hälso- och sjukvårdsmyndighet ansvarar enligt 2 kap. 6 § för den personuppgiftsbehandling som myndigheten ut- för. I paragrafen förtydligas att detta även omfattar den behandling av personuppgifter som en myndighet utför när myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till person- uppgifter om en patient hos en annan vårdgivare eller hälso- och sjukvårdsmyndighet. Enligt motiven följde i och för sig redan av bestämmelsen om att var och en ansvarar för den behandling som man själv utför att den vårdgivare (eller myndighet) som använder en direktåtkomst för att söka efter eller läsa vårddokumentation hos annan vårdgivare blir personuppgiftsansvarig för den behand- ling som detta innebär. Datainspektionen hade emellertid i sitt remissvar anfört att en sådan skillnad mot vad som normalt anses gälla vid direktåtkomst borde kunna utläsas i lagen. Av den anled- ningen ansåg regeringen att ett förtydligande borde införas i be- stämmelsen (prop. 2007/08:126 s. 61 f. och s. 230).

Av intresse är vidare bestämmelsen i 6 kap. 6 § patientdatalagen om att regeringen eller den myndighet regeringen bestämmer vid sammanhållen journalföring med direktåtkomst över vårdgivare- eller myndighetsgränser får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. Den möjligheten öppnar således för en reglering som separerar olika moment i personuppgifts- ansvaret. Som huvudregel gäller dock även vid direktåtkomst genom sammanhållen journalföring att varje vårdgivare eller myndighet är personuppgiftsansvarig för den behandling som den utför. I motiven framhöll regeringen att beroende på organisation och samarbets- former vid olika system för sammanhållen journalföring torde regeln i 2 kap. 6 § ofta innebära ett solidariskt personuppgiftsansvar för övergripande frågor. En sådan ordning framstår dock inte alltid som naturlig. Om exempelvis allas vårddokumentation lagras och behandlas i en gemensam databas som administreras av bara en av vårdgivarena, t.ex. ett landsting – som också i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet – kan det tala för att det aktuella landstinget bör anses ha ett person- uppgiftsansvar för övergripande frågor. Eftersom det vidare inte

349

Personuppgiftsansvar och säkerhet

SOU 2015:39

alltid är helt klart hur det förhåller sig med personuppgiftsansvaret i övergripande frågor vid gränsöverskridande personuppgifts- behandling, kan det dessutom finnas ett behov av en tydlig reg- lering i dessa frågor. Därför befanns det finnas ett behov av det aktuella bemyndigandet för regeringen (prop. 2007/08:126 s. 255).

Några sådana föreskrifter som avses i 6 kap. 6 § patientdatalagen om personuppgiftsansvar för övergripande tekniska och organisa- toriska säkerhetsåtgärder har emellertid hittills inte meddelats. I stället synes förekomma att samarbetande landsting och ingående vård- givare träffar personuppgiftsbiträdesavtal om att landstinget utför viss behandling för de övriga vårdgivarnas räkning såsom biträde.

I sitt slutbetänkande har Utredningen om rätt information i vård och omsorg (SOU 2014:23) föreslagit att bemyndigandet avskaffas. Enligt utredningen är det av flera skäl olämpligt eller mindre ändamålsenligt att regeringen fattar beslut om personupp- giftsansvaret, bl.a. eftersom bemyndigandet bidrar till passivitet hos vårdgivarna själva. För att stimulera vårdgivarna att själva aktivt analysera och ta ställning till frågan om någon eller några ska ha ett personuppgiftsansvar för övergripande säkerhetsfrågor har utred- ningen föreslagit en grundläggande bestämmelse som anger att vård- givare som utbyter uppgifter genom direktåtkomst eller på annat sätt samverkar vid behandling av personuppgifter, genom överens- kommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säker- hetsåtgärder.

I förslaget till domstolsdatalag (Ds 2013:10) föreslås att Domstols- verket – som utvecklar och tillhandahåller det verksamhetssystem som alla domstolar arbetar i – ska vara personuppgiftsbiträde åt var och en av domstolarna såsom personuppgiftsansvariga för den behandling av personuppgifter som varje domstol i fråga utför. Förslaget innebär att domstolarna får teckna skriftliga personupp- giftsbiträdesavtal med Domstolsverket.

350

SOU 2015:39

Personuppgiftsansvar och säkerhet

10.1.4Våra överväganden och förslag

En myndighet ska vara personuppgiftsansvarig för den behandling som myndigheten utför

Förslag: I den nya lagen införs en generell regel som innebär att en myndighet alltid är personuppgiftsansvarig för den behand- ling som myndigheten utför.

Som har framgått får utgångspunkten enligt den unionsrättsliga dataskyddsregleringen anses vara att de faktiska förhållandena i det enskilda fallet ska vara avgörande när personuppgiftsansvarets om- fattning och fördelning ska bestämmas. Genom att ansvaret för- läggs till den eller de som utifrån förutsättningarna i det enskilda fallet faktiskt bestämmer över ändamål och medel skapas garantier för att det också finns en reell förmåga att leva upp till de skyl- digheter som ansvaret är förknippat med. Att utgå från de faktiska förhållandena snarare än organisatoriska eller rättsliga faktorer är också ägnat att i varje enskilt fall åstadkomma ett heltäckande skydd som eliminerar risken för att någon skyldighet eller rättighet “faller mellan stolarna”. Definitionen av personuppgiftsansvarig i 3 § PuL kan sägas ge uttryck för detta.

Enligt vår uppfattning bör samma utgångspunkter gälla även då myndigheter behandlar personuppgifter, dvs. att de faktiska för- hållandena i det enskilda fallet ska avgöra både när en myndighets personuppgiftsansvar uppstår eller upphör och huruvida detta an- svar, då flera aktörer samverkar, ska vara gemensamt eller uppdelat på något sätt.

Det är enligt personuppgiftslagen den som bestämmer bl.a. ända- målen med en behandling som är personuppgiftsansvarig. När ändamål för behandling är reglerade i författning är det därför naturligt att också personuppgiftsansvaret regleras. Annars kunde det uppstå tveksamheter kring frågan om en myndighet verkligen bestämmer ändamål och medel för personuppgiftsbehandlingen. Vi har i avsnitt 9.2.4 föreslagit att myndigheter som huvudregel själva ska, utifrån de uppgifter respektive myndighet har, formulera särskilda, uttryckliga och berättigade ändamål som grund för att över huvud taget samla in information som sedan behandlas i myn- dighetens verksamhet. Eftersom det med vårt förslag alltså normalt

351

Personuppgiftsansvar och säkerhet

SOU 2015:39

sett inte ska förekomma några ändamålsbestämmelser finns det inte anledning att av det skälet införa regler om personuppgiftsansvar. Frågan blir då om det av något annat skäl finns anledning att i den generella lagen införa bestämmelser som särreglerar personupp- giftsansvaret eller om det enbart ska hänvisas till definitionen i 3 § PuL som anger hur ansvaret ska identifieras.

I flertalet informationshanteringsförfattningar som är konstru- erade på det sättet att de inom sitt respektive tillämpningsområde reglerar mer än en myndighets personuppgiftsbehandling anges att varje myndighet är personuppgiftsansvarig för den behandling som myndigheten utför.

Vi menar att det i en generell reglering om myndigheters behandling av personuppgifter är lämpligt att på motsvarande sätt genom en uttrycklig bestämmelse klargöra att det är den faktiska informationshantering som sker i en viss myndighets verksamhet som ska vara utgångspunkten för bedömningen. En sådan bestäm- melse, som alltså ska föreskriva att en myndighet är personupp- giftsansvarig för den behandling av personuppgifter som myndig- heten utför, innebär att de faktiska förhållandena får en större betydelse än vad som hade varit fallet med enbart en hänvisning till personuppgiftslagen eftersom det då inte behöver ske någon prövning av huruvida myndigheten i fråga bestämt ändamålen och medlen för behandlingen i fråga. Visserligen kan man utgå från att en myndighet bestämmer både ändamålen och medlen för den per- sonuppgiftsbehandling som sker hos myndigheten. Det kan dock inte uteslutas att det någon gång kan uppstå tveksamheter rörande denna fråga. Redan detta talar för att myndighetens ansvar för personuppgiftsbehandlingen bör följa direkt av den nya lagen.

En grundregel om att en myndighet är ansvarig för den behand- ling av personuppgifter som myndigheten utför har emellertid sin främsta betydelse genom att den – då flera aktörer samarbetar eller det annars kan finnas någon alternativt tänkbar personuppgifts- ansvarig – pekar ut vem som är ansvarig för varje enskild urskiljbar personuppgiftsbehandling. Enligt vår uppfattning talar tungt vägande skäl för att personuppgiftsansvaret för en enskild behandling bör förläggas hos den som har faktisk möjlighet att påverka om och hur behandlingen ska utföras, dvs. hos den som utför den. Vi föreslår därför en sådan grundregel.

352

SOU 2015:39

Personuppgiftsansvar och säkerhet

Den föreslagna grundregeln är, enligt vår mening, fullt förenlig med dataskyddsdirektivet. Den innebär som vi ser det inte ett så- dant rättsligt utpekande av den registeransvarige som enligt direk- tivet förutsätter att ändamålen regleras på motsvarande vis utan bör ses som ett förtydligande av hur innebörden i direktivets huvud- regel om registeransvar ska förstås på myndighetsområdet.

Grundregeln undanröjer emellertid på inget sätt svårigheterna kring avgränsningen av personuppgiftsansvaret. En komplicerande faktor här är t.ex. att det inte alltid är så lätt att avgöra vad som utgör en behandling i förhållande till en annan. I komplexa infor- mationsmiljöer kan det tänkas att samma uppgift behandlas i olika skeden av flera aktörer i processer som inte så lätt kan avgränsas, i vart fall inte utifrån rättsliga principer. Samtidigt går det enligt vår mening inte att införa bestämmelser som anger fixerade gränser för när en myndighets personuppgiftsansvar börjar eller slutar och exakt vad detta under mellantiden omfattar. Sådana rättsliga gränsdrag- ningar kan knappast utformas på ett sätt som skulle kunna fungera tillfredsställande i praktisk tillämpning. Avgränsningen måste där- med även i fortsättningen ske genom att analysera och bedöma de närmare faktiska förhållandena. För integritetsskyddet är det dock centralt att personuppgiftsansvaret inte är otydligt och att kompli- cerade fall hanteras så att enskilda informeras och vägleds på till- fredsställande sätt. Det är också väsentligt att olika behandlingar dokumenteras så att personuppgiftsansvaret för specifika behand- lingar kan identifieras i efterhand.

I sammanhanget kan vidare påpekas att det är av grundläggande betydelse för integritetsskyddet att det i myndighetens personupp- giftsansvar ingår att se till att det inom myndigheten finns en organisation, instruktioner och myndighetsintern praxis som möj- liggör kontroll och styrning av den personuppgiftsbehandling som sker, vilket i sin tur är nödvändigt för att myndigheten ska kunna upptäcka och åtgärda eventuella brister i sin behandling av person- uppgifter (jfr JO:s beslut den 17 mars 2015, dnr. 5205-2013, rörande det s.k. Kringresanderegistret vid dåvarande Polismyndig- heten i Skåne).

353

Personuppgiftsansvar och säkerhet

SOU 2015:39

Personuppgiftsansvar vid direktåtkomst m.m.

Förslag: I lagen införs en bestämmelse som klargör att per- sonuppgiftsansvaret för behandling som myndigheten utför även omfattar sådan behandling som utförs när myndigheten via direktåtkomst hos en annan myndighet eller enskild behandlar en tillgängliggjord personuppgift.

Innan en utlämnande myndighet medger en annan myndig- het eller enskild direktåtkomst till personuppgifter ska de kom- ma överens om hur skyddet för personuppgifterna ska säker- ställas. Överenskommelsen ska i första hand syfta till att klargöra ansvarsförhållandena mellan samarbetsparterna. Av överens- kommelsen ska framgå hur utövandet av de skyldigheter som personuppgiftsansvaret innefattar ska ske. Motsvarande ska gälla vid andra former av informationsutbyten som innebär behand- ling av personuppgifter i gemensamma eller annars integrerade informationssystem.

Personuppgiftsansvar för urskiljbara behandlingar

En särskild fråga är vad som ska gälla för enstaka behandlingar vid direktåtkomst. Direktåtkomst är en speciell form av elektroniskt utlämnande vars innebörd vi närmare behandlat i kapitel 5. Där har vi gjort bedömningen att den begreppsmässiga åtskillnaden mellan direktåtkomst och annat elektroniskt utlämnande bör behållas. Så- som vi tidigare konstaterat innebär direktåtkomst att olika myndig- heter samtidigt utför behandlingar av personuppgifter i en informa- tionssamling som genom åtkomsten i viss mån blir i rättslig mening gemensam. Både den utlämnande och mottagande myndigheten utför behandlingar men på olika nivåer.

Av den nyss föreslagna grundregeln följer att en myndighet som har tillgång till en annan myndighets personuppgifter via direkt- åtkomst blir personuppgiftsansvarig för den behandling som utförs då direktåtkomsten används, exempelvis när en sökning hos den utlämnande myndigheten sker. Detta innebär en avvikelse från vad som enligt gängse uppfattning torde följa av en tillämpning av personuppgiftslagen, nämligen att den som har direktåtkomst med möjlighet att endast söka och läsa inte blir personuppgiftsansvarig

354

SOU 2015:39

Personuppgiftsansvar och säkerhet

för den behandling som detta innebär. I ett tidigare lagstiftnings- ärende har det ansetts finnas behov av ett klargörande rörande detta (2 kap. 6 § patientdatalagen, prop. 2007/08:126 61 f.). Enligt vår uppfattning vinner den av oss föreslagna lagen i tydlighet med en motsvarande bestämmelse. Vi föreslår därför en sådan.

Vid direktåtkomst har den utlämnande myndigheten givetvis ett personuppgiftsansvar för innehållet i sin informationssamling och för att tillgängliggörandet av personuppgifter sker på ett lagligt sätt. Detta ansvar omfattar även den fortsatta lagringen och det konti- nuerliga tillgängliggörandet för externa mottagare. Detta är en följd av grundregeln om att en myndighet ansvarar för den behandling som myndigheten utför. Något ”medansvar” uppstår enligt vår mening inte hos den mottagande myndigheten bara för att denna har en latent möjlighet att själv ta fram personuppgifter ur informa- tionssamlingen och då ansvarar för den behandling som detta inne- bär.

Det förekommer, som har framgått ovan, författningar rörande viss registerföring, t.ex. beträffande lägenhetsregistret, där person- uppgiftsansvaret samlats hos den centrala förvaltaren av registret och där andra myndigheters användning av registret omfattas av registerhållarens personuppgiftsansvar. Det kan inte uteslutas att en sådan ordning av olika skäl kan visa sig vara en lämplig ordning även om den generella lagen avses vara tillämplig i övrigt. Inget hindrar att det i ett sådant fall genom särskild reglering för en viss myndighet eller verksamhet görs avsteg från den huvudregel vi före- slår. Sådana regler kan då, beroende på omständigheterna, endera tas in i en till den nya lagen anknytande bilaga eller förordning eller i annan särskild författning.

Krav på överenskommelser om hur skyddet för personuppgifterna ska säkerställas

I personuppgiftsansvaret ligger inte bara att urskiljbara faktiska be- handlingar ska ske i enlighet med de grundläggande kraven i 9 § PuL och att personuppgifter bara behandlas när det är tillåtet m.m. Ansvaret omfattar även mer övergripande frågor såsom att se till att behandlade personuppgifter skyddas genom tekniska och orga- nisatoriska säkerhetsåtgärder. Vidare innebär det bl.a. en skyldighet

355

Personuppgiftsansvar och säkerhet

SOU 2015:39

att självmant respektive på begäran ge registrerade information om behandlingen och att rätta eller ta bort felaktiga uppgifter.

Vi har kunnat konstatera att det föreligger en viss variationsrike- dom när det gäller de närmare tekniska och administrativa förut- sättningarna vid myndigheters elektroniska informationsutbyten. Direktåtkomst kan t.ex. avse extern tillgång till en databas som finns hos en utlämnande myndighet. Direktåtkomst kan emellertid också handla om sammankopplade informationssystem med olika informationssamlingar där medverkande myndigheter samtidigt är både utlämnare av egen information och mottagare av andra myn- digheters. Om och i så fall när personuppgiftsansvaret för mer övergripande frågor övergår från den ena aktören till den andra eller om personuppgiftsansvaret är gemensamt kan, som vi har konstaterat ovan, knappast regleras utan måste primärt bli en fråga för de inblandade aktörerna att bedöma. Avgörande är då vem eller vilka som har faktiska förutsättningar, befogenheter och förmåga att påverka behandlingen.

Oavsett vilket slags system för åtkomst som ett informations- utbyte bygger på är det alltså av stor vikt för integritetsskyddet att frågor om personuppgiftsansvarets fördelning och hur personupp- gifterna ska skyddas genom tekniska och organisatoriska säkerhets- åtgärder är grundligt analyserade och utredda innan åtkomsten etableras. Detta gäller i synnerhet vid direktåtkomst. Ju mer kom- plext ett system för informationsutbyte är, desto noggrannare måste de involverade myndigheterna och eventuella enskilda aktö- rerna ha tänkt igenom formerna för samarbetet. Det kan handla om frågor om t.ex. vem som ska ansvara för olika funktioner eller moment, säkerhetslösningar, loggning, kontroller och liknande eller om ansvaret för detta ska vara gemensamt. Särskilt viktigt är att aktörerna redan på förhand tillsammans utreder och klargör hur en heltäckande efterlevnad av samtliga dataskyddsbestämmelser ska garanteras så att det inte uppstår situationer där de olika skyldig- heterna inte följs av någon av aktörerna eller där den registrerade blir hänvisad fram och tillbaka. Däremot finns det inget hinder mot att enskilda registrerades rätt till information och andra rättigheter tillgodoses på olika nivåer och av olika aktörer. Det är vår bedömning att direktivet möjliggör ett utrymme för flexibilitet i fördelningen av det praktiska ombesörjandetav skyldigheter och ansvar så länge som erforderligt skydd garanteras. Den enskilde

356

SOU 2015:39

Personuppgiftsansvar och säkerhet

registrerade måste dock i komplexa behandlingsmiljöer få utförlig information om de olika aktörerna och personuppgiftsbehandlingens olika moment samt om hur ansvaret för att tillgodose den enskildes rättigheter fördelas mellan aktörerna.

Vi instämmer i vad Utredningen om rätt information i vård och omsorg påpekat om att det finns betydande fördelar med att frågor om personuppgiftsansvaret vid direktåtkomst i första hand hanteras av de inblandade aktörerna själva, dock att de kan behöva stimuleras till detta genom att det ställs krav på en analys av det planerade samarbetet och att man träffar en överenskommelse om hur per- sonuppgiftsansvaret för tekniska och organisatoriska säkerhets- åtgärder fördelas (SOU 2014:23 s. 206 f.). Enligt vår mening är detta ett generellt behov vid direktåtkomst på myndighetsområdet. Överenskommelser bör emellertid, enligt vår mening, inte enbart avse frågor om hur personuppgifter ska skyddas genom mer eller mindre övergripande tekniska och organisatoriska säkerhetsåtgär- der. Även andra skyldigheter som följer med personuppgiftsansva- ret bör bli föremål för diskussion och, vid behov, klargöras i överenskommelsen mellan aktörerna. Det kan gälla t.ex. frågor om hur man praktiskt organiserar och eventuellt samordnar rutiner och tjänster för rättelse, information som ska lämnas på begäran av den registrerade eller hur samarbete mellan involverade personuppgifts- ombud kan underlättas etc.

Vi föreslår mot den angivna bakgrunden att det införs en bestäm- melse som innebär att innan en utlämnande myndighet medger en annan myndighet eller enskild direktåtkomst till personuppgifter, myndigheterna ska komma överens om hur de skyldigheter som följer med personuppgiftsansvaret ska utövas. Övervägande skäl talar för att ansvaret för att en överenskommelse träffas bör ligga på den utlämnande myndigheten. I sådana fall då informationsflödet går åt båda hållen, blir ansvaret för överenskommelsen gemensamt.

Myndigheter och andra aktörer kan emellertid samarbeta på sätt som innefattar behandling av personuppgifter utan att det behöver handla om att en eller flera myndigheter ger eller får direktåtkomst till personuppgifter. Det förekommer andra varianter av informa- tionsutbyten eller samverkan i informationssystem som är gemen- samma eller annars integrerade. Till dessa hör bl.a. samarbeten över myndighetsgränser i form av förvaltningsgemensamma e-tjänster som erbjuds eller planeras för enskilda. Exempel härpå är den digi-

357

Personuppgiftsansvar och säkerhet

SOU 2015:39

tala brevlådan Mina meddelanden och presentationstjänsten Min ärendeöversikt. Vi menar att även vid sådana former av samarbeten som innefattar personuppgiftsbehandling bör det gälla ett krav på att aktörerna i förväg tillsammans klargör ansvarsfördelningen beträffande sådana moment i informationshanteringen som inte kan avgränsas som enskilda urskiljbara behandlingar. Den bestäm- melse om att det ska träffas överenskommelser om personuppgifts- ansvarets utövande vid direktåtkomst som vi föreslår bör därför även omfatta sådant övrigt samarbete mellan myndigheter eller med enskilda som sker i gemensamma eller annars integrerade informa- tionssystem.

Överenskommelser om personuppgiftsansvarets utövande syftar i första hand till att inblandade aktörer genom ett samarbetsavtal ska ha gjort klart för sig och sinsemellan vara överens om vem eller vilka som ansvarar för olika tekniska eller organisatoriska säker- hetsåtgärder eller andra skyldigheter rörande behandlingen och om hur det ansvaret i praktiken ska realiseras. En överenskommelse har däremot inte någon formell rättsföljd och innebär inget avsteg från principen om att det är de faktiska förhållandena som avgör om och hur personuppgiftsansvaret är fördelat. Det är en annan sak att en sådan överenskommelse naturligen kan komma att få betydelse om personuppgiftsansvaret i efterhand ska identifieras av tillsyns- myndighet eller rättsliga instanser.

Det ska observeras att förslaget om krav på överenskommelser enbart tar sikte på dataskyddsrättsliga frågor om personuppgifts- ansvar och skydd för personuppgifter. Vid komplexa myndighets- övergripande samarbeten finns givetvis anledning att i förväg också reda ut andra men näraliggande frågor, t.ex. om hos vilken myndighet upptagningar ska bilda arkiv (jfr 3 § första stycket andra meningen arkivlagen [1990:782]). Frågor av det slaget omfattas inte av vårt förslag om krav på överenskommelse. Kravet torde dock kunna få en indirekt betydelse genom den ”smittoeffekt” på näraliggande frågor som kravet på förberedande risk- och sårbar- hetsanalyser och klargöranden av olika ansvarsmoment kan antas få. Det blir naturligt att också reda ut sådana frågor i anslutning till att överenskommelser enligt lagen ska träffas.

Avslutningsvis vill vi påpeka att förslaget om kravet på överens- kommelse givetvis inte tar sikte på personuppgifter i register eller annan information som är allmänt tillgänglig för allmänheten, t.ex.

358

SOU 2015:39

Personuppgiftsansvar och säkerhet

via en myndighets webbplats på internet. Det får anses följa av att det ska vara fråga om mottagares direktåtkomst som ”medges” av den utlämnande myndigheten, dvs. som en mottagare ges genom ett särskilt beslut.

Vi återkommer till den nu föreslagna bestämmelsens utform- ning i avsnitt 10.2.5.

Särskilt om personuppgiftsbiträden

Förslag: Det som föreskrivs i personuppgiftslagen om att ett personuppgiftsbiträde eller den som arbetar under biträdets led- ning bara får behandla personuppgifter i enlighet med den per- sonuppgiftsansvariges instruktioner ska gälla också enligt den nya lagen. Detsamma gäller kravet på att det ska finnas ett skriftligt avtal med personuppgiftsbiträdet liksom kraven på vad avtalet ska innehålla. Utöver detta införs ett krav på att avtalet ska innehålla dokumentation om den personuppgiftsansvariga myndighetens instruktioner till biträdet samt ett förbud mot att biträdet anlitar ett annat biträde, ett underbiträde, utan godkän- nande från den personuppgiftsansvariga myndigheten. Samma villkor om avtal och instruktioner ska gälla för ett sådant under- biträde. För att skapa ökad tydlighet görs ingen hänvisning till 30 eller 31 § PuL utan regleringen tas in genom särskilda bestämmelser i den nya lagen.

Grundregeln om personuppgiftsansvar och uppdrag som personuppgiftsbiträden

Den av oss föreslagna grundregeln om att en myndighet har per- sonuppgiftsansvaret för den behandling som myndigheten utför har inget direkt samband med frågan om vilka faktiska personupp- giftsbehandlingar som utförs av myndigheten. Förekommer person- uppgiftsbiträden kan personuppgiftsansvaret nämligen omfatta be- tydligt fler faktiska behandlingar än den som sker hos den ansvariga myndigheten.

När en myndighet överlämnar den faktiska behandlingen av per- sonuppgifter till ett personuppgiftsbiträde kvarstår alltså person-

359

Personuppgiftsansvar och säkerhet

SOU 2015:39

uppgiftsansvaret för myndigheten. Detta kommer till uttryck genom den hänvisning till definitionerna i 3 § PuL som ska gälla även enligt den nya lagen. Av definitionen framgår att personuppgifts- biträdet bara behandlar personuppgifter för den personuppgifts- ansvariges räkning. Det är alltså fortfarande den personuppgifts- ansvarige som utför behandlingen i den mening som avses i den bestämmelse om personuppgiftsansvar som vi föreslår även om behandlingen rent faktiskt sker hos biträdet. Av detta följer att om en myndighet agerar som personuppgiftsbiträde åt en annan myn- dighet eller en enskild, den myndighet där den faktiska behand- lingen sker inte är personuppgiftsansvarig för behandlingen.

Som har framgått förekommer biträdeskonstruktioner på det kommunala området, t.ex. inom hälso- och sjukvården vid samman- hållen journalföring. Även inom staten tycks sådana förekomma eller i vart fall har det förutsatts kunna förekomma (se t.ex. SOU 2014:39 och Ds 2013:10).

Avtal mellan myndigheter där en myndighet är personuppgifts- biträde åt den andra är emellertid en rättslig konstruktion som ter sig tämligen främmande för vad som annars gäller inom den offent- liga förvaltningen. Man kan, menar vi, redan från principiella ut- gångspunkter ställa sig tveksam till att exempelvis två sidoordnade myndigheter träffar den typen av avtal. Det passar inte in i bilden av självständiga myndigheter som inte tar instruktioner från eller låter sig kontrolleras av andra sidoordnade myndigheter. Genom personuppgiftsavtal uppstår befogenheter och lydnadsförhållanden som avviker från vad som annars gäller inom förvaltningen.

Till detta kommer det förhållandet att förvaltningsmyndigheter inte är egna juridiska personer. Rättskapacitet att ingå civilrättsligt bindande avtal tillkommer den juridiska personen, dvs. såvitt är aktuellt nu staten, landstinget eller kommunen. Många myndig- heter har i och för sig befogenheter att ingå bindande avtal för statens räkning inom sina respektive verksamhetsområden. Olika enheter, dvs. myndigheter, inom en och samma juridiska person kan dock inte ingå bindande avtal med varandra. Mellan två statliga myndigheter kan således inte träffas avtal i rättslig mening. Mot- svarande gäller för kommunala myndigheter inom samma kom- mun. Att t.ex. statliga myndigheter träffar skriftliga överenskom- melser med varandra inom ramen för sina respektive uppdrag och befogenheter är en annan sak.

360

SOU 2015:39

Personuppgiftsansvar och säkerhet

I artikel 17.3 i dataskyddsdirektivet föreskrivs att ett person- uppgiftsbiträdes hantering av personuppgifter ska ske ”genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige”. Den typ av överens- kommelse som kan träffas mellan statliga myndigheter eller mellan kommunala myndigheter i samma kommun torde alltså inte upp- fylla direktivets krav på att vara rättsligt bindande. Enligt vår mening innebär detta att en ordning som bygger på att statliga myndigheter på grund av avtal skulle vara personuppgiftsbiträden åt andra stat- liga myndigheter knappast är en hållbar konstruktion.

Även när myndigheter träffar avtal om att vara personuppgifts- biträden åt enskilda uppstår en del udda konsekvenser. Enligt personuppgiftslagens regler innebär detta bl.a. att myndigheten i så fall ska arbeta under den enskildes ledning och instruktioner och att den enskilde ska kontrollera myndigheten (30 § första stycket och 31 § andra stycket PuL). Hur det ska gå till i praktiken är höljt i dunkel. Man kan också från principiella utgångspunkter ifråga- sätta om en enskild bör kunna träffa avtal med en myndighet som innebär att den enskilde kan bli skadeståndsskyldig gentemot en registrerad för den händelse myndigheten behandlar personupp- gifter i strid mot någon relevant bestämmelse. Den här typen av konstruktioner tycks förekomma t.ex. vid sammanhållen journal- föring där olika privata vårdgivare är personuppgiftsansvariga med den större och drivande aktören, landstinget, som personupp- giftsbiträde. Personuppgiftsbiträdesavtalet kan därvid vara en del i ett större paket med avtal mellan landstinget och privata vårdgivare om sammanhållen journalföring som i sin tur kan vara en förut- sättning för att privata vårdgivare ska kunna få ett sådant vårdavtal med landstinget som innebär att de ingår i den skattefinansierade vården. Styrkeförhållandet mellan den personuppgiftsansvarige och personuppgiftsbiträdet är alltså något annorlunda än det som personuppgiftslagen utgår från. På motsvarande sätt förhåller det sig när t.ex. kommuner ingår personuppgiftsbiträdesavtal om moln- tjänster med stora multinationella aktörer såsom t.ex. Google.

Vi kan emellertid bara konstatera att det förekommer att myn- digheter fungerar som personuppgiftsbiträden. Även om avtals- konstruktionen har inslag som alltså enligt vår mening får en del udda konsekvenser så erbjuder den obestridligen fördelar och möj- ligheter, även för myndigheter. Det kan alltså antas att anlitande av

361

Personuppgiftsansvar och säkerhet

SOU 2015:39

myndigheter som personuppgiftsbiträde även i fortsättningen kom- mer att vara ganska vanligt förekommande och vi ser ingen anled- ning att föreslå någon förändring av den möjligheten när det gäller avtal mellan myndigheter som hör till olika juridiska personer och mellan myndigheter och enskilda. Detta förutsätter emellertid att eventuella sekretessfrågor kan lösas och att biträdesrelationen kan ske med ett upprätthållande av gränserna mellan myndigheterna och deras respektive informationssamlingar samt mellan myndig- heter och enskilda. Här kan särskilt erinras om vikten av att sekre- tessfrågorna blir grundligt analyserade.

Eftersom myndigheters faktiska behandling av personuppgifter i egenskap av personuppgiftsbiträden inte omfattas av den nya lagens tillämpningsområde saknas behov av någon klargörande bestäm- melse om att den grundregel som vi föreslagit om att en myndighet är personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför inte gäller då en myndighet bara behandlar personuppgifter för annans räkning såsom personuppgiftsbiträde. Det spelar i det avseendet ingen roll om den personuppgifts- ansvarige är en annan myndighet vars personuppgiftsbehandling omfattas av lagens tillämpningsområde. Då blir lagen visserligen indirekt tillämplig på personuppgiftsbiträdets behandling. Adressaten för de olika bestämmelserna i lagen är dock den personuppgifts- ansvariga myndigheten och det är den myndigheten som ytterst an- svarar för att lagens bestämmelser följs.

Det finns avslutningsvis skäl att erinra om vikten av att ”biträdes- myndigheten” verkligen behandlar personuppgifterna för den person- uppgiftsansvariges räkning och inte själv, trots ett biträdesavtal, bestämmer över ändamålen eller medlen för behandlingen. Oavsett vad ett avtal föreskriver är det de faktiska omständigheterna som är utslagsgivande och det kan alltså inträffa att ”biträdesmyndigheten” i själva verket visar sig vara personuppgiftsansvarig. Det är alltså en fråga för sig huruvida ett påstått personuppgiftsbiträdeskap åter- speglar det korrekta förhållandet.

362

SOU 2015:39

Personuppgiftsansvar och säkerhet

Behövs tydligare regler vad gäller anlitandet av personuppgiftsbiträden?

Dataskyddsdirektivet innebär att det gäller vissa formkrav beträff- ande anlitandet av personuppgiftsbiträden. Det uppställs krav på att det träffas en bindande överenskommelse. Enligt artikel 17.3 ska registerförarens hantering regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige. I handlingen ska särskilt föreskrivas dels att regi- sterföraren endast får handla på instruktioner från den register- ansvarige, dels att de skyldigheter som anges i artikel 17.1, såsom de definieras i lagstiftningen i den medlemsstat i vilken register- föraren är etablerad, även ska åvila registerföraren. I artikel 17.4 föreskrivs vidare att de delar av avtalet eller den rättsligt bindande handlingen som rör skyddet av uppgifter och de krav som rör åt- gärder som anges i artikel 17.1 ska föreligga i skriftlig eller därmed jämförlig form. Syftet är att säkra bevisning.

För att leva upp till direktivets krav måste det som föreskrivs i personuppgiftslagen om att personuppgiftsbiträdet eller den som arbetar under biträdets ledning bara får behandla personuppgifter i enlighet med den personuppgiftsansvariga myndighetens instruk- tioner gälla också enligt den nya lagen. Detsamma måste gälla kravet på att det ska finnas ett skriftligt avtal med personupp- giftsbiträdet som innehåller föreskrift om biträdets skyldighet att dels bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige, dels vidta sådana tekniska och organisatoriska säkerhetsåtgärder som avses i 31 första stycket PuL. Vidare måste föreskrivas att den personuppgiftsansvarige ska vara skyldig att förvissa sig om att personuppgiftsbiträdet kan genom- föra de säkerhetsåtgärder som måste vidtas och se till att person- uppgiftsbiträdet verkligen vidtar åtgärderna.

Vi har ställt oss frågan i vilken mån det härutöver finns anled- ning att överväga en reglering som ställer tydligare krav på vad som ska gälla i sammanhanget.

Enligt Datainspektionen har myndigheternas anlitande av person- uppgiftsbiträden medfört en utvecklingstrend som innebär att bi- trädena allt oftare vänder sig till inspektionen med idéer om hur den sammantagna uppgiftsmängden de hanterar – vilken kan om- fatta flera personuppgiftsansvarigas uppgifter – kan användas. Det

363

Personuppgiftsansvar och säkerhet

SOU 2015:39

väcker frågor om hur myndigheterna kan skydda sin information från att användas av biträden samt dessas medarbetare, samarbets- partners eller underbiträden för egna syften som faller utanför biträdesuppdraget. Exempelvis har flera kommuners användning av molntjänster i skolan fått kritik av Datainspektionen för brister i avtalen med molntjänstleverantörer. De påtalade bristerna har t.ex. handlat om bristande instruktioner vad avser för vilka ändamål biträdet får behandla personuppgifter, dvs. inte för egna syften, och vad som ska gälla vid avtalets upphörande. En annan brist är att det inte ställts krav på information om vilka underbiträden som anlitas och var dessa är lokaliserade samt vilka behandlingar de utför.

Visserligen kan överlämnandet av den faktiska personuppgifts- behandlingen till ett personuppgiftsbiträde många gånger ge ett jämförelsevis bättre skydd genom de kunskapsmässiga, tekniska och administrativa resurser samt kvalificerade infrastruktur som ett sådant biträde inte sällan förfogar över. Enligt vår uppfattning är det emellertid angeläget för förtroendet för myndigheternas infor- mationshantering att anlitandet av personuppgiftsbiträden sker på ett sätt som så långt möjligt eliminerar de risker som kan vara förknippade med att en myndighet avhänder sig den faktiska kon- trollen över personuppgifterna.

De bestämmelser som finns i 30 § första stycket och 31 § andra stycket PuL syftar till att ge garantier för att överlämnandet av den faktiska personuppgiftsbehandlingen till ett biträde inte inkräktar på de krav i olika avseenden som personuppgiftslagens hanterings- regler och reglerna om den registrerades rättigheter uppställer. Enligt vår mening bör alltså motsvarande krav gälla även enligt den nya lagen. Detta innebär att den personuppgiftsansvariga myndig- hetens instruktioner till biträdet måste vara så utformade att det klargörs vad som ska gälla för biträdets hantering. Några närmare bestämmelser om vad instruktionerna ska innehålla ser vi inte något behov av. Förhållandena i det enskilda fallet är här styrande och varierar stort liksom detaljeringsnivån. Instruktioner kan t.ex. gälla hur tillgången till personuppgifter hos biträdets anställda ska mini- meras, huruvida och i så fall hur biträdet ska använda krypterings- metoder vid kommunikation osv.

Däremot anser vi att det kravet borde ställas att en person- uppgiftsansvarig myndighets instruktioner till ett personuppgifts- biträde ska dokumenteras i parternas avtal. Förutom de fördelar

364

SOU 2015:39

Personuppgiftsansvar och säkerhet

från bevis- och kontrollsynpunkt som ett krav på dokumenterade instruktioner skulle innebära, är det vår uppfattning att det skulle främja utformandet av tydliga och genomtänkta instruktioner som omfattar helheten i den behandling som biträdesavtalet avser. Inte minst det sistnämnda är av stor vikt från dataskyddssynpunkt. Vi före- slår därför att det införs ett krav på att avtalet ska innehålla doku- mentation av den personuppgiftsansvariga myndighetens instruk- tioner.

Enligt vår uppfattning är det vidare inte tillfredsställande att det saknas ett uttryckligt krav på att en personuppgiftsansvarig myn- dighet måste förvissa sig om att ett personuppgiftsbiträde inte i sin tur överlämnar hela eller delar av personuppgiftsbehandlingen till någon annan utan att myndigheten först informerats, haft tillfälle att överväga frågan och sedan godkänt detta. Indirekt torde ett så- dant krav förvisso redan gälla. Att myndigheter i detta avseende bevarar kontrollen över vad som faktiskt sker med personupp- gifterna är emellertid av så fundamental betydelse för skyddet av personuppgifterna att det är befogat med ett klargörande i lag. Vi föreslår därför en sådan bestämmelse.

För att skapa en samlad och tydlig reglering föreslår vi ingen hänvisning till bestämmelserna om personuppgiftsbiträden i 30 och 31 §§ PuL utan motsvarande regler angående anlitande av person- uppgiftsbiträden bör tas in som bestämmelser i den nya lagen.

10.2Säkerhet vid behandling av personuppgifter

10.2.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

I dataskyddsdirektivet finns regler om sekretess (artikel 16) och säkerhet (artikel 17) vid behandling av personuppgifter.

I artikel 16 föreskrivs att den som utför arbete under den register- ansvarige (personuppgiftsansvarige) eller registerföraren (person- uppgiftsbiträdet), liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag.

Genom artikel 17.1 åläggs medlemsstaterna att föreskriva att den registeransvarige ska genomföra lämpliga tekniska och organisa-

365

Personuppgiftsansvar och säkerhet

SOU 2015:39

toriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen inne- fattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling. Dessa åtgärder ska ”med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande” åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas.

Enligt artikel 17.2 ska medlemsstaterna föreskriva att den register- ansvarige, som anlitar registerförare för att utföra behandling för dennes räkning, ska dels välja en registerförare som kan ge till- räckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas, dels se till att dessa åt- gärder genomförs.

Som har framgått av avsnitt 10.1.2 uppställs också krav på att det träffas en bindande överenskommelse (artikel 17.3).

Dataskyddsdirektivet innehåller inga regler om möjligheter att föreskriva om undantag från bestämmelserna i artiklarna 16 och 17.

Personuppgiftslagen

Artikel 16 och 17 i dataskyddsdirektivet har införlivats i Sverige genom 30 och 31 §§ PuL under rubriken Säkerheten vid behand- ling. Dessa bestämmelser är avsedda att ha samma innebörd som de nämnda artiklarna (prop. 1997/98:44 s. 136). Både 30 och 31 §§ gäller utan undantag vid all slags behandling som omfattas av per- sonuppgiftslagens tillämpningsområde. Varken 30 eller 31 § finns således med i uppräkningen i den s.k. missbruksregeln av sådana bestämmelser i personuppgiftslagen som inte behöver tillämpas vid behandling av personuppgifter i s.k. ostrukturerat material (5 a § PuL).

Enligt 30 § första stycket får den eller de personer som arbetar under biträdets eller den personuppgiftsansvariges ledning behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvarige. Varken av personuppgiftslagen eller av direktivet framgår emellertid hur utförliga instruktioner den personuppgifts-

366

SOU 2015:39

Personuppgiftsansvar och säkerhet

ansvarige måste lämna sina medhjälpare. Datalagskommittén fram- höll att den personuppgiftsansvarige i princip bär ansvaret för att instruktionerna är så tydliga att otillåten behandling inte kommer att utföras (SOU 1997:39 s. 408).

Om det i lag eller annan författning finns särskilda bestäm- melser om behandling av personuppgifter i det allmännas verksam- het, ska dessa gälla i stället för den personuppgiftsansvariges instruktioner (30 § tredje stycket PuL). Enligt personuppgifts- lagens förarbeten avses särskilt bestämmelser om tystnadsplikt och sekretess (prop. 1997/98:44 s. 136).

Enligt 31 § första stycket ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möj- ligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personupp- gifterna och hur pass känsliga de behandlade personuppgifterna är. I förarbetena sägs att paragrafen ska ha samma innebörd som arti- kel 17.1 och 17.2 i dataskyddsdirektivet (prop. 1997/98:44 s. 136).

Vi har i avsnitt 10.1.1. redan behandlat kravet enligt 30 § andra stycket PuL på skriftligt avtal om ett personuppgiftsbiträdes be- handling av personuppgifter för den personuppgiftsansvariges räkning samt kravet i 31 § andra stycket på säkerhetsåtgärder hos personuppgiftsbiträdet m.m.

Enligt 50 § PuL får regeringen eller den myndighet som rege- ringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av person- uppgifter. Regeringen har i 16 § PuF bemyndigat Datainspektionen att meddela sådana föreskrifter. Hittills har det inte meddelats några föreskrifter rörande säkerhetsfrågor. Däremot har Datainspektionen publicerat allmänna råd om säkerhet för personuppgifter.

367

Personuppgiftsansvar och säkerhet

SOU 2015:39

Förslaget till uppgiftsskyddsförordning

Kommissionen

I förslaget till en allmän uppgiftsskyddsförordning finns ett flertal nyheter i förhållande till dataskyddsdirektivet som har relevans för kraven på säkerhet vid personuppgiftsbehandling. De mera centrala nyheterna redovisas i det följande.

I artikel 22 beskrivs detaljerat den registeransvariges ansvar för att följa förordningen bl.a. genom att anta interna policyer och åtgärder för att säkerställa att behandling utförs i enlighet med för- ordningen. I det ingår att förordningens krav på åtgärder för data- säkerhet ska genomföras. Kontroll av hur verkningsfulla åtgärderna är ska också göras.

I artikel 23 fastställs den registeransvariges skyldigheter som följer av principerna om inbyggt uppgiftsskydd (data protection by design) och uppgiftsskydd som standard (data protection by default). Bland annat föreskrivs att de tekniska och organisatoriska åtgärderna ska vidtas både vid tidpunkten för fastställandet av be- handlingsmetoden och vid tidpunkten för själva behandlingen. Det ska finnas rutiner som säkerställer att personuppgifter i standard- fallet inte görs tillgängliga för ett obegränsat antal enskilda.

När det gäller avtal med registerförare krävs enligt artikel 26 att avtalet, utöver vad som redan följer av dataskyddsdirektivet, ska innehålla föreskrifter om att registerföraren bara får anställa perso- nal som har åtagit sig att iaktta sekretess eller som omfattas av lag- stadgad sekretessförpliktelse. Vidare får registerföraren engagera en annan registerförare bara om den registeransvarige först har god- känt det.

Genom artikel 30 åläggs den registeransvarige och registerföraren att vidta lämpliga åtgärder för säkerheten vid behandling. Bestäm- melserna motsvarar i princip artikel 17.1 och 2 i dataskyddsdirek- tivet. En nyhet i förhållande till direktivet är att även register- föraren får en direkt skyldighet att vidta åtgärder. Vidare anges att den registeransvarige och registerföraren först ska göra en bedöm- ning av riskerna varefter säkerhetsåtgärder ska vidtas för att skydda personuppgifterna. Kommissionen föreslås få befogenhet att anta delegerade akter enligt artikel 86 i syfte att närmare precisera kri- terierna och villkoren för de tekniska och organisatoriska åtgärder som avses i artikel 30, för specifika sektorer och i specifika situa-

368

SOU 2015:39

Personuppgiftsansvar och säkerhet

tioner vid behandlingen av personuppgifter, med särskild hänsyn till den tekniska utvecklingen och utvecklingen i fråga om lösningar för inbyggt integritetsskydd och uppgiftsskydd som standard. När så är nödvändigt får kommissionen även anta genomförandeakter för att specificera kraven för olika situationer.

Enligt artikel 31 ska den personuppgiftsansvarige vara skyldig att utan dröjsmål anmäla ett inträffat ”personuppgiftsbrott” till tillsyns- myndigheten. Även berörda registrerade ska, under vissa förutsätt- ningar, informeras om ett inträffat sådant brott, se artikel 32. Med personuppgiftsbrott avses ett säkerhetsbrott som leder till för- störing, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på något annat sätt behandlats (artikel 4.9).

Europaparlamentet

I Europaparlamentets resolution med förslag till ändringar i förord- ningen föreslås ett tillägg i artikel 5 (Principer av behandling av personuppgifter) om att personuppgifter ska behandlas på ett sätt som medför ett skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder (integritet).

Beträffande artikel 23 om inbyggt uppgiftsskydd och uppgifts- skydd som standard föreslås bl.a. att hela livscykeln i hanteringen av personuppgifter ska beaktas – från insamling och behandling till radering – med systematisk inriktning på omfattande rättssäker- hetsgarantier för korrekthet, konfidentialitet, integritet, fysisk säker- het och radering av personuppgifter. Om den registeransvarige har utfört en konsekvensbedömning avseende uppgiftsskydd enligt artikel 33, ska resultaten av bedömningen beaktas i utarbetandet av skyddet (se avsnitt 16.1 angående artikel 33).

I fråga om artikel 30 – säkerhet i samband med behandling av personuppgifter – föreslås ett flertal tillägg som bl.a. innebär närmare preciseringar av säkerhetsåtgärder som ska vidtas i olika fall.

För de artiklar som berörts ovan har parlamentet förordat – i lik- het med motsvarande ställningstagande på andra områden – att de

369

Personuppgiftsansvar och säkerhet

SOU 2015:39

bestämmelser som ger kommissionen befogenheter att anta delege- rade akter eller genomförandeakter ska utgå.

Några kommentarer

Den föreslagna uppgiftsskyddsförordningen innehåller som synes ett flertal krav som innebär både nyheter och förtydliganden i för- hållande till vad som gäller enligt dataskyddsdirektivet och person- uppgiftslagen. I dataskyddsdirektivet är bestämmelserna om sekre- tess och säkerhet samlade i två artiklar, 16 och 17, som är mycket allmänt hållna vad avser vilken slags inriktning på tekniska eller organisatoriska åtgärder som behövs för att uppnå en lämplig säker- hetsnivå. I förordningen finns bestämmelser av betydelse för säker- heten uppdelade på ett större antal artiklar och de berör fler aspek- ter på skyddsbehovet än direktivet.

De föreslagna bestämmelserna torde delvis innebära klargöran- den av vad som i dag redan anses följa av direktivet men innebär trots allt en betydande ökning av mängden preciserade och ovill- korliga krav på säkerhetsåtgärder jämfört med vad som följer av direktivet.

Regleringen i förordningen ställer också mycket tydliga krav på förberedande analyser, åtgärder och överenskommelser samt doku- mentation över detta jämfört med vad som gäller i dag.

En av de mera grundläggande skillnaderna i förhållande till direk- tivet är det medansvar för skyddet av personuppgifterna som läggs på ett personuppgiftsbiträde. I sammanhanget kan nämnas att per- sonuppgiftsbiträdets ansvar föreslås vara skadeståndssanktionerat till skillnad från vad som gäller enligt direktivet och personupp- giftslagen (artikel 77 i förordningen).

10.2.2Innebörden av kraven på säkerhetsåtgärder m.m. vid personuppgiftsbehandling

Personuppgiftslagen innehåller alltså inga föreskrifter om vilka konkreta säkerhetsåtgärder som ska eller bör vidtas utan lagen ger en kortfattad och allmänt hållen uppräkning av de faktorer som ska beaktas av den personuppgiftsansvarige när en lämplig säkerhets- nivå ska utformas. Vid tolkningen av vad för slags åtgärder som

370

SOU 2015:39

Personuppgiftsansvar och säkerhet

krävs ger dock punkten 46 i ingressen till dataskyddsdirektivet viss vägledning. I denna punkt anges att skyddet för de registrerades fri- och rättigheter förutsätter såvitt avser behandling av person- uppgifter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet för behandlingen utformas och när själva be- handlingen sker, särskilt för att garantera säkerheten och för att på så sätt hindra all otillåten behandling. Det måste alltså finnas säker- hetsåtgärder som är förebyggande. Det räcker inte att den person- uppgiftsansvarige vidtar reaktiva åtgärder för att ingripa mot pågå- ende behandling som inte uppfyller personuppgiftslagens säker- hetskrav.

I förarbetena till personuppgiftslagen framhöll regeringen att de allmänt hållna reglerna på ett kortfattat och bra sätt beskriver de överväganden som måste göras i fråga om säkerhetsåtgärder. Sam- tidigt konstaterades att reglerna som regel inte ger tillräcklig väg- ledning för den personuppgiftsansvarige för att avgöra vilka säker- hetsåtgärder som bör vidtas i det enskilda fallet för att nå upp till en lämplig säkerhetsnivå och att avsikten därför var att regeringen eller den myndighet som regeringen bestämmer skulle meddela de närmare föreskrifter om säkerhetsåtgärder som behövs (prop. 1997/98:40 s. 92). Som framgått har några sådana föreskrifter dock inte meddelats. Datainspektionen har i stället valt att ge närmare väg- ledning genom allmänna råd. Datainspektionens beslut i tillsyns- ärenden som rör säkerhetsfrågor har också betydelse som vägled- ning för vilka specifika åtgärder som kan krävas i likartade fall.

Datainspektionens allmänna råd Säkerhet för personuppgifter, som reviderades i november 2008, riktar sig till alla som behandlar personuppgifter enligt personuppgiftslagen, alltså inte bara till myn- digheter. I de allmänna råden ges exempel på administrativa och tekniska säkerhetsåtgärder som kan vidtas.

Till en början rekommenderas att verksamheter har en säker- hetspolicy, i vart fall om man hanterar personuppgifter som är känsliga eller avser en omfattande mängd. Policyn bör följas upp med kontroller av hur den följs. Arbetsrutiner m.m. i verksamheten bör utformas på sätt som underlättar att policyn följs av perso- nalen. Vidare rekommenderas att det görs risk- och sårbarhets- analyser för att bl.a. klarlägga vilken säkerhetsnivå som bör gälla för personuppgifterna och informationssystemen. Utbildning av perso-

371

Personuppgiftsansvar och säkerhet

SOU 2015:39

nalen i säkerhetsfrågor och information om vikten av att följa kon- kreta säkerhetsrutiner lyfts också fram.

När det gäller råd om mer konkreta säkerhetsåtgärder som kan behövas anges bl.a. fysisk säkerhet i fråga om it-utrustningen och rutiner för säkerhetskopiering av personuppgifterna. Vidare rekom- menderas system för tilldelning och kontroll av behörigheter för att förhindra obehörig användning eller åtkomst och för att kunna kontrollera användningen så att endast de som behöver uppgifter för sitt arbete får tillgång till åtkomstskyddade personuppgifter. Behandlingshistorik kan behövas i vissa fall beroende på känslig- heten i personuppgifterna. När det gäller kommunikation och överföring av personuppgifter via nät måste åtgärder vidtas för att skydda uppgifterna från obehörig åtkomst eller från att förstöras eller förvanskas. Ett sätt att göra detta är att uppgifterna krypteras.

I inspektionens sammanfattning av de allmänna råden anges att den personuppgiftsansvariga bör tänka på följande åtgärder.

Kartlägga hotbilden

Sätta mätbara mål för säkerheten

Fastställa policy för säkerheten

Skapa en fungerande organisation för säkerheten

Skaffa den utrustning som behövs och använda den rätt

Upprätta regler och rutiner

Informera och utbilda kontinuerligt

Följa upp att regler och rutiner efterlevs och respekteras

Testa säkerheten regelbundet

Underförstått ligger i de allmänna råden att de rekommenderade åtgärderna inte bara syftar till att åstadkomma ett skydd för person- uppgifterna externt, dvs. utanför den egna organisationen, utan även inom denna.

372

SOU 2015:39

Personuppgiftsansvar och säkerhet

10.2.3Reglering i registerförfattningar

I en stor mängd registerförfattningar saknas särskilda regler om säkerhet och internt integritetsskydd. I allmänhet gäller därför per- sonuppgiftslagens bestämmelser, antingen genom att det särskilt angetts att 30–32 §§ PuL ska vara tillämpliga även vid personupp- giftsbehandling enligt registerförfattningen i fråga eller därför att dessa bestämmelser ändå gäller när det handlar om en register- författning som enbart kompletterar personuppgiftslagen med de särbestämmelser som ansetts behövas.

Det får antas att ett skäl till avsaknaden av särreglering torde vara att det normalt inte lämpar sig att i författning slå fast vilka tekniska och organisatoriska säkerhetsåtgärder m.m. som krävs för en god informationssäkerhet och internt integritetsskydd. Den tek- niska utvecklingen och övriga föränderliga förhållanden m.m. med- för krav på stor flexibilitet och en detaljeringsnivå som innebär klart begränsade möjligheter att på ett över tid hållbart sätt författnings- reglera frågor av det slaget.

Emellertid förekommer det i en del registerförfattningar bestäm- melser som i vissa hänseenden preciserar de allmänna kraven i personuppgiftslagen på att vidta lämpliga säkerhetsåtgärder till skydd för de personuppgifter som behandlas. Det handlar då främst om regler som syftar till att motverka sådana risker för otillbörliga integritetsintrång som kan bli konsekvensen av att stora mängder eller särskilt integritetskänsliga personuppgifter blir tillgängliga för många anställda som hanterar personuppgifter i sin dagliga verk- samhet inom en myndighet. Särskilda krav på behörighetsstyrning, spårbarhet och efterhandskontroll har t.ex. i detta syfte införts i vissa fall.

Ett exempel på en bestämmelse som syftar till att begränsa tillgängligheten till personuppgifter är 2 kap. 11 § polisdatalagen (2010:361) där det föreskrivs att tillgången ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsupp- gifter. Bestämmelsen kompletteras med närmare föreskrifter i 3 och 4 §§ polisdataförordningen (2010:1155) om att det vid tilldel- ning av behörighet för åtkomst till personuppgifter särskilt ska beaktas att det utöver tjänstemannens arbetsrelaterade behov dessutom ställs krav på utbildning och erfarenhet. Vidare ges Polis- myndigheten och Säkerhetspolisen ett ansvar för att ha rutiner

373

Personuppgiftsansvar och säkerhet

SOU 2015:39

inom den egna myndigheten för tilldelning, förändring, borttag- ning och regelbunden uppföljning av behörigheter. Det ställs så- ledes krav på en aktiv behörighetsstyrning som är flexibel och anpass- ningsbar till den tekniska tillgång till personuppgifter som olika tjänstemän eller personalkategorier har behov av i sin aktuella be- fattning.

Det förekommer inte bara bestämmelser om att behörighets- tilldelningen ska styras utan också krav på att den faktiska till- gången och användningen ska kontrolleras. Ett exempel är 4 kap. 3 § patientdatalagen som ålägger den personuppgiftsansvarige att dokumentera den interna åtkomsten i behandlingshistorik för att möjliggöra efterhandskontroll. Dessutom åläggs den personuppgifts- ansvarige att göra systematiska och återkommande kontroller av om någon obehörig kommit åt patientuppgifter. Samma krav gäller vid direktåtkomst till uppgifter vid sammanhållen journalföring över vårdgivargränser, 6 kap. 7 § patientdatalagen. Deltagande vård- givare ansvarar var för sig för behörighetstilldelning och åtkomst- kontroll avseende sin personal (prop. 2007/08:126 s. 148 f.). Enligt en särskild bestämmelse som riktar sig till var och en som arbetar inom hälso- och sjukvården får han eller hon ta del av dokumen- terade patientuppgifter bara om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, 4 kap. 1 § patientdatalagen. Bestäm- melsen är straffsanktionerad genom 4 kap. 9 c § BrB om dataintrång.

När en myndighet har personuppgiftsansvaret även för andras användning av ett register förekommer det att den personuppgifts- ansvariga myndigheten bemyndigas meddela föreskrifter i frågor som rör informationssäkerhet. Av exempelvis 9 § lagen (2009:619) om djurskyddskontrollregister följer att Jordbruksverket kan med- dela föreskrifter rörande krav på säkerhetsåtgärder som ska gälla vid t.ex. länsstyrelsers direktåtkomst till registret.

Det förekommer även bestämmelser som villkorar ett utläm- nande via direktåtkomst genom krav på att den utlämnande myn- digheten först försäkrar sig om att handläggare hos den mottag- ande myndigheten bara kan ta del av uppgifter om personer som är aktuella i ärenden hos myndigheten, se t.ex. 114 kap. 22 och 23 §§ SFB och 13 § studiestödsdataförordningen (2009:321).

374

SOU 2015:39

Personuppgiftsansvar och säkerhet

10.2.4Informationssäkerhet i ett vidare perspektiv

Myndigheters personuppgiftsansvar och det däri ingående ansvaret för att se till att lämpliga tekniska och organisatoriska säkerhets- åtgärder vidtas har ett nära samband med ansvaret för informa- tionssäkerheten i verksamheten. Det handlar då inte bara om att skydda enskilda registrerades personliga integritet utan också om samhällets behov av att myndigheterna upprätthåller en god informa- tionssäkerhet i sin verksamhet. All offentlig verksamhet är bero- ende av robusta och fungerande informationssystem samt skydd för informationen. Detta gäller såväl vid normala förhållanden som vid olika slags kriser eller extraordinära belastningar. Behovet av informationssäkerhet omfattar givetvis inte bara personuppgifter utan all slags information. Skyddsintressena är också andra än det rent persondataskyddsrättsliga. Det kan bl.a. handla om att mot- verka störningar i verksamheternas bedrivande, att garantera den långsiktiga offentlighetsinsynen i allmänna handlingar, att skydda rikets säkerhet m.m.

Vad avses med informationssäkerhet?

Informationssäkerhet är ett brett begrepp som enligt terminologin från Swedish Standard Institute (SIS handbok 550 utgåva 3) avser säkerhet för informationstillgångar avseende förmågan att upprätt- hålla önskad konfidentialitet, riktighet och tillgänglighet.

Konfidentialitet syftar på att endast behöriga personer får till- gång till information.

Riktighet avser att informationen inte obehörigt förstörs eller manipuleras.

Med tillgänglighet avses att det ska finnas tillgång till informa- tionen när den behövs.

Säkerhetsskydd och informationssäkerhet

För sekretesskyddade uppgifter som rör rikets säkerhet finns sär- skilda bestämmelser om informationssäkerhet i säkerhetsskydds- lagen (1996:627). Med informationssäkerhet avses säkerhetsskydd

375

Personuppgiftsansvar och säkerhet

SOU 2015:39

som förebygger att uppgifter av det nämnda slaget obehörigen röjs, ändras eller förstörs (7 §). Vidare föreskrivs att vid utformningen av informationssäkerheten ska behovet av skydd vid automatisk informationsbehandling beaktas särskilt (9 §).

Säkerhetsskyddslagstiftningen är för närvarande föremål för över- syn. Utredningen om säkerhetsskyddslagen har nyligen lämnat förslag till en ny säkerhetsskyddslag (SOU 2015:25). I den före- slagna lagen uttrycks en bredare ansats i jämförelse med den nu- varande lagen, bl.a. i det att tillgänglighets- och riktighetsaspekterna av information och it-system lyfts fram. På så sätt vidgas tillämpningsområdet för säkerhetsskyddet till att ge skydd för informationstillgångar i samhällsviktig verksamhet som inte be- höver skydd från ett konfidentialitetsperspektiv. Den föreslagna lagen avses svara mot de förändrade krav på säkerhetsskydd som bl.a. följer av utvecklingen på informationsteknikområdet, en ökad internationell samverkan och en ökad sårbarhet i samhällsviktiga funktioner.

Övergripande arbete med samhällets informationssäkerhet

Myndigheten för samhällsskydd och beredskap, MSB, har bl.a. till uppgift att stödja och samordna arbetet med samhällets informa- tionssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och landsting samt företag och organisationer (11 a § förordningen [2008:1002] med instruktion för Myndigheten för samhällsskydd och beredskap). Myndigheten samverkar också med andra myndig- heter med särskilda uppgifter inom informationssäkerhetsområdet, bl.a. i Samverkansgruppen för informationssäkerhet, SAMFI, vari ingår, utöver Myndigheten för samhällsskydd och beredskap, Post- och telestyrelsen, Försvarets radioanstalt, Polismyndigheten, Säker- hetspolisen, Försvarets materielverk med Sveriges Certifierings- organ för IT-säkerhet samt Försvarsmakten med den Militära under- rättelse- och säkerhetstjänsten. Nämnas kan även det informations- säkerhetsråd som finns hos Myndigheten för samhällsskydd och beredskap vari ingår företrädare för såväl myndigheter som närings-

376

SOU 2015:39

Personuppgiftsansvar och säkerhet

livet. Visst samarbete sker också med Datainspektionen och Riks- arkivet.

Arbetet hos Myndigheten för samhällsskydd och beredskap hand- lar till stor del om att stödja förebyggande åtgärder och främja ett systematiskt och långsiktigt arbete med informationssäkerhet på alla nivåer i samhället. Så sker bl.a. genom olika slags metodstöd till myndigheter eller enskilda aktörer. Myndigheten har också utfor- mat en strategi för samhällets informationssäkerhet 2010–2015.

Varje myndighet har ett eget ansvar för informationssäkerheten i sin verksamhet vid sidan av de krav på säkerhet som gäller enligt personuppgiftslagen, arkivlagen m.m. Detta ansvar är ett uttryck för den ansvarsprincip som är grunden för samhällets krisbered- skap. Ansvarsprincipen innebär att den som har ansvar för en verk- samhet under normala förhållanden också har det under allvarliga händelser, kriser eller krig. I ansvarsprincipen ingår även att sam- verka och samordna sig med andra aktörer i den omfattning som krävs för att effektivt förebygga och hantera en allvarlig händelse (prop. 2007/08:92 s. 37 f.). I förordningen (2006:942) om kris- beredskap och förhöjd beredskap – som syftar till att statliga myn- digheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och höjd beredskap – föreskrivs att varje myndighet ska göra en årlig risk- och sårbarhetsanalys av om det finns sådan sårbarhet eller sådana hot och risker inom myndig- hetens ansvarsområde som synnerligen allvarligt kan försämra för- mågan till verksamhet inom området. Syftet är att stärka egen och samhällets krisberedskap (9 §). Vidare föreskrivs, under rubriken Informationssäkerhet, att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra lednings- system särskilt beaktas (30 a §).

Myndigheten för samhällsskydd och beredskap har meddelat kompletterande föreskrifter till de nyss nämnda bestämmelserna, dels MSBFS 2015:3 avseende statliga myndigheters risk- och sår- barhetsanalyser, dels MSBFS 2009:10 avseende statliga myndigheters informationssäkerhet.

Av MSBFS 2015:3 framgår bl.a. att myndighetens rutiner för att identifiera och hantera kritiska beroenden till system och tjänster

377

Personuppgiftsansvar och säkerhet

SOU 2015:39

för informationshantering, som är av central betydelse för myndig- hetens verksamhet, är av betydelse som indikator på myndighetens krishanteringsförmåga. Delvis motsvarande bestämmelser för lands- ting och kommuner finns för övrigt i myndighetens föreskrifter om sådana risk- och sårbarhetsanalyser som avses i lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (MSBFS 2015:4 och 2015:5).

Enligt MSBFS 2009:10 åligger det statliga myndigheter att i sitt arbete med informationssäkerhet tillämpa ett ledningssystem för informationssäkerhet. Det innebär att myndigheten ska

upprätta en informationssäkerhetspolicy,

utse personal som leder och samordnar arbetet med informa- tionssäkerhet,

klassificera myndighetens information med utgångspunkt i kraven på konfidentialitet, riktighet och tillgänglighet,

utifrån risk- och sårbarhetsanalyser och inträffade incidenter be- döma hur risker ska hanteras och

dokumentera arbetet.

Myndighetens ledning ska vidare löpande informera sig om arbetet med informationssäkerhet och minst en gång om året följa upp och utvärdera arbetet. Varje statlig myndighet ska därvid införa ett ledningssystem för informationssäkerhet (LIS) för att myndighets- ledningen ska kunna styra så att rätt administrativa och tekniska säkerhetsåtgärder ska vidtas utifrån den riskbedömning ledningen gör. Standarderna för ledningssystem för informationssäkerhet, dvs. SS- ISO/IEC 27001:2006 (LIS, krav) och SS-ISO/IEC 27002:2005 (riktlinjer) utgör stöd för arbetet.

I de till MSBFS 2009:10 kompletterande allmänna råden anges bl.a. att en organisations sammantagna informationssäkerhet skapas genom en kombination av tekniska och administrativa säkerhets- åtgärder där utgångspunkten för arbetet är att risk- och sårbarhets- analyser genomförs för att klarlägga den säkerhetsnivå som bör gälla till skydd för myndighetens organisation. Vidare lämnas bl.a. rekommendationer i fråga om att det bör upprättas riktlinjer för åtkomst- och behörighetsstyrning som en del av regelverket för infor-

378

SOU 2015:39

Personuppgiftsansvar och säkerhet

mationssäkerhet. Dessa riktlinjer bör även innefatta krav på loggning och uppföljning.

I slutet av år 2013 tillsattes en utredning om strategi och mål för hantering och överföring av information i elektroniska kommu- nikationsnät och it-system, NISU 2014. Utredningen har bl.a. före- slagit en strategi för informations- och cybersäkerhet i staten. Ett av strategins mål är att stärka styrning och tillsyn inom området. Det ska bl.a. ske genom en nationell styrmodell för ett systematiskt informationssäkerhetsarbete i statlig verksamhet samt genom inrätt- andet av ett statligt myndighetsråd för informationssäkerhet bestå- ende av företrädare för relevanta myndigheter på området. Vidare föreslås en förordning för statliga myndigheters informationssäker- het enligt vilken Myndigheten för samhällsskydd och beredskap ska utöva tillsyn över myndigheternas informationssäkerhetsarbete (SOU 2015:23).

God offentlighetsstruktur, arkivvård m.m. och informationssäkerhet

I 4 kap. 1 § OSL finns regler om hanteringen av allmänna hand- lingar. Där föreskrivs bl.a. att en myndighet ska ta hänsyn till rätten att ta del av allmänna handlingar när den organiserar hanteringen av sådana handlingar. Myndigheten ska särskilt se till att allmänna handlingar kan skiljas från andra handlingar och lämnas ut med den skyndsamhet som krävs enligt tryckfrihetsförordningen. Myndig- heter ska också se till att rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen säkerställs samtidigt som sekre- tesskyddet upprätthålls. Handlingar med olika offentlighetsstatus ska alltså kunna hållas i sär. Av offentlighets- och sekretesslagen följer även indirekt ett krav på att uppgifter hos myndigheterna skyddas informationssäkerhetsmässigt, i synnerhet vad gäller upp- gifter som är sekretessreglerade.

Det sistnämnda kan illustreras med ett JO-beslut med anledning av en anmälan om att en kommunal nämnd hade röjt en persons sekretesskyddade namn vid handläggning av ett ärende om försörj- ningsstöd. Röjandet orsakades av att handläggarna använde ett elek- troniskt verksamhetssystem där det inte tydligt framgick om det fanns någon sekretessmarkering för den enskildes personuppgifter. JO uttalade att det är mycket allvarligt att en myndighet som i sitt

379

Personuppgiftsansvar och säkerhet

SOU 2015:39

dagliga arbete hanterar en mängd personuppgifter som omfattas av sekretess inte har ett verksamhetssystem som i det hänseendet är säkert (beslut 2014-02-05, dnr 5932-2012). Såsom exemplet visar sammanfaller i praktiken kravet på sekretesskydd ofta med flera av de krav på säkerhetsåtgärder som persondataskyddsregleringen uppställer. Detsamma kan sägas gälla beträffande de krav som arkiv- vården ställer.

I arkivlagen finns närmare bestämmelser om säkerhetsåtgärder i olika avseenden. Enligt 6 § 3 arkivlagen ingår det i varje myndighets ansvar för arkivvården att skydda sitt arkiv mot förstöring, skada, tillgrepp och obehörig åtkomst. Detta ansvar avser skydd mot yttre och inre faktorer som kan skada arkivet, t.ex. tekniska problem i ett it-system för arkivering som förstör eller försvårar åtkomst till handlingar i systemet. I en elektronisk miljö innebär det vidare att det måste finnas skydd mot dataintrång. Att arkivet ska skyddas mot obehörig åtkomst syftar i första hand på att sekretesskyddet för uppgifter i handlingarna ska kunna upprätthållas. Handlingar som kan innehålla uppgifter som omfattas av sekretess måste så- ledes hanteras så att inte obehöriga kan läsa dem (Ulrika Geijer m.fl., Arkivlagen. En kommentar, uppl. 1:1, 2013, s. 174).

De krav på informationssäkerhetsåtgärder som följer av arkiv- lagens bestämmelser om arkivvård är alltså i vissa avseenden de- samma som de som följer av personuppgiftslagens krav på säker- hetsåtgärder till skydd för personuppgifter som behandlas (31 § PuL). Det övergripande syftet med arkivvården är emellertid inte att skydda människor mot kränkningar av deras personliga integri- tet utan att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § tredje stycket arkivlagen).

Riksarkivet har rätt att meddela föreskrifter för statliga myndig- heters arkiv om skydd av arkivet med stöd av 11 § 2 arkivförordningen (1991:446). Sådana föreskrifter gäller dock inte för riksdagens myn- digheter, regeringen, Regeringskansliet eller utrikesrepresentationen (10 § första stycket arkivförordningen).

I 6 kap. Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling) – RA-FS 2009:1 – har Riksarkivet meddelat föreskrifter om informations- säkerhet. Där föreskrivs bl.a. att en myndighet ska, för att säker- ställa ett bevarande av de elektroniska handlingarna, skapa och upp-

380

SOU 2015:39

Personuppgiftsansvar och säkerhet

rätthålla rutiner samt vidta åtgärder för att skydda handlingarna från skada, manipulation, obehörig åtkomst och stöld. Det kan vidare nämnas att föreskrifterna anger samma standarder för informa- tionssäkerhet som anges av Myndigheten för samhällsskydd och beredskap (MSBSF 2009:10), dvs. SS-ISO/IEC 27001:2006 (LIS) och SS-ISO/IEC 27002:2005.

Vidare ska myndigheten upprätta en informationssäkerhetsplan, dvs. en plan för hur de elektroniska handlingarna ska skyddas. Planens efterlevnad ska regelbundet kontrolleras och dokumen- teras (2 §). Det åligger myndigheten att också genomföra en risk- analys innan driftsättning sker eller innan uppdrag ges till annan myndighet eller enskild för att bedöma behovet av säkerhetsrutiner (3 §). Elektroniska handlingar ska förses med behörighetssystem, loggsystem och skydd mot skadlig kod om det inte är uppenbart obehövligt (4 §). Säkerhetskopior ska regelbundet framställas och särskilda krav gäller avseende rutinerna för detta och för övrig hantering av säkerhetskopiorna (5 och 6 §§). Elektroniska handlingar ska hanteras och transporteras under sådana former att de inte skadas och så att de inte riskerar att bli utsatta för obehörig åtkomst. Hand- lingarna och dokumentationen om dessa ska transporteras åtskilda. Särskild aktsamhet ska iakttas när det gäller handlingar som kan omfattas av sekretess (8 §).

Riksarkivet är tillsynsmyndighet för statliga myndigheter och gör regelbundna inspektioner av att myndigheterna fullgör sina skyldigheter enligt arkivlagstiftningen.

10.2.5Våra överväganden och förslag

Allmänna krav på säkerhetsåtgärder m.m.

Förslag: Skyldigheterna i fråga om säkerhetsåtgärder och lämp- lig säkerhetsnivå ska framgå genom en bestämmelse i lagen som ersätter 31 § första stycket PuL. Där ska det föreskrivas att personuppgiftsansvariga myndigheter är skyldiga att vidta lämp- liga tekniska och organisatoriska åtgärder för att skydda de per- sonuppgifter som behandlas och att åtgärderna ska åstadkomma en lämplig säkerhetsnivå som ska bestämmas utifrån de risker som behandlingen medför och personuppgifternas karaktär. Vidare

381

Personuppgiftsansvar och säkerhet

SOU 2015:39

ska framgå att säkerhetsarbetet ska omfatta förebyggande, löp- ande och uppföljande åtgärder samt att säkerhetsarbetet ska ske med beaktande av andra föreskrifter om informationssäkerhet i lag eller annan författning. Härmed klargörs den nära kopp- lingen mellan den persondataskyddsrättsliga regleringen av säker- heten för personuppgifter och det vidare regelverk om informa- tionssäkerhetsansvar som myndigheterna också är skyldiga att följa.

Det är av central betydelse att myndigheters behandling av person- uppgifter sker under former som är säkra och som innebär att uppgifterna aktivt skyddas från förstöring, obehörig åtkomst eller okontrollerad spridning m.m. Det är av betydelse inte bara för det dataskydd som måste tillkomma de enskilda registrerade utan också för att allmänhetens förtroende för myndigheternas informations- hantering upprätthålls. Säkerhetsfrågor har givetvis också, i det större perspektivet, en central betydelse för att den offentliga verk- samheten ska fungera på ett ändamålsenligt och tillförlitligt sätt.

Som framgått är det i allt väsentligt personuppgiftslagens bestäm- melser om säkerhet vid behandling av personuppgifter som gäller för informationssäkerheten vid myndigheters behandling av person- uppgifter. De särregler om säkerhet och internt integritetsskydd som förekommer i registerförfattningar är ofta ganska allmänt hållna.

Myndigheternas förutsättningar och behov i fråga om informa- tionssäkerhet varierar i hög grad. De grundläggande krav på säker- heten vid personuppgiftsbehandling som dataskyddsdirektivet före- skriver är emellertid allmängiltiga och bör komma till uttryck i den nya lagen.

Liksom i personuppgiftslagen bör därför föreskrivas att en per- sonuppgiftsansvarig myndighet ska vidta tekniska och organisa- toriska åtgärder för att skydda de personuppgifter som behandlas. Vi bedömer att det i en samlad reglering för myndigheters behand- ling av personuppgifter varken är påkallat eller lämpligt att närmare precisera vad för slags risker som personuppgifter ska skyddas mot (jfr artikel 17.1). Däremot ska, liksom enligt personuppgiftslagen, framgå att säkerhetsarbetet ska åstadkomma en lämplig säkerhets- nivå i förhållande till de risker som behandlingen medför och per- sonuppgifternas karaktär. Enligt vår bedömning är det däremot knappast motiverat att på myndighetsområdet särskilt föreskriva

382

SOU 2015:39

Personuppgiftsansvar och säkerhet

att detta ska göras med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärderna. Detta är en självklarhet och det torde för övrigt följa, i vart fall indirekt, av annan reglering av myndigheternas verksamhet att sådana faktorer måste beaktas när myndigheterna gör avvägningar beträffande vad som är en lämplig säkerhetsnivå. Både för statliga och kommunala myndigheter gäller t.ex. att de ska hushålla väl med allmänna medel (3 § myndighetsförordningen och 8 kap. 1 § KL).

I förhållande till den rent persondataskyddsrättsliga regleringen ser vi emellertid ett behov av en precisering rörande hur myndig- heternas säkerhetsarbete bör bedrivas. Det har i vårt arbete fram- kommit att det förekommer brister angående behovet av att säker- hetsarbetet sker systematiskt och inbegriper förebyggande, löpande och uppföljande åtgärder av olika slag som ser till helheten i per- sonuppgiftsbehandlingen. Det är därför önskvärt att det tydliggörs i lagen att detta sätt att arbeta med säkerhetsfrågorna är av central betydelse för ett gott personuppgiftsskydd.

Som exempel på ett systematiskt säkerhetsarbete tillämpat på en enstaka teknisk säkerhetsåtgärd kan nämnas behandlingshistorik i form av loggning av sökningar på personuppgifter. Det räcker då inte med att planera och installera funktioner som möjliggör logg- ning. Loggning måste sedan också faktiskt ske liksom kontroll av att den fungerar på avsett sätt. Redan vetskapen om att loggning sker kan verka förebyggande och t.ex. motverka obefogade sök- ningar. Men även uppföljningen av loggningarna i efterhand måste ske systematiskt.

Vi har vidare kunnat konstatera att det förhållandet att myndig- heters arbete med informationssäkerhet regleras i författningar med i huvudsak andra syften än det persondataskyddsrättsliga kan leda till tillämpningsproblem för myndigheterna. Det gäller dels att det kan uppstå konflikter mellan de olika skyddsintressen som reglerna tar sikte på, dels att ansvaret för informationssäkerhets- frågor inte alltid är organisatoriskt samordnat inom en myndighet. I den mån fokus i säkerhetsarbetet varierar, kan det påverka de avvägningar som görs vid utformningen av olika säkerhetsåtgärder och det finns då en risk att skyddet för personuppgifter inte priori- teras på ett adekvat sätt. Några egentliga regelkonflikter mellan den dataskyddsrättsliga regleringen och den allmänna informations- säkerhetsregleringen kan vi emellertid inte se. Däremot finns anled-

383

Personuppgiftsansvar och säkerhet

SOU 2015:39

ning, menar vi, att i den nya lagen tydliggöra den nära koppling som finns till andra bestämmelser om informationssäkerhet som gäller för myndigheterna och som berörts i det föregående.

De säkerhetsåtgärder som persondataskyddsregleringen kräver tar sikte på vad som behövs för skyddet av personuppgifter. Detta kan föranleda säkerhetsskyddande åtgärder som andra regelverk inte påkallar. Så kan exempelvis vara fallet när det gäller behovet av att skapa ett internt skydd för personuppgifter inom en myndighet så att t.ex. otillåten användning förhindras och att överträdelser mot t.ex. interna föreskrifter motverkas, upptäcks och beivras.

Med den informationstekniska utvecklingen och den tilltagande komplexiteten i myndigheternas informationshantering går det emellertid inte att betrakta arbetet med att skapa säkerhet vid per- sonuppgiftsbehandling som en isolerad uppgift skild från övrigt informationssäkerhetsarbete. För att tydliggöra detta bör det i den nya lagen införas en erinran om att myndigheterna vid utform- ningen av säkerhetsåtgärder ska beakta bestämmelser om informa- tionssäkerhet i annan lag eller författning som gäller för myndig- heten. En sådan erinran är framför allt ägnad att samordna upp- fyllandet av skyldigheterna enligt de olika regelverken men tydlig- gör samtidigt att regelverken gäller parallellt och inte nödvändigtvis är överlappande.

Sammanfattningsvis föreslår vi således att det ska framgå av den nya lagen att myndigheter ska vara skyldiga att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Säkerhetsarbetet ska omfatta förebyggande, löpande och uppföljande åtgärder och ska åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som behandlingen medför och till per- sonuppgifternas karaktär. Vid utformningen av säkerhetsåtgärderna ska myndigheten även beakta bestämmelser om informationssäker- het i annan lag eller författning som gäller för myndigheten. Det angivna bör framgå direkt av lagtexten utan hänvisning till 31 § PuL.

De behov av specifika regler i fråga om säkerhetsåtgärder som kan finnas inom vissa sektorer, hos vissa myndigheter eller verk- samheter bör tillgodoses genom föreskrifter i förordning eller, efter bemyndigande, i föreskrifter som meddelas av Datainspek- tionen eller den myndighet som regeringen annars kan komma att bestämma.

384

SOU 2015:39

Personuppgiftsansvar och säkerhet

Tillgängligheten till personuppgifter inom en myndighet

Förslag och bedömning: En bestämmelse införs som innebär en skyldighet för varje myndighet att se till att anställda och andra som arbetar hos myndigheten bara ges tillgång till person- uppgifter utifrån vad som krävs för arbetsuppgifterna. Detta ska gälla i fråga om såväl personuppgifter i myndighetens egna informationssamlingar som personuppgifter som myndigheten får tillgång till genom direktåtkomst eller andra former av infor- mationsutbyte.

Det behövs inte någon bestämmelse om att den som arbetar hos en personuppgiftsansvarig myndighet får behandla person- uppgifter bara i enlighet med instruktioner från den personupp- giftsansvarige (jfr 30 § första stycket PuL). Inte heller behövs någon särskild bestämmelse om informationssäkerhet hos ett per- sonuppgiftsbiträde utöver vad som föreslagits i avsnitt 10.1.4.

Ju fler personer inom en organisation som har tillgång till person- uppgifter, desto större är riskerna för obefogad åtkomst eller spridning av uppgifterna på sätt som innebär otillbörliga intrång i de registrerades personliga integritet. Detta behöver inte handla om medvetet missbruk utan kan bero på okunskap eller rena misstag.

Utbildning i informationssäkerhets- och persondataskyddsfrågor och att all personal görs medvetna om vad som gäller för hans eller hennes användning av personuppgifter är i sig en viktig organisa- torisk säkerhetsåtgärd men är normalt inte en tillräcklig åtgärd. Att tillgången till personuppgifter i så stor utsträckning som möjligt faktiskt begränsas till vad var och en behöver för att fullgöra sitt arbete är, som vi ser det, en nödvändig säkerhetsåtgärd för att skapa ett tillfredsställande internt skydd för personuppgifter vid myndig- heters informationshantering. Vi menar att ett behov av behörig- hetsstyrning kan sägas föreligga generellt. Vi föreslår mot den bak- grunden en bestämmelse som ska gälla för alla myndigheter som omfattas av lagen och som innebär att behörighetsstyrning ska ske.

Hur behörighetssystem bör vara utformade går däremot inte att ange i generella termer. Detta måste utformas specifikt för respek- tive verksamhet. Generellt sett kan dock sägas att ju mer omfatt- ande ett informationshanteringssystem är, desto större mängd olika behörighetsnivåer bör finnas. Uppgifternas karaktär spelar också

385

Personuppgiftsansvar och säkerhet

SOU 2015:39

stor roll. Exempelvis bör tillgång till sekretessbelagda personupp- gifter som utgångspunkt givetvis vara begränsad. Samtidigt kan för- hållandena vara sådana, t.ex. vid små myndigheter, att i princip hela personalen, eller i vart fall flertalet, måste ha full tillgång för att kunna utföra sina arbetsuppgifter. Innebörden av den regel vi föreslår är att myndigheter dock alltid ska vara skyldiga att pröva anställdas och uppdragstagares behov av tillgång utifrån vad arbets- uppgifterna kräver och begränsa tillgången i enlighet med detta.

Vidare innebär bestämmelsen att vid direktåtkomst varje myn- dighet måste pröva sin egen personals tillgång till andra myndig- heters personuppgifter. Vid direktåtkomst bör det enligt vår mening alltså normalt vara den myndighet som en person arbetar hos som ansvarar för behörighetstilldelningen snarare än den utlämnande myndigheten. Det är den mottagande myndigheten som bestäm- mer ändamålen för behandlingen och ansvarar för vad den egna personalen gör. En helt annan sak är att erforderliga behörighets- begränsningar rent tekniskt givitvis kan anordnas hos den av myn- digheterna där det enklast kan ske.

Den bestämmelse som vi föreslår innebär en skyldighet för myndigheten att begränsa tillgången som ett led i myndighetens personuppgiftsansvar. I ansvaret för behörighetstilldelningen ingår att se till så att den enskilde befattningshavaren får information om innebörden av behörigheten. Det behövs emellertid inte särskilda föreskrifter om detta.

Bestämmelsen innebär givetvis inget hinder mot att vid behov genom föreskrifter i förordning meddela särskilda regler om be- hörighetsbegränsningar.

Enligt vår bedömning behövs det inte någon föreskrift i den nya lagen motsvarande vad som anges i artikel 16 i dataskyddsdirektivet om att den som utför arbete under den registeransvarige, och som får tillgång till personuppgifter, ”får behandla dem endast enligt instruktioner från den registeransvarige, om han inte är skyldig att göra det enligt lag” (jfr 30 § PuL). Myndigheter har redan en skyl- dighet att instruera sina befattningshavare så att de hanterar myn- dighetens information på ett sätt som överensstämmer med de regler som styr myndigheternas verksamhet och informationshantering.

386

SOU 2015:39

Personuppgiftsansvar och säkerhet

Risk- och sårbarhetsanalys samt överenskommelse om säkerhetsåtgärder vid direktåtkomst m.m.

Förslag: Innan en utlämnande myndighet medger direktåtkomst till personuppgifter ska myndigheten göra en risk- och sårbar- hetsanalys. Vidare ska myndigheten komma överens med mot- tagaren av personuppgifterna hur behövligt skydd för person- uppgifterna ska säkerställas. Motsvarande ska gälla vid andra former av informationsutbyten eller samarbeten som innebär behandling av personuppgifter i gemensamma eller annars inte- grerade informationssystem.

När personuppgifter överförs mellan myndigheter kan alltså frågor uppstå om vem som är ansvarig för att personuppgifterna skyddas under och efter överföringen. Utgångspunkten är då att ansvaret följer personuppgiftsansvaret. Som har framgått är det dock inte alltid så lätt att slå fast hur personuppgiftsansvaret avgränsas då flera myndigheter är involverade i en personuppgiftsbehandling, t.ex. vid direktåtkomst. Inte ens då personuppgiftsansvaret reglerats i en registerförfattning står det alltid helt klart vad som gäller i enskilda fall t.ex. i fråga om den utlämnande myndighetens even- tuella personuppgiftsansvar för en mottagande myndighets använd- ning av ett register vad avser frågor om när, hur och varför mot- tagarmyndighetens personal gör sökningar i registret.

Som vi har framhållit tidigare (se avsnitt 10.1.4) omfattar person- uppgiftsansvaret övergripande frågor såsom att tillse att behandlade personuppgifter skyddas genom tekniska och organisatoriska säker- hetsåtgärder. Vi har föreslagit att det ska gälla ett krav på att en utlämnande myndighet ska vara skyldig att, innan direktåtkomst till personuppgifter medges, komma överens med mottagaren av personuppgifterna hur utövandet av personuppgiftsansvaret med avseende på de skyldigheter som följer av lagen eller föreskrifter som meddelats i anslutning till lagen ska ske och att motsvarande krav ska gälla även vid andra former av informationsutbyten eller samarbeten som innebär behandling av personuppgifter i gemen- samma eller annars integrerade informationssystem.

Det är alltså av väsentlig betydelse att det alltid klarläggs hur personuppgiftsansvaret fördelar sig beträffande olika moment i ”gemensamma” behandlingar. Att detta sker är av avgörande betyd-

387

Personuppgiftsansvar och säkerhet

SOU 2015:39

else inte minst i fråga om tekniska och organisatoriska säkerhets- åtgärder. Tydlighet i ansvarsförhållanden vid myndighetsövergrip- ande samarbeten är centralt för personuppgiftsskyddet liksom för informationssäkerheten i stort. Det är av största betydelse att så- dana frågor i reds ut i förväg mellan de inblandade aktörerna. Mot den bakgrunden föreslår vi att det i överenskommelsen särskilt ska anges hur skyddet för personuppgifterna ska säkerställas. Det kan också framhållas att det är viktigt att överenskommelsen följs upp även sedan direktåtkomsten etablerats. Det följer emellertid redan av det allmänna kravet som vi föreslagit ovan som innebär att säker- hetsarbetet ska ske löpande och vara uppföljande.

Vi föreslår vidare att den utlämnande myndigheten vid direkt- åtkomst därutöver ska göra en särskild risk- och sårbarhetsanalys innan sådan medges. Motsvarande skyldighet ska gälla för myndig- heter vid annan samverkan som innebär behandling av personupp- gifter i gemensamma eller annars integrerade informationssystem. Den särskilda risk- och sårbarhetsanalysen ska vara inriktad på att ge det underlag som behövs för att sedan kunna bedöma om och hur det är möjligt att åstadkomma en lämplig säkerhetsnivå genom adekvata tekniska och organisatoriska säkerhetsåtgärder.

När myndigheter lämnar ifrån sig den faktiska behandlingen och därmed i viss mån kontrollen över personuppgifterna blir frågor om säkerhet och skydd för personuppgifterna särskilt betydelse- fulla. Vi har i avsnitt 10.1.4 behandlat frågor om anlitande av per- sonuppgiftsbiträde. I det sammanhanget har vi bl.a. föreslagit att den personuppgiftsansvariga myndighetens instruktioner till biträdet ska dokumenteras i parternas avtal. Sådana instruktioner måste, som vi ser det, även innehålla avtalsvillkor gällande tekniska och organisatoriska säkerhetsåtgärder till skydd för personuppgifterna.

388

11Att lämna ut personuppgifter i elektronisk form

11.1Reglering av direktåtkomst

11.1.1Definition av begreppet direktåtkomst

Bakgrund

Vi har ovan (se avsnitt 5.7) redovisat vår uppfattning att det allt- jämt finns skäl för att rättsligt skilja på begreppen direktåtkomst och annat elektroniskt utlämnande. Vår uppfattning baseras bl.a. på den omständigheten att en viss åtskillnad mellan de olika begrep- pen redan har lagts fast i praxis genom att uttalanden om hur direktåtkomst bör definieras i förarbetena till 11 kap. 4 § OSL får anses ha bekräftats i rättsfallet HFD 2011 ref. 52. Av dessa ut- talanden följer att en direktåtkomst är för handen när en mottag- ande myndighet har getts en teknisk tillgång till upptagningar hos annan myndighet så att de kan ”läsas, avlyssnas eller på annat sätt uppfattas”, varmed de anses expedierade från den utlämnande myn- digheten. Därmed får de också anses förvarade hos och, som huvud- regel, inkomna till den mottagande myndigheten i den mening som avses i 2 kap. 3 och 6 §§ TF.

Av rättsfallet HFD 2011 ref. 52 kan emellertid inte dras någon självklar slutsats av vad uttrycket läsas, avlyssnas eller uppfattas på annat sätt innebär för de olika former av elektroniska utlämnanden som kan sägas befinna sig i ”gråzonen” mellan direktåtkomst och annat elektroniskt utlämnande. Det finns alltså ännu ingen praxis som ger ett klart svar på i vilken mån sådana former av utläm- nanden är att anse som direktåtkomst. Samtidigt innebär regle- ringen i 2 kap. TF att endera är det fråga om direktåtkomst i nu

389

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

angiven mening eller så är det inte det. Avgörande blir bedöm- ningen av omständigheterna i det enskilda fallet.

Utredningen har i denna del av uppdraget inget mandat att föreslå några grundlagsändringar. Den fråga vi därför har ställt oss är om det finns skäl att, för att inte behöva avvakta en utveckling i rättspraxis, nu lämna ett förslag på en definition av begreppet direktåtkomst i vanlig lag som syftar till att klargöra vad som ska gälla i den ”gråzon” som kan uppfattas finnas för närvarande.

Våra överväganden

Bedömning: Begreppet direktåtkomst bör definieras, liksom hit- tills, på så sätt att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upp- tagningar som avses i 2 kap. 3 § andra stycket TF. Någon annan – exempelvis snävare – avgränsning i vanlig lag föreslås inte.

Bestämmelserna i 2 kap. TF samt i offentlighets- och sekretess- lagen (2009:400), exempelvis 7 kap. 2 § och 8 kap. 1 §, bygger på att myndigheternas verksamheter i rättslig mening gränsar till var- andra. Vid ett utbyte av uppgifter sker detta alltså över en och samma gräns och däremellan finns inget utrymme. Enkelt uttryckt innebär det att uppgifter beroende på vilken sida om gränsen de befinner sig antingen finns hos den ena eller andra myndigheten och de ingår då i den ena eller andra myndighetens verksamhet. Uppgifter kan också finnas samtidigt hos båda myndigheterna om de delar på en tillgång till uppgifterna. Uppgifterna ingår då i båda myndigheternas verksamhet. Frågan om var gränsen går mellan myndigheter som deltar i ett elektroniskt uppgiftsutbyte kan dock inte göras liktydig med att ta ställning till vilka handlingar som är att betrakta som allmänna hos de olika myndigheterna. Utgångs- punkten är emellertid reglerna i 2 kap. TF, framför allt 3 §, som reglerar när en upptagning anses förvarad hos en myndighet. Om en myndighet har gjort en upptagning åtkomlig för en annan myn- dighet på så sätt att 2 kap. 3 § TF blir tillämplig på upptagningen är den att anse som förvarad även hos den mottagande myndigheten. En rättslig gräns mellan de båda myndigheterna har alltså passerats, dvs. det finns i rättslig mening ingen oklarhet om på vilken sida om

390

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

gränsen som upptagningen befinner sig. Det innebär dock inte med automatik att upptagningen är att betrakta som allmän handling hos den mottagande myndigheten eftersom det finns flera undantag i 2 kap. TF från när i och för sig enligt 2 kap. 6 § inkomna, och således förvarade, handlingar ska anses vara allmänna. Som exempel kan nämnas den s.k. biblioteksregeln i 2 kap. 11 § första stycket 3 TF som bl.a. innebär att information på öppna webbplatser som myndigheten har åtkomst till inte är att anse som allmänna hand- lingar.

Om en handling har expedierats på det sätt som avses i 2 kap. 7 § TF kan också en rättslig gräns sägas ha passerats. Om en handling i tryckfrihetsförordningens mening har expedierats från den utlämnande myndigheten och därmed gjorts tillgänglig för en annan myndighet så att 2 kap. 3 § TF är tillämplig kan det alltså slås fast att handlingen har passerat den rättsliga gränsen mellan myn- digheterna. Som sagt är det en senare fråga om handlingen också ska anses vara allmän hos den mottagande myndigheten. Den frågan har emellertid ingen omedelbar betydelse för hur två myndigheter rättsligt gränsar till varandra. Exempelvis skyddas uppgifter i hand- lingen av sekretess enligt offentlighets- och sekretesslagen hos den mottagande myndigheten, eftersom den förvaras där, oavsett om handlingen är allmän eller inte. En myndighet är också person- uppgiftsansvarig för personuppgifter i en handling som förvaras hos myndigheten oavsett om handlingen är allmän eller inte.

Ett försök att i vanlig lag skapa en annan definition av begreppet direktåtkomst än den som i dag får anses gälla och som utgår från 2 kap. 3 § TF skulle enligt vår bedömning innebära att det skapas nya och andra gränser mellan myndigheterna än de som följer av bestämmelserna i 2 kap. TF och offentlighets- och sekretesslagen. Det får till följd att det i samband med elektroniska utlämnanden bildligt talat riskerar att skapas ett utrymme mellan myndigheter- nas gränser. Mellanrummet uppstår om det sätts upp andra, snävare gränser än vad som enligt tryckfrihetsförordningen gäller vid ut- byte av uppgifter mellan myndigheter. I detta rum finns inte några givna svar på eller hållpunkter för vilken myndighet som ansvarar för vad, exempelvis när det gäller behandling av personuppgifter eller vilket sekretesskydd som ska upprätthållas. Även den förvaltnings- rättsliga ansvarsfördelningen kan bli oklar. Man kan säga att det alltså riskerar att uppstå en form av ansvarsmässigt och rättsligt

391

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

vakuum. Sådana uppgiftsutbyten som kan sägas ske i den ovan omtalade gråzonen innebär emellertid i praktiken att de inblandade myndigheterna de facto har vidtagit en rad åtgärder och även tek- niskt påbörjat uppgiftsutbytet i fråga. Sådana åtgärder aktualiserar både verksamhetsansvar och personuppgiftsansvar på ömse sidor. Det kan inte anses tillfredsställande att sådana åtgärder ska få vidtas utan att det står klart inom ramen för vilken myndighets verk- samhet som detta sker, i synnerhet inte när åtgärderna tar sikte på personuppgifter. Enligt vår mening får det därför anses principiellt tveksamt att skapa ett rättsligt mellanrum mellan myndigheternas gränser genom att avgränsa olika former av elektroniska utläm- nanden på ett annat sätt än det som följer av 2 kap. TF och offent- lighets- och sekretesslagen.

Enligt vår uppfattning kan man också fråga sig vad som finns att tjäna på att i samband med att man definierar olika elektroniska utlämnandeformer sätta upp andra gränser för myndigheters utbyte av uppgifter än vad som ändå redan gäller beträffande handlings- offentlighet. Ett problem sammanhänger med att begreppet direkt- åtkomst i så fall inte torde kunna avgränsas med en tillämpning av 2 kap. 3 § andra stycket TF. Det skulle då inte vara tillräckligt att bedöma om en teknisk tillgång innebär att en upptagning kan läsas, avlyssnas eller på annat sätt uppfattas. Det måste i stället formu- leras ett annat kriterium. Det torde möta stora svårigheter att for- mulera ett sådant nytt kriterium som blir så tydligt och lättillämpat att det innebär en förenkling i förhållande till vad som ändå gäller enligt tryckfrihetsförordningen. Man kan befara att det i stället skapas en ännu större gråzon där fler former av elektroniska utläm- nanden kan komma att hamna p.g.a. att det blir ännu svårare att avgöra om de är att anse som direktåtkomst eller en annan utläm- nandeform.

Det får visserligen anses i viss mån otillfredsställande att det i dag inte står helt klart vid en tillämpning av 2 kap. 3 § TF hur vissa former av elektroniska uppgiftsutbyten ska definieras, dvs. om de utgör direktåtkomst eller inte. Enligt vår uppfattning inne- bär ett försök att skapa en annan avgränsning emellertid inte att en större tydlighet kan uppnås, utan det riskerar tvärtom att leda till ökad otydlighet. Som redan framgått anser vi därutöver att det redan av principiella skäl är olämpligt att utforma en avgränsning vid elektroniska utlämnanden som avviker från vad som annars gäller

392

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

vid överföring av uppgifter mellan myndigheter och på så sätt skapa ett utrymme – ett slags ansvarsmässigt och rättsligt vakuum – mellan myndigheter. Till detta kommer att det finns en uppenbar risk med att söka åstadkomma en reglering i syfte att fånga upp de tekniska former av åtkomst som används i dag eftersom en sådan riskerar att inte kunna tillämpas över tid.

I syfte att uppnå ett regelverk som i så stor utsträckning som möjligt är enhetligt när det gäller myndigheters hantering av infor- mation och som håller över tid anser vi således att övervägande skäl talar för att begreppet direktåtkomst bör, liksom hittills, ta sikte på det förhållandet att en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF. Enligt vår bedömning bör alltså någon annan och snävare avgränsning inte utformas. Det innebär att myndigheterna, och även lagstiftaren, på samma sätt och utifrån samma kriterier som gäller enligt 2 kap. TF får bedöma om ett planerat uppgifts- utbyte ska ske i form av direktåtkomst eller på annat sätt. Vad som gäller i fråga om de elektroniska utlämnandeformer som kan upp- fattas befinna sig i en gråzon mellan direktåtkomst och annat elek- troniskt utlämnande får alltså bedömas utifrån vad som kan läsas ut av framför allt 2 kap. 3 § TF och praxis i anslutning till det lag- rummet. Vårt ställningstagande i denna del innebär alltså att myn- digheterna på samma sätt som i dag och utifrån samma definition får bedöma om ett avsett uppgiftsutbyte utgör direktåtkomst eller en annan form av elektroniskt utlämnande.

11.1.2Bör det finnas ett generellt krav på författningsstöd för direktåtkomst?

Innebär nuvarande bestämmelser ett krav på författningsstöd?

Vad brukar lagstiftarens utgångspunkt vara?

Av 10 kap. 28 § OSL följer att en uppgiftsskyldighet som bryter den sekretess som annars gäller mellan två myndigheter ska regleras genom en bestämmelse i lag eller förordning. I det fallet krävs alltså en uttrycklig reglering som ska införas på åtminstone förordnings- nivå. När det däremot gäller direktåtkomst finns i gällande rätt

393

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

inget generellt krav på att en direktåtkomst förutsätter att det genom en föreskrift uttryckligen har tillåtits att den ska få förekomma.

Av förarbeten till bestämmelser om direktåtkomst framgår att lagstiftaren ibland emellertid tycks ha utgått från ett antagande om att det finns ett krav på att direktåtkomst uttryckligen ska tillåtas genom en föreskrift. Ett exempel på det är bestämmelserna om direktåtkomst till Skatteverkets beskattningsdatabas. I lagtexten räknas det upp vilka myndigheter som får ha direktåtkomst till beskattningsdatabasen. Det uttrycks emellertid inte att det ”endast” är dessa myndigheter som får ha direktåtkomst. Av förarbetena fram- går dock att det är syftet med bestämmelserna. Där anförs näm- ligen att förutsättningarna för åtkomsten borde föreskrivas i lag, medan regeringen borde ha möjlighet att närmare föreskriva om vilka uppgifter åtkomsten får avse (prop. 2000/01:33 s. 133). I detta fall har bestämmelserna alltså utformats med syfte att de positivt ska ange i vilka fall direktåtkomst får medges, dvs. det är bestäm- melser som syftar till att tillåta något som annars skulle vara otillåtet. Om det verkligen är så, eller om bestämmelserna ger uttryck för att man har ansett det lämpligt att just på skatteområdet anlägga detta synsätt, framgår inte av förarbetena. Exempelvis förs det inget resonemang om var det i så fall uttrycks ett krav på en positiv före- skrift som tillåter direktåtkomst. Det konstateras endast att sådana regler också tidigare har haft form av lag (a. prop. s. 133). I samman- hanget kan nämnas att Socialtjänstdatautredningen däremot gjorde ett mer klart ställningstagande i frågan. Utredningen ansåg att eftersom dess förslag till en ny lag om behandling av person- uppgifter inom socialtjänsten inte innehåller några bestämmelser om direktåtkomst, innebär det att någon direktåtkomst inte får förekomma (SOU 2009:32 s. 309).

Bestämmelser om direktåtkomst på många andra myndighets- områden synes däremot utgå från ett antagande om att direkt- åtkomst kan vara tillåten även om det inte finns någon föreskrift som medger det. Både bestämmelserna om direktåtkomst till social- försäkringsdatabasen och till uppgifter inom socialtjänsten har ut- formats med en sådan utgångspunkt. Det är i dessa fall alltså frågan om bestämmelser som inskränker möjligheterna att medge direkt- åtkomst, dvs. de syftar till att begränsa något som annars skulle vara tillåtet.

394

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Följer det något krav på reglering av en direktåtkomst av personuppgiftslagen?

I personuppgiftslagen finns inga bestämmelser som uttryckligen tar sikte på direktåtkomst. Den lagen berör över huvud taget inte frågan om olika utlämnandeformer. Det kan ändå finnas anledning att överväga om någon eller några av lagens bestämmelser i vart fall indirekt ställer krav på en viss reglering i samband med direkt- åtkomst.

Det kan då inledningsvis konstateras att personuppgiftslagens bestämmelser alltså inte medför några uttryckliga krav på att en direktåtkomst ska ha stöd i en föreskrift för att vara tillåten. Om åtkomsten avses omfatta känsliga personuppgifter krävs emellertid författningsstöd. En behandling av känsliga personuppgifter förut- sätter ju att det finns ett tillämpligt undantag från det förbud mot sådan behandling som annars gäller enligt 13 §. Däremot har be- stämmelserna i 9 och 10 §§ betydelse för om en direktåtkomst är tillåten och vilken omfattning den i så fall kan ha. Bestämmelser om direktåtkomst kan också påverka en myndighets informations- skyldighet enligt lagen. Skyldigheten att självmant lämna informa- tion till den registrerade om behandling av personuppgifter kan helt bortfalla om det finns en bestämmelse om direktåtkomst, men skyldigheten att lämna s.k. 26 §-utdrag kvarstår även om en sådan bestämmelse finns.

Vi har ovan berört frågan att det torde vara av avgörande betydelse att lämpliga säkerhetsåtgärder vidtas för att det integri- tetsskydd som är avsett att finnas vid en direktåtkomst också blir förverkligat. Något krav på att i olika hänseenden införa regler som fyller ut bestämmelserna i 31 § PuL om skyldighet att vidta lämp- liga säkerhetsåtgärder finns det emellertid inte. Däremot följer av 32 § att Datainspektionen i enskilda fall kan besluta om säker- hetsåtgärder och av 50 b §§ att regeringen kan besluta föreskrifter om vilka krav som ställs på den personuppgiftsansvarige. Rege- ringen har vidaredelegerat föreskriftsrätten till Datainspektionen, men inspektionen har hittills inte meddelat några föreskrifter om säkerhetsåtgärder.

I prop. 2007/08:160 om ett utökat elektroniskt informations- utbyte anförde regeringen att en god informationssäkerhet vid myndigheterna är ett ständigt pågående utvecklingsarbete (s. 64 f.).

395

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

Riksrevisionen, som ansåg att aktuella myndigheter inte uppfyllde kraven på god informationssäkerhet, hade i sitt remissvar avseende det betänkande som propositionen byggde på (SOU 2007:45) föreslagit att någon form av certifiering borde krävas innan en myndighet tilläts delta i informationsutbytet. Enligt regeringen fick problem med bristande informationssäkerhet tas om hand i annan ordning och utgjorde inte hinder för att genomföra ett utökat elektroniskt informationsutbyte. Regeringen erinrade också om vikten av att berörda myndigheter lever upp till gällande krav på att vidta de tekniska och organisatoriska åtgärder som krävs till skydd för de personuppgifter som behandlas.

Även om en direktåtkomst alltså kan ha betydelse vid tillämp- ningen av personuppgiftslagen kan något krav på författningsstöd för att en direktåtkomst ska kunna etableras knappast härledas ur den lagen. Inte heller kan, som vi ser det, något sådant krav här- ledas ut dataskyddsdirektivet.

Finns krav på reglering i andra författningar?

Det kan konstateras att det inte heller av bestämmelserna i 4 och 5 kap. OSL följer något krav på att reglera en direktåtkomst. Upp- tagningar som en mottagande myndigheten får tillgång till genom direktåtkomst är emellertid att anse som utlämnade till myndigheten och utgör därmed allmänna handlingar. En myndighet har därför en skyldighet att upprätta en beskrivning som bl.a. ger information om hur de allmänna handlingar som är tillgängliga genom direkt- åtkomsten kan sökas fram. (4 kap. 2 § första stycket 2). Genom direktåtkomst torde också ett regelbundet inhämtande eller utläm- nande av uppgifter ske. Beskrivningen bör därför också innehålla information om hur åtkomsten är ordnad samt vilka uppgifter den omfattar (4 kap. 2 § andra stycket 6).

Något krav på att registrera de allmänna handlingar som direkt- åtkomsten omfattar finns dock inte. Det ankommer enbart på den utlämnande myndigheten att registrera handlingarna (5 kap. 1 § andra stycket OSL).

396

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Våra överväganden och förslag

Förslag och bedömning: Någon allmän regel om krav på för- fattningsstöd för direktåtkomst bör inte införas. Däremot före- slås den nya lagen innehålla en bestämmelse som föreskriver att direktåtkomst till sekretessreglerade personuppgifter ska ha stöd i lag eller förordning. Från bestämmelsens tillämpnings- område undantas direktåtkomst som medges den registrerade eller dennes ombud och som tar sikte på uppgifter som hänför sig till den registrerade, som medges till uppgifter som är sekre- tessreglerade enligt 21 kap. 7 § OSL, som medges ett person- uppgiftsbiträde eller som medges en myndighet endast för sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § första stycket TF för den utlämnande myndighetens räkning.

Det bör inte införas bestämmelser som innebär ett generellt krav på särskilt författningsstöd för direktåtkomst

Det kan konstateras att det inte finns något krav enligt gällande rätt på att direktåtkomst ska ha stöd i författning för att vara tillåten. Av vissa lagstiftningsärenden där registerförfattningar på olika områden har införts framgår emellertid att förslagen om bestämmelser om direktåtkomst bygger på ett antagande om att ett sådant stöd bör finnas. På somliga områden har det även införts bestämmelser som uttryckligen innebär att direktåtkomst bara är tillåten om den föreskrivs i lag eller förordning. Bortsett från så- dana nyss nämnda områden där det sektorsvis införts krav på för- fattningsstöd strider det alltså i dag inte mot någon bestämmelse att en myndighet på eget initiativ tillåter en annan myndighet eller någon annan aktör att få direktåtkomst till myndighetens informa- tionssamlingar.

Det kan vidare konstateras att i de fall direktåtkomst har reg- lerats föreskrivs i de allra flesta fall att direktåtkomst ”får” medges. Ett undantag finns i den nya lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna, som trätt i kraft den 1 augusti 2014. I den föreskrivs att direktåtkomst i vissa fall ”ska” medges. Att direktåtkomst ”får” medges innebär att den utlämnande myndigheten inte är skyldig att faktiskt anordna den

397

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

direktåtkomst som regleringen i och för sig medger. I förarbeten har anförts att innebörden av en sådan författningsreglering är att den myndighet som angetts få ha direktåtkomst inte har en ovill- korlig rätt att få ut uppgifterna, utan att den myndighet som inne- har informationen har en rätt att medge sådan åtkomst (prop. 2011/12:45 s. 133). Den utlämnande myndigheten har ett prin- cipiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt. Det påpekades vidare att detta förhållande tydliggörs i några författningar genom bestämmelser som anger att myndigheten i fråga inte får medge andra direktåtkomst till sina register innan den har försäkrat sig om behörighets- och säkerhets- frågorna är lösta på ett sätt som är tillfredsställande från integritets- synpunkt. Ett annat exempel på liknande förarbetsuttalanden kan hämtas från prop. 2008/09:96 där regeringen framhöll att det är viktigt att den utlämnande myndigheten försäkrar sig om att mot- tagaren tillgodoser de krav som följer av personuppgiftslagen med avseende på lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna innan myndigheten rent faktiskt medger direktåtkomst till uppgifter i sin databas för olika användare (s. 63).

I de allra flesta fall där direktåtkomst har reglerats i en författ- ning är det alltså den utlämnande myndigheten som ytterst för- fogar över frågan om en direktåtkomst rent faktiskt ska komma till stånd. Detta får enligt vår mening uppfattas som en smidig och effektiv ordning, eftersom det då står den utlämnande myndig- heten fritt att välja på vilket sätt uppgiftsutbytet ska ske utifrån vad som är möjligt och lämpligt.

Det ovan anförda ger enligt vår mening vid handen att det sak- nas skäl att införa generella bestämmelser som innebär att en direkt- åtkomst aldrig skulle vara tillåten utan särskilt författningsstöd. Vi föreslår därför inte någon sådan generell regel.

Direktåtkomst till sekretessreglerade uppgifter bör kräva stöd i lag eller förordning

Vi har i våra överväganden i frågan om det bör behållas en begrepps- mässig åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande framhållit att direktåtkomst är en betydligt mer vitt- omfattande form av elektroniskt utlämnande än andra sådana utläm-

398

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

nanden (se avsnitt 5.7). Att direktåtkomst är speciell illustreras av att varje sådan åtkomst i sig ger upphov till krav på att det övervägs om tillräcklig sekretess hos den mottagande myndigheten finns och om det finns en sekretessbrytande regel som möjliggör det utläm- nande av uppgifter som direktåtkomsten innebär. Om det saknas sådana bestämmelser måste de införas i förväg. Av hänsyn till frågor om skydd för personuppgifter i allmänhet och informationssäker- het samt fördelning av ansvar – både för verksamheten i stort och för personuppgifter – som väcks i samband med direktåtkomst är det också av stor vikt att även dessa frågor, liksom frågor om begränsning av överskottsinformation, är genomlysta och att de åtgärder som behövs har vidtagits innan direktåtkomsten etableras. Detta gäller i synnerhet när det är fråga om uppgifter som skyddas av regler om sekretess.

Även om vi alltså inte föreslår något generellt krav på författ- ningsstöd för direktåtkomst talar enligt vår mening samma skäl som talar för att det också i fortsättningen bör göras en åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande för att det bör införas ett uttryckligt krav på att direktåtkomst till sekretessreglerade personuppgifter ska ha stöd i lag eller förord- ning för att vara tillåten.

Det kan dock konstateras att det redan i dag följer av bestäm- melserna i offentlighets- och sekretesslagen att en sekretessbryt- ande regel måste finnas för att ett utlämnande av sekretessreglerade uppgifter som sker genom direktåtkomst inte ska strida mot bestämmelser om sekretess. Det finns alltså redan ett krav på att det vid direktåtkomst införs en sekretessbrytande bestämmelse i lag eller förordning som möjliggör åtkomsten, om en sådan bestäm- melse saknas. Det kan hävdas att det mest ingripande med en direktåtkomst är just nödvändigheten av att undanröja eventuella sekretesshinder så att gränsen mellan de inblandande myndig- heterna öppnas upp. Det skulle i så fall tala för att det är tillräckligt att det redan finns ett krav på att undanröja sådana hinder genom en bestämmelse i författning.

Enligt vår uppfattning är det emellertid inte enbart behovet av en sekretessbrytande bestämmelse som gör att direktåtkomst sär- skiljer sig från andra former av elektroniska utlämnanden. Inte minst viktig är den omständigheten att den mottagande myndig- heten bildligt talat släpps in innanför den andra myndighetens

399

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

dörrar. Denna omständighet, som innebär att myndigheterna i viss mån sammanför sina verksamheter, har betydelse inte bara för de sekretessfrågor som uppstår utan även för integritetsskydd i vidare mening samt för frågor om fördelning av verksamhetsansvar, exempelvis beträffande informationssäkerhet och rent förvaltnings- rättsliga skyldigheter. Dessutom tillkommer alltså det förhållandet att i den mån en direktåtkomst i sig ger upphov till behov av författningsändringar det krävs att dessa har vidtagits på förhand, dvs. innan åtkomsten faktiskt etableras. Även för det fall det redan skulle finnas en tillämplig sekretessbrytande bestämmelse talar dessa omständigheter enligt vår uppfattning för att – i vart fall såvitt avser direktåtkomst till sekretessreglerade personuppgifter – avvägningarna inte uteslutande bör ske på myndighetsnivå. Det finns behov av överblick över rättsområdet och ett intresse av att verka för enhetlighet som talar för detta, inte minst när det gäller avvägningar mellan effektivitet och integritet men också i fråga om på vilken nivå kraven på t.ex. informationssäkerhet vid denna typ av uppgiftsutbyten bör ligga. Visserligen ställer bestämmelser i personuppgiftslagen och offentlighets- och sekretesslagen vissa krav på både den myndighet som medger direktåtkomst och den myndighet som använder sig av den, exempelvis att direktåtkoms- ten ska uppfylla grundläggande krav för och vara en tillåten be- handling av personuppgifter samt att åtkomsten ska beskrivas i olika dokument som enskilda kan ta del av. Detta utgör emellertid endast krav som ska uppfyllas på myndighetsnivå och svarar därför inte mot de behov av överblick och enhetlighet som vi anser finns på området.

Vi anser därför att det finns ett behov av att i den nya lagen införa en bestämmelse som föreskriver att direktåtkomst till sekre- tessreglerade personuppgifter ska ha författningsstöd i lag eller förordning. Som vi kommer att utveckla närmare nedan torde enligt vår mening detta författningsstöd normalt sett kunna ges av regeringen, dvs. genom föreskrift i förordning. Med lag bör, i enlig- het med den uppfattning som uttalats i samband med annan lag- stiftning, kunna likställas en EU-förordning (se prop. 1999/2000:126 s. 272 och 283).

Enligt vår uppfattning är det alltså tillräckligt att begränsa den nu aktuella bestämmelsens tillämpningsområde till de fall då en direktåtkomst tar sikte på sekretessreglerade uppgifter. Visserligen

400

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

kan även direktåtkomst till uppgifter som inte skyddas av regler om sekretess, dvs. offentliga uppgifter, ge upphov till frågor om skydd för personuppgifter i en vidare mening. Även behov av genomlys- ning av frågor om fördelning av verksamhetsansvar uppstår vid en sådan åtkomst. Enligt vår uppfattning är emellertid en direkt- åtkomst till offentliga personuppgifter inte av samma känsliga art som en åtkomst som avser sekretessreglerade uppgifter. Dessutom torde det många gånger vara så att de fördelar från effektivitets- synpunkt som en direktåtkomst innebär uppenbart överväger de motstående intressen som kan finnas när det är fråga om offentliga uppgifter. Enligt vår uppfattning är det därför som huvudregel tillräckligt att de överväganden som behöver göras vid sådan åt- komst sker på myndighetsnivå, se avsnitt 10.1.4 angående vårt för- slag om krav på den utlämnande myndigheten att göra en risk- och sårbarhetsanalys och träffa överenskommelse med mottagare om bl.a. säkerhetsåtgärder till skydd för personuppgifterna.

Kravet på författningsstöd vid direktåtkomst ska alltså inte gälla beträffande uppgifter som inte är sekretessreglerade utan offent- liga. Vi återkommer nedan till frågan om det däremot behövs en bestämmelse som begränsar en myndighets möjlighet att medge direktåtkomst till offentliga uppgifter.

Av den inventering vi har gjort av de nuvarande registerförfatt- ningarna kan man dra slutsatsen att en ny bestämmelse som före- skriver ett uttryckligt krav på författningsstöd i princip inte kom- mer att medföra några omedelbara konsekvenser för normgivaren, eftersom det redan i dag torde vara så att direktåtkomster som omfattar sekretessreglerade uppgifter har författningsstöd. Det före- faller alltså vara så att lagstiftaren redan har som utgångspunkt att det bör finnas ett sådant stöd. Genom den nya bestämmelsen kommer det emellertid att stå klart att det är en sådan ordning som gäller.

Undantag från kravet på författningsstöd

Sekretess till skydd för en enskild gäller som huvudregel inte i förhållande till den enskilde själv (jfr 12 kap. 1 § OSL). Från bestämmelsens tillämpningsområde bör därför undantas direkt- åtkomst som medges den registrerade och som tar sikte på upp- gifter som hänför sig till honom eller henne själv (jfr definitionen

401

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

av personuppgifter i 3 § PuL). Inte heller bör det krävas stöd i för- fattning för att medge den registrerades ombud direktåtkomst. Det förutsätter emellertid att det finns ett behov av de uppgifter som kan lämnas ut genom direktåtkomsten för den angelägenhet som ombudets behörighet avser. Det ankommer således på den utläm- nande myndigheten att kontrollera att det förhåller sig på detta sätt innan en registrerads ombud medges direktåtkomst.

Även direktåtkomst till uppgifter som regleras av sekretess enligt 21 kap. 7 § OSL, dvs. den s.k. PuL-sekretessen, bör undan- tas. Som den bestämmelsen är formulerad kan den uppfattas innebära att alla personuppgifter som finns hos en myndighet är sekretessreglerade, eftersom alla personuppgifter kan komma att bli behandlade enligt personuppgiftslagen hos en presumtiv mot- tagare. Om den nya bestämmelsen med krav på författningsstöd för direktåtkomst till sekretessreglerade uppgifter skulle omfatta även 21 kap. 7 § OSL skulle det alltså innebära att all direktåtkomst måste ha författningsstöd. Ett undantag med avseende på den bestämmelsen är därför nödvändigt.

I sammanhanget kan även nämnas att det hos myndigheter i vars verksamhet det normalt inte förekommer sekretessreglerade upp- gifter kan tillfälligtvis finnas uppgifter som är sekretessreglerade enligt exempelvis 21 kap. 1 § eller 21 kap. 3 § OSL. I dessa fall rör det sig om fall där sekretess gäller för uppgifterna oavsett i vilken myndighetsverksamhet de förekommer, dvs. sekretessen följer med uppgifterna. När sekretessen är konstruerad på detta sätt rör det sig normalt om ett särskilt kvalificerat skyddsintresse. Om sådana uppgifter förekommer hos en myndighet måste en direktåtkomst, som avses ta sikte på offentliga uppgifter, givetvis ordnas så att den inte omfattar också de skyddade uppgifterna. I annat fall krävs allt- så författningsstöd för direktåtkomsten.

Från bestämmelsen med krav på författningsstöd för direkt- åtkomst till sekretessreglerade uppgifter bör det också införas ett undantag som tar sikte på den situationen då ett personuppgifts- biträde ska få direktåtkomst till en myndighets informations- samlingar. Ett personuppgiftsbiträde får enligt 30 § första stycket PuL endast behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvariga myndigheten. Biträdet får alltså inte behandla de personuppgifter som biträdet får åtkomst till för något eget ändamål. I en sådan situation saknas alltså skäl att åstad-

402

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

komma det särskilda skydd för sekretessreglerade personuppgifter som kravet på författningsstöd avser att åstadkomma. Ett undantag för direktåtkomst som medges personuppgiftsbiträden bör därför införas.

Det förekommer också att en myndighet har direktåtkomst till upptagningar för att ha dessa i sitt förvar enbart som led i en teknisk bearbetning eller en teknisk lagring för en annan myn- dighets räkning. Enligt 2 kap. 10 § första stycket TF anses sådana handlingar inte vara allmänna hos den mottagande myndigheten. Något krav på författningsstöd för en sådan direktåtkomst bör enligt vår mening inte uppställas. I de fall en enskild aktör medges direktåtkomst till sekretessreglerade uppgifter i syfte att utföra motsvarande uppgifter kan det förutsättas att det sker med stöd i ett personuppgiftsbiträdesavtal. Den situationen omfattas således av det undantag från kravet på författningsstöd som tar sikte på direktåtkomst som medges personuppgiftsbiträden.

11.1.3En ny regel som generellt bryter sekretess vid direktåtkomst för myndigheter

Problem med de sekretessbrytande bestämmelser som finns i dag

Eftersom de uppgifter som en direktåtkomst omfattar är att anse som utlämnande i och med att åtkomsten medges, måste åtkom- sten – om den omfattar sekretessreglerade uppgifter hos den ut- lämnande myndigheten – möjliggöras genom en sekretessbrytande regel. Genomgången av befintliga registerförfattningar visar att regler om direktåtkomst i de allra flesta fall inte formuleras så att de i sig bryter sekretess, dvs. att direktåtkomst ”ska” medges. En sådan regel skulle däremot vara att se som en sådan uppgifts- skyldighet som avses i 10 kap. 28 § OSL och som i sig är sekre- tessbrytande. Ett enstaka exempel på detta är, som har framgått ovan, bestämmelserna om direktåtkomst i den nya lagen (2014:484) om en databas för övervakning av och tillsyn över finansmark- naderna. Men som huvudregel har alltså en direktåtkomst ansetts förutsätta att den kan förenas med en bestämmelse om uppgifts- skyldighet som omfattar de sekretessreglerade uppgifter som åt- komsten tar sikte på.

403

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

Det har i vissa förarbeten antytts att direktåtkomst kan förenas med ett utlämnande enligt den s.k. generalklausulen i 10 kap. 27 § OSL (se t.ex. prop. 2010/11:45 s. 143 och Lagrådets uttalande i prop. 2000/01:33 s. 347). Den s.k. generalklausulen förutsätter emellertid att en intresseavvägning görs. En sådan avvägning kan visserligen göras på förhand om man bedömer att ett utlämnande är möjligt även utan en avvägning i enskilda fall. Ett rutinmässigt utlämnande för en viss tid är då i och för sig möjligt. Så är emellertid inte alltid fallet. Även om ett rutinmässigt utlämnande med stöd av generalklausulen bedöms möjligt för en viss tid, är det ändå så att den utlämnande myndigheten i princip är oförhindrad att göra en ny bedömning i sekretessfrågan och besluta att ett utlämnande i ett enskilt fall inte ska ske. Den utlämnande myn- digheten behåller alltså den rättsliga befogenheten att avgöra om uppgifter ska lämnas ut eller inte. Mot denna bakgrund förefaller ett utlämnande med stöd av generalklausulen inte kunna möjliggöra ett utlämnande genom direktåtkomst. När direktåtkomsten väl har etablerats har ju den utlämnande myndigheten inte längre kvar en rättslig befogenhet att pröva vilka uppgifter som i enskilda fall ska lämnas ut inom ramen för åtkomsten, eftersom uppgifterna redan anses utlämnande. Däremot torde den utlämnande myndigheten alltjämt ha en befogenhet att ta tillbaka medgivandet till direkt- åtkomst.

Av inventeringen av registerförfattningarna framgår att det inte har reglerats konsekvent hur och i vilken utsträckning det finns en uppgiftsskyldighet eller någon annan sekretessbrytande regel som knyter an till en bestämmelse om direktåtkomst. De uppgifts- skyldigheter som avses tillämpas är många gånger generellt utfor- made och tar inte särskilt sikte på direktåtkomsten. En annan iakt- tagelse är att det kan vara svårt att hitta de sekretessbrytande regler som avses möjliggöra direktåtkomsten. Så är exempelvis delvis fallet med de direktåtkomster som i 114 kap. SFB har medgetts till socialförsäkringsdatabasen. Det förekommer att en sekretessbrytande regel finns i en annan författning än den där direktåtkomsten regleras utan att någon hänvisning görs. Är frågan om sekretess- brytande regler inte heller uttryckligen behandlad i förarbetena, blir det mycket svårt att skaffa sig en bild av hur direktåtkomsten är tänkt att kunna ske utan att bryta mot gällande sekretess. På socialförsäkringsområdet har t.ex. under senare tid en uppgiftsskyl-

404

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

dighet för Försäkringskassan i förhållande till arbetslöshetskassorna upphävts, medan bestämmelsen som medger arbetslöshetskassorna direktåtkomst finns kvar trots att åtkomsten alltså inte längre kan användas. Det kan konstateras att den hittills tillämpade ordningen med separata bestämmelser som medger direktåtkomst respektive är sekretessbrytande har medfört att rättsområdet blivit mycket svåröverskådligt, även för lagstiftaren, och att den reglering som förekommer delvis är inkonsekvent.

Tekniken för att införa sekretessbrytande bestämmelser

Av 8 kap. 1 § OSL följer att sekretessbrytande bestämmelser som gäller i förhållande till andra myndigheter kan införas i offentlig- hets- och sekretesslagen eller i lag eller förordning som den lagen hänvisar till.

Som exempel på sekretessbrytande bestämmelser som införts direkt i offentlighets- och sekretesslagen och som avser att möj- liggöra direktåtkomst kan nämnas 25 kap. 11 § 3, vilken bryter hälso- och sjukvårdssekretessen enligt samma kapitel för uppgifter som utbyts inom systemet för sammanhållen journalföring. Ett annat exempel är den nya sekretessbrytande bestämmelsen i 30 kap. 8 a § OSL som avses möjliggöra direktåtkomst till den nya data- basen för övervakning av och tillsyn över finansmarknaderna (prop. 2013/14:161). Dessa bestämmelser har inte utformats som upp- giftsskyldigheter, utan föreskriver direkt i offentlighets- och sekre- tesslagen att sekretess inte hindrar det utlämnande av uppgifter som avses ske genom direktåtkomsten. När det gäller det sist- nämnda lagstiftningsärendet kan konstateras att de bestämmelser som medger direktåtkomst i den föreslagna lagen om behandling av uppgifter i den nya databasen i sig är utformade som uppgifts- skyldigheter, eftersom de föreskriver att direktåtkomst ”ska” medges. Eftersom bestämmelserna i sig är sekretessbrytande före- slog 2011 års utredning av finansmarknadsstatistiken inte någon ytterligare bestämmelse (SOU 2012:79 s. 106 f.). I prop. 2013/14:161 konstaterar regeringen att de föreslagna bestämmelserna om direkt- åtkomst är utformade som uppgiftsskyldigheter, vilka enligt 10 kap. 28 § OSL medför att sekretessen bryts (s. 56). Enligt regeringen bör emellertid föreskrifter om sekretessgenombrott och föreskrif-

405

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

ter om på vilket sätt uppgifter lämnas ut, exempelvis genom direkt- åtkomst, ges i olika bestämmelser. Till skillnad från utredningen föreslog regeringen därför att det utöver bestämmelserna om direktåtkomst infördes en särskild sekretessbrytande bestämmelse i offentlighets- och sekretesslagen. Man kan emellertid göra den reflektionen att med bestämmelser som medger direktåtkomst, där det uttrycks att sådan åtkomst ”ska” medges, förefaller det knappast vara nödvändigt att också införa en särskild sekretessbrytande bestämmelse för att åstadkomma en sådan effekt. Av den utform- ning bestämmelserna om direktåtkomst har fått följer ju att de är sådana uppgiftsskyldigheter som enligt 10 kap. 28 § OSL bryter sekretess.

Möjligheten enligt 8 kap. 1 § OSL att införa en sekretessbryt- ande bestämmelse genom en hänvisning i den lagen till en bestäm- melse i annan lag eller förordning används oftast i fråga om sekre- tessbrytande bestämmelser som tar sikte på enskildas möjlighet att ta del av uppgifter, exempelvis 27 kap. 7 § och 28 kap. 6 §. Då det gäller sekretessbrytande bestämmelser som gäller i förhållande till andra myndigheter används vanligen i stället den möjlighet som ges genom den generellt sekretessbrytande bestämmelsen i 10 kap. 28 § OSL. Den föreskriver att sekretess inte hindrar att uppgifter lämnas till en annan myndighet om det finns en uppgiftsskyldighet i lag eller förordning. I så fall behövs det ingen hänvisning i offent- lighets- och sekretesslagen till den aktuella lagen eller förordningen. Om denna möjlighet används, kan alltså både en bestämmelse som medger direktåtkomst och den sekretessbrytande bestämmelsen som behövs för att möjliggöra åtkomsten föras in i t.ex. en register- författning utan att någon ändring behöver göras i offentlighets- och sekretesslagen. Det torde vara förklaringen till att flertalet av de sekretessbrytande bestämmelser som avser att möjliggöra direkt- åtkomst för andra myndigheter har utformats som just uppgifts- skyldigheter.

406

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Våra överväganden och förslag

Förslag: I 10 kap. OSL införs det en generellt sekretessbrytande bestämmelse som innebär att föreskrifter i lag eller förordning om direktåtkomst för myndigheter i sig får en sekretessbryt- ande effekt. Därigenom behöver det inte längre införas särskilda sekretessbrytande bestämmelser för att möjliggöra direktåtkomst enligt den ordning som i dag vanligtvis tillämpas. Den nya bestämmelsen bör knyta an till den definition av begreppet direktåtkomst som vi förordar. Bestämmelsen bör inte omfatta direktåtkomst som medges utländska myndigheter eller enskilda.

När man överväger att underlätta ett uppgiftsutbyte mellan myn- digheter genom direktåtkomst får det från integritetsskydds- synpunkt alltså anses centralt att frågan om behovet av sekretess- brytande bestämmelser blir föremål för noggranna avvägningar så att en sådan bestämmelse inte blir onödigt vid. Det är också av stor betydelse att det klart framgår av en ny reglering vilket utbyte av uppgifter som utan hinder av sekretess får förekomma genom en direktåtkomst och hur åtkomsten får användas. Vi har alltså kunnat konstatera att den hittills tillämpade ordningen med separata bestämmelser som medger direktåtkomst respektive är sekretess- brytande har medfört att rättsområdet blivit mycket svåröverskåd- ligt och att den reglering som förekommer delvis är inkonsekvent. I syfte att åstadkomma en klargörande reglering skulle enligt vår uppfattning mycket stå att vinna om man i offentlighets- och sekretesslagen genom en generellt gällande bestämmelse kunde föreskriva att en bestämmelse om direktåtkomst i sig är sekretess- brytande. I så fall skulle en bestämmelse som medger direkt- åtkomst inte behöva förenas med en särskild sekretessbrytande bestämmelse, exempelvis i form av en uppgiftsskyldighet. En sådan ordning förordades av Lagrådet redan år 2000 i samband med in- förandet av registerförfattningar på skatteområdet (prop. 2000/01:33 s. 347). Lagrådet anförde att det var önskvärt att en formell överensstämmelse åstadkoms mellan registerlagarna och sekretess- lagen så att sekretessbrytande effekt av föreskrifter om direkt- åtkomst regleras i anslutning till dåvarande 14 kap. 1 och 3 §§ sekretesslagen (numera 10 kap. 28 respektive 27 §§ OSL).

407

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

Förklaringen till att flertalet av de sekretessbrytande bestäm- melser som har införts i registerförfattningar för att möjliggöra direktåtkomst har utformats som uppgiftsskyldigheter torde, som vi redan konstaterat, vara att det då inte behöver föras in någon hänvisning i offentlighets- och sekretesslagen till den sekretess- brytande bestämmelsen. En uppgiftsskyldighet syftar emellertid i grunden inte till att bryta sekretess utan kan ha avfattats utan tanke på att avse just hemliga uppgifter. Det grundläggande syftet är snarare att göra klart att en myndighet är skyldig att lämna en viss uppgift till en annan myndighet utan att någon prövning får ske. Motsatsvis finns en ovillkorlig rätt för den andra myndigheten att få uppgifterna. Som exempel kan nämnas bestämmelsen i 13 kap. 1 § RF som föreskriver att konstitutionsutskottet har rätt att få de handlingar från regeringen som utskottet finner nödvändigt för sin granskning. Bestämmelsen utvidgades genom 2010 års grundlags- ändringar till att avse också andra handlingar hos regeringen än sådana som hör till regeringsärenden. I förarbetena konstaterades att 6 kap. 5 § OSL och den sekretessbrytande bestämmelsen i 10 kap. 15 § samma lag, som föreskriver att sekretess inte hindrar att en uppgift lämnas till riksdagen eller regeringen (prop. 2009/10:80 s. 114 f.) i och för sig innebar en långtgående skyldighet för rege- ringen att på begäran av konstitutionsutskottet tillhandahålla utskottet uppgifter i andra handlingar än sådana som tillhör rege- ringsärenden. Regeringen framhöll att utskottet dock inte kunde grunda någon uttrycklig rätt att få tillgång till sådana handlingar p.g.a. bestämmelserna om kontrollmakten i dåvarande 12 kap. 1 § RF (numera 13 kap. 1 §), som då endast omfattade handlingar i regeringsärenden. En sådan uttrycklig rätt borde därför införas, vilket alltså skedde genom en utvidgning av tillämpningsområdet för regeringens uppgiftsskyldighet gentemot utskottet vid dess granskning.

Vid direktåtkomst är det normalt de inblandade myndigheterna som gemensamt kommer överens om hur åtkomsten i praktiken ska ordnas och ytterst den utlämnande myndigheten som beslutar att ”släppa in” den mottagande myndigheten i sina uppgiftssam- lingar. I och med att direktåtkomsten faktiskt har etablerats, är de uppgifter som omfattas utlämnande till den myndigheten. Att upp- gifterna lämnas ut är alltså en faktisk och rättslig konsekvens av att direktåtkomsten verkställs. Och detta är i sin tur alltså en följd av

408

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

den utlämnande myndighetens beslut även om etableringen av direktåtkomsten förutsätter viss samverkan med den mottagande myndigheten för att förbereda åtkomsten tekniskt och på andra sätt. Vid direktåtkomst är det således normalt sett inte fråga om en situation där det finns ett behov av att klargöra att den utlämnande myndigheten har en skyldighet att lämna ut uppgifter respektive att den mottagande myndigheten har en ovillkorlig rätt att få ut upp- gifterna.

Är inblandade myndigheter väl överens om att direktåtkomsten faktiskt kan etableras, blir utlämnandet alltså ett resultat av denna överenskommelse. En uppgiftsskyldighet i en särskild sekretess- brytande bestämmelse kan visserligen vara en förutsättning men är inte i sig styrande för att en överenskommelse om direktåtkomst faktiskt ska komma till stånd. Situationen blir förstås annorlunda om det i bestämmelsen om direktåtkomst föreskrivs att sådan åtkomst ”ska” medges. En sådan bestämmelse fungerar ju som styrande både för att åtkomsten faktiskt ska komma till stånd och för att sekretessen ovillkorligen bryts. Som redan framhållits är denna typ av bestämmelse mycket ovanlig, i allmänhet reglerar man endast att direktåtkomst ”får medges”. Det ankommer alltså i de allra flesta fall på den utlämnande myndigheten att besluta om huruvida direktåtkomsten i praktiken ska medges. I en sådan situa- tion finns det således inget behov av att den sekretessbrytande bestämmelsen ska ha formen av en uppgiftsskyldighet, utan det räcker med att den har en sekretessbrytande effekt.

Som vi redan framhållit torde förklaringen till att det är just formen uppgiftsskyldighet som i allmänhet ändå har valts som sekretessbrytande bestämmelse vid direktåtkomst vara att man då slipper ändringar i offentlighets- och sekretesslagen. Enligt vår mening är det emellertid principiellt sett otillfredsställande att den sekretessbrytande effekt som krävs vid direktåtkomst åstadkoms genom att man inför regler som föreskriver en uppgiftsskyldighet som kanske sakligt sett inte alls behövs och som dessutom kanske inte efterlevs i den mån direktåtkomst av något skäl inte kommer till stånd. En bestämmelse som, utan att hänvisa till uppgifts- skyldighet, direkt i offentlighets- och sekretesslagen föreskriver att sekretess inte hindrar att uppgift lämnas till en myndighet som har medgetts direktåtkomst till en annan myndighets uppgiftssamlingar skulle således på ett betydligt bättre sätt åstadkomma den sekre-

409

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

tessbrytande effekt som behövs vid sådan åtkomst. Vi föreslår därför att det införs en sådan bestämmelse.

I enlighet med bestämmelserna i 8 kap. 1 § OSL bör den nya bestämmelsen hänvisa till en direktåtkomst som medgetts i lag eller förordning. En sådan formulering stämmer också överens med den bestämmelse som vi föreslår ska införas i den nya lagen om myndigheters behandling av personuppgifter, vilken föreskriver att direktåtkomst till sekretessreglerade personuppgifter inte är tillåten utan ett uttryckligt stöd i lag eller förordning. Eftersom den nya bestämmelsen i offentlighets- och sekretesslagen syftar till att vara generellt sekretessbrytande bör den införas i 10 kap. Då den avser att bryta sekretess vid direktåtkomst för andra myndigheter oavsett i vilken verksamhet direktåtkomsten förekommer kan den lämp- ligen införas som ett nytt andra stycke i 10 kap. 28 §. Bestäm- melsen bör knyta an till den definition av begreppet direktåtkomst som vi förordar, dvs. att det ska vara frågan om sådan teknisk till- gång till upptagningar hos en annan myndighet som avses i 2 kap. 3 § andra stycket TF.

Enligt sin nuvarande utformning tar 10 kap. 28 § OSL enbart sikte på att reglera när sekretess inte ska gälla i förhållande till svenska myndigheter. Detsamma bör gälla i fråga om den sekre- tessbrytande bestämmelsen vid direktåtkomst som nu föreslås. I fråga om direktåtkomst som medges utländska myndigheter får i stället bestämmelsen i 8 kap. 3 § OSL tillämpas. Enligt den bestäm- melsen gäller inte sekretess i förhållande till en utländsk myndighet eller en mellanfolklig organisation om utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning. Med lag likställs EU- förordningar (Lenberg m.fl., kommentaren till 8 kap. 3 §).

Genom att bestämmelsen görs generellt tillämplig i de fall en myndighet ska få medges direktåtkomst kommer den att vara sekretessbrytande också i förhållande till brottsbekämpande myn- digheter. Den kommer också att bryta sekretess i fråga om upp- gifter som inte är personuppgifter. Visserligen ingår det inte i vårt uppdrag att överväga vad som ska gälla i fråga om behandling av personuppgifter hos brottsbekämpande myndigheter och inte heller att överväga ny reglering av andra uppgifter än personuppgifter. Enligt våra direktiv är vi emellertid oförhindrade att ta upp andra frågor än de som nämns i direktiven, om vi anser att dessa behöver regleras för att uppdraget ska kunna fullgöras på ett tillfredsställ-

410

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

ande sätt. Den föreslagna sekretessbestämmelsen kan enligt vår mening knappast ges en tillfredsställande utformning om den inte görs generell på detta sätt.

Den föreslagna generellt sekretessbrytande bestämmelsen tar alltså sikte på de fall då direktåtkomst har medgetts en annan svensk myndighet. Den kommer alltså inte att omfatta också de fall då enskilda har tillåtits få en sådan åtkomst. Det kan konstateras att det är ovanligt att enskilda bereds möjlighet att genom direkt- åtkomst ta del av sekretessreglerade uppgifter. Det finns således inget egentligt behov av att införa en generellt sekretessbrytande regel för sådana fall. Flertalet av de generellt sekretessbrytande bestämmelserna som införts i 10 kap. tar också sikte på utlämnande av uppgifter till myndigheter. Enligt vår uppfattning bör det därför inte föreslås någon motsvarande bestämmelse som gäller till för- mån för enskilda. I den mån en sekretessbrytande bestämmelse behövs för att möjliggöra en direktåtkomst för enskilda måste det således också i fortsättningen göras en ändring i offentlighets- och sekretesslagen, antingen i form av att en särskild sekretessbrytande bestämmelse införs eller att en hänvisning görs till en sådan bestämmelse i annan lag eller förordning.

11.1.4Hur bestämmelser om direktåtkomst med sekretessbrytande effekt bör utformas

En förenkling av regelverket kring direktåtkomst

Om det införs en bestämmelse i offentlighets- och sekretesslagen som föreskriver att direktåtkomst som tillåtits i lag eller förordning i sig har en sekretessbrytande effekt finns det alltså inte längre ett behov av att en bestämmelse om direktåtkomst förenas med en särskild sekretessbrytande bestämmelse. Det innebär att det i fort- sättningen inte behöver införas några särskilda sekretessbrytande bestämmelser i samband med att det enligt lag eller förordning tillåts nya direktåtkomster för myndigheter. Vidare kan, då gäll- ande registerförfattningar ses över, sådana särskilda sekretess- brytande bestämmelser som har införts för att möjliggöra en viss direktåtkomst upphävas, eftersom de inte längre behövs förutsatt att själva direktåtkomsten har författningsstöd. Frågan blir då vilka krav som bör ställas på regler genom vilka direktåtkomst medges.

411

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

Innan vi går in på den saken finns det skäl att något beröra en särskild avgränsningsfråga.

I en del registerförfattningar har det införts uppgiftsskyldig- heter som syftar till att komplettera den sekretessbrytande bestäm- melse som avses möjliggöra direktåtkomsten. Det anses finnas behov av ett sådant komplement för det fall att det p.g.a. tekniska problem inte går att använda sig av direktåtkomst (prop. 2010:11/78 s. 21). Därigenom avses det bli möjligt att i stället lämna ut upp- gifterna via telefon eller e-post. Som exempel på en sådan bestäm- melse om kompletterande uppgiftsskyldighet kan nämnas 4 § första stycket andra meningen förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.

Vid en direktåtkomst är samtliga de uppgifter som omfattas av åtkomsten att anse som utlämnade till den mottagande myndig- heten i den stund åtkomsten etableras. Om det därefter uppstår tekniska problem som innebär att det tillfälligtvis inte är möjligt att via den tekniska anslutningen göra en faktisk överföring av upp- gifter i ett konkret fall och uppgifterna i stället överförs manuellt via exempelvis telefon eller e-post, förefaller det enligt vår mening långsökt att se detta som ett nytt utlämnande som i så fall rättsligt sett sker utanför direktåtkomsten. Ett annat synsätt skulle kunna vara att den utlämnande myndigheten i detta fall hjälper den mottagande myndigheten med att genomföra den faktiska över- föringen, eftersom uppgifterna rättsligt redan har lämnats ut till den myndigheten. Med ett sådant synsätt skulle det alltså fort- farande vara fråga om en faktisk överföring av uppgifter inom ramen för en redan beviljad direktåtkomst, låt vara att den vid ett visst tillfälle behöver ske med en manuell hjälpinsats från den utlämnande myndigheten.

Om man ändå väljer att betrakta ett manuellt utlämnande som behöver ske då direktåtkomsten inte fungerar som ett i formell mening nytt utlämnande, torde det ändå vara så att detta kan ske med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL. Direkt- åtkomst är ju den mest ingripande formen för ett uppgiftsutbyte. Om en bestämmelse som tillåter en sådan åtkomst har införts, vilken kompletterats med en sekretessbrytande bestämmelse som möjliggör åtkomsten eller är sekretessbrytande i sig, bör det inte vara något problem att kunna konstatera att den intresseavvägning som ska göras vid en tillämpning av den s.k. generalklausulen får till

412

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

resultat att ett utlämnande är möjligt för att lösa en tillfällig problem- situation som har uppstått inom ramen för direktåtkomsten. Med stöd av 10 kap. 27 § OSL bör uppgifter alltså tillfälligtvis kunna överföras också manuellt i ett enskilt fall. Här bör dock uppmärk- sammas att den bestämmelsen inte gäller i fråga om viss sekretess enligt de lagrum som räknas upp i paragrafen. I dessa undantagsfall kan alltså eventuellt en kompletterande uppgiftsskyldighet behövas om direktåtkomst medges på dessa sekretessområden och det av oss nyss förespråkade betraktelsesättet inte anläggs.

Enligt vår uppfattning finns alltså som huvudregel inte något behov av kompletterande uppgiftsskyldigheter som syftar till att vara någon slags ”back up” i den händelse direktåtkomsten av tekniska skäl inte kan användas vid ett visst tillfälle. Vi anser därför att den generellt sekretessbrytande bestämmelsen som vi föreslår ska införas i 10 kap. OSL är tillräcklig för att bryta sekretess även då direktåtkomsten inte fungerar och att – i den mån ett momentant manuellt utlämnande inte betraktas som en del av den redan eta- blerade direktåtkomsten – i vart fall 10 kap. 27 § OSL kan användas då en direktåtkomst tillfälligtvis drabbas av tekniska problem. Det innebär att sådana uppgiftsskyldigheter som enbart har till syfte att komplettera en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst med vårt förslag framöver i princip kan avvaras.

Eftersom en bestämmelse om direktåtkomst i sig blir sekretessbrytande ställs krav på att den har en tillräcklig konkretion

Vårt förslag till en ny generellt sekretessbrytande bestämmelse innebär alltså att bestämmelser om direktåtkomst i sig kommer att styra i vilken omfattning uppgifter kan lämnas ut genom direkt- åtkomst utan hinder av sekretess. Det medför i sin tur ett krav på att sådana bestämmelser formuleras så att åtkomstens omfattning och därmed dess sekretessbrytande effekt beskrivs på ett tydligt sätt. Formuleringen måste syfta till att beskriva omfattningen så att den täcker samtliga slags uppgifter som den utlämnande myndig- heten gör tekniskt åtkomliga för den mottagande myndigheten, eftersom alla dessa uppgifter lämnas ut i den stund åtkomsten fak- tiskt etableras.

413

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

I gällande författningar används olika former av formuleringar för att beskriva vilken direktåtkomst som får medges en myndighet eller enskild aktör. Ibland görs en uppräkning av vilka uppgifter åtkomsten får omfatta. Som exempel kan nämnas 2 kap. 7–9 §§ lagen (2001:181) om behandling av uppgifter i Skatteverkets beskatt- ningsverksamhet. Där anges, med hänvisning till andra paragrafer, vilka slags uppgifter som genom direktåtkomst får vara tillgängliga för Skatteverkets brottsutredande verksamhet, Kronofogdemyndigheten, Tullverket och socialnämnder. Genom en sådan formulering blir det tydligt vilken omfattning åtkomsten har. En sådan bestämmelse skulle därför även i sig kunna fungera som en sekretessbrytande bestämmelse. Ett annat exempel på en bestämmelse som på ett tydligt sätt beskriver en direktåtkomsts omfattning och som i sig skulle kunna ha en sekretessbrytande effekt är 8 § lagen (2006:444) om passagerarregister. I den paragrafen föreskrivs att Säkerhets- polisen får för sådan verksamhet som anges i en annan paragraf ha direktåtkomst till personuppgifterna i passagerarregistret. Den korresponderande uppgiftsskyldigheten i 6 § har också en i princip likalydande formulering.

När det gäller direktåtkomst till socialförsäkringsdatabasen har emellertid en annan typ av formulering använts. I 114 kap. 19–23 §§ SFB föreskrivs att angivna aktörer får ha direktåtkomst till data- basen i den utsträckning åtkomsten behövs för de ändamål som beskrivs i bestämmelserna. Dessa bestämmelser syftar alltså till att föreskriva för vilka behov åtkomsten får användas och inte till att beskriva vilken omfattning åtkomsten får ha. I förordningen (2003:766) om behandling av personuppgifter inom socialförsäk- ringens administration finns i 3–4 §§ bestämmelser som komplet- terar vissa av de direktåtkomster som medges i 114 kap. 19–23 §§ SFB. Där beskrivs antingen vilka uppgifter direktåtkomsten får omfatta eller hänvisas till uppgiftsskyldigheter som följer av någon annan författning. I de fall en beskrivning lämnas av vilka uppgifter direktåtkomsten får omfatta finns det emellertid inte någon komplet- terande sekretessbrytande bestämmelse i förordningen. De upp- giftsskyldigheter som avser att bryta sekretessen i dessa fall finns i stället i andra författningar, men någon hänvisning lämnas inte till dem i förordningen. När det gäller socialförsäkringsdatabasen har alltså direktåtkomstens omfattning och kompletterande sekretess- brytande bestämmelser reglerats på tre olika ställen och i vissa fall

414

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

utan att någon hänvisning mellan de olika regelverken har gjorts. Det kan också konstateras att det i ”portalparagraferna” om direkt- åtkomst i 114 kap. SFB inte regleras vilken omfattning direkt- åtkomsten får ha, vilket alltså är den huvudsakliga frågan som behöver regleras genom denna typ av bestämmelser, utan i stället hur direktåtkomsten får användas. Regler om hur direktåtkomsten får användas fungerar främst som styrande för vilka uppgifter som i enskilda fall får sökas fram och överföras genom åtkomsten. Bestämmelserna om direktåtkomst i 114 kap. SFB skulle alltså inte kunna fungera som föreskrifter som på ett tillräckligt tydligt sätt bryter sekretess vid sådan åtkomst. Det är i stället snarare bestäm- melserna i nämnda förordning som beskriver vilken omfattning i vart fall vissa av direktåtkomsterna har.

Omfattningen av några av de direktåtkomster som medges till socialförsäkringsdatabasen regleras emellertid inte heller i den ovan nämnda förordningen. Det rör direktåtkomsterna för Statens tjänste- pensionsverk och KPA Pension AB. För Statens tjänstepensions- verk torde den korresponderande uppgiftsskyldigheten finnas i förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter. Där sägs dock endast i 2 § att uppgifter ska lämnas på begäran om de behövs för ärenden enligt vissa uppräknade författningar. Inte heller av denna bestämmelse framgår alltså vilken omfattning direktåtkomsten för Statens tjänstepensionsverk får ha, utan endast för vilka behov en överföring får ske i enskilda fall. Frågan är också om denna typ av uppgiftsskyldighet över huvud taget bryter sekre- tess på ett sådant sätt att en direktåtkomst är möjlig. För KPA Pension AB:s del finns sekretessbrytande bestämmelser som even- tuellt kan möjliggöra bolagets direktåtkomst i 28 kap. 6 § OSL och 110 kap. 39 § SFB. Det går emellertid inte heller att mot bakgrund av dessa bestämmelser få en bild av vilken omfattning direkt- åtkomsten får ha, utan endast för vilket behov uppgifter får lämnas ut i ett enskilt fall.

Vi kan bara konstatera att oavsett om en generellt sekretess- brytande bestämmelse införs eller inte, det inte kan anses tillfreds- ställande att det är så komplicerat att skaffa sig en bild av vilken omfattning direktåtkomsterna till socialförsäkringsdatabasen har. När det gäller direktåtkomsterna för Statens tjänstepensionsverk och KPA Pension AB kan det ifrågasättas om gällande bestäm-

415

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

melser över huvud taget reglerar vilken omfattning direktåtkomsten får ha. En förklaring till att bestämmelserna har utformats på detta otillfredsställande sätt kan vara att man har ansett det tillräckligt att använda de uppgiftsskyldigheter som har funnits sedan tidigare, dvs. innan ett uppgiftsutbyte fick ske i formen av direktåtkomst utan som då skedde genom att uppgifter lämnades ut på begäran i enskilda fall efter en manuell bedömning. Om man inte har gjort klart för sig vilken omfattning en direktåtkomst avses ha, är det emellertid knappast möjligt att ta ställning till om det redan finns en sekretessbrytande bestämmelse som möjliggör direktåtkomsten eller om en ny sådan bestämmelse behöver införas.

Såväl i fråga om gällande regelverk som beträffande tillämp- ningen av den föreslagna generellt sekretessbrytande bestämmelsen är det således av stor vikt att regelverket ger ett tydligt svar på vilken omfattning en direktåtkomst får ha. Det är alltså inte till- räckligt att reglerna endast ger svar på i vilken utsträckning direkt- åtkomsten får användas i konkreta fall inom ramen för åtkomsten. I den mån bestämmelser om direktåtkomst har formulerats på det sätt som använts i fråga om socialförsäkringsdatabasen finns det därför enligt vår mening under alla förhållanden ett behov av att se över regelverket för att åstadkomma en tillräcklig tydlighet i fråga om åtkomstens omfattning.

Den av oss föreslagna generellt sekretessbrytande bestämmelsen har således den positiva effekten att den tvingar fram tydlighet och innebär en förenkling av regelverket. Bestämmelsen innebär alltså att en regel som medger direktåtkomst samtidigt kommer att ha en sekretessbrytande effekt. Därmed ställs det krav på lagstiftaren att ge bestämmelsen om direktåtkomst en tillräcklig konkretion. Efter- som en och samma bestämmelse både medger direktåtkomst och bryter sekretess skapas vidare ett betydligt mer lättöverskådligt regel- verk där inkonsekvenser enklare kan undvikas. Att åstadkomma bättre överskådlighet och tydlighet får anses särskilt betydelsefullt både för att upprätthålla ett tillfredsställande skydd för person- uppgifter vid direktåtkomst och för att skapa ett regelverk som är avsevärt lättare att tillämpa för myndigheterna.

416

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Bestämmelser om hur direktåtkomsten får användas är också viktiga för att uppnå ett tillfredsställande integritetsskydd

Bestämmelser om direktåtkomst innehåller också ofta regler om hur direktåtkomsten får användas, t.ex. för vilka behov uppgifter får överföras eller i vilken typ av ärenden som uppgifter får samlas in genom åtkomsten. Sådana regler är också viktiga för att ett tillfredsställande integritetsskydd ska åstadkommas. De styr emeller- tid inte vilken omfattning direktåtkomsten får ha och riktar sig alltså inte mot den utlämnande myndigheten. I stället ger de den mottagande myndigheten besked om hur dess tjänstemän får an- vända sig av den direktåtkomst som myndigheten som sådan har medgetts. Föreskrifter av det slaget kan alltså tjäna som underlag för på vilken behörighetsnivå som åtkomsten får användas i en- skilda fall och för vilken typ av ärenden. Därmed kan de också vara styrande för vilka begränsningar i form av teknisk åtkomst som den mottagande myndigheten kan behöva åstadkomma inom ramen för sitt eget system. Det förekommer att man i regler om direkt- åtkomst även föreskriver att den mottagande myndigheten inte får medges någon direktåtkomst förrän den utlämnande myndigheten har försäkrat sig om att den myndigheten har åstadkommit de åtkomstbegränsningar som behövs. Så är exempelvis fallet med socialnämndernas direktåtkomst till beskattningsdatabasen och socialförsäkringsdatabasen (2 kap. 8 a § lagen [2001:181] om be- handling av uppgifter i Skatteverkets beskattningsverksamhet och 114 kap. 22 och 23 §§ SFB). I förarbetena till nämnda bestämmelser betonade regeringen att det inte är rimligt att ställa upp krav på att de myndigheter som föreslås få rätt att medge socialnämnderna direktåtkomst själva ska vidta kontroller av landets alla social- nämnder (prop. 2007/08:160 s. 150). Någon skyldighet att genom- föra faktiska kontroller avsågs inte heller med förslaget. Enligt regeringen torde det vara tillräckligt att man inhämtar en försäkran från den mottagande socialnämnden om att de krav som uppställs är uppfyllda.

Det är således viktigt att bestämmelser om direktåtkomst också innehåller regler om hur åtkomsten får användas i enskilda fall, men denna typ av regler bör som vi ser det på ett tydligt sätt skiljas från de regler som syftar till att beskriva vilken omfattning direkt- åtkomsten får ha. Medan den förstnämnda regeltypen har den

417

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

mottagande myndigheten som adressat, riktar sig den sistnämnda till utlämnande myndighet som får rätt att eller, vilket är betydligt mer ovanligt, blir skyldig att medge direktåtkomst av en viss given omfattning.

Kan en skyldighet att lämna ut uppgifter ”på begäran” möjliggöra direktåtkomst?

Det är vanligt att bestämmelser om direktåtkomst kompletteras av en skyldighet att lämna ut uppgifter som innebär att den utläm- nande myndigheten ”på begäran” ska lämna ut uppgifter om de behövs i ett visst ärende. Som exempel har ovan redan nämnts uppgiftsskyldigheten till förmån för Statens tjänstepensionsverk i 2 § förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndig- heter. Det förefaller enligt vår mening mycket tveksamt om denna typ av uppgiftsskyldighet bryter sekretess på ett sådant sätt att de kan möjliggöra ett uppgiftsutbyte genom direktåtkomst. Äldre uppgiftsskyldigheter som har formulerats på detta sätt har inte heller haft till syfte att möjliggöra direktåtkomst, utan har införts för att klargöra att den mottagande myndigheten eller annan aktör har en rätt att få ut uppgifter då det begärs i ett enskilt fall.

Att denna typ av uppgiftsskyldighet utgör ett problem i sam- band med direktåtkomst uppmärksammades i förarbetena till bestäm- melserna om att Kronofogdemyndigheten får medges direktåtkomst till uppgifter i Skatteverkets beskattningsdatabas för skuldsane- ringsändamål (prop. 2010/11:78). Regeringen konstaterade att den gällande uppgiftsskyldigheten i 36 § skuldsaneringslagen (2006:548), som föreskriver att socialnämnder och andra myndigheter till Krono- fogdemyndigheten eller domstol som handlägger ärenden om skuld- sanering på begäran ska överlämna sådana uppgifter om gäldenärens personliga och ekonomiska förhållanden som behövs för prövning av ärendet, inte var lämpad att ligga till grund för en bestämmelse om direktåtkomst (a. prop. s. 20). Den sekretessbrytande bestäm- melsen borde i stället formuleras som en rätt för den mottagande myndigheten att ta del av vissa specificerade uppgifter hos den utlämnande myndigheten utan att det ställs upp krav på att varje enskild uppgift ska ha betydelse i ett enskilt ärende.

418

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Det förekommer emellertid fortfarande att det införs uppgifts- skyldigheter för att möjliggöra direktåtkomst där det föreskrivs att uppgifter ska lämnas ut på begäran för ett visst behov hos den mottagande myndigheten. Som exempel kan nämnas de nya bestäm- melserna i mönstringslagen (1983:929), som trädde i kraft den 3 juli 2014, som möjliggör direktåtkomst till sjömansregistret (23 a §) och som tillåter Transportstyrelsen att medge sådan åtkomst (23 b §).

Normgivningsnivån när det gäller föreskrifter om direktåtkomst

När det gäller direktåtkomst innebär vårt förslag till en ny lag om personuppgiftsbehandling på myndighetsområdet alltså inte att den lagen i sig kommer att reglera i vilka fall direktåtkomst kan eller får medges. Det den nya lagen ska innehålla är en bestämmelse som föreskriver att stöd för direktåtkomst till sekretessreglerade upp- gifter som huvudregel ska finnas i lag eller förordning. Om sådan direktåtkomst ska medges, måste det alltså ske i form av särregler.

I avsnitt 7.3 har vi utförligt redovisat hur vi ser på frågan om normgivningsnivå för särregler i förhållande till den generella lagen, bl.a. vad gäller direktåtkomst. Vi har där kommit till den slutsatsen att den omständigheten att direktåtkomst medges normalt inte i sig innebär att det sker något ingrepp i enskilds personliga förhållan- den i den mening som avses i 8 kap. 2 § första stycket 2 RF. Föreskrifter om att direktåtkomst får medges bör därför i de allra flesta fall kunna ges i form av förordning. Om direktåtkomsten emellertid förutsätter att enskildas sekretesskydd i realiteten för- svagas på så sätt att känsliga personuppgifter kan lämnas ut i betydligt större omfattning än vad som annars hade varit möjligt kan det vara att anse som ett sådant ingrepp i enskildas personliga förhållanden som förutsätter att författningsstödet för direktåtkom- sten ges i lag.

Vi har också framhållit att av betydelse för om en direktåtkomst kan anses utgöra ett ingrepp i enskilds personliga förhållanden är vilket förhållande de myndigheter har till varandra mellan vilket uppgiftsutbytet sker. Om myndigheternas verksamheter har nära anknytning till varandra och förutsätter att ett visst uppgiftsutbyte sker för att respektive myndighet ska kunna utföra sina uppgifter talar det för att en direktåtkomst mellan dessa myndigheter inte i

419

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

sig utgör ett ingrepp i enskilds personliga förhållanden. Om däremot exempelvis brottsbekämpande myndigheter medges direktåtkomst till sekretessreglerade personuppgifter hos myndigheter som inte ägnar sig åt brottsbekämpning torde det ofta vara frågan om ett ingrepp i enskilds personliga förhållanden som kräver stöd i lag, såvida inte uppgiftsutbytet är av ringa omfattning.

De omständigheter kring hur personuppgifter har samlats in till en myndighet, bl.a. när det gäller ändamålet för insamlingen, och karaktären på uppgifterna kan således leda till en bedömning att en direktåtkomst får anses utgöra ett sådant ingrepp i enskilds per- sonliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF och som i så fall kräver stöd i lag. I de allra flesta fall utgör direkt- åtkomst emellertid en metod för att effektivisera ett uppgiftsutbyte som redan äger rum. De registrerade kan då i objektiv mening inte anses ha någon berättigad förväntan på att det särskilda skydd som lagformen innebär behöver aktualiseras. Direktåtkomst kan då tillåtas med stöd av förordning.

Vi har också bedömt att det förefaller vara i rena undantagsfall som behandling av personuppgifter hos myndigheter som inte ägnar sig åt brottsbekämpning kan anses innehålla moment som typiskt sett kan anses som en sådan kartläggning eller övervakning som innebär ett betydande intrång i den personliga integriteten i den mening som avses i grundlagsstadgandet i 2 kap. 6 § andra stycket RF. Stadgandet – som trädde i kraft den 1 januari 2011 – har hittills såvitt avser direktåtkomst tillämpats i ett fall. Det gällde den reglering som innebär att EU:s medlemsstater ska ha sådan åtkomst till varandras nationella DNA-, fingeravtrycks- och fordons- register (se prop. 2010/11:129 s. 49 f.).

Sammanfattningsvis gör vi alltså bedömningen att man som huvudregel kan utgå från att det krav på författningsstöd som ska gälla enligt den generella lagen för direktåtkomst till sekretess- reglerade uppgifter kan åstadkommas på förordningsnivå, dvs. genom föreskrifter som meddelas av regeringen.

420

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

11.1.5Finns det anledning att begränsa en myndighets möjlighet att medge direktåtkomst till offentliga uppgifter?

Bakgrund

Vi har ovan föreslagit att det införs en bestämmelse som före- skriver att direktåtkomst till sekretessreglerade personuppgifter ska ha stöd i lag eller förordning. I det sammanhanget har vi bedömt att det som huvudregel är tillräckligt att de överväganden som be- höver göras innan en direktåtkomst medges till uppgifter som inte är sekretessreglerade utan offentliga sker på myndighetsnivå. Det finns dock anledning att fråga sig om det, förutom de grund- läggande krav och bestämmelser om vad som är en tillåten behand- ling som finns i personuppgiftslagen och som ska gälla också enligt den nya lagen, bör införas någon särskild bestämmelse som begrän- sar en myndighets möjlighet att medge sådan direktåtkomst.

Det kan konstateras att det förekommer att även direktåtkomst till offentliga uppgifter är föremål för författningsreglering. Ett sådant exempel är bestämmelsen om direktåtkomst i 8 § lagen (2001:558) om vägtrafikregister. Enligt den bestämmelsen får direkt- åtkomst endast medges för sådana ändamål som anges i 5 § 1–3 och 7 samma lag. Det innebär att de mottagare som får medges direkt- åtkomst för vissa särskilt angivna ändamål är stat och kommun, försäkringsgivare eller annan allmän eller enskild verksamhet där vissa angivna uppgifter utgör underlag för prövningar och beslut samt viss utländsk myndighet. Utan att specificera vilka mottagare som avses får direktåtkomst även medges till information om fordonsägare för trafiksäkerhets- eller miljöändamål och för att i den allmänna omsättningen av fordon förebygga brott. Informa- tion om behörighet att framföra körkort får även lämnas genom direktåtkomst för att utreda trafikbrott i samband med automatisk trafiksäkerhetskontroll.

I förarbetena till bestämmelserna om direktåtkomst i lagen om vägtrafikregister anförde regeringen att några problem från integritets- synpunkt, såvitt känt, inte förelåg med den dåvarande tillgången till uppgifter via direktåtkomst (prop. 2000/01:95 s. 80). Det fanns därför inget skäl att införa förbud mot sådan åtkomst. Integritets- aspekterna gjorde sig emellertid starkt gällande när det gällde möj- ligheterna till direktåtkomst och det var viktigt att det alltjämt

421

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

förekom begränsningar i fråga om sådan åtkomst. Regeringen hänvisade därvid till att Datainspektionen i sitt remissvar anfört att det av integritetsskäl behövs gränser för i vilken utsträckning ter- minalåtkomst ska få förekomma till uppgifterna i vägtrafikregistret och att det borde anges i lagen att direktåtkomst endast får ske i omfattning som regeringen bestämmer. Regeringen instämde i att frågan om möjlighet till direktåtkomst inte enbart skulle överlåtas på den personuppgiftsansvarige utan borde regleras i författning. Det borde därför tas in en bestämmelse i lagen som begränsar möj- ligheterna att medge direktåtkomst till de för personuppgifter sär- skilt angivna ändamålen i enlighet med föreskrifter meddelade av regeringen. Direktåtkomst borde dock inte tillåtas om syftet med åtkomsten är att komplettera eller kontrollera kund- eller medlems- register eller om syftet är att göra en s.k. urvalsdragning.

I förordningen (2001:650) om vägtrafikregister finns komplette- rande bestämmelser om direktåtkomst. I 4 kap. 3 § definieras vad som avses med direktåtkomst i 8 § lagen om vägtrafikregister. Sådan åtkomst är för handen när användare av registret via elek- tronisk överföring på det sätt som Transportstyrelsen föreskriver har möjlighet att direkt eller via informationsförmedlare söka i väg- trafikregistret och där få svar på frågor.

Vidare föreskrivs i 4 kap. 4 § första stycket förordningen att direktåtkomst till uppgifter i vägtrafikregistret endast får medges om den utgör en tillåten behandling av personuppgifter enligt per- sonuppgiftslagen. Direktåtkomst får inte medges innan Transport- styrelsen försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. Enligt andra stycket får ett medgivande återtas om förutsättning- arna för det inte längre finns eller om det finns någon annan sär- skild anledning att återta det.

I 4 kap. 5 § första stycket finns en uttömmande uppräkning av vilka sökbegrepp som andra användare än en statlig eller kommunal myndighet får beviljas rätt att använda för sökning i registret. Enligt andra stycket medges Transportstyrelsen rätt att bestämma ytterligare begränsningar av användningen av sökbegrepp och de övriga villkor som bedöms nödvändiga ur integritetssynpunkt.

Förordningen innehåller också bestämmelser om direktåtkomst enligt Prümrådsbeslutet, vilka inte behandlas vidare här.

422

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Ett annat exempel på att man gett uttryckligt stöd för direkt- åtkomst till offentliga uppgifter genom en författningsreglering är aktiebolagsregistret. Enligt 2 kap. 1 § första stycket aktiebolags- förordningen (2005:559) ska registret ge offentlighet åt den infor- mation som ingår i registret. Det är alltså huvudändamålet med registret. I andra stycket finns en uppräkning av för vilka ändamål registret ska tillhandahålla personuppgifter, exempelvis för affärs- verksamhet, kreditgivning eller annan verksamhet där företags- anknuten information utgör underlag för prövningar eller beslut eller för förvärv, avyttring eller förvaltning av företag som registre- ras i aktiebolagsregistret. Vidare föreskrivs i 4 § att Bolagsverket får medge direktåtkomst till registret för de ändamål som anges i 1 §.

Bestämmelserna om direktåtkomst till aktiebolagsregistret in- fördes år 2002 genom ändringar i den dåvarande förordningen (1975:1387). Frågan om direktåtkomst har inte behandlats i några förarbeten till aktiebolagslagen, där bestämmelser om att aktie- bolagsregistret ska föras finns i 27 kap. (prop. 2004/05:85 s. 491). Det kan konstateras att som bestämmelsen om direktåtkomst har formulerats i aktiebolagsförordningen torde sådan åtkomst som om- fattar personuppgifter vara begränsad till de ändamål som anges i andra stycket, medan direktåtkomst till andra uppgifter kan använ- das utan avgränsning.

Även förslaget till en ny domstolsdatalag innehåller bestämmel- ser om direktåtkomst till personuppgifter hos domstolarna. Efter- som förslaget inte innehåller vare sig något förslag till eller resone- mang kring behovet av sekretessbrytande bestämmelser får åtkom- sten antas avse uppgifter som inte är sekretessreglerade. Enligt för- slaget får direktåtkomst medges en allmän domstol, en allmän för- valtningsdomstol eller en hyres- och arrendenämnd samt en part och en parts ombud, biträde eller försvarare såvitt avser person- uppgifter i ett eget mål eller ärende (20 §). Vidare föreskrivs i för- slaget till 21 § att regeringen eller den myndighet som regeringen bestämmer meddelar ytterligare föreskrifter om begränsning av direktåtkomsten enligt 20 § samt om behörighet och säkerhet vid sådan åtkomst.

I den promemoria där förslaget läggs fram konstateras att det i de databaser och register som förs av domstolarna ofta finns stora mängder personuppgifter, varav många kan vara av känslig karaktär (Ds 2013:10 s. 131). Ju fler personer som har omedelbar tillgång till

423

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

sådana uppgiftssamlingar, desto mer påtaglig är risken för intrång. Det påpekas att direktåtkomst också kan minska möjligheterna att kontrollera den vidare användningen av uppgifterna. Dessa förhåll- anden utgör skäl för en restriktiv hållning i fråga om direktåtkomst till uppgifter som domstolarna behandlar. När det gäller direkt- åtkomst till känsliga personuppgifter anförs i promemorian att det vore tveksamt att ge regeringen rätt att utvidga möjligheten till direktåtkomst till alla typer av uppgifter med hänsyn till de svåra avvägningar mellan integritetsskydd och effektivitetsintressen som bör ske. Det ifrågasätts också om en sådan möjlighet för regeringen att meddela föreskrifter om direktåtkomst skulle vara förenlig med 2 kap. 6 § RF. Enligt promemorian bör det därför regleras i den nya lagen i vilka fall direktåtkomst får medges.

Det kan konstateras att de föreslagna lagbestämmelserna emellertid inte innehåller några närmare regler om i vilka fall och i vilken omfattning direktåtkomst får medges. I bestämmelserna pekas endast ut för vilka mottagare direktåtkomst får medges. Vad gäller part och en parts ombud m.fl. sägs dock att möjligheten till direkt- åtkomst är begränsad till det egna målet eller ärendet. I övrigt före- skrivs inte till vilka uppgifter och hos vilken domstol de olika mot- tagarna får medges direktåtkomst. Avsikten är att regeringen eller den myndighet som regeringen bestämmer ska besluta om de närmare villkoren, exempelvis i fråga om vilka domstolar som ska få ha direktåtkomst hos vem och vilka uppgifter åtkomsten får avse (a.a. s. 134). I bestämmelserna uttrycks inte heller att det endast är de nämnda mottagarna som får medges direktåtkomst, även om det framgår av promemorian att detta är avsikten med bestämmelserna med undantag för åtkomst via ”allmänhetens terminal” (a.a. s. 134 f.).

Våra överväganden

Bedömning: Det saknas behov av en särskild bestämmelse som begränsar en myndighets möjlighet att medge direktåtkomst till offentliga uppgifter som förekommer i dess verksamhet. Den avvägning mellan effektivitetsintressen och integritetsskydd som behöver göras innan en sådan åtkomst medges kan ske med stöd av generella bestämmelser om grundläggande krav, tillåten behand- ling och krav på säkerhetsåtgärder.

424

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

De särskilda komplikationer som gör sig gällande vid direkt- åtkomst som omfattar sekretessreglerade uppgifter och som inne- bär att åtkomsten måste möjliggöras genom en sekretessbrytande regel uppstår alltså inte vid direktåtkomst till offentliga uppgifter. I ett sådant sammanhang finns det därmed inget behov av att över- väga frågor om integritetsskydd i den bemärkelsen att en åtkomst avses omfatta uppgifter som är skyddade av sekretess. Bestäm- melser i författning om direktåtkomst till offentliga uppgifter moti- veras emellertid vanligen med att de behövs för att skydda de registrerades integritet i vidare mening. Ibland utvecklas det inte närmare vilket skyddsbehov som avses, såsom i fråga om vägtrafik- registret, medan det ibland ges en mer utförlig motivering. Som exempel kan nämnas förslaget till en ny domstolsdatalag, där man både åberopat att det är fråga om stora mängder personuppgifter, varav många kan vara av känslig karaktär samt att direktåtkomsten i sig medför risker. De risker som framhålls är att ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mer påtaglig är risken för intrång samt att direktåtkomst kan minska möjligheterna att kontrollera den vidare användningen av uppgift- erna.

När det gäller förordningsbestämmelserna om direktåtkomst till aktiebolagsregistret framgår inte av några förarbeten varför de har införts. Eftersom direktåtkomsten har avgränsats på så sätt att det räknas upp för vilka behov personuppgifter får tillhandahållas, kan man anta att integritetsskyddsskäl ligger till grund för denna av- gränsning.

Det är otvivelaktigt så att direktåtkomst i sig innebär en effektiv möjlighet att överföra uppgifter på så sätt att många personer kan ta del av alla de uppgifter som omfattas av åtkomsten utan att det vid varje enskild överföring av uppgifter krävs en arbetsinsats från den utlämnande myndighetens sida. Enligt vår uppfattning kan detta i sig emellertid knappast sägas innebära att det normalt sett uppstår ett behov av att skydda integriteten på grund av att risken för intrång ökar eller att möjligheterna att kontrollera den vidare an- vändningen av uppgifterna försämras. Det finns alltså inget omedel- bart samband mellan en direktåtkomst avseende offentliga upp- gifter och ett ökat behov av att skydda enskildas integritet.

För att det ska finnas ett sådant samband torde för det första krävas att det handlar om uppgifter som är av sådan karaktär att det

425

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

alls finns anledning att tala om intrång när det gäller möjligheterna att ta del av dem. Om syftet med ett register är att ge offentlighet till de uppgifter som finns där kan man inte gärna hävda att det skulle innebära ett intrång att så effektivt som möjligt ordna åt- komsten till uppgifterna. För att det ska uppstå en risk för intrång måste således omständigheter kring hur uppgifterna har samlats in eller karaktären på uppgifterna medföra att de registrerade får anses ha en berättigad förväntan på att åtkomsten till uppgifter som rör dem i något avseende ska vara begränsad, exempelvis genom att direktåtkomst inte tillåts. Om det finns en risk för intrång, torde det också finnas ett behov av att kontrollera den vidare använd- ningen av uppgifterna. Däremot förefaller det vara svårt att finna något exempel på en situation då det skulle finnas ett behov av att av integritetsskyddsskäl kontrollera den vidare användningen om någon intrångsrisk saknas.

Aktiebolagsregistret har inrättats för att ge offentlighet åt de uppgifter som finns där. Trots det har man i bestämmelser begrän- sat möjligheterna att ta del av personuppgifter i registret till vissa ändamål. I de uppräknade ändamålen förefaller man ha försökt fånga in för vilka behov det kan finnas skäl att begära ut uppgifter från registret. Man kan emellertid fråga sig på vilket sätt det skulle påverka integriteten för någon som är registrerad i aktiebolags- registret att direktåtkomst till uppgifter som rör denne medges trots att den som använder sig av direktåtkomsten inte har något särskilt behov av att ta del av uppgifterna.

Det förefaller enligt vår uppfattning som om man många gånger närmast slentrianmässigt utgår från att direktåtkomst i sig medför risker för den enskildes integritet, dvs. även om sådan åtkomst enbart tar sikte på offentliga uppgifter. Att så är fallet är givet när det gäller sekretessreglerade uppgifter men resonemangen behöver nyanseras betydligt när det gäller offentliga uppgifter, i vart fall beträffande myndigheternas verksamhet.

Ett område där direktåtkomst däremot kan tänkas medföra en klar risk för intrång i enskildas integritet trots att det handlar om offentliga uppgifter är sådan åtkomst till personuppgifter som be- handlas inom ramen för domstolarnas verksamhet. I den verksam- heten gäller ett högre krav på öppenhet och möjlighet till insyn än i annan offentlig verksamhet genom bestämmelsen i 2 kap. 11 § andra stycket RF att förhandling vid domstol ska vara offentlig.

426

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Regeln kan ses som en komplettering till informationsfriheten i 2 kap. 1 § första stycket 1 RF och rätten till allmänna handlingar enligt 2 kap. TF. Rättegångsoffentligheten ger garanti för att även övriga processuella principer följs (se Holmberg m.fl., kommen- taren till 2 kap. 11 § RF).

I domstolarnas verksamhet gäller därför sekretess i mer begrän- sad utsträckning än vad som är fallet i myndigheters verksamhet. Det kan därför förekomma uppgifter i den verksamheten som är känsliga utan att de skyddas av någon bestämmelse om sekretess. Vidare har personuppgifter samlats hos domstolarna av skäl som kan uppfattas som känsliga för den enskilde, exempelvis att man är anklagad för ett brott eller att man är ett brottsoffer eller att man har hamnat i en tvist med en annan enskild eller någon myndighet. När det gäller domstolarnas avgöranden är möjligheterna att hemlig- hålla uppgifter genom sekretess ytterst begränsade, samtidigt som domstolarna kan behöva använda sig av känsliga personuppgifter för att på ett tillräckligt utförligt sätt motivera sina avgöranden. Trots att det finns ett synnerligen högt intresse av att domstolarnas avgöranden är offentliga, kan det alltså konstateras att en obegrän- sad direktåtkomst till avgörandena eller domstolarnas diarier torde innebära en beaktansvärd risk för intrång i enskildas integritet. Därmed finns det också ett behov av att kunna kontrollera att inte stora mängder av domstolarnas samlade offentliga information sprids för vilket ändamål som helst. I det sammanhanget kan kon- stateras att det enligt 21 § PuL som huvudregel är förbjudet för andra än myndigheter att behandla personuppgifter om lagöver- trädelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Frånsett domstolarnas verksamhet kan det emellertid konsta- teras att det torde vara sällan som direktåtkomst till offentliga uppgifter kan sägas medföra en risk för intrång i enskildas inte- gritet som är av det slaget att det kan vara motiverat att genom bestämmelser i författning begränsa möjligheterna att medge sådan åtkomst. Enligt vår uppfattning är det i flertalet fall tillräckligt att utlämnande myndighet gör de avvägningar som behövs med hänsyn till den enskildes integritet då myndigheten avser att medge direkt- åtkomst till offentliga uppgifter. En myndighet är ju väl medveten om vilka uppgifter som den ska utföra inom ramen för sin verksamhet, för vilka ändamål som personuppgifter samlas in eller

427

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

på annat sätt tillförs verksamheten och i vilken utsträckning de per- soner som förekommer i myndighetens verksamhet upplever denna som känslig för egen del. Enligt vår uppfattning har en utlämnande myndighet därför i allmänhet goda möjligheter att göra den nyan- serade bedömning som behövs för att beakta både effektivitets- intressen och integritetsskydd. Det finns dock anledning att erinra om att det inte bara är för att upprätthålla ett tillräckligt integri- tetsskydd som det är av stor vikt att myndigheterna gör en nog- grann och allsidig bedömning rörande tillhandahållanden av uppgifter genom direktåtkomst. Om en rimlig balans mellan effek- tivitetshänsyn och integritetsskydd inte upprätthålls kan det i sin tur leda till krav på mer sekretess och därmed försämrade möjlig- heter till insyn i myndigheternas verksamhet. Om offentliga upp- gifter oreflekterat och rutinmässigt tillhandahålls på det sätt som kanske är snabbast, billigast och mest effektivt, kan det komma att mötas av berättigade krav på att uppgifterna i fråga i stället som huvudregel inte ska tillhandahållas alls utan hållas hemliga. Det an- kommer alltså på utlämnande myndigheter att göra en noggrann avvägning så att en sådan utveckling motverkas.

Vi har redan ovan påpekat att även andra myndigheters direkt- åtkomst till offentliga uppgifter kan medföra att det uppstår ett behov av att genomlysa frågor som rör fördelning av verksam- hetsansvar i stort och beträffande personuppgiftsansvar mellan de inblandade myndigheterna. I samband med direktåtkomst kan det också finnas anledning att ta ställning till att frågor om informa- tionssäkerhet är tillräckligt beaktade. Det är mot den bakgrunden som vi i avsnitt 10.1.4 föreslagit att det införs ett krav i den nya lagen på att överenskommelser i sådana frågor ska träffas i samband med att direktåtkomst medges. Det kravet föreslås gälla vid direkt- åtkomst avseende såväl sekretessreglerade som offentliga person- uppgifter. Dessa frågor är dock inte av sådan karaktär när det gäller uppgifter som inte är sekretessreglerade att det, vid sidan av de krav som redan följer av bl.a. förvaltningslagen och personuppgiftslagen, finns anledning att genom en särskild bestämmelse begränsa möjlig- heterna för en myndighet att medge en annan myndighet eller en annan aktör direktåtkomst till sådana uppgifter.

Någon bestämmelse som generellt begränsar myndigheters möj- lighet att medge direktåtkomst till offentliga uppgifter som före- kommer i dess verksamhet föreslås alltså inte.

428

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Det står förstås lagstiftaren fritt att ändå införa sådana bestäm- melser om det i något visst fall anses finnas ett behov av begräns- ningar i möjligheterna att medge direktåtkomst till offentliga upp- gifter. Sådana föreskrifter torde undantagslöst kunna ges i förord- ningsform när det gäller statliga myndigheter. I fråga om kommu- ner kan en sådan bestämmelse däremot innebära ett åliggande. I lagen behövs därför ett bemyndigande som medger regeringen eller den myndighet som regeringen bestämmer att meddela sådana före- skrifter.

11.2Behövs särskilda regler för annat elektroniskt utlämnande än direktåtkomst?

11.2.1Nuvarande bestämmelser om elektroniskt utlämnande m.m.

Bestämmelser som innebär stöd för utlämnanden i elektronisk form m.m.

Förordningen om tiden för tillhandahållande av domar och beslut, m.m.

I förordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m., den s.k. serviceförordningen, finns bestämmelser för domstolar och statliga förvaltningsmyndigheter som bl.a. avser hur handlingar tillhandahålls. Enligt 10 § får en handling skickas med telefax eller elektronisk post eller på annat sätt tillhandahållas i elektronisk form om det är lämpligt.

Den aktuella bestämmelsen infördes i samband med att änd- ringar gjordes i 2 kap. TF med hänsyn till informationsteknikens utveckling. I förarbetena till dessa ändringar anförde regeringen att det var högst otillfredsställande att vissa myndigheter fattat prin- cipbeslut om att över huvud taget inte lämna ut allmänna hand- lingar i elektronisk form (prop. 2001/02:70 s. 34 f.). I många fall torde det enligt regeringen i själva verket stå klart för en myndighet att ett utlämnande i elektronisk form inte medför risk för otillbör- liga integritetsintrång. Det torde vidare ofta vara både effektivt och ändamålsenligt för såväl myndigheten som den enskilde om hand- lingen lämnas ut i sådan form. Regeringen aviserade mot den bak-

429

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

grunden sin avsikt att föra in en bestämmelse i serviceförordningen som erinrar om att allmänna handlingar får lämnas ut i elektronisk form om det är lämpligt.

PSI-direktivet och lagen om vidareutnyttjande av handlingar från den offentliga förvaltningen

Det s.k. PSI-direktivet (Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn) har ett övergripande syfte att myndigheter ska främja vidareutnyttjande av offentlig informa- tion.

PSI-direktivet har genomförts i svensk rätt genom lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen (PSI-lagen), som trädde i kraft den 1 juli 2010. Lagen gäller för handlingar hos både statliga och kommunala myndig- heter. Den innehåller bestämmelser som avser att förhindra att myndigheter beslutar om sådana villkor för hur handlingar får användas som begränsar konkurrensen (1 § andra stycket).

I 1 § tredje stycket lämnas en upplysning om att bestämmelser om tillhandahållande av handlingar finns i andra författningar. Bestäm- melsen syftar till att tydliggöra att lagen inte kan åberopas som grund för att handlingar ska lämnas ut (prop. 2009/10:175 s. 141). Å andra sidan är lagen tillämplig i det konkreta fall då en handling eller delar av en handling lämnas ut, oavsett på vilken rättslig grund detta sker.

Enligt 4 § första stycket gäller lagen inte för handlingar eller uppgifter i handlingar som inte får tillhandahållas eller för begräns- ningar i vidareutnyttjandet av dessa som en myndighet är skyldig att besluta om eller som följer av någon författning.

I förarbetena till 4 § konstaterade regeringen att den omständig- heten att handlingar som omfattas av sekretess kan lämnas ut med förbehåll eller att registerförfattningar innehåller regler om att hand- lingar får lämnas ut i elektronisk form endast under vissa förut- sättningar kan innebära att möjligheterna till vidareutnyttjande begränsas (a. prop. s. 142 f.). För att inte påverka skyddet för den personliga integriteten borde lagen emellertid inte påverka tillämp- ningen av bestämmelser som föreskriver att myndigheten måste begränsa vidareutnyttjandet.

430

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Lagen gäller vidare inte för handlingar som en myndighet till- handahåller en annan myndighet, utom när det framgår att hand- lingarna ska användas i affärsverksamhet (4 § andra stycket).

Enligt 8 § ska villkor för vidareutnyttjande vara relevanta och icke diskriminerande för jämförbara kategorier av vidareutnyttjande. Villkoren får inte i onödan begränsa möjligheterna till vidareutnytt- jande.

I förarbetena till 8 § påpekas att begränsningar i tillhandahåll- andet av handlingar som följer av tryckfrihetsförordningen och offentlighets- och sekretesslagen samt personuppgiftslagen m.fl. författningar faller, som framgår av 4 § första stycket, utanför direk- tivets och lagens tillämpningsområde och utgör därför inte villkor i den mening som avses i lagen (a. prop. s. 166).

Europaparlamentet och rådet har den 26 juni 2013 beslutat om ändringar av PSI-direktivet. Ändringarna ska ha genomförts i medlemsstaterna senast den 18 juli 2015. Genom ändringsdirektivet har artikel 5, som inte ansetts krävs någon särskild reglering i svensk lagstiftning (Ds 2009:44 s. 50–51, prop. 2009/10:175 s. 159), for- mulerats om. Där föreskrivs nu att offentliga myndigheter ska göra sina handlingar tillgängliga i alla befintliga format och språkversio- ner samt, om möjligt och lämpligt, i ett öppet och maskinläsbart format tillsammans med tillhörande metadata. Både format och metadata bör så långt det är möjligt vara förenliga med formella öppna standarder. I sin tidigare lydelse föreskrevs i artikeln att myndigheter skulle se till att deras handlingar finns tillgängliga på elektronisk väg, om detta är möjligt och lämpligt. Den inskjutna satsen ”om detta är möjligt och lämpligt” har alltså flyttats och avser numera enbart valet av format.

PSI-utredningen konstaterade i sitt betänkande Ett steg vidare – nya regler och åtgärder för att främja vidareutnyttjande av hand- lingar (SOU 2014:10) att ändringarna i artikel 5 skulle kunna tolkas så att det förts in en mer undantagslös skyldighet att tillhandahålla handlingar elektroniskt jämfört med det ursprungliga direktivet (a. bet. s. 80). PSI-utredningen bedömer, med hänsyn till att tillämp- ningsbestämmelserna i artiklarna 1.3 och 1.4 fortfarande gäller, att så emellertid inte är fallet och att ändringarna i artikel 5 inte kräver någon lagändring. Utredningen vill dock påminna om det diskrimi- neringsförbud som redan gäller enligt 8 § PSI-lagen, vilket innebär att en myndighet inte kan bevilja elektroniskt utlämnande till en

431

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

vidareutnyttjare, men neka en annan, så länge det gäller jämförbara kategorier av vidareutnyttjande och ett utlämnande inte strider mot sekretess eller någon annan skyldighet för myndigheten (a. bet. s. 84).

Exempel på hur frågan om utlämnanden i elektronisk form regleras i några registerförfattningar

Frågan om elektroniska utlämnanden har hanterats på skilda sätt i olika registerförfattningar. Medan lagstiftaren på skatteområdet och i fråga om patientdata har gjort bedömningen att sekretess- bestämmelserna och bestämmelser om vad som utgör en tillåten behandling av personuppgifter är tillräckliga för att skydda person- uppgifter vid ett elektroniskt utlämnande som sker på begäran av en annan myndighet, har lagstiftaren i fråga om personuppgifter i socialförsäkringsdatabasen ansett att det behövs särskilda regler som begränsar ett sådant utlämnande. Skälet synes ha varit att det ansågs finnas en risk för att efterkommande behandlingar kan komma att strida mot finalitetsprincipen, dvs. bestämmelsen i 9 § första stycket d PuL, om ingen begränsning mot spridning från den utlämnande myndigheten infördes (prop. 2002/03:135 s. 99).

Även i fråga om utlämnanden från Centrala studiestödsnämnden har det införts begränsningar i möjligheterna att lämna ut person- uppgifter i elektronisk form såväl till andra myndighet som till enskilda. Förutom de särskilda fall där ett elektroniskt utlämnande är möjligt, är ett sådant utlämnande också möjligt i enskilda fall i fråga om enstaka uppgifter (13 § studiestödsdatalagen [2009:287]). I fråga om denna begränsning anförde regeringen att det var främst vid ett systematiskt eller återkommande elektroniskt utlämnande av en större mängd personuppgifter som begränsningar är nödvän- diga av integritetsskyddsskäl (prop. 2008/09:96 s. 65 f.).

I lagstiftningsärendet om behandling av personuppgifter i beskatt- ningsverksamheten anlades alltså ett annat synsätt. Där konstate- rades att myndigheter vanligen inte har rättsligt stöd för att be- handla personuppgifter annat än i enlighet med de för myndigheten gällande författningarna. Någon risk för att mottagande myndig- heter ska behandla personuppgifter som hämtas in på medium för automatiserad behandling på ett sätt som inte är avsett torde inte finnas (prop. 2000/01:33 s. 112 f.). Däremot ansåg regeringen att utlämnanden i elektronisk form till enskilda endast borde vara tillåtet

432

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

när det efter en särskild prövning anses lämpligt. Det var emellertid inte möjligt att i lag reglera i vilka fall en sådan möjlighet skulle finnas, utan det överlämnades till regeringen att göra dessa bedöm- ningar. I 9 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet anges att utlämnande till enskilda av uppgifter enligt 11–15 §§ får göras i elektronisk form, om det inte finns hinder mot det i någon författning. I de angivna paragraferna finns bestämmelser som medger utlämnande till kredit- upplysningsföretag, trossamfund, den registrerade själv m.fl. trots den absoluta sekretess som gäller på skatteområdet.

När det gällde patientdatalagen framhölls i förarbetena att den stränga hälso- och sjukvårdssekretessen och motsvarande bestäm- melser för den privata hälso- och sjukvården utgjorde ett starkt integritetsskydd. Ytterligare begränsningar för utlämnandet behövde därför inte införas (prop. 2007/08:126 s. 77). I stället ankom det på den utlämnande myndigheten att göra en lämplighetsprövning. Vid den prövningen borde hänsyn tas till vilka risker ur säkerhets- och integritetssynpunkt som finns och dessa vägas mot eventuella vinster ur effektivitetssynpunkt. Vad denna lämplighetsprövning närmare skulle ta sikte på berördes emellertid inte.

I de båda sistnämnda lagstiftningsärendena har man alltså inte sett något behov av att införa särskilda begränsningar mot utläm- nanden till andra myndigheter på medium för automatiserad be- handling för att motverka en antagen risk att mottagande myn- dighet skulle komma att behandla personuppgifter vid sidan av de ändamål som avsetts. Uttalandena i lagstiftningsärendet om patient- datalagen tar även sikte på elektroniska utlämnanden som sker på begäran från enskilda.

När det gäller passagerarregistret har lagstiftaren däremot infört ett uttryckligt förbud mot att lämna ut uppgifter elektroniskt. Förbudet träffar både Tullverket, som har rätt att på begäran få ut uppgifter från registret utan hinder av sekretess, och myndigheter till vilka uppgifter kan lämnas ut efter en intresseavvägning enligt 10 kap. 27 § OSL. I detta fall har lagstiftaren uppenbarligen inte ansett att sekretessregler och andra bestämmelser som styr myndig- heters behandling av personuppgifter utgör ett tillräckligt skydd vid elektroniska utlämnanden som sker på begäran. Vilka närmare överväganden som gjorts i frågan framgår dock inte av förarbetena. Det kan emellertid konstateras att även i fråga om direktåtkomst

433

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

har man varit mycket återhållsam. Fram till 1 januari 2015 var det, trots att både polismyndigheter och Tullverket hade rätt att få ut uppgifter ur registret, endast polismyndigheter som fick medges direktåtkomst. Skälet synes vara att det endast var de som hade ansvaret för personalkontroll vid flygplatserna (jfr prop. 2005/06:129 s. 79). Om Tullverket eller någon annan myndighet skulle få ett sådant ansvar i framtiden, har regeringen getts möjlighet att med- dela föreskrifter om att också den myndigheten ska få direktåt- komst.

Ett annat register som har ett mycket integritetskänsligt innehåll är belastningsregistret. Regeringen har i lagen (1998:620) om belastningsregister getts ett bemyndigande att meddela före- skrifter om direktåtkomst (6 § andra stycket). Direktåtkomst får medges de myndigheter som avses i 6 § första stycket, vilka är de myndigheter som har rätt att begära ut uppgifter. Regeringen har i 19 och 20 §§ förordningen (1999:1134) om belastningsregister med- delat föreskrifter om vilka myndigheter som får medges direkt- åtkomst. Liksom i fråga om passagerarregistret har möjligheten att medge direktåtkomst begränsats på så sätt att det endast är vissa av de myndigheter som har rätt att få ut uppgifter från registret som också får medges sådan åtkomst. Det saknas bestämmelser om elektroniska utlämnanden i annan form. Något uttryckligt förbud mot sådant utlämnande har alltså inte införts för detta register och inte heller andra begränsande regler. Frågan om andra elektroniska utlämnanden än genom direktåtkomst från registret på medium för automatiserad behandling berördes inte i förarbetena (prop. 1997/98:97).

I sammanhanget kan också nämnas förslaget till en ny domstols- datalag som innehåller en bestämmelse som generellt medger utlämnanden till myndigheter i elektronisk form (18 §). I övrigt får personuppgifter i mål lämnas ut elektroniskt till part eller dennes ombud m.fl. och annars endast i fråga om enstaka personuppgifter. Som skäl anfördes bl.a. följande (Ds 2013:10 s. 125 f.). Det finns starka effektivitetsskäl som talar för att inte begränsa elektroniskt utlämnande till andra myndigheter, inklusive andra domstolar. Efter- som de integritetsrisker som förknippas med sådant utlämnande inte är påtagliga, föreslås inga särskilda begränsningar. När det däremot gällde utlämnanden till enskilda är integritetsriskerna inte obetyd- liga och utrymmet för s.k. massuttag borde begränsas. Det bör

434

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

emellertid överlämnas till regeringen eller den myndighet som rege- ringen bestämmer att medge att utlämnanden i elektronisk form får ske även i andra fall.

Andra bestämmelser som kan begränsa ett utlämnande av personuppgifter

Bestämmelser i personuppgiftslagen

När personuppgiftslagen är tillämplig krävs att en myndighet innan ett utlämnande av personuppgifter har konstaterat att utlämnandet är en tillåten behandling enligt lagen. Det gäller oavsett i vilken form uppgifterna lämnas ut och oavsett vem mottagaren av uppgifterna är. För det första behöver myndigheten ta ställning till om samtliga de grundläggande kraven i 9 § är uppfyllda. Därvid gäller som ett första krav enligt 9 § första stycket a att den personuppgiftsansva- rige ska se till att personuppgifter behandlas bara om det är lagligt. Det är således inte tillräckligt att myndigheten bedömer att utläm- nandet är förenligt med finalitetsprincipen i 9 § första stycket d, dvs. att mottagaren inte ska behandla uppgifterna för något ända- mål som är oförenligt med det ändamål för vilket myndigheten en gång samlade in uppgifterna. Utlämnandet ska också vara en tillåten behandling enligt 10–22 §§.

Därutöver innebär bestämmelserna i 31 § ett allmänt krav på den personuppgiftsansvarige att vidta säkerhetsåtgärder för att skydda de personuppgifter som myndigheten behandlar. Dessa krav gäller alltså oavsett vilken behandling det är frågan om. Ett utlämnande i elektronisk form, exempelvis via e-post, kan innebära att det upp- står särskilda risker vid överföringen av personuppgifterna som be- höver motverkas.

Om personuppgifter lämnas ut till en annan myndighet torde utgångspunkten vara att den mottagande myndigheten kan antas behandla uppgifterna för ett godtagbart ändamål om det kan kon- stateras att utlämnandet är förenligt med de sekretessbestämmelser som gäller för berörda myndighetsområden. Så kan exempelvis vara fallet om det finns en sekretessbrytande bestämmelse som medger utlämnandet. Om uppgifter lämnas ut med stöd av den s.k. gene- ralklausulen i 10 kap. 27 § OSL, dvs. efter en intresseavvägning, torde det också stå klart att den mottagande myndigheten behöver

435

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

de uppgifter som begärs ut. Utlämnandet torde i så fall uppfylla kraven i 9 § första stycket f PuL om att inte fler uppgifter får be- handlas än som är nödvändigt med hänsyn till ändamålet med be- handlingen.

Om personuppgifter lämnas till en annan myndighet i andra fall, t.ex. om utlämnandet avser enbart offentliga uppgifter, kan man fråga sig vilka krav som ställs på den utlämnande myndigheten för att den ska kunna konstatera att det är fråga om en tillåten be- handling enligt personuppgiftslagen. En verksamhet som bedrivs av en statlig eller kommunal myndighet är ju, till skillnad från vad som gäller i fråga om enskilda, reglerad på ett eller annat sätt. Man kan därmed fråga sig om det finns anledning för den utlämnande myn- digheten att exempelvis bedöma om alla de uppgifter som begärs ut behövs hos den mottagande myndigheten eller försäkra sig om att den mottagande myndigheten på ett godtagbart sätt har t.ex. begränsat antalet handläggare som ska få behörighet att få ta del av uppgifterna eller att andra liknande säkerhetsåtgärder har vidtagits. Varken personuppgiftslagen eller dataskyddsdirektivet ger emeller- tid något uttryckligt svar på frågan om det är förenligt med det regelverket att tillämpa en presumtion för att utlämnanden till andra myndigheter, som inte hindras av sekretess, utgör en tillåten be- handling enligt personuppgiftslagen.

I den händelse det är frågan om att lämna ut personuppgifter till enskilda på grund av rätten att ta del av allmänna handlingar enligt 2 kap. TF gäller inte personuppgiftslagens bestämmelser. Frågan om det finns hinder mot utlämnandet ska då enbart bedömas ut- ifrån bestämmelserna om sekretess i offentlighets- och sekretess- lagen. I det sammanhanget får den s.k. PuL-sekretessen i 21 kap. 7 § OSL en särskild betydelse. Den bestämmelsen behandlas i följande avsnitt.

Bestämmelsen om ”PuL-sekretess” i 21 kap. 7 § OSL

Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behand- las i strid med personuppgiftslagen.

Även om paragrafens formulering är något oklar, får det anses fastslaget i praxis att den enbart tar sikte på mottagarens be-

436

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

handling av personuppgifter (se HFD 2014 ref. 66 med där gjorda hänvisningar). Det som ska bedömas enligt bestämmelsen är alltså endast huruvida mottagarens avsedda behandling av de personupp- gifter som begärs ut uppfyller kraven enligt personuppgiftlagen. Den bedömningen bör inte enbart ta sikte på en prövning utifrån finalitetsprincipen i 9 § första stycket d PuL, utan på samtliga be- stämmelser i lagen.

Om den utlämnande myndigheten blir varse eller självmant be- dömer att det kan antas finnas sådana brister i mottagarens kom- mande behandling av de personuppgifter som avses lämnas ut att denna blir lagstridig, torde det i och för sig inte heller vara tillåtet enligt personuppgiftslagen att lämna ut uppgifterna. Att lämna ut personuppgifterna i en sådan situation, dvs. då det kan befaras att mottagaren inte kommer att uppfylla kraven på en tillåten behand- ling, skulle alltså inte heller vara en tillåten behandling för den utlämnande myndigheten i den mån personuppgiftslagen ska tillämpas på utlämnandet.

Enligt 21 kap. 7 § OSL gäller sekretess med ett rakt skaderekvi- sit. Det innebär ett relativt svagt sekretesskydd, dvs. det ska pre- sumeras att sekretess inte hindrar att personuppgifterna lämnas ut. I princip torde det innebära att det ska presumeras att mottagaren av personuppgifterna kommer att behandla dem i enlighet med per- sonuppgiftslagen. I anslutning till de lagstiftningsärenden som ligger till grund för bestämmelsen i dess nuvarande lydelse har frågan om valet av skaderekvisit emellertid inte behandlats (prop. 1997/98:44 s. 147 och prop. 2008/09:150 s. 340). Där finns således inga uttal- anden om vad valet av skaderekvisit betyder för vad som kan krävas av en utlämnande myndighet när det gäller att pröva huruvida mot- tagarens behandling av de uppgifter som begärs ut kommer att omfattas av och vara förenlig med personuppgiftslagen. I förarbetena till motsvarande sekretessbestämmelse som gällde under datalagens tid, och som då enbart tog sikte på uttag ur regelrätta register, anfördes att en begäran om massuttag eller selekterade uppgifter alltid borde utgöra anledning för myndigheten att närmare utreda hur det är avsett att uppgifterna ska användas och att det är först om sökanden kan ange en godtagbar förklaring som uppgifterna bör lämnas ut (prop. 1973:33 s. 140).

Ett rakt skaderekvisit innebär typiskt sett att skadebedömningen ska kunna göras med utgångspunkt i själva uppgiften. Frågan om

437

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

sekretess gäller behöver därmed inte i första hand knytas till en skadebedömning i det enskilda fallet. Avgörande bör i stället vara om uppgiften är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften i stället är sådan att den genomsnittligt måste betraktas som harmlös ska den alltså normalt falla utanför sekretesskyddet. En typiskt sett känslig uppgift om- fattas däremot normalt av sekretess (Lenberg m.fl., inledande av- snitt 4.5.1). En typiskt sett harmlös uppgift kan emellertid skyddas av sekretess med ett rakt skaderekvisit om det exempelvis i ett särskilt fall framgår att den som begär att få ut en uppgift kan använda den för att utsätta den som uppgiften rör för trakasserier. Avsikten är emellertid inte att tjänstemännen vid myndigheterna normalt ska försöka ta reda på om det finns indikationer av nu nämnt slag.

I de fall det blir aktuellt att tillämpa sekretessbestämmelsen i 21 kap. 7 § OSL har det vanligen redan konstaterats att sekretess för uppgifterna inte gäller enligt någon annan bestämmelse i lagen. Den fråga som alltså normalt ska bedömas är om 21 kap. 7 § hindrar ett utlämnande av uppgifter som i övrigt är att anse som offentliga, dvs. som typiskt sett inte är i behov av skydd. Utgångs- punkten är alltså att de aktuella uppgifterna i sig i allmänhet inte är av sådan art att sekretessen aktualiseras. Det ska i stället vara den avsedda behandlingen av uppgifterna hos mottagaren som kan för- anleda ett sekretesskydd, dvs. att uppgifterna kommer att behand- las på ett sätt som strider mot personuppgiftslagen. Ett rakt skade- rekvisit innebär emellertid, som påpekats ovan, att tjänstemännen vid myndigheterna normalt inte ska försöka ta reda på om det finns omständigheter som talar för att ett sekretesskydd behövs.

Praxis på området från Högsta förvaltningsdomstolen är spar- sam. Domstolen har bl.a. i ett par avgöranden prövat om bestäm- melsen utgör ett hinder mot att lämna ut personuppgifter från Jordbruksverket respektive Centrala studiestödsnämnden för kommersiella intressen, och fann efter en intresseavvägning enligt 10 § f PuL att utlämnandet inte hindrades av sekretess (RÅ 2001 ref. 68 resp. RÅ 2002 ref. 54). I det sistnämnda avgörandet var det fråga om privatpersoners uppgifter och då borde enligt domstolen mottagarens kommersiella intressen på ett entydigt sätt utfalla till dennes förmån i stället för den enskildes integritetsintressen för att

438

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

ett utlämnande skulle vara tillåtet. En utförlig redovisning för rätts- praxis som rör tillämpning av 21 kap. 7 § OSL finns i Öman/ Lindblom, s. 581 f.

Frågan om tillämpningen av 21 kap. 7 § OSL har också utförligt behandlats av E-offentlighetskommittén, som bl.a. hade till uppgift att överväga om bestämmelsen borde upphävas (SOU 2010:4 s. 317 f.). Kommittén fann att bestämmelsen fyllde i vart fall en viss begränsad funktion och därför inte borde upphävas. Vidare före- slog kommittén att bestämmelsen skulle förtydligas så att det inte råder någon tvekan om att det bara är sökandens efterföljande behandling som är relevant för den sekretessprövning som ska göras och inget annat. Förslaget har ännu inte lett till lagstiftning.

Bestämmelsen har föranlett kritik bl.a. av den anledningen att den tycks förutsätta att myndigheten skaffar sig en uppfattning om syftet med en begäran om utlämnande av allmänna handlingar eller uppgifter. JO har påpekat att den därför harmonierar mindre väl med efterfrågeförbudet i 2 kap. 14 § tredje stycket TF, dvs. den principiella rätten att anonymt få begära ut allmänna handlingar och därför borde ändras eller upphävas (se JO:s dnr 1102-2004 och 1849-2004). I sitt beslut den 28 augusti 2013 (dnr 4171-2011) ut- vecklade JO sin syn på hur efterfrågeförbudet kunde förenas med 21 kap. 7 § OSL. JO anförde bl.a. att det står klart att myndigheten inte får börja ställa frågor om sökandens tilltänkta användning bara för att en personuppgift begärs utlämnad. Enligt JO krävs det för det första att det finns någon konkret omständighet som gör att det kan antas att personuppgiften efter utlämnandet kommer att behandlas på ett sätt som omfattas av personuppgiftslagen. Sådana omständigheter kan – förutom de upplysningar som sökanden på eget initiativ kan ha lämnat om sin tilltänkta användning av upp- gifterna – vara att sökanden begär ut uppgifter om väldigt många personer från ett register (ett s.k. massuttag) eller uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst, språktill- hörighet, politisk tillhörighet osv. (s.k. selekterade uppgifter). JO anförde att först om det på grund av någon konkret omständighet finns skäl att anta att sökanden kommer att behandla uppgifterna på ett sätt som omfattas av personuppgiftslagen, t.ex. för att be- gäran omfattar uppgifter om många personer, finns det anledning att genom frågor till sökanden försöka ta reda på hur och till vad sökanden ska använda uppgifterna för att kunna bedöma om den

439

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

tilltänkta behandlingen strider mot personuppgiftslagen. Myndig- heten får dock enligt 2 kap. 14 § tredje stycket TF inte ställa mer inträngande eller fler frågor än som behövs för att göra en sekre- tessbedömning.

Regler om rutinmässigt utlämnande av personuppgifter till andra myndigheter

I registerförfattningar finns ofta bestämmelser som föreskriver att personuppgifter får tillhandahållas vissa särskilt angivna myndig- heter. Sådana bestämmelser fanns redan före personuppgiftslagens tid, men återfinns efter den lagens införande ofta under rubriken ”Sekundära ändamål”. Dessa bestämmelser syftar i grunden till att styra huruvida uppgifter rutinmässigt får lämnas ut till en annan myndighet och inte till på vilket sätt uppgifter får lämnas ut. Frågan har emellertid ett samband med frågan om elektroniskt utlämnande på det sättet att om det finns behov av ett rutinmässigt uppgifts- utbyte, torde det utbytet kunna effektiviseras genom att utläm- nandet av uppgifter sker elektroniskt.

Ett rutinmässigt utlämnande av uppgifter till en annan myndig- het kan förstås regleras på så sätt att det införs en uppgiftsskyl- dighet mellan de myndigheter som ska utbyta information. Om någon uppgiftsskyldighet inte finns föreskriven kan ett rutinmässigt utlämnande av sekretessreglerade uppgifter i stället äga rum med stöd av den s.k. generalklausulen i 10 kap. 27 § OSL, dvs. efter en avvägning mellan intresset av att skydda uppgifterna hos den ut- lämnande myndigheten och intresset hos den mottagande myndig- heten av att få ut uppgifterna. Om det är uppenbart att intresset av att uppgifterna lämnas ut har företräde, ska uppgifterna lämnas ut. Det följer av bestämmelserna i 6 kap. 5 § OSL om myndigheters skyldighet att lämna information till varandra.

Det krävs ingen särskild författningsreglering för att ett rutin- mässigt utlämnande av personuppgifter till en annan myndighet ska kunna äga rum. Bestämmelserna i 10 kap. 27 § OSL bygger emeller- tid på att ett sådant utlämnande ska vara författningsreglerat (Lenberg m.fl., kommentaren till 10 kap. 27 §). Har det i en lag eller författning föreskrivits att uppgifter ”bör” eller ”får” lämnas ut får det antas att lagstiftaren har bedömt att intresset av att upp- gifter lämnas mellan myndigheter har företräde framför sekretess-

440

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

intresset. Även om det inte är frågan om en sådan absolut uppgifts- skyldighet som avses i 10 kap. 28 §, torde det finnas ett relativt litet utrymme för den utlämnande myndigheten att i en konkret utläm- nandesituation göra en annan bedömning.

I den händelse man har tänkt sig att ett rutinmässigt uppgifts- utbyte ska äga rum mellan myndigheter och det avser sekretess- reglerade uppgifter, bör utgångspunkten alltså normalt vara att uppgiftsutbytet ska komma till uttryck i en lag eller förordning där det uttrycks att en myndighet ”bör” eller ”får” lämna ut uppgifter till en annan myndighet. För att återknyta till frågan om elek- troniskt utlämnande kan man alltså konstatera att, även om man kommer till slutsatsen att det inte behöver regleras särskilt om ett utlämnande kan ske i elektronisk form, det ändå kan behövas en reglering för att uttrycka att ett rutinmässigt uppgiftsutbyte får komma till stånd. I den mån sådana bestämmelser införs, är det alltså vår uppfattning att lagstiftaren därmed har tagit ställning till att utlämnandet sker i enlighet med finalitetsprincipen, se avsnitt 9.2.4.

11.2.2Terminologin rörande annat elektroniskt utlämnande

Bakgrund

I avsnitt 11.1.1 gör vi bedömningen att begreppet direktåtkomst även fortsättningsvis bör ges den innebörd som får anses vara den redan etablerade, dvs. att en direktåtkomst föreligger om en myndighet hos en annan myndighet har en sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF. Vidare föreslås att det i den nya lagen om myndigheters behandling av personuppgifter införs en bestämmelse som innebär att direkt- åtkomst till sekretessreglerade uppgifter kräver ett uttryckligt stöd i lag eller förordning. Därutöver föreslår vi att det i 10 kap. 28 § OSL förs in ett nytt andra stycke, där det föreskrivs att bestämmelser i lag eller förordning som medger direktåtkomst i sig bryter sekre- tess. Den generellt sekretessbrytande bestämmelsen tar bara sikte på sådan åtkomst för myndigheter, inte för enskilda.

Sådana utlämnanden i elektronisk form som inte sker inom ramen för en direktåtkomst brukar vanligen betecknas utlämnanden på medium för automatiserad behandling. Till skillnad från direkt- åtkomst innebär de alltså inte att mottagaren bildligt tillåts att ”kliva

441

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

in” innanför myndighetens gränser för att där ta del av uppgifter, utan uppgifter både begärs ut av och levereras till en mottagare utanför myndigheten. Sådana utlämnanden kan också ske på den utlämnande myndighetens eget initiativ.

Till skillnad från de faktiska överföringar av uppgifter som äger rum inom ramen för en direktåtkomst, vilka rättsligt innebär att mottagaren själv gör dessa överföringar från den mängd av upp- gifter som i tryckfrihetsförordningens mening alltså har lämnats ut i den stund åtkomsten etablerats, innebär andra former av elek- troniska utlämnanden att uppgifter lämnas ut i det enskilda fallet endera på begäran av mottagaren eller på initiativ av den utläm- nande myndigheten. I de fallen är alltså ett utlämnande av uppgifter en reaktion från den utlämnande myndighetens sida på en begäran från en mottagare eller ett resultat av dess egna beslut. Det känne- tecknade för en direktåtkomst är däremot att det inte behövs att utlämnande myndighet reagerar på någon begäran från en mottag- are eller fattar något eget beslut om utlämnande, eftersom mot- tagaren i rättslig mening redan har getts tillgång till uppgifterna.

Enligt 3 § PuL definieras behandling av personuppgifter som varje åtgärd eller serie av åtgärder som vidtas i fråga om person- uppgifter, vare sig det sker på automatisk väg eller inte. Som exem- pel nämns utlämnande genom översändande, spridning eller annat tillhandahållande av åtgärder. I enlighet med denna terminologi torde ett ”annat elektroniskt utlämnande” närmast kunna beskrivas som en behandling av personuppgifter som innebär att uppgifterna lämnas ut genom att sändas över till mottagaren.

Våra överväganden

Bedömning: Begreppet utlämnande på medium för automati- serad behandling bör utmönstras. I stället bör begreppet utläm- nande i elektronisk form användas, varmed avses alla andra elektroniska utlämnanden än direktåtkomst.

I dag förekommer det i registerförfattningar alltså ett antal olika begrepp för att beskriva sådant elektroniskt utlämnande som inte är direktåtkomst, se avsnitt 5.4. Ett vanligt förekommande begrepp är utlämnande på medium för automatiserad behandling. Enligt vår

442

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

uppfattning är det ett uttryck som framstår som väldigt otympligt. Det är emellertid klart att det som åsyftas är andra elektroniska utlämnanden än de som sker genom direktåtkomst. Om nu direkt- åtkomst ges en särskild reglering såväl i offentlighets- och sekre- tesslagen som i den nya lagen om myndigheters personuppgifts- behandling och en viss definition av vad som avses med sådan åtkomst ges, ser vi inget hinder mot att i övrigt i rättsliga samman- hang övergå till att tala om utlämnanden i elektronisk form (se t.ex. E-offentlighetskommitténs förslag om ny skyldighet för myndig- heter att lämna ut allmänna handlingar i sådan form i betänkandet SOU 2010:4). Om det i en författningstext rörande exempelvis rutinmässigt uppgiftsutbyte inte uttryckligen anges att det är fråga om direktåtkomst, skulle man därmed motsatsvis kunna dra slut- satsen att det som avses är någon annan form av elektroniskt ut- lämnande.

En nackdel med begreppet utlämnande i elektronisk form är att det inte alls rättsligt beskriver att med uttrycket avses ett annat utlämnande än det som sker genom direktåtkomst. Den beteckning som ofta används i dag – utlämnande på medium för automatiserad behandling – beskriver emellertid inte heller vad denna rättsliga åtskillnad består i. Rent tekniskt kan utlämnanden inom ramen för en direktåtkomst också göras genom något slags medium för auto- matiserad behandling, både då den tekniska åtkomsten etableras och därefter då de faktiska överföringarna av uppgifter äger rum. Det kan dock konstateras att utlämnande i elektronisk form är mer i överensstämmelse med modernt språkbruk än vad det hittills nor- malt använda begreppet är.

Vi föreslår därför att begreppet utlämnande på medium för auto- matiserad behandling inte längre ska användas utan att man i stället bör använda begreppet utlämnande i elektronisk form, varmed avses andra elektroniska utlämnanden än direktåtkomst. Det som avses är således samtliga andra fall då en myndighet lämnar ut upp- gifter genom att elektroniskt på det ena eller andra sättet förmedla dem till mottagaren.

443

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

11.2.3Bör utlämnande i elektronisk form kräva stöd i lag eller förordning?

Bakgrund

Vi har ovan i avsnitt 5.7 dragit slutsatsen att starka skäl talar för att det också i fortsättningen bör göras en åtskillnad mellan direkt- åtkomst å ena sidan och andra former av utlämnanden i elektronisk form å den andra. Därutöver har vi i samma avsnitt bedömt att det saknas behov av att göra en rättslig åtskillnad mellan olika andra former av utlämnanden i elektronisk form.

Det kan konstateras att många registerförfattningar innehåller bestämmelser som syftar till att begränsa aktuell myndighets möj- lighet att lämna ut uppgifter och handlingar i elektronisk form, dvs. normalt genom regler om utlämnande på medium för automati- serad behandling. Ibland begränsar sådana bestämmelser endast utlämnanden till enskilda, men i vissa fall gäller begränsande regler både i förhållande till andra myndigheter och enskilda. En första fråga blir därför om det i en samlad lag för myndigheters behand- ling av personuppgifter bör finnas bestämmelser som ställer upp ett grundläggande krav på att utlämnande i elektronisk form ska ha stöd i författning för att vara tillåtet. En annan fråga blir därefter om det bör införas bestämmelser som generellt begränsar myndig- heters möjlighet att lämna ut personuppgifter i elektronisk form, vilken behandlas i nästa avsnitt.

Våra överväganden

Bedömning: Det saknas skäl för att införa ett grundläggande krav på att utlämnanden av personuppgifter i elektronisk form ska ha stöd i författning för att vara tillåtet.

Som redan konstaterats måste en direktåtkomst som avses omfatta sekretessreglerade uppgifter hos den utlämnande myndigheten för- enas med en sekretessbrytande regel. Ett utlämnande som inte innebär direktåtkomst aktualiserar i sig inte någon sådan fråga. Det frågan då handlar om är enbart valet av utlämnandeform. De frågor som aktualiseras inför utlämnandet, t.ex. om det finns hinder mot utlämnandet p.g.a. sekretess eller om en sekretessbrytande regel

444

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

kan tillämpas, är enkelt uttryckt redan avklarade i så måtto att de redan är reglerade. Det står m.a.o. klart i vilken mån ett utlämnande av personuppgifter alls kan ske, frågan är enbart i vilken form. I ett lagstiftarperspektiv väcker således ett utlämnande i elektronisk form, till skillnad från direktåtkomst, inte frågor om sekretess utan om andra frågor som har anknytning till själva valet av utlämnande- form. En sådan fråga är exempelvis om det finns andra regler om integritetsskydd än sekretessbestämmelser som styr eller bör styra valet av utlämnandeform och om det i så fall bör föranleda särskild reglering.

Ett utlämnande i elektronisk form, dvs. ett utlämnande som inte sker genom direktåtkomst, medför inte heller i sig att det uppstår krav på att vare sig den utlämnande eller mottagande myndigheten vidtar några särskilda säkerhets- eller kontrollåtgärder i förväg. En annan sak är dock att brister i möjligheten att säkert överföra personuppgifter elektroniskt eventuellt kan innebära att ett utläm- nande i elektronisk form är olämpligt. Vi återkommer till den frågan nedan.

De frågor som väcks i samband med utlämnanden i elektronisk form är alltså av ett annat och mer allmänt slag än de som uppstår i samband med direktåtkomst.

Mot bakgrund av utformningen av gällande registerförfattningar torde den slutsatsen kunna dras att lagstiftaren hittills har gjort bedömningen att ett utlämnande på medium för automatiserad be- handling inte i sig kräver författningsstöd för att vara tillåtet. Däremot har lagstiftaren gjort skilda bedömningar i olika lagstift- ningsärenden när det gäller frågan om det i det aktuella fallet med hänsyn till framför allt intresset av integritetsskydd finns ett behov av att införa begränsningar mot ett sådant utlämnande mellan myn- digheter.

Vi kan för vår del inte heller se att det vare sig med hänsyn till intresset för skydd av den enskildes integritet eller av annat skäl skulle finnas något behov av att införa ett grundläggande generellt krav på att en myndighets utlämnande av personuppgifter i elektronisk form ska ha stöd i författning för att vara tillåtet. Vi föreslår därför inte någon sådan regel.

445

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

11.2.4Behövs en särskild bestämmelse som begränsar utlämnanden i elektronisk form?

Bakgrund

Att det i en registerförfattning inte har införts några särskilda begränsningar i möjligheterna att lämna ut personuppgifter i elek- tronisk form innebär inte att det är fritt fram att lämna ut uppgifter i sådan form. I lagstiftningsärendet om patientdata anfördes att det ankom på den utlämnande myndigheten att göra en lämplighets- prövning, varvid eventuella risker från säkerhets- och integritets- synpunkt skulle vägas mot intresset av ett effektivt utlämnande (prop. 2007/08:126 s. 77). Att man i det sammanhanget talar om en ”lämplighetsprövning” torde ha sin grund i den omständigheten att det på hälso- och sjukvårdsområdet inte finns någon skyldighet att lämna ut uppgifter i elektronisk form. Att myndigheter skulle ha en sådan skyldighet finns vanligtvis inte heller föreskrivet. Om ett utlämnande i elektronisk form varken hindras eller anbefalls av någon regel, står det alltså i allmänhet en myndighet fritt att avgöra om ett utlämnande ska ske i denna eller någon annan form utifrån vad myndigheten finner lämpligt.

Det är dock inte enbart i samband med en sådan ”lämplighets- prövning” som omtalas i förarbetena till patientdatalagen som en utlämnande myndighet kan behöva bedöma vilka risker från säker- hets- och integritetssynpunkt som ett utlämnande av personupp- gifter kan ge upphov till. Innan det blir aktuellt att göra en sådan lämplighetsprövning, ska det ju stå klart att utlämnandet som så- dant är en tillåten behandling enligt personuppgiftslagen, dvs. oav- sett utlämnandeform. I det sammanhanget är det inte tillräckligt att konstatera att utlämnandet är förenligt med finalitetsprincipen, utan samtliga grundläggande krav i 9 § ska vara uppfyllda liksom övriga krav i lagen. Vid ett utlämnande som grundar sig på rätten att ta del av allmänna handlingar är det i stället 21 kap. 7 § OSL som kan utgöra hinder mot att personuppgifter lämnas ut, varvid det indirekt prövas om mottagarens avsedda behandling strider mot personupp- giftslagen.

Det kan alltså konstateras att det finns ett författningsreglerat krav på den utlämnande myndigheten att enligt antingen bestäm- melserna i personuppgiftslagen eller sekretessregeln i 21 kap. 7 § OSL ta ställning till om ett utlämnande av personuppgifter är tillåtet.

446

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Detta krav gäller oavsett i vilken form utlämnandet sker. När det har konstaterats att ett utlämnande är tillåtet, återstår alltså att avgöra i vilken form utlämnandet bör ske. Eftersom det står myn- digheten fritt att avgöra detta, om inga särskilda begränsningar finns, blir det fråga om en lämplighetsprövning.

Våra överväganden och förslag

Förslag och bedömning: Det behöver inte införas någon bestäm- melse som generellt begränsar myndigheters möjlighet att lämna ut personuppgifter till andra myndigheter i elektronisk form.

När det gäller utlämnanden till enskilda föreslås en bestäm- melse i den nya lagen som föreskriver att om en personuppgift får lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personupp- giften. Därmed erinras myndigheterna om att det ankommer på dem att först göra en prövning av om ett utlämnande, oavsett form, av personuppgifter är tillåtet. Om så är fallet, är utgångs- punkten att det kan ske i elektronisk form. En sådan bestäm- melse leder till en mer nyanserad bedömning när det gäller skyddet för enskildas integritet än vad som följer av sådana regler som i dag är vanliga i registerförfattningar och som begränsar elek- troniskt utlämnande till enskilda.

Utlämnanden till andra myndigheter

I flera av de lagstiftningsärenden där man bedömt att det behövs bestämmelser som begränsar utlämnanden i elektronisk form i en viss myndighets verksamhet synes man ha ansett att den avgörande frågan för om det behövs särskilda begränsningar mot ett utläm- nande av personuppgifter i elektronisk form är om det kan antas finnas en risk för att den mottagande myndigheten kommer att behandla uppgifterna för ett ändamål som inte är avsett, dvs. att det finns risk för att uppgifterna kan komma att behandlas i strid med finalitetsprincipen och eventuellt även i strid med andra bestäm- melser som syftar till att skydda personuppgifter hos den myndig- heten.

447

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

I princip är det givetvis så att även ett utlämnande av person- uppgifter till en annan myndighet måste, i likhet med sådana utläm- nanden till enskilda, vara tillåtet enligt bestämmelser om sekretess och enligt personuppgiftslagen. Vidare bör ett utlämnande som i och för sig är tillåtet inte ske i elektronisk form om detta i något beaktansvärt hänseende skulle vara olämpligt. Frågan är emellertid hur långtgående en myndighets prövning av lagenlighet och lämp- lighet behöver vara när det rör sig om ett uppgiftsutbyte med en annan myndighet. Den frågan har i sin tur betydelse för vilken ut- gångspunkt det är motiverat för lagstiftaren att ha när det gäller frågan om det finns anledning att begränsa en myndighets möjlig- het att lämna ut personuppgifter till en annan myndighet i elek- tronisk form.

Vi har ovan konstaterat att såvitt avser utlämnande av person- uppgifter till enskild detta kan ske endera i form av ett uttag enligt offentlighetsprincipen eller på annan grund, t.ex. vid försäljning av uppgifter. Vi har också konstaterat att prövningen inte ska ske mot personuppgiftslagen utan uteslutande mot offentlighets- och sekre- tesslagen vid ett uttag med stöd av 2 kap. TF. Principiellt sett före- ligger den skillnaden att vid ett offentlighetsuttag personuppgifts- lagen inte är tillämplig på den personuppgiftsbehandling som myn- dighetens utlämnande innebär. Prövningen tar då enbart sikte på mot- tagarens tänkta kommande behandling av personuppgifterna. När det gäller utlämnande mellan myndigheter ställer sig saken annor- lunda. Myndigheter kan inte åberopa rätten till handlingsoffent- lighet och sekretess gäller ju även mellan myndigheter. Vid utläm- nande till en annan myndighet är personuppgiftslagen alltså tillämplig på själva utlämnandet men bestämmelsen i 21 kap. 7 § OSL gäller samtidigt också. Frågan blir därmed vilket betraktelsesätt som bör anläggas.

Offentlighets- och sekretesskommittén, som föreslog att det skulle införas en bestämmelse i 2 § PuL om att utlämnanden av uppgifter mellan myndigheter som sker i överensstämmelse med sekretessbestämmelser inte hindrades av personuppgiftslagen, påpek- ade att dåvarande 7 kap. 16 § sekretesslagen (nuvarande 21 kap. 7 § OSL) även är tillämplig mellan myndigheter. Enligt kommittén måste en utgångspunkt dock vara att en myndighet avser att följa lagen (SOU 2003:99 s. 236).

448

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Enligt vår uppfattning är det rimligt att anlägga samma synsätt som Offentlighets- och sekretesskommittén när det gäller ett uppgiftsutbyte mellan myndigheter. En myndighet bör vid ett utlämnande till en annan myndighet alltså kunna utgå från att den mottagande myndigheten själv tar ansvar för att den exempelvis inte begär ut fler uppgifter än den behöver för att utföra den av- sedda behandlingen samt att den har organiserat sin informations- hantering så att personuppgiftslagens krav uppfylls, också i fråga om säkerhet. Den utlämnande myndighetens ansvar bör därmed som huvudregel kunna begränsas till att bedöma om det finns hinder mot utlämnandet på grund av någon annan sekretessbestämmelse än 21 kap. 7 § OSL. En prövning enligt 21 kap. 7 § skulle då bara behöva aktualiseras undantagsvis, närmast i uppenbara fall av för- modad lagstridighet. Frånsett sådana rena undantagsfall skulle det därmed inte finnas anledning för myndigheten att anse att det finns hinder mot ett utlämnande enligt offentlighets- och sekretesslagen och personuppgiftslagen. Det sagda innebär alltså en slags presum- tion för att ett utlämnande av personuppgifter till en annan myn- dighet, som inte hindras av att sekretess gäller för uppgifterna i sig, inte innebär någon risk för kränkningar av enskildas integritet. Enligt vår uppfattning lämnar såväl dataskyddsdirektivet som för- slaget till en uppgiftsskyddsförordning utrymme för att tillämpa en sådan presumtion. Vi menar alltså att man vid utlämnande av per- sonuppgifter mellan myndigheter som sker i överensstämmelse med sekretessbestämmelser kan presumera att utlämnandet är lag- enligt.

I enlighet med det synsättet saknas det enligt vår bedömning skäl att genom en generell bestämmelse begränsa myndigheters utlämnande av personuppgifter i elektronisk form till andra myn- digheter. Från integritetsskyddssynpunkt finns det alltså ingen anled- ning att när det gäller utlämnanden till andra myndigheter generellt begränsa möjligheten att lämna ut personuppgifter elektroniskt. Det kan däremot eventuellt finnas andra skäl än integritetshänsyn som talar för att det för vissa myndigheters del skulle vara olämp- ligt att använda sig av ett elektroniskt utlämnande, t.ex. att det finns tekniska hinder och därför är opraktiskt. Sådana skäl kan dock knappast motivera införandet av en generell begränsning i fråga om möjligheterna att lämna ut personuppgifter i elektronisk form till

449

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

andra myndigheter. Vi föreslår därför inte att det införs någon sådan bestämmelse i den nya lagen.

En helt annan sak är att det ändå kan behövas särskilda regler som medger ett uppgiftsutbyte mellan vissa myndigheter så att lag- stiftaren därigenom tar ställning till att ett rutinmässigt uppgifts- utbyte får komma till stånd. Det utgör i så fall en stark presumtion för att den s.k. generalklausulen i 10 kap. 27 § OSL medger ett utlämnande av sekretessreglerade uppgifter.

Utlämnande till enskilda

När det gäller utlämnanden av personuppgifter till enskilda kan en utlämnande myndighet knappast på motsvarande sätt som i förhåll- ande till andra myndigheter tillämpa en presumtion för att det inte uppstår en risk för enskildas integritet. Visserligen omfattas även enskildas behandling av personuppgifter av personuppgiftslagen och Datainspektionens tillsyn och utlämnanden till enskilda kan avse sådana aktörer vars verksamhet står under statlig tillsyn även av annat slag, exempelvis försäkringsbolag och kreditmarknadsinstitut. Det går dock inte att komma ifrån att enskildas hantering av personuppgifter inte sker i en sådan i övrigt reglerad verksamhet som den statliga och kommunala förvaltningen utgör och inte heller är föremål för samma möjligheter till insyn och ansvarsutkrävande. Det är alltså ett ofrånkomligt faktum att då ett utlämnande av personuppgifter sker från en myndighet till en enskild, personupp- gifterna lämnar en reglerad verksamhet för att hamna i en miljö som är relativt oreglerad.

Det kan alltså sägas uppstå ett slags spänningsfält för integri- tetsskyddet mellan myndighetens och den enskildes hantering av de personuppgifter som lämnas ut. Som befintlig lagstiftning är utformad är det i första hand bestämmelsen i 21 kap. 7 § OSL som ska tillämpas för att lösa sådana spänningar då det gäller utläm- nanden av personuppgifter till enskilda. Om det är fråga om ett utlämnande på grund av 2 kap. TF är det vidare endast den bestäm- melsen, frånsett givetvis övriga sekretessbestämmelser, som kan hindra ett utlämnande.

Som redan framgått har 21 kap. 7 § OSL vållat svårigheter i tillämpningen och det har t.o.m. funnits tankar på att helt upphäva

450

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

bestämmelsen. Den ger emellertid, tillsammans med den praxis som hittills bildats, en viss anvisning om vilken slags prövning som det ankommer på den utlämnande myndigheten att göra och när en sådan prövning aktualiseras. För det första kan det inte anses ankomma på den utlämnande myndigheten att vid varje utläm- nande av personuppgifter till enskilda ha betänkligheter inför mot- tagarens behandling av uppgifterna, utan det ska finnas en särskild anledning att utreda vilken behandling som är avsedd och om den kan antas strida mot personuppgiftslagens bestämmelser. Att en stor mängd uppgifter begärs ut kan vara en sådan anledning (jfr RÅ 2002 ref. 54). I så fall bör det prövas om den enskilde har ett från integritetsskyddsperspektiv berättigat intresse av att få göra den avsedda behandlingen av personuppgifterna och att personuppgift- erna är nödvändiga för den behandlingen, exempelvis att använda dem för marknadsföringsändamål. Om det inte är frågan om något av de fall av tillåten behandling som särskilt pekas ut i 10 § PuL, behöver en intresseavvägning göras. Om det är frågan om privat- personers uppgifter och inte näringsidkares, bör enligt praxis mot- tagarens intresse av att få göra sin behandling på ett entydigt sätt väga över privatpersonernas intresse av skydd för sin integritet. Vari den enskildes behov av skydd består vid den tänkta behand- lingen bör konkretiseras vid prövningen, t.ex. i fråga om hur käns- liga uppgifterna är, om och hur mottagaren tänkt sprida uppgift- erna och vilka anspråk den enskilde kan göra gällande gentemot den som avser att göra den aktuella behandlingen. Därefter kan en intresseavvägning göras. Om mottagarens i och för sig berättigade intresse av att få göra sin behandling inte kan anses väga över den enskildes intresse av skydd för sin integritet, exempelvis därför att mottagaren har tänkt sig att sprida uppgifterna på ett sådant sätt eller i sådan omfattning att detta blir oproportionerligt i förhåll- ande till den enskildes behov av skydd, ska ett utlämnande inte ske.

Det kan alltså konstateras att många integritetsskyddsaspekter kan beaktas vid en prövning enligt 21 kap. 7 § OSL. Den frågan kan emellertid ställas om det finns ytterligare omständigheter av betyd- else för den enskildes behov av skydd för den personliga integri- teten som bör fångas upp genom en bestämmelse som generellt begränsar en myndighets möjlighet att lämna ut personuppgifter i elektronisk form till enskilda.

451

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

Av redogörelsen ovan framgår att det är vanligt att registerför- fattningar begränsar möjligheterna att lämna ut personuppgifter till enskilda i elektronisk form, även om ett motsvarande utlämnande till myndigheter inte har begränsats. Patientdatalagen avviker där- vid från de övriga exemplen eftersom den varken innehåller någon begränsning för andra myndigheter eller enskilda. På hälso- och sjukvårdsområdet gäller dock en stark sekretess som i allmänhet förhindrar att patientuppgifter över huvud taget lämnas ut.

E-offentlighetskommittén föreslog att det skulle införas en be- stämmelse i 6 kap. OSL som föreskriver att en myndighet på begä- ran ska lämna ut en handling i elektronisk form om den inte inne- håller sekretessbelagda uppgifter, det finns förbud i lag eller för- ordning mot sådant utlämnande eller det annars är olämpligt. Syftet med bestämmelsen var bl.a. att skapa en väsentligt ökad medvetenhet om att det är fullt möjligt att lämna ut handlingar i elektronisk form och att göra klart att en sökande inte kan anses avstå från rätten att få ut handlingar med stöd av 2 kap. TF bara genom en begäran om att få ut dem i elektronisk form (SOU 2010:4 s. 307). Vidare skulle en sådan bestämmelse innebära att alla organ som omfattas av offent- lighetsprincipen, dvs. inte endast statliga myndigheter utan även kommuner och landsting, kommunala bolag m.fl., skulle ha att tillämpa den.

Kommitténs förslag hade sin grund i att myndigheterna, bl.a. p.g.a. osäkerhet om vilka möjligheter som gällande regelverk egent- ligen ger i fråga om att lämna ut handlingar med personuppgifter i elektronisk form, i onödan avstod från elektroniskt utlämnande.

Vår genomgång av registerförfattningarna ger inte anledning att göra någon annan bedömning än den kommittén gjorde. Enligt vår bedömning kan det vidare knappast sägas att registerförfattning- arna i alltför stor utsträckning skulle sakna bestämmelser som syftar till att begränsa elektroniskt utlämnande av personuppgifter till enskilda och att det därför sker elektroniska utlämnanden i en omfatt- ning som innebär risker för enskildas integritet, snarare tvärtom.

Av redovisningen ovan av de bestämmelser i personuppgifts- lagen och offentlighets- och sekretesslagen som behöver tillämpas för att bedöma om ett utlämnande av personuppgifter över huvud taget är tillåtet framgår att dessa bestämmelser innebär att ett utlämnande inte får ske om det kan antas att personuppgifter inte kommer att behandlas i enlighet med personuppgiftslagen. Ett ut-

452

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

lämnande som innebär risker för lagstridig behandling av person- uppgifter är alltså inte tillåtet och detta gäller oavsett om det sker i pappersform eller elektroniskt. Ändå är det ofta risker för den enskildes integritet som anförs som motiv för att införa bestäm- melser som begränsar möjligheterna att lämna ut personuppgifter elektroniskt. En regel som, i enlighet med t.ex. 13 § studiestöds- datalagen, begränsar ett sådant utlämnande till enstaka uppgifter i enskilda fall syftar exempelvis till att hindra massuttag av person- uppgifter. Ett massuttag av personuppgifter utgör dock enligt vår mening skäl för att göra en prövning enligt 21 kap. 7 § OSL och visar det sig då att det kan antas att mottagaren kommer att be- handla uppgifterna i strid med personuppgiftslagen är inte heller ett utlämnande på papper tillåtet. I detta sammanhang bör framhållas att ett massuttag alltså kan aktualisera en prövning enligt 21 kap. 7 § OSL, men utgör inte i sig en indikation på att personuppgifter kommer att behandlas i strid med personuppgiftslagen. Flertalet av de massuttag av offentliga uppgifter som sker hos myndigheterna görs för berättigade ändamål och utan att det uppstår risker för enskildas integritet.

Att det är vanligt med bestämmelser om elektroniskt utlämnan- de i registerförfattningar tycks snarare bero på att sådana bestäm- melser genom sin mer definitiva utformning är relativt enkla att tillämpa. Det går inte att komma ifrån att de överväganden som behöver göras med utgångspunkt i personuppgiftslagen och offent- lighets- och sekretesslagen tar resurser i anspråk i form av kunskap och tid. Därtill kan de allmänna övervägandena kring vad som är lämpligt i det enskilda fallet, vilket kan handla om annat än inte- gritetsskydd, också vara resurskrävande. Ur myndighetens synvinkel kan det därför tyckas vara effektivt med en begränsande regel. Det problematiska med detta är emellertid att för att myndigheten dessförinnan ska kunna konstatera att ett utlämnande över huvud taget är tillåtet behöver den ändå göra en prövning enligt person- uppgiftslagen och/eller offentlighets- och sekretesslagen. Den pröv- ningen kommer myndigheten alltså inte ifrån oavsett på vilket sätt personuppgifterna avses lämnas ut. Det finns således en risk med regler som begränsar ett utlämnande i elektronisk form, eftersom de kan uppfattas av myndigheterna så att ett utlämnande av person- uppgifter är tillåtet om det är förenligt med en sådan regel, exem- pelvis avser enskilda uppgifter och det är i ett enskilt fall som

453

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

utlämnandet sker. I ett sådant fall kommer således den prövning av risken för kränkning av enskildas integritet som alltid ska göras inte att ske. Även ett sådant utlämnande kan vara i strid med person- uppgiftslagen och/eller 21 kap. 7 § OSL, exempelvis om det är så att mottagaren samlar in enstaka uppgifter för att bygga upp en data- bas med personuppgifter om lagöverträdelser som innefattar brott, vilket enligt 21 § PuL som huvudregel är förbjudet för andra än myndigheter.

Enligt vår bedömning finns därför inte några bärande skäl som tar sikte på skyddet för personuppgifter som motiverar att det införs en bestämmelse som generellt begränsar en myndighets möjligheter att lämna ut sådana uppgifter till enskilda i elektronisk form. Det kan alltså inte bli frågan om att exempelvis föreslå en bestämmelse som innebär att det endast skulle vara möjligt att lämna ut personuppgifter i elektronisk form bara i de fall då en- staka personuppgifter lämnas ut i enskilda fall. Dessutom kan det starkt ifrågasättas om en sådan begränsning skulle vara förenlig med PSI-direktivet. Det saknas vidare skäl att på så sätt onödigtvis hindra att personuppgifter lämnas ut till en mottagare som inte kan antas komma att behandla dem i strid med personuppgiftslagen.

Skälen till att myndigheter väljer att inte lämna ut handlingar i elektronisk form, trots att det är tillåtet, torde många gånger handla om annat än hänsyn till enskildas integritet. Det kan exempelvis vara frågan om praktiska faktorer som talar emot att ett sådant utlämnande är lämpligt eller att det finns ekonomiska aspekter som handlar om resursbrist eller risk för minskade avgiftsintäkter (se SOU 2010:4 s. 312 f. och SOU 2014:10 s. 82). Det är alltså frågan om lämplighetsaspekter som inte tar sikte på att utlämnandet avser personuppgifter, utan hänför sig till att det allmänt sett inte är lämpligt i ett visst fall att använda sig av elektroniskt utlämnande. Att ha en bestämmelse som tar sikte på den typen av avvägningar framstår emellertid inte som motiverat i en lag om myndigheters behandling av personuppgifter, eftersom en sådan lag enbart har till syfte att skydda personuppgifter. En bestämmelse av det slaget hör snarare hemma bland föreskrifter som mer allmänt syftar till att ange en nivå för myndigheters serviceskyldighet. Av redovisningen ovan framgår att en sådan bestämmelse redan finns för domstolar och de statliga förvaltningsmyndigheterna genom bestämmelsen i 10 § serviceförordningen. För kommunernas del saknas emellertid

454

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

en sådan bestämmelse. Såsom utredningens uppdrag är formulerat saknas det vidare anledning att i detta sammanhang gå närmare in på den särskilda problematik som hänför sig till intäkter i samband med försäljning av information. Vad gäller denna fråga hänvisar vi i stället till den utförliga redovisning som finns i E-offentlighets- kommitténs betänkande (SOU 2010:4 s. 167 f. och 343 f.).

Vad som enligt vår mening förtjänar att övervägas är om det bör införas en generell bestämmelse som inte i sak syftar till att be- gränsa ett elektroniskt utlämnande till enskilda men som erinrar om att det ankommer på myndigheterna att göra en prövning av dels om utlämnandet som sådant är tillåtet, dels om det i så fall är olämpligt att det sker i elektronisk form. En sådan bestämmelse skulle alltså ha som utgångspunkt att personuppgifter som får lämnas ut också kan lämnas ut i elektronisk form om mottagaren vill att personuppgifterna förmedlas på så sätt. Innan myndigheten förmedlar uppgifterna på detta sätt måste den emellertid först ta ställning till att det inte är ett olämpligt sätt att lämna ut upp- gifterna. De lämplighetsaspekter som bestämmelsen tar sikte på bör avse sådana faktorer som har samband med integritetsskyddet och som inte direkt fångas upp av vare sig den nya lagen eller offentlighets- och sekretesslagen, exempelvis informationssäkerhets- frågor. Vid ett utlämnande till enskilda som grundar sig på rätten att ta del av allmänna handlingar enligt 2 kap. TF kan det exem- pelvis handla om att myndigheten för egen del inte har ett informa- tionssystem som på ett säkert sätt kan förmedla personuppgifter elektroniskt eller att ett elektroniskt utlämnande av något annat skäl medför att myndigheten inte på ett tillfredsställande sätt kan tillvarata skyddet för sina övriga personuppgifter till skillnad från om uppgifterna lämnas ut på papper. Det kan också handla om att en viss begärd utlämnandeform – t.ex. via okrypterad e-post – inte är lämplig alls medan en annan metod för förmedling i elektronisk form kanske vore fullt godtagbar. Enligt vår uppfattning kan en sådan bestämmelse leda till att myndigheter gör en mer nyanserad bedömning när det gäller skyddet för enskildas integritet än vad en tillämpning av de begränsande regler som i dag är vanliga i register- författningar leder till. Vi föreslår därför att det införs en bestäm- melse som föreskriver att om en personuppgift får lämnas ut till en enskild, kan det ske i elektronisk form om det inte är olämpligt med hänsyn till skyddet för personuppgiften.

455

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

Vi vill avslutningsvis framhålla att det enligt vår bedömning alltjämt finns ett behov av att se över 21 kap. 7 § OSL i syfte att ge bestämmelsen en utformning som på ett bättre sätt än i dag ger myndigheterna ledning i hur bestämmelsen bör tillämpas vid ett utlämnande av annars offentliga personuppgifter samt ger person- uppgifterna det skydd som ur ett dataskyddsrättsligt perspektiv kan behövas utöver vad som annars följer av offentlighets- och sekretesslagen. E-offentlighetskommittén har påpekat flera problem med bestämmelsen och dess konstruktion (se SOU 2010:4 s. 329). HFD 2014 ref. 66 aktualiserar vidare ånyo frågan om att 21 kap. 7 § OSL genom sin nuvarande utformning inte kan tillämpas vid utläm- nanden av personuppgifter till en mottagare i utlandet. Eftersom 21 kap. 7 § OSL ska tillämpas oavsett i vilken form personuppgifter lämnas ut och alltså inte har någon direkt koppling till utläm- nanden i elektronisk form, utgör behovet av en översyn emellertid inget hinder mot att införa den bestämmelse om sådana utläm- nanden till enskilda som vi nu föreslår.

11.3Bör sökbegränsningar som tar sikte på en utlämnande myndighet även gälla för en mottagande myndighet som har direktåtkomst?

11.3.1Bakgrund

Uppdraget

I våra direktiv påpekas att ett absolut sökförbud i en register- författning även utgör en begränsning av vad som utgör en allmän handling enligt 2 kap. 3 § tredje stycket TF. Det är omdiskuterat vilken betydelse sökförbud i den utlämnande myndighetens register- författning har för bedömningen av frågan vilka sammanställningar av personuppgifter som utgör allmänna handlingar hos den mottag- ande myndigheten. I utredningens uppdrag ingår att ta ställning till vad som bör gälla i detta avseende.

456

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Begränsningsregeln i 2 kap. 3 § TF

Enligt 2 kap. 3 § tredje stycket TF anses en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte för- varad hos myndigheten om sammanställningen innehåller person- uppgifter och myndigheten enligt lag eller förordning saknar be- fogenhet att göra sammanställningen tillgänglig.

Syftet med begränsningsregeln är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar, dvs. s.k. potentiella handlingar, som myn- digheten av hänsyn till skyddet för enskildas integritet själv är för- hindrad att ta fram i sin egen verksamhet (prop. 2001/02:70 s. 23). Skyldigheten att ta fram sådana sammanställningar följer av 2 kap. 3 § andra stycket TF. Begränsningsregeln gällde även under data- lagens tid, men fick en ny utformning i samband med grundlags- ändringar år 2002 för att bl.a. anpassas till att personuppgiftslagen hade ersatt datalagen.

Begränsningsregeln omfattar inte s.k. färdiga elektroniska hand- lingar. Sådana handlingar anses alltid som förvarade hos en myndig- het även om de innehåller personuppgifter och det i lag eller förord- ning finns förbud för myndigheten att använda vissa sökbegrepp vid sökningen efter handlingarna (a. prop. s. 38). Med begreppet personuppgift avses detsamma som i personuppgiftslagen med den skillnaden att begreppet enligt tryckfrihetsförordningen också om- fattar avlidna personer.

Problembeskrivning i tidigare lagstiftningsarbeten

Informationsutbytesutredningen

Informationsutbytesutredningen behandlade frågan om vilka sök- begränsningar som gäller för mottagande myndighet i sitt betänk- ande Utökat elektroniskt informationsutbyte (SOU 2007:45). Enligt utredningen borde ledning hämtas från begränsningsregeln i 2 kap. 3 § tredje stycket TF (s. 198 f.). Om de sökbegränsningar som enligt lag eller förordning gäller för den myndighet som för data- basen, dvs. för utlämnande myndighet, inte skulle gälla för annan myndighet som har direktåtkomst till uppgifter i databasen, skulle mottagande myndighet vid direktåtkomst få tillgång till samman-

457

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

ställningar av uppgifter som enligt 2 kap. 3 § TF inte anses för- varade hos utlämnande myndighet. Mottagande myndighet skulle därmed ha rätt att ta del av handlingar som inte är att anse som allmänna handlingar. Vidare skulle allmänheten kunna vända sig till mottagande myndighet och begära sammanställningar av uppgifter hos utlämnande myndighet som sistnämnda myndighet själv inte lagligen kan göra tillgängliga. En sådan tolkning av rättsläget var enligt Informationsutbytesutredningen inte rimlig och kunde inte ha varit lagstiftarens mening. Utredningen anförde att det ligger i sakens natur att en myndighet som ges direktåtkomst till uppgifter hos en annan myndighet aldrig kan ha vidare sökmöjligheter än utlämnande myndighet eller ta del av sammanställningar av upp- gifter som inte anses förvarade hos utlämnande myndighet. Enligt utredningen måste bestämmelser om sökbegrepp i lagar och för- ordningar som tillämpas vid behandling av personuppgifter i viss angiven verksamhet därför utan särskild reglering gälla vid annan myndighets direktåtkomst till uppgifterna. Utredningens slutsats var därför att direktåtkomst i detta avseende inte innebär att till- gängligheten till uppgifter hos den utlämnande myndigheten ökar.

Vid remissbehandlingen av utredningens betänkande efterlystes en närmare analys av frågan. Den berördes emellertid inte i det fortsatta lagstiftningsarbetet med anledning av utredningens förslag (prop. 2007/08:160 s. 66 f. och 2008/09:KU2).

Vårt delbetänkande

I vårt delbetänkande konstaterade vi att det ingår i utredningens uppdrag att ta ställning i den aktuella frågan och att vi avsåg att återkomma till den i slutbetänkandet (SOU 2012:90 s. 116). Där- utöver konstaterade vi att det inte råder någon tvekan om att en mottagande myndighet är skyldig att enligt 2 kap. 3 § andra stycket TF göra en sammanställning av tillgängliga personuppgifter, dvs. en s.k. potentiell handling, trots att den myndigheten i sin verksamhet inte får använda sig av direktåtkomst till den utlämnande myndig- hetens personuppgifter enligt en villkorad sökbegränsning eller s.k. ändamålsbegränsning i en registerförfattning. Den typen av begräns- ningar anses alltså inte utgöra sådana sökbegränsningar som avses enligt begränsningsregeln i 2 kap. 3 § tredje stycket TF. Frågan om

458

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

mottagande myndighet är bunden av de sökbegränsningar som gäller för utlämnande myndighet behandlades också i vårt resone- mang om huruvida begränsningsregeln i 2 kap. 3 § tredje stycket TF borde ändras för att åtgärda problemen med s.k. överskotts- information (a. bet. s. 152 f.). De frågeställningar som där tas upp behandlas också delvis i det följande.

Några exempel på hur frågan har reglerats

En förutsättning för att föreskrifter om sökbegränsningar som gäller sökning i en viss informationssamling hos en myndighet ska gälla för en annan myndighet som har direktåtkomst till uppgifter i den informationssamlingen är att föreskrifterna också ska tillämpas av den mottagande myndigheten. Registerförfattningar är emeller- tid vanligen endast tillämpliga i en viss myndighets verksamhet. Exempelvis gäller enligt 1 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet den lagen endast vid behandling av personuppgifter i Skatteverkets beskattnings- verksamhet och i verkets handläggning av vissa borgenärsuppgifter. I 2 kap. 10 § andra och tredje styckena samma lag finns bestäm- melser som begränsar vilka uppgifter som får användas som sök- begrepp vid sökning i beskattningsdatabasen, vilka enbart tar sikte på Skatteverkets verksamhet. Dessa sökbegränsningar gäller alltså inte för de myndigheter som enligt 2 kap. 7–8 a § får medges direkt- åtkomst till databasen. Enligt 7 § får exempelvis Skatteverket i dess medverkan i brottsutredningar medges sådan åtkomst. Bestämmel- sen tar sikte på skattebrottsenheterna vars verksamhet utgör en självständig verksamhetsgren inom Skatteverket. I 14 a § lagen (1999:90) om behandling av personuppgifter i Skatteverkets medver- kan i brottsutredningar finns särskilda sökbegränsningar som avser den sökning i beskattningsdatabasen som kan äga rum inom ramen för direktåtkomsten. Bestämmelsen infördes samtidigt som skatte- brottsenheterna medgavs direktåtkomst till beskattningsdatabasen. När det gällde utformningen av författningsregleringen anförde regeringen att Skatteverkets möjligheter att använda sig av direkt- åtkomsten i den brottsbekämpande verksamheten skulle begränsas genom dels bestämmelser i lagen om Skatteverkets behandling av personuppgifter vid verkets medverkan i brottsutredningar, dels

459

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

personuppgiftslagen (prop. 2005/06:169 s. 85 f.). Bland annat skulle en begränsning införas när det gällde sökmöjligheter i fråga om fysiska personer. Det är alltså den som återfinns i den nämnda 14 a §.

I sammanhanget kan nämnas att i den tidigare skattegisterlagen (1980:343) användes en annan lagstiftningsteknik. I den lagen reg- lerades hur de dåvarande skatteregistren fick användas och inte specifikt för vilken myndighet som lagen som sådan gällde. I lagen föreskrevs vilka myndigheter som fick ha terminalåtkomst till registren. De begränsningar i fråga om sökbegrepp som gällde be- träffande de olika registren gällde därför för alla de myndigheter som medgetts terminalåtkomst.

Enligt 114 kap. 2 § SFB gäller det kapitlet vid behandling av personuppgifter i verksamhet som gäller förmåner enligt balken, samt andra förmåner och ersättningar som enligt lag eller förord- ning eller särskilt beslut av regeringen handläggs av Försäkrings- kassan eller Pensionsmyndigheten. De begränsningar i fråga om sökbegrepp som föreskrivs i 27 § gäller således inte vid exempelvis den direktåtkomst som Centrala studiestödsnämnden (CSN) kan medges enligt 21 § och som får användas för att skapa underlag för beslut om och kontroll av förmåner m.m. i den verksamhet som nämnden bedriver. I studiestödsdatalagen (2009:287), som ska tillämpas vid behandling av personuppgifter i CNS:s studiestödverk- samhet, finns i 8 § föreskrifter som generellt begränsar myndighetens användning av sökbegrepp vid dess behandling av personuppgifter. Dessa föreskrifter torde därför även begränsa vilka uppgifter som kan användas som sökbegrepp vid CSN:s användning av sin direkt- åtkomst till socialförsäkringsdatabasen.

I studiestödsdatalagen har alltså använts en delvis annan lagstift- ningsteknik. Enligt 1 § tillämpas lagen vid behandling av person- uppgifter i CSN:s studiestödsverksamhet. I 10 § föreskrivs att direktåtkomst eller annat elektroniskt utlämnande utan den regi- strerades samtycke av personuppgifter som behandlas i CNS:s studiestödsverksamhet är tillåtet bara i den utsträckning som med- ges i lag eller förordning och under förutsättning att bl.a. 8 § följs. Av 11 § följer att Försäkringskassan och arbetslöshetskassorna får ha direktåtkomst till personuppgifter som behandlas i CSN:s studie- stödsverksamhet. Av 10 § framgår inte uttryckligen vem som har att följa sökbegränsningarna i 8 § i samband med att direktåtkomst tillåts, dvs. om föreskriften tar sikte på att reglera CSN:s med-

460

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

givande av direktåtkomst eller om den syftar till att begränsa Försäkringskassans och arbetslöshetskassornas användning av sök- begrepp vid deras sökningar via direktåtkomsten. Något klart svar ges inte heller i förarbetena (prop. 2008/09:96 s. 56 f.). En omstän- dighet som inger betänkligheter i sammanhanget är att 10 § också hänvisar till bl.a. 6 § studiestödsdatalagen. I den paragrafen regleras i vilken utsträckning särskilda begränsningar gäller vid behandling av vissa särskilt känsliga personuppgifter. Begränsningarna innebär att dessa uppgifter bara får behandlas inom ramen för ett ärende i studiestödsverksamheten eller för att anmäla oegentligheter inom den verksamheten till ett offentligt organ som har att utreda eller beivra oegentligheterna. Eftersom Försäkringskassan och arbetslös- hetskassorna inte ägnar sig åt sådan verksamhet, innebär det att direktåtkomsten över huvud taget inte kan komma till stånd om de myndigheterna också ska vara skyldiga att tillämpa 6 §. Det talar för att hänvisningen i 10 § studiestödsdatalagen till bl.a. 6 och 8 §§ samma lag inte tar sikte på behandling av personuppgifter hos de myndigheter som medges direktåtkomst utan på CNS:s egen verk- samhet.

Det kan alltså konstateras att frågan om en mottagande myn- dighet vid direktåtkomst har att följa samma sökbegränsningar som gäller för den utlämnande myndigheten är beroende av hur gällande regelverk har utformats. Som framgått har vad som ska gälla reg- lerats på olika sätt.

11.3.2Vad bör gälla i fortsättningen?

En rättslig utgångspunkt

Frågan om vilken betydelse sökförbud i en utlämnande myndighets registerförfattning har för bedömningen av vilka sammanställningar av personuppgifter som utgör allmänna handlingar hos den mottag- ande myndigheten aktualiseras endast vid uppgiftsutbyten mellan myndigheter som sker i form av direktåtkomst, inte vid andra utlämnanden i elektronisk form. Avgörande är att de båda myndig- heterna har en gemensam tillgång till en viss informationssamling, dvs. den som omfattas av direktåtkomsten. När det gäller andra utlämnanden i elektronisk form uppstår inte samma problem, efter- som samma personuppgifter då inte behandlas gemensamt av ut-

461

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

lämnande och mottagande myndighet. Den behandling av person- uppgifter som den mottagande myndigheten gör inom ramen för direktåtkomsten, dvs. genom att t.ex. söka fram uppgifter och eventuellt överföra uppgifter till sina egna informationssamlingar, utgör emellertid en del av den myndighetens verksamhet. Den behandling av personuppgifter som exempelvis Kronofogdemyndig- heten utför när den använder sig av sin direktåtkomst hos Skatte- verket sker alltså inom ramen för Kronofogdemyndighetens verk- samhet och inte i den verksamhet som Skatteverket bedriver. De åtgärder som Skatteverket vidtar beträffande samma informations- samling, exempelvis genom att använda uppgifterna för egen del eller att uppdatera den information som finns, sker däremot i Skatteverkets verksamhet.

Vilket problem bör lösas?

Det kan förefalla orimligt att en enskild med stöd av 2 kap. 3 § andra stycket TF skulle kunna begära ut en sammanställning av personuppgifter hos en myndighet som den myndigheten har till- gång till genom direktåtkomst hos en annan myndighet, medan den enskilde inte hade kunnat få tillgång till sammanställningen hos den sistnämnda myndigheten på grund av att sökbegränsningar inte medger detta. Personuppgifterna har samlats in för den utlämnande myndighetens verksamhet och behandlingen har då, för att göra detta möjligt och väl avvägt med hänsyn till skyddet för person- uppgifterna, omgärdats av vissa regler som begränsar hur uppgift- erna får användas. Ett exempel på sådana skyddsregler kan vara sökbegränsningar. Om en sammanställning av uppgifter som är otillåten hos den insamlande myndigheten i stället kan begäras hos en annan myndighet tack vare att den medgetts direktåtkomst och inte behöver tillämpa sökbegränsningarna, kan det tyckas att upp- gifterna på ett omotiverat sätt förlorar sitt skydd. Enligt Informa- tionsutbytesutredningen är en sådan tolkning av rättsläget inte rim- lig och kan inte ha varit lagstiftarens mening (SOU 2007:45 s. 199).

Vad som ska gälla i den aktuella frågan torde dock inte kunna besvaras med vad som ligger i sakens natur eller vad som kan anses rimligt. En bestämmelse som begränsar den grundlagsskyddade rätten att ta del av allmänna handlingar kan inte gärna tolkas annat än

462

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

enligt sin ordalydelse. Den fråga som i varje enskilt fall måste ställas är alltså om det i enlighet med vad som föreskrivs i 2 kap. 3 § tredje stycket TF finns en bestämmelse i lag eller förordning som innebär att den mottagande myndigheten saknar befogenhet att göra en sammanställning av uppgifter tillgänglig som myndigheten i och för sig kan nå via direktåtkomst hos en annan myndighet. Svaret torde ges i en eventuell registerförfattning på området. En mottagande myndighet saknar befogenhet att sammanställa uppgifter om det i en författning finns sökbegränsningar som förhindrar att uppgifter ur den aktuella informationssamlingen söks fram och de begränsningarna uttryckligen gäller även för den myndigheten.

Den omständigheten att en mottagande myndighet inte nödvän- digtvis ska tillämpa samma sökbegränsningar som gäller för den utlämnande myndigheten innebär att myndigheten har befogenhet att även för sin egen verksamhet göra motsvarande sammanställ- ning av de personuppgifter som den har tillgång till genom direkt- åtkomsten. Ur ett insynsperspektiv kan det anses rimligt att en- skilda har möjlighet att ta del av samtliga sådana sammanställningar som en myndighet har befogenhet att göra. Det är syftet bakom den del av handlingsoffentligheten som tar sig uttryck i 2 kap. 3 § andra stycket TF och som har sin grund i den s.k. likställighets- principen, dvs. att enskilda i princip ska ha samma tillgång till en myndighets informationssamlingar som myndigheten själv har. Att en myndighets tillgång till information har sin grund i direktåtkomst kan knappast principiellt sett anses göra intresset av insyn i myn- dighetens verksamhet mindre.

Det går dock inte att komma ifrån att direktåtkomst ibland, p.g.a. att det tekniskt inte går att lösa på annat sätt eller av något annat skäl, medför att åtkomsten blir betydligt mer omfattande än vad motsvarande informationssamling hade blivit om myndigheten själv samlat in uppgifterna. Exempelvis innebär den åtkomst som socialnämnderna har till socialförsäkringsdatabasen att de har till- gång till personuppgifter från hela landet och inte endast rörande personer i den egna kommunen. Hade nämnden själv samlat in uppgifter hade de gjort det endast från sina kommuninvånare i den mån de var aktuella i ärenden hos nämnden. Nämndens åtkomst hade i så fall begränsats till personuppgifter i pågående och av- slutade ärenden. De begränsningar som har införts för åtkomst till socialförsäkringsdatabasen i 114 kap. 22 och 23 §§ SFB tar emeller-

463

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

tid enbart sikte på att begränsa åtkomsten för den enskilde hand- läggaren hos nämnden som hanterar ett visst ärende. En sådan begränsning syftar alltså till att den enskilde handläggaren inte ska söka fram fler uppgifter än denne behöver för sitt ärende, dvs. en form av intern åtkomstregel. En sådan begränsning skulle inte utgöra ett sådant sökförbud som avses i 2 kap. 3 § tredje stycket TF även om uppgifterna hade samlats in av nämnden själv och därigenom fanns i dess informationssamlingar. För att åstadkomma ett sök- förbud i tryckfrihetsförordningens mening krävs ett sökförbud som riktar sig till myndigheten som sådan, dvs. exempelvis att sökningar alltid måste avgränsas med uppgift om kommun.

Det förekommer alltså att en myndighet har medgetts direkt- åtkomst till en annan myndighets informationssamlingar utan att det övervägts om den myndighetens möjlighet att söka fram per- sonuppgifter bör begränsas i samma utsträckning som gäller för den utlämnande myndigheten eller på annat sätt. I det samman- hanget räcker det alltså inte med att införa begränsningar som tar sikte på att den enskilde handläggaren inte ska söka fram fler upp- gifter än denne behöver för stunden för att hantera ett visst ärende, utan det måste vara begränsningar som innebär ett sökförbud för myndigheten som sådan (se vidare vårt delbetänkande s. 149 f.).

Vår bedömning

Bedömning: Det är inte ändamålsenligt att förhindra eventuella risker för enskildas integritet i samband med direktåtkomst genom att föreskriva att samma sökbegränsningar alltid ska gälla för såväl den utlämnande myndigheten som den mottagande myndigheten. Det kan leda till att enskildas integritet inte skyddas i tillräcklig utsträckning, men också att en mottagande myndig- hets berättigade behov av att använda sig av de uppgifter som blir åtkomliga genom direktåtkomst inte kan tillgodoses.

Enskildas integritet bör i stället skyddas genom att en direkt- åtkomst inte medges förrän noggranna överväganden har gjorts beträffande den mottagande myndighetens användning av direkt- åtkomsten, bl.a. beträffande vilka sökbegränsningar som den ska iaktta.

464

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

Direktåtkomst medges för att åstadkomma ett så effektivt upp- giftsutbyte som möjligt. Skälet till att direktåtkomst medges är alltså att spara resurser, både hos den utlämnande och mottagande myndigheten. Den mottagande myndigheten medges direktåtkomst för att själv slippa samla in de aktuella uppgifterna eller för att und- vika ett mer tidskrävande sätt att få tillgång till uppgifterna, t.ex. att de lämnas ut efter en manuell hantering av den utlämnande myndigheten. En förutsättning för att direktåtkomsten ska upp- fylla sitt syfte med att vara effektiv för den mottagande myndig- heten torde vara att den myndigheten får använda de uppgifter som den får tillgång till på ett sätt som är ändamålsenligt i den myn- dighetens verksamhet. Den omständigheten bör enligt vår uppfatt- ning utgöra en självklar utgångspunkt i frågan om den mottagande myndigheten ska vara bunden av samma sökbegränsningar som gäller för den utlämnande myndighetens behandling av personupp- gifter.

Det förekommer att en myndighet medges direktåtkomst till en annan myndighets informationssamlingar trots att deras verksam- heter skiljer sig åt på ett avgörande sätt. Ett exempel på det är brottsenheterna inom Skatteverket som medgetts direktåtkomst till beskattningsdatabasen, trots att uppgifterna där har samlats in för beskattningsverksamheten och många gånger genom att skatt- skyldiga och andra själva har lämnat uppgifter till Skatteverket på grund av att de är skyldiga att göra det. Lagstiftaren har emellertid bedömt att direktåtkomsten kan medges och har utfärdat regler som avses skydda personuppgifterna så att direktåtkomsten inte medför otillbörliga intrång i enskildas integritet. Det har åstad- kommits både genom att direktåtkomsten som sådan har begrän- sats till vissa uppgifter och att det införts begränsningar i skatte- brottsenheternas möjlighet att söka fram uppgifter genom direkt- åtkomsten.

För att åstadkomma en rimlig avvägning mellan effektivitet och hänsyn till enskildas integritet då direktåtkomst medges till person- uppgifter som i den enskildes perspektiv kan vara känsliga för sprid- ning, dvs. företrädesvis sekretessreglerade personuppgifter, behöver således ett helt ”paket” av föreskrifter komma på plats. Det gäller i första hand att direktåtkomst inte medges till fler uppgifter än vad den mottagande myndigheten behöver och vad som i övrigt kan an- ses rimligt. Även nödvändiga sekretessbestämmelser behöver in-

465

Att lämna ut personuppgifter i elektronisk form

SOU 2015:39

föras och föreskrifter som reglerar den mottagande myndighetens användning av direktåtkomsten, exempelvis i form av sökbegräns- ningar. Om inte alla dessa delar har övervägts och nödvändiga författningsändringar har gjorts, finns det risk för att direktåtkom- sten får allvarliga konsekvenser för den enskildes skydd för sina personuppgifter.

I registerförfattningar har frågan om vad som ska gälla i fråga om mottagande myndighets sökbegränsningar rörande de person- uppgifter som den får tillgång till genom direktåtkomst reglerats på olika sätt och inte alltid – förfaller det – i alla delar helt genom- tänkt. Det kan inte anses tillfredsställande att det inte är tydligt vilken eller vilka myndigheter som har att tillämpa en bestämmelse om sökbegränsningar, eftersom sådana begränsningar utgör ett viktigt verktyg för att motverka att myndigheter söker fram personupp- gifter ur informationssamlingar som de i och för sig har tillgång till, men där uppgifterna varken är motiverade eller proportionerliga i förhållande till det uppdrag som myndigheten har att utföra. Det är inte heller tillfredsställande att det kan finnas tvekan om i vilken mån det faktiskt föreligger hinder för myndigheten att på begäran av enskilda enligt 2 kap. 3 § TF tillhandahålla sammanställningar av personuppgifter.

Det kan förefalla som en enkel lösning att exempelvis i den nya lagen föreskriva att sökbegränsningar som gäller för den utläm- nande myndigheten alltid ska gälla för en annan myndighet som medges direktåtkomst till myndighetens informationssamlingar. Frågan är dock om det vore det mest ändamålsenliga sättet att för- hindra eventuella risker för enskildas integritet i samband med direktåtkomst. Det skulle kunna vara så att de sökbegränsningarna inte kan anses tillräckliga för att skydda enskildas integritet i den mottagande myndighetens verksamhet. Som exempel kan nämnas att Skatteverkets brottsenheter har mer begränsande sökmöjligheter vid användningen av sin direktåtkomst till beskattningsdatabasen än vad Skatteverket har i sin beskattningsverksamhet. Man kan också tänka sig det motsatta fallet, dvs. att den mottagande myn- dighetens berättigade behov av att använda sig av de personupp- gifter som blir åtkomliga genom direktåtkomsten innebär att bestämmelser om sökförbud som ska tillämpas av den myndigheten behöver utformas på ett mindre inskränkande sätt än för den utläm- nande myndigheten. Så skulle exempelvis kunna vara fallet om en

466

SOU 2015:39

Att lämna ut personuppgifter i elektronisk form

myndighet ska utföra ett uppföljnings- eller forskningsuppdrag och därför kan ha behov av göra andra sammanställningar i den infor- mationssamling som blir åtkomlig genom direktåtkomsten än sådana som kan anses motiverade för den utlämnande myndighetens behov.

Enligt vår bedömning bör skyddet för enskildas integritet snarare åstadkommas genom att det i samband med att man avser att med- ge direktåtkomst till uppgifter gör noggranna överväganden när det gäller vad som ska gälla i fråga om den mottagande myndighetens användning av direktåtkomsten. Bland annat bör man ta ställning till om den mottagande myndigheten har att iaktta sökbegräns- ningar som utgör ett tillräckligt skydd även för de personuppgifter som kan sökas fram via direktåtkomsten. Om inte, bör lagstiftaren se till att den mottagande myndigheten ska iaktta ytterligare begräns- ningar genom författningsreglering av sökbegränsningar. Utform- ningen av det regelverk som gäller för behandling av personupp- gifter i aktuell verksamhet eller för ett visst register får därvid styra vad som ska anses vara den lämpligaste platsen för sådan reglering.

Vi har i avsnitt 9.4 behandlat frågan om den nya lagen bör inne- hålla sökbegränsningar som gäller generellt för myndigheter.

467

12 Överföring till tredjeland

12.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Syftet med dataskyddsdirektivet har varit att skapa en gemensam, hög nivå på integritetsskyddet vid behandling av personuppgifter för att därigenom möjliggöra ett fritt flöde av personuppgifter med- lemsstaterna emellan. Direktivet har också införts i övriga stater som är anslutna till Europeiska ekonomiska samarbetsområdet (EES). Ett motsvarande fritt flöde av personuppgifter till tredjeland är däremot inte möjligt. Det har emellertid genom direktivet lagts fast en gemensam nivå på skyddet för personuppgifterna visavi tredje- land för att möjliggöra överföringar till stater utanför EU/EES.

Kapitel IV i dataskyddsdirektivet med artiklarna 25 och 26 inne- håller bestämmelser om överföring av personuppgifter till tredje- land.

Enligt artikel 25.1 ska medlemsstaterna föreskriva att överför- ingen av personuppgifter som är under behandling eller som är av- sedda att behandlas efter överföring till tredjeland endast får ske om det tredjelandet – utan att detta påverkar tillämpningen av de natio- nella bestämmelser som har antagits till följd av de andra bestäm- melserna i direktivet – säkerställer en adekvat skyddsnivå.

Bedömningen av om skyddsnivån i ett tredjeland är adekvat ska enligt artikel 25.2 ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av upp- gifter. Särskilt ska beaktas uppgiftens art, den eller de avsedda be- handlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rätts- regler som gäller i ifrågavarande tredjeland liksom de regler för yrkes- verksamhet och säkerhet som gäller där.

469

Överföring till tredjeland

SOU 2015:39

Kommissionen kan besluta att ett tredjeland har en adekvat skyddsnivå. Medlemsstaterna ska se till att kommissionens beslut följs (artikel 25.6). Kommissionen har meddelat ett antal sådana be- slut som omfattar vissa länder eller specificerade mottagare i vissa länder (jfr bilaga 1 till personuppgiftsförordningen). Som exempel kan nämnas kommissionens beslut att en adekvat skyddsnivå upp- nås i USA genom de principer om integritetsskydd – Safe Harbour Privacy Principles – som gäller på frivillig väg genom att organisa- tioner ansluter sig till en uppsättning dataskyddsregler som det amerikanska handelsdepartementet har utformat.

Kommissionen kan också i beslut slå fast att tredjeland inte erbju- der en adekvat skyddsnivå (artikel 25.4).

I artikel 26 föreskrivs vissa undantag som innebär att överföring till tredjeland kan få ske trots att det tredjelandet inte har en adekvat skyddsnivå för personuppgifterna. Motsatsvis gäller således ett för- bud mot överföring, dvs. om skyddsnivån inte är adekvat och något undantag inte gäller.

Undantag från förbudet gäller enligt artikel 26.1 om

a)den registrerade otvetydigt har samtyckt till den planerade över- föringen,

b)överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att på den regi- strerades begäran genomföra åtgärder som vidtas innan avtalet ingås,

c)överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och tredje man i den registrerades intresse,

d)överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gäll- ande eller försvara rättsliga anspråk,

e)överföringen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade, eller

f)överföringen görs från ett offentligt register som enligt lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de

470

SOU 2015:39

Överföring till tredjeland

i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.

I punkt 58 i ingressen till direktivet anges internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter som exempel på viktiga allmänna in- tressen.

Därutöver får en medlemsstat enligt artikel 26.2 tillåta överför- ing av personuppgifter till ett tredjeland som inte säkerställer en skyddsnivå som är adekvat, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättig- heter. Sådana garantier kan framgå av lämpliga avtalsklausuler. Kommissionen kan med bindande verkan för medlemsstaterna be- sluta att vissa standardavtalsklausuler erbjuder tillräckliga garantier (artikel 26.4). Så har också skett, bl.a. i fråga om överföring av per- sonuppgifter till personuppgiftsbiträden i tredjeland (jfr bilaga 2 till personuppgiftsförordningen).

Personuppgiftslagen

Dataskyddsdirektivets bestämmelser om överföring till tredjeland har genomförts i Sverige genom 33–35 §§ PuL samt genom ytter- ligare bestämmelser i personuppgiftsförordningen. I förarbetena till personuppgiftslagen framhölls att direktivets bestämmelser om över- föring till tredjeland är detaljerade och komplicerade. En mer kom- plicerad reglering än vad som var nödvändigt borde därför inte införas i lagstiftningen (prop. 1997/98:44 s. 95 f.). Det bedömdes därvid som nödvändigt att i personuppgiftslagen införa ett förbud mot överföring till tredjeland liksom de konkreta undantag från förbudet som räknas upp i direktivet. Vidare har regeringen eller den myndighet regeringen bestämmer, dvs. Datainspektionen, be- myndigats att meddela föreskrifter om ytterligare undantag från förbudet mot överföring.

Den ursprungliga regleringen i personuppgiftslagen ändrades den 1 januari 2000 genom att förbudet modifierades till att bara gälla fall då det saknas en adekvat skyddsnivå i det tredjelandet (prop. 1999/2000:11). Ändringen syftade till att skapa ökat utrymme för

471

Överföring till tredjeland

SOU 2015:39

användning av internet och andra elektroniska kommunikations- nätverk såsom e-post.

I 33 § första stycket PuL anges huvudregeln. Den föreskriver ett förbud mot överföring av personuppgifter som är under behandling till tredjeland som inte har en adekvat nivå för skyddet av person- uppgifter. Förbudet avser även överföring av personuppgifter för behandling. Bestämmelsen överensstämmer i sak med artikel 25.1 i direktivet dock att den föreskriver ett förbud i stället för att, såsom i direktivet, ange under vilka förutsättningar överföring kan tillåtas.

I 33 § andra stycket PuL anges hur frågan om adekvat skydds- nivå ska bedömas. Detta ska ske med hänsyn till samtliga omstän- digheter som har samband med överföringen. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behand- lingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet.

Huruvida det finns en adekvat skyddsnivå ska alltså bedömas beroende på omständigheterna i det enskilda fallet. Det har ansetts att skyddsnivån kan vara adekvat även om dataskydd helt saknas i det tredjelandet, nämligen om det beroende på omständigheterna inte finns något behov av skydd. Ett tredjeland kan vidare ha adekvat skydd på något område men inte på andra (prop. 1999/2000:11 s. 15 f.). Klart är att, som bestämmelsen i 33 § andra stycket formulerats, det ankommer på den personuppgiftsansvarige att i det enskilda fallet göra en bedömning av skyddsnivån med ledning av de faktorer som anges i bestämmelsen. Den person- uppgiftsansvarige anses ha bevisbördan för att skyddsnivån i det tredjelandet är adekvat (a. prop. s. 20).

Det bör dock framhållas att överföring av personuppgifter till ett tredjeland inte per automatik är en tillåten personuppgifts- behandling bara därför att tredjelandet har en adekvat skyddsnivå. Behandlingen som sådan måste vara tillåten också enligt person- uppgiftslagens övriga bestämmelser, exempelvis vara förenlig med de grundläggande kraven i 9 §, vara tillåten med stöd av någon av de rättsliga grunderna i 10 § och omfattas av tillräckliga säkerhets- åtgärder enligt 31 §.

Enligt 34 § första stycket PuL är överföring trots avsaknad av adekvat skyddsnivå tillåten om den enskilde har lämnat sitt sam- tycke till överföringen eller om överföringen är nödvändig för att

472

SOU 2015:39

Överföring till tredjeland

a)ett avtal mellan den registrerade och den personuppgiftsansva- rige ska kunna fullgöras eller åtgärder som den registrerade be- gärt ska kunna vidtas innan ett avtal träffas,

b)ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse ska kunna ingås eller fullgöras,

c)rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller

d)vitala intressen för den registrerade ska kunna skyddas.

I dessa fall krävs således inte att det finns någon adekvat skydds- nivå för personuppgifterna i mottagarlandet. Bestämmelserna i 34 § första stycket är avsedda att ha samma innebörd som artikel 26.1 i direktivet. Det kan dock noteras att det inte finns någon uttrycklig motsvarighet till direktivets undantag i 26.1 punkt f vilket torde sammanhänga med att den typ av offentliga register som där avses regleras i särskilda registerförfattningar som har företräde framför personuppgiftslagen enligt 2 § PuL. Vidare har artikel 26.1 punkt d om överföring av skäl som rör viktiga allmänna intressen genom- förts på så sätt att regeringen, eller den myndighet regeringen be- stämmer, getts befogenhet att meddela undantag om det behövs med hänsyn till ett viktigt allmänt intresse (35 § andra stycket PuL).

I 34 § andra stycket anges att det är tillåtet att överföra per- sonuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Bestämmelsen har ingen mot- svarighet i direktivet. Bakgrunden till bestämmelsen är att Sverige till följd av artikel 12 i konventionen inte av integritetsskyddsskäl får hindra att personuppgifter förs över till en annan konventionsstat för att användas där. I förarbetena anförs att konventionsstater får anses ha sådan adekvat skyddsnivå som krävs enligt direktivet (prop. 1997/98:44. s. 96).

Enligt 35 § första stycket PuL får regeringen meddela ytterligare föreskrifter om undantag från förbudet i 33 §. Det gäller dels före- skrifter om undantag för överföring av personuppgifter till vissa stater, dels föreskrifter om att överföring av personuppgifter till tredjeland är tillåten om överföringen regleras av ett avtal som ger tillräckliga garantier till skydd för de registrerades rättigheter. Rege- ringen har i 13 § PuF meddelat bestämmelser med stöd av 35 § PuL. Av 13 § första stycket 1 PuF följer att överföring till tredjeland får

473

Överföring till tredjeland

SOU 2015:39

ske om och i den utsträckning kommissionen i enlighet med arti- kel 25.6 i direktivet har beslutat att ett land eller specificerade mot- tagare i ett land har en adekvat skyddsnivå. Kommissionens beslut anges i bilaga 1 till personuppgiftsförordningen. Enligt 13 § första stycket 2 får överföring ske med tillämpning av avtal med sådana standardavtalsklausuler som kommissionen har beslutat om enligt artikel 26.4 i direktivet. Dessa beslut anges i bilaga 2 till personupp- giftsförordningen.

I 35 § andra stycket PuL anges vidare att regeringen får meddela föreskrifter om undantag från förbudet i 33 § om det behövs med hänsyn till ett viktigt allmänt intresse eller om det finns tillräckliga garantier till skydd för de registrerades rättigheter. Regeringen har genom 14 § PuF vidaredelegerat föreskriftsrätt till Datainspektionen som får meddela föreskrifter om undantag om det finns tillräckliga garantier till skydd för de registrerades intresse. Däremot har Data- inspektionen inte bemyndigats att meddela föreskrifter om undantag som kan behövas med hänsyn till ett viktigt allmänt intresse.

I 12 § PuF finns vidare bestämmelser som ger kommuner, lands- ting och kommunalförbund rätt att under vissa förutsättningar över- föra personuppgifter till tredjeland på grund av ett viktigt allmänt intresse. Av paragrafen följer att diarium enligt 5 kap. 2 § OSL samt kallelse till, kungörelse om och justerat protokoll från samman- träde i fullmäktige eller nämnd får med vissa undantag överföras till tredjeland. Syftet med bestämmelsen, som trädde i kraft den 1 janu- ari 2001, var att underlätta för kommuner att publicera personupp- gifter på internet. Det kan diskuteras i vilken mån regleringen nu- mera har någon egentlig praktisk betydelse (jfr EU-domstolens dom den 6 november 2003 i mål C-101/01, se nedan).

Enligt 35 § tredje stycket PuL får regeringen i enskilda fall besluta om undantag under de förutsättningar som nämns i paragrafens andra stycke. Regeringen kan också överlåta åt tillsynsmyndigheten att fatta sådana beslut. Datainspektionen har genom 14 § PuF getts möj- lighet att fatta sådana beslut i enskilda fall förutsatt att det finns tillräckliga garantier till skydd för de registrerades rättigheter.

Förbudet och undantagsbestämmelserna rörande överföring av personuppgifter till tredjeland hör till de regler i personuppgifts- lagen som räknas upp i den s.k. missbruksregeln i 5 a §. Det innebär att 33 och 34 §§ inte behöver tillämpas på behandling av person- uppgifter som inte ingår i eller är avsedda att ingå i en samling av

474

SOU 2015:39

Överföring till tredjeland

personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, dvs. behand- ling i ostrukturerat material, och som inte heller är kränkande.

I motiven till 5 a § PuL anfördes när det gäller överföring till tredjeland att man i princip skulle kunna hävda att en överföring av personuppgifter i ostrukturerat material, som inte innefattar ett missbruk av personuppgifterna, innebär en överföring till ett land med adekvat skyddsnivå, eftersom, med hänsyn till omständig- heterna vid överföringen, någon särskild skyddsnivå inte krävs i det mottagande landet. En sådan överföring skulle därmed vara tillåten redan enligt gällande rätt (dvs. 33 §). Personuppgiftslagsutredningen, på vars förslag missbruksregeln bygger, hade emellertid ansett att stöd för att göra undantag från överföringsförbudet för ostruk- turerat material i första hand borde hämtas i artikel 26.1 d. Enligt den artikeln kan överföring till tredjeland utan adekvat skyddsnivå tillåtas om det är nödvändigt av t.ex. skäl som rör viktiga allmänna intressen. Hantering av personuppgifter i ostrukturerat material, t.ex. i form av löpande text och ljud- och bildupptagningar, kan ha betydelse för bl.a. utnyttjandet av yttrande- och informationsfriheten som kan anses vara en fri- och rättighet. Att fri- och rättigheter kan utövas i samhället är naturligtvis ett allmänt intresse och dessutom ett viktigt sådant. Regeringen anförde att oavsett vilket synsätt man anlägger på frågan blir slutsatsen densamma; en överföring till tredje- land av personuppgifter i ostrukturerat material, som inte innefattar ett missbruk av personuppgifterna, står inte strid med direktivet (prop. 2005/06:173 s. 35).

Förslaget till uppgiftsskyddsförordning

Kommissionen

I likhet med dataskyddsdirektivet reglerar förslaget till förordning under vilka förutsättningar personuppgifter får överföras till tredje- land. Bestämmelserna finns samlade i artiklarna 40–45. Den före- slagna regleringen innebär en vidareutveckling av motsvarande reg- lering i dataskyddsdirektivet. En nyhet är att bestämmelserna även gäller överföring till en internationell organisation utanför EU (arti- kel 40). Regleringen är förhållandevis detaljerad och i det följande

475

Överföring till tredjeland

SOU 2015:39

redovisas bara sådant som bedömts vara av särskilt intresse för vårt arbete.

Liksom i dataskyddsdirektivet är det enligt artikel 41 i förord- ningen ett grundläggande krav för sådan överföring att det mottag- ande tredjelandet säkerställer en adekvat skyddsnivå för uppgift- erna. Det är kommissionen som ska besluta om ett tredjeland upp- fyller detta krav eller inte. Sådana beslut får direkt verkan i med- lemsstaterna. De kriterier utifrån vilka kommissionen ska göra denna bedömning har utvidgats i förhållande till direktivet till att omfatta bl.a. rättsstatsprincipen, tillgången till rättslig prövning och obero- ende tillsyn i mottagarlandet.

Har kommissionen inte fattat något beslut i frågan om adekvat skyddsnivå, finns det möjlighet att överföra uppgifter till tredjeland om vissa juridiskt bindande skyddsåtgärder vidtas, som t.ex. använd- andet av vissa godkända standardbestämmelser om uppgiftsskydd. Detta följer av artikel 42 som alltså bygger på artikel 26.4 i direk- tivet. En nyhet är emellertid att standardiserade uppgiftsskydds- bestämmelser kan antas inte bara av kommissionen utan även av en nationell tillsynsmyndighet i en medlemsstat och av kommissionen sedan förklaras vara allmänt giltiga. En registeransvarig eller register- förare kan vidare överföra personuppgifter efter godkännande från en tillsynsmyndighet av avtalsklausuler mellan den registeransvarige eller registerföraren och mottagaren av uppgifterna.

Artikel 44 innehåller bestämmelser om överföring då det varken finns adekvat skyddsnivå enligt artikel 41 eller lämpliga skyddsåtgär- der enligt artikel 42. Bestämmelserna motsvarar i huvudsak arti- kel 26.1 i direktivet, dock med några justeringar och tillägg.

Det ska även fortsättningsvis vara tillåtet med överföring om den registrerade samtyckt till överföringen. Dock krävs enligt arti- kel 44.1 a att den registrerade först har blivit informerad om de risker en överföring kan medföra när det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. Vidare får enligt artikel 44.1 d överföring ske om den bedöms gynna viktiga sam- hälleliga intressen. Allmänhetens intresse får dock bara åberopas om intresset har stöd i unionslagstiftning eller i den medlemsstats lagstiftning som är tillämplig på den registeransvarige (artikel 44.5). Dessutom föreskrivs att kommissionen får anta delegerade akter i syfte att precisera villkoren för vad som bedöms ”gynna viktiga sam- hälleliga intressen” (artikel 44.7).

476

SOU 2015:39

Överföring till tredjeland

Enligt artikel 44.4 gäller bestämmelserna om undantag för det som i dag motsvarar artikel 26.1 b och c i direktivet (34 § första stycket a och b PuL) inte åtgärder som vidtas av offentliga myn- digheter som en del av deras offentliga befogenheter.

Liksom i dataskyddsdirektivet föreskrivs undantag i fråga om överföring från ett register som enligt unionens eller medlemsstatens lagstiftning är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i unions- lagstiftningen eller medlemsstatens lagstiftning angivna villkoren för tillgänglighet uppfylls i det enskilda fallet, artikel 44.1. g. Enligt artikel 44.2 får inte överföringen omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

Ett nytt undantag föreslås i artikel 44.1 h enligt vilket överföring under vissa begränsade omständigheter får ske för att tillgodose den registeransvariges berättigade intressen. Det undantaget ska dock inte vara tillämpligt på åtgärder som vidtas av offentliga myndigheter som en del av deras offentliga befogenheter.

Europaparlamentet

Europaparlamentet har vid sin behandling av förordningen lämnat ett mindre antal ändringsförslag i regleringen av överföring till tredje- land. Av intresse här är närmast att parlamentet strukit förslaget i 44.7 om att kommissionen ska kunna anta delegerade akter om villkoren för vad som kan bedömas gynna samhälleliga intressen. I stället föreslås att Europeiska dataskyddsstyrelsen ska anförtros uppgiften att utfärda riktlinjer, rekommendationer och ”best prac- tices”. Vidare föreslår parlamentet att förslaget om ett nytt undan- tag från förbudet mot överföring till tredjeland efter en intresse- bedömning utgår, se ovan angående artikel 44.1 h.

477

Överföring till tredjeland

SOU 2015:39

Några kommentarer

Många av de föreslagna bestämmelserna om överföring av person- uppgifter till tredjeland företer alltså stora likheter med dataskydds- direktivet. Men det finns också betydande skillnader. En väsentlig sådan är att kommissionen föreslås få en exklusiv behörighet att göra bedömningar av vad som utgör adekvat skyddsnivå i tredje- land. Den personuppgiftsansvariges möjlighet att göra en egen be- dömning utifrån regleringen i 33 § PuL och de faktorer som där anges ska beaktas tycks helt upphöra. Likaså medför förslaget till förordning att det inte kommer att finnas något utrymme att ut- forma nationell lagstiftning om överföring av personuppgifter till tredjeland utifrån bedömningar av vilken adekvat skyddsnivå som krävs för olika fall.

När det gäller undantaget för överföring för det som i direktivet benämns viktiga allmänna intressen men som i förordningen uttrycks med att överföringen bedöms gynna viktiga samhälleliga intressen går det knappast att dra några säkra slutsatser om i vilken mån den nya ordalydelsen innebär någon förändring i sak. Någon tydlig av- sikt till ändring av tillämpningsområdet går i vart fall inte att utläsa av förslaget.

Den föreslagna bestämmelsen i artikel 44.5 om att allmänhetens intresse enligt 44.1 d bara får åberopas om det har stöd i unionslag- stiftningen eller i den medlemsstat lagstiftning som är tillämplig på den registeransvarige torde, liksom hittills, möjliggöra nationell lag- stiftning om direkta undantag från överföringsförbudet med hän- syn till det angivna intresset.

12.2Vad avses med begreppet överföring?

Som har framgått omfattar överföringsförbudet både personupp- gifter som är under sådan behandling som omfattas av personupp- giftslagens tillämpningsområde, dvs. behandling som är helt eller delvis automatiserad eller sker i manuella register, och personupp- gifter som är avsedda att behandlas i mottagarlandet. I den engelska versionen av direktivet uttrycks detta med att det ska handla om ”transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer”.

478

SOU 2015:39

Överföring till tredjeland

Det saknas vägledande avgöranden i rättspraxis om vad som rent faktiskt är att se som överföring. I litteraturen har det förts viss diskussion om vad som ska förstås med begreppet. I vilken mån det ska ses som en överföring att befinna sig i ett tredjeland och där ha elektronisk tillgång till personuppgifter som ”finns” i hemlandet är t.ex. oklart. Vad som ska anses gälla om en företrädare för en per- sonuppgiftsansvarig rent fysiskt tar med sig personuppgifter, t.ex. i en bärbar dator, på en tillfällig resa till tredjeland är också omdisku- terat.

Enligt vår uppfattning är det emellertid en rimlig tolkning att det knappast kan vara fråga om en överföring av personuppgifter till tredjeland bara genom att en person befinner sig utanför EU/EES med personuppgifter i sin besittning. Det krävs rimligen i vart fall en avsikt att personuppgifterna ska nå en mottagare i tredjeland för att det ska vara fråga om en överföring i lagens mening. Det är en annan sak, menar vi, att ”medförande” av personuppgifter till tredjeland kräver särskilda överväganden när det gäller upprätt- hållandet av tillräcklig säkerhet till skydd för personuppgifterna.

Hur rekvisitet ”under behandling” ska förstås är också oklart. Definitionen i 3 § PuL av begreppet behandling av personuppgifter är vidsträckt. I princip alla slags åtgärder omfattas av begreppet. Det synsättet kunde därför anläggas att rekvisitet ”under behand- ling” rimligen bör kopplas till det slags behandling som omfattas av personuppgiftslagens tillämpningsområde såsom detta anges i 5 § PuL. Det skulle då alltså – bortsett från vissa manuella register – bara vara personuppgifter som behandlas helt eller delvis automati- serat, dvs. elektroniskt, som alls träffas av regleringen. Huruvida man sedan bör betrakta själva överföringen som en separat behand- ling, skild från den behandling som annars äger rum hos den person- uppgiftsansvarige, är en annan sak.

Om utskrifter av personuppgifter skickas i pappersform per post så kunde det i så fall hävdas att det inte är fråga om en över- föring i nu aktuell mening, förutsatt att överföringen inte syftar till automatiserad behandling i mottagarlandet. Vid en sådan över- föring är uppgifterna nämligen inte ”under behandling” på sätt som anges i 33 § första stycket första meningen PuL (jfr artikel 25.1 i direktivet). Om syftet däremot är att personuppgifterna i pappers- handlingarna ska föras över till ett manuellt register, till dator eller på annat sätt behandlas elektronisk i mottagarlandet skulle det

479

Överföring till tredjeland

SOU 2015:39

däremot vara fråga om överföring till tredjeland i personuppgifts- lagens och direktivets mening så länge uppgifterna överförs i detta syfte, dvs. ”för behandling”. Ett exempel kan vara enkätundersök- ningar med personuppgifter där svarsblanketter på papper skickas till tredjeland för statistisk bearbetning och analys i elektronisk form. Även beträffande 33 § första stycket andra meningen skulle man alltså måhända kunna anlägga det synsättet att med behandling avses sådan behandling som omfattas av 5 § – helt eller delvis auto- matiserad sådan eller i manuella register – snarare än vad som faller in under definitionen av behandling i 3 §.

Men det kan alltså också förhålla sig på det viset att med ”behand- ling” ska förstås detsamma som anges i 3 § PuL. Det skulle exem- pelvis innebära att det innebär en överföring av personuppgifter till tredjeland att sända över pappersutskrifter av elektroniskt lagrade personuppgifter.

Vad som omfattas av begreppet överföring av personuppgifter är alltså oklart. Såvitt är aktuellt nu kan man emellertid konstatera att en överföring i vart fall torde äga rum när en myndighet i något syfte skickar, vidarebefordrar eller förmedlar information i elek- tronisk form till en mottagare som befinner sig i tredjeland, alltså utanför EU/EES.

Det bör vidare observeras att bestämmelserna om överföring till tredjeland gäller för alla slags personuppgifter. Samma regler gäller i princip för indirekta personuppgifter som överförs kodade med kodnyckeln bevarad i Sverige som för i personuppgiftslagens mening känsliga personuppgifter. En annan sak är att uppgifternas art givet- vis är en omständighet som ska beaktas när det ska bedömas vilken skyddsnivå som kan bedömas vara påkallad, dvs. adekvat.

Det krävs inte att överföringen till tredjeland måste innebära att personuppgifter lämnas ut till tredje man (se definitionen av tredje man i 3 § PuL). Det är således fråga om en överföring till tredjeland även om personuppgifterna bara lämnas till ett personuppgiftsbiträde i tredjeland för att faktiskt behandlas där, t.ex. om en myndighet använder sig av en tillhandahållare av en it-tjänst. Detta framgår implicit av de standardavtalsvillkor som kommissionen beslutat om rörande överföring av personuppgifter till registerförare i tredjeland.

När det gäller publicering på internet antogs tidigare av den svenske lagstiftaren att all öppen publicering på en webbplats som är allmänt tillgänglig på internet innebär att personuppgifterna blir

480

SOU 2015:39

Överföring till tredjeland

tillgängliga i hela världen och därmed kan anses överförda till alla länder i direktivets mening (jfr bl.a. prop. 1999/2000:11 s. 11 f.). EU-domstolen har emellertid i det s.k. konfirmandlärarmålet (dom den 6 november 2003 i mål C-101/01, Lindgren) slagit fast att det inte är fråga om någon överföring av uppgifter till tredjeland i direktivets mening när en person, som befinner sig i en medlems- stat, lägger ut personuppgifter på en webbplats på internet som är lagrad hos en fysisk eller juridisk person som har den webbplats där man kan komma åt sidan och som är etablerad i samma medlems- stat eller i en annan medlemsstat, varvid uppgifterna blir åtkomliga för alla som kopplar upp sig på internet, inklusive personer i tredje- land.

Viss diskussion har förekommit beträffande hur långt EU-dom- stolens uttalande sträcker sig (se t.ex. SOU 2004:6 s. 233). I NJA 2005 s. 361 ansågs en rektor på en enskilt bedriven skola inte ha överfört personuppgifter till tredjeland genom att publicera upp- gifterna på skolans webbplats. Svea hovrätt har gjort samma bedöm- ning i likartade fall (dom 2004-08-31 i mål nr B 4151-04 respektive 2004-11-16 i mål nr B 7837-03).

E-offentlighetskommittén fann att EU-domstolens avgörande klarlagt att tillgängliggörande av information genom utläggning på internet i de flesta fall inte innebär överföring till tredjeland i dataskyddsdirektivets mening. Det anses i princip inte som en tredje- landsöverföring om uppgifterna publiceras på en webbplats på internet och webbplatsen lagras hos en internetleverantör som är etablerad inom EU. Enligt kommittén bör det alltså inte ses som överföring i strid med 33 § PuL om en myndighet lägger ut information från ett s.k. allmänt register på sin hemsida så länge den aktuella servern finns inom EU-området (SOU 2010:4 s. 338).

Utlänningar är i princip likställda med svenska medborgare när det gäller rätten att begära ut allmänna handlingar enligt 2 kap. TF. Att lämna ut personuppgifter i allmänna handlingar är en form av behandling av personuppgifter. Utlämnanden av allmänna handlingar till mottagare i tredjeland torde också – beroende på omständig- heterna – kunna utgöra överföring i personuppgiftslagens mening, i vart fall om utlämnandet sker i elektronisk form. En annan sak är att personuppgiftslagens regler inte tillämpas i den mån det skulle inskränka en myndighets skyldighet enligt 2 kap. TF att lämna ut uppgifter. Vi återkommer till detta nedan.

481

Överföring till tredjeland

SOU 2015:39

12.3Reglering i registerförfattningar

Det hör till sällsyntheterna att registerförfattningar för myndigheters behandling av personuppgifter innehåller reglering av möjligheterna att överföra personuppgifter till tredjeland som avviker från vad som följer av 33–35 §§ PuL eller föreskrifter som meddelats med stöd av personuppgiftslagen. I det stora flertalet fall gäller alltså personuppgiftslagens bestämmelser. Detta framgår genom att det antingen hänvisas till att 33–35 §§ PuL är tillämpliga eller så gäller dessa bestämmelser outtalat därför att registerförfattningen i fråga saknar bestämmelser om överföring till tredjeland och författningen är så konstruerad att personuppgiftslagen ska tillämpas i den mån ett förhållande inte regleras i registerförfattningen.

I den kategori registerförfattningar som vi kallar informations- hanteringsförfattningar är det enbart på socialförsäkringsområdet som detta mönster bryts. Enligt 114 kap. 29 § SFB får, utan hinder av 33 § PuL, överföring ske av personuppgifter till tredjeland på grund av åtaganden i avtal om social trygghet som Sverige ingått med andra stater. Detta torde vara en bestämmelse om undantag som ligger väl i linje med vad som uttalats i punkt 58 i ingressen till direktivet om internationellt utbyte av uppgifter mellan socialförsäk- ringsmyndigheter såsom exempel på viktiga allmänna intressen.

Bland mer renodlade registerförfattningar där det förekommer särbestämmelser om överföring kan nämnas förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen av vilken följer att Migrations- verket får till tredjeland föra över personuppgifter som finns i verkets rättsfallsregister (8 §). Det kan observeras att det registret inte får innehålla uppgifter som direkt pekar ut en enskild registrerad. Ett annat exempel är 23 § rättsinformationsförordningen (1999:175) enligt vilken personuppgifter i det offentliga rättsinformations- systemet får föras över till tredjeland.

Enligt instruktionen för Bolagsverket får verket till tredjeland föra över personuppgifter i den utsträckning dessa ingår i de register verket för, i huvudsak publicitetsregister, t.ex. aktiebolagsregistret. En liknande reglering finns i Patent- och registreringsverkets instruk- tion. Dessa bestämmelser torde vara kopplade till möjligheten att föreskriva undantag enligt artikel 26.1 f för offentliga register.

482

SOU 2015:39

Överföring till tredjeland

Det finns även bestämmelser om undantag från förbudet i 33 § PuL i författningar som inte är regelrätta registerförfattningar eller informationshanteringsförfattningar utan hör till den kategori som vi i vår inventering kategoriserat som annan slags författning med inslag av dataskyddsbestämmelser, se avsnitt 4.2. En sådan bestäm- melse är 12 § lagen (2006:1570) om skydd mot internationella hot mot människors hälsa enligt vilken Socialstyrelsen under vissa för- hållanden har en sekretessbrytande skyldighet att informera Världs- hälsoorganisationen. För att uppfylla den uppgiftsskyldigheten får personuppgifter överföras till organisationen och tredjeland. Ett annat exempel är 3 § förordningen (2000:1222) om internationellt tullsamarbete enligt vilken Tullverket får, utan hinder av 33 § PuL, överföra personuppgifter till tredjeland om det behövs för att upp- fylla skyldigheter som följer av internationella överenskommelser med annan stat eller mellanfolklig organisation som Sverige har till- trätt eller annars är förpliktat att följa.

12.4Sekretess och överföring till tredjeland m.m.

En överföring av personuppgifter från en myndighet till mottagare i tredjeland innefattar också ett ”utlämnande” så som det begreppet används i bl.a. offentlighets- och sekretesslagen, se t.ex. 6 kap. 1 § om utlämnande av allmän handling och 6 kap. 4 § OSL om utläm- nande av uppgift. En fråga av intresse här är hur bestämmelserna och begränsningarna i fråga om förutsättningarna för att överföra personuppgifter till tredjeland förhåller sig till frågan om offent- lighet och sekretess.

Bestämmelserna i 33–35 §§ PuL är formellt neutrala i den meningen att det principiellt sett inte gör någon skillnad för bestäm- melsernas tillämplighet huruvida personuppgifter som överförs omfattas av sekretess eller inte hos den utlämnande myndigheten. Det är en annan sak att eventuell sekretess för överförda person- uppgifter givetvis kan påverka vilken skyddsnivå i mottagarlandet som bedöms krävas i det enskilda fallet.

Frågan om sekretess har däremot avgörande betydelse för vad som bedöms utgöra ett tillåtet eller otillåtet utlämnande till mottagare i tredjeland utifrån bestämmelserna om handlingsoffentlighet i 2 kap. TF.

483

Överföring till tredjeland

SOU 2015:39

Om personuppgifter (och övriga uppgifter) i en allmän handling är offentliga – dvs. inte omfattas av någon sekretessbestämmelse eller omfattas i och för sig men vid en prövning i det enskilda fallet bedöms inte vara sekretessbelagda – ska handlingen lämnas ut till enskild mottagare som begärt att få ta del av handlingen med stöd av 2 kap. TF. Detta gäller oavsett om mottagaren befinner sig i tredjeland. En utlänning är i princip likställd med en svensk med- borgare (14 kap. 5 § andra stycket TF). Det innebär att en utlän- ning i tredjeland har samma rätt som svenska medborgare att mot fastställd avgift få en kopia av handlingen (2 kap. 13 § TF). Per- sonuppgiftslagens regler ska inte tillämpas i den mån det skulle in- skränka en myndighets skyldighet enligt 2 kap. TF att lämna ut uppgifter. Detta följer av grundlags företräde framför vanlig lag och av 8 § första stycket PuL. I praktiken betyder det att man inte kan neka ett utlämnande med hänvisning till att skyddsnivån i mottagar- landet inte är adekvat. I vilken mån utlämnandet i personuppgifts- lagens mening utgör en överföring eller inte är alltså vid uttag med stöd av offentlighetsprincipen en akademisk fråga. Däremot kan skyddsnivån i mottagarlandet få betydelse för i vilken form utläm- nandet sker. Myndigheterna är enligt tryckfrihetsförordningen inte skyldiga att lämna ut allmänna handlingar i elektronisk form. En begäran från utlandet kan således inte sällan antas komma att effek- tueras manuellt via pappersutskrifter som postas.

Vid utlämnande av personuppgifter till en mottagare i tredjeland i andra situationer än då 2 kap. TF aktualiserats, är regelverket dock inte lika tydligt. Handlar det om utlämnande på grund av någon förfarandereglering för ärendehandläggning hos en myndighet eller liknande, t.ex. enligt förvaltningslagens bestämmelser om kommu- nikationsplikt eller parts rätt till insyn i ärendet (16 och 17 §§ FL), görs visserligen ingen skillnad på parter i Sverige, EU eller tredje- land. Det tycks emellertid inte finnas generellt tillämpliga bestäm- melser som vare sig förpliktar eller begränsar myndigheter såvitt avser utlämnande av offentliga personuppgifter till mottagare i tredje- land, t.ex. en myndighet i ett sådant land. Den bestämmelse som finns i 6 kap. 5 § OSL, om att en myndighet på begäran av en annan myndighet är skyldig att lämna en uppgift som den förfogar över såvida uppgiften inte är sekretessbelagd, ses i allmänhet som en precisering av myndigheternas allmänna samverkansskyldighet enligt 6 § FL som tar sikte på svenska förvaltningsmyndigheter och dom-

484

SOU 2015:39

Överföring till tredjeland

stolar. Bestämmelsen i 6 kap. 5 § OSL medför alltså inte någon för- pliktelse att lämna ut offentliga personuppgifter till utländska myn- digheter (1982/83:KU12 s. 36) och en utländsk myndighet anses inte ha rätt att överklaga en myndighets beslut att inte lämna ut en allmän handling eller annars avslå en begäran om att få del av en personuppgiftuppgift (Lenberg m.fl., kommentaren till 6 kap. 7 §).

Utlämnande av sekretessbelagda uppgifter till utländsk myndig- het eller mellanfolklig organisation får ske enligt 8 kap. 3 § OSL om utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning eller annars om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas.

En särskild fråga som rör förhållandet mellan sekretess och över- föringsförbudet i 33 § PuL gäller den s.k. PuL-sekretessen enligt 21 kap. 7 § OSL. Vi har i avsnitt 11.2.1 lämnat en utförlig redovis- ning av 21 kap. 7 § OSL i samband med frågan om utlämnande av personuppgifter i elektronisk form. Som har framgått där är det mot- tagarens tilltänkta behandling av personuppgifter som är av avgörande betydelse för bestämmelsens tillämplighet, inte huruvida myndig- hetens utlämnande utgör en behandling i strid med personuppgifts- lagen.

Som redan framhållits kan överföringsförbudet i 33 § PuL alltså inte hindra ett utlämnande som sker enligt 2 kap. TF. Som vidare har framgått av avsnitt 11.2.1 kan, vid utlämnande på grund av 2 kap. TF av annars offentliga personuppgifter till mottagare i tredjeland, en tillämpning av sekretessbestämmelsen i 21 kap. 7 § OSL i de allra flesta fall inte innebära något hinder mot utlämnandet. Vid utlämnande till mottagare i tredjeland har personuppgifterna så- ledes inte samma sekretesskydd som vid utlämnanden till mottagare i Sverige. Däremot kan överföringsförbudet alltså i princip hindra att utlämnandet sker i elektronisk form eftersom man kan anta att det inte är lämpligt att lämna ut uppgifter i elektronisk form om skyddsnivån i mottagarlandet inte bedöms vara adekvat. Överförings- reglerna kan på så sätt ha en indirekt effekt.

Vad gäller annat utlämnande till enskilda mottagare och utländska myndigheter eller organisationer i tredjeland kan överföringsför- budet på motsvarande sätt utgöra ett hinder mot att personupp- gifter lämnas ut i elektronisk form eller lämnas ut för att behandlas

485

Överföring till tredjeland

SOU 2015:39

elektroniskt i det tredjelandet. Detsamma gäller i fråga om utläm- nande av ett manuellt register med personuppgifter eller av person- uppgifter för manuell registerföring i tredjeland.

12.5Våra överväganden och förslag

Förslag: Personuppgiftslagens bestämmelser om överföring av personuppgifter till tredjeland och föreskrifter eller beslut om undantag från förbudet att överföra personuppgifter till tredje- land som meddelats med stöd av 35 § PuL ska vara tillämpliga även vid myndigheters behandling av personuppgifter. Detta ska framgå av lagen genom en hänvisning till 33–35 §§ PuL.

I lagen införs därutöver ytterligare undantag för överföring av personuppgifter till tredjeland som saknar adekvat skyddsnivå, nämligen om

a)överföringen krävs för handläggningen av ett visst ärende, eller

b)överföringen är nödvändig för att fullgöra en uppgiftsskyl- dighet som följer av lag eller förordning eller avtal med annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.

Flertalet svenska myndigheters personuppgiftsbehandling avser i allt väsentligt personer som är bosatta eller annars verksamma här. Vissa myndigheter har i sin verksamhet emellertid behov av att kunna kommunicera och utbyta information med aktörer av olika slag utomlands, ofta med andra stater inom EU/EES-området. Men det kan antas att det inom i princip varje statlig eller kommunal myndighet kan uppstå en situation då frågan om överföring av per- sonuppgifter till tredjeland kan bli aktuell, både i samband med handläggning av ärenden eller i annan verksamhet.

Dataskyddsdirektivets regler om överföring till tredjeland bör ses mot den bakgrunden att det såvitt avser enskilda aktörer utan det grundläggande överföringsförbudet inte skulle gälla någon begräns- ning i syfte att skydda enskildas integritet mot okontrollerad sprid- ning av personuppgifter till länder som kanske helt saknar skydd för uppgifterna. På myndighetsområdet är emellertid förhållandet ett annat. Genom reglerna om tystnadsplikt och sekretess i offentlig-

486

SOU 2015:39

Överföring till tredjeland

hets- och sekretesslagen kan lagstiftaren sektors- eller myndighetsvis sägas redan ha tagit ställning till behovet av integritetsskydd. I den mån uppgifter är sekretessbelagda uppstår alltså normalt sett inget ”överföringsproblem” eftersom utgångspunkten såvitt avser enskilda mottagare är att sådana uppgifter inte ska lämnas ut. Huvudregeln beträffande utländska myndigheter och mellanfolkliga organisatio- ner är också att sekretessbelagda uppgifter inte får röjas även om det finns vissa undantag (jfr 8 kap. 3 § OSL).

Det är alltså främst beträffande sådan överföring som inte sker som ett resultat av ett offentlighetsuttag, som avser icke sekretess- belagda personuppgifter och som sker till mottagare utanför EU/EES som det finns anledning att närmare överväga hur överförings- reglerna i personuppgiftslagen ska hanteras för myndigheternas vidkommande. Som exempel på en sådan situation kan nämnas att en myndighet använder sig av ett it-stöd som tillhandahålls och administreras av en leverantör som är etablerad i t.ex. USA eller Kina. Ett annat exempel kan vara när ett landsting använder sig av ett callcenter för tidsbokning inom sjukvården och det företag som tillhandahåller tjänsten är etablerat utanför Europa. Självfallet kan frågor om överföring till tredjeland även uppstå i den löpande ärende- handläggningen.

Personuppgiftslagens grundläggande förbud och undantag bör gälla

Dataskyddsdirektivet innebär ett krav på reglering av överföring av personuppgifter till tredjeland. Vid myndigheters behandling av personuppgifter gäller som har framgått normalt personuppgifts- lagens bestämmelser om detta och de föreskrifter som meddelats enligt 35 § PuL. Särbestämmelser i registerförfattningar eller annan lagstiftning förekommer sällan. Vi ser ingen anledning att ändra på detta förhållande. Vi föreslår därför att bestämmelserna i person- uppgiftslagen om överföring av personuppgifter till tredjeland ska vara tillämpliga även vid myndigheters behandling av personupp- gifter enligt den nya lagen. Detta ska framgå genom en hänvisning i lagen till bestämmelserna i personuppgiftslagen. Även de föreskrifter och beslut som meddelats enligt 35 § PuL bör gälla enligt den nya lagen.

487

Överföring till tredjeland

SOU 2015:39

Såvitt avser enstaka överföringar av personuppgifter som behandlas i löpande text eller annars i ostrukturerat material, t.ex. i en e-postkommunikation, är, som vi har berört ovan, skyddsbehovet ofta så litet att även fullständig frånvaro av dataskyddsregler kan anses godtagbart. Skyddsnivån är adekvat eftersom det inte behövs något egentligt skydd för uppgifterna i fråga. Överföringsförbudet gäller i så fall inte. Vi har emellertid uppfattat det som att myndig- heterna ändå ofta lutar sig mot missbruksregeln i 5 a § för att inte träffas av förbudet enligt 33 §. Något ställningstagande i fråga om vad som följer av 33 och 34 §§ eller föreskrifter som meddelats enligt 35 § görs då inte, utan bara prövningen om överföringen innebär en kränkning av den registrerades personliga integritet (5 a § andra stycket). Ett uppgiftsutlämnande får givetvis inte heller strida mot offentlighets- och sekretesslagen.

Vi har behandlat missbruksregeln i avsnitt 8.3 och föreslagit att den bestämmelsen eller någon motsvarighet till den inte bör gälla enligt den nya lagen. I det sammanhanget har vi framhållit att syftet med missbruksregeln inte har varit att underlätta myndigheternas behandling av personuppgifter utan att skapa en enklare och mindre byråkratisk reglering för enskilda och tillgodose deras rätt till ytt- rande- och informationsfrihet. Mot den bakgrunden är det enligt vår mening alltså inte tillfredsställande att myndigheter åberopar miss- bruksregeln för att finna lagstöd till att överföra personuppgifter till en mottagare i tredjeland. Inte heller ser vi något praktiskt be- hov av att i den nya lagen införa någon motsvarande lättnad för överföring av personuppgifter i s.k. ostrukturerat material. Som vi redan har konstaterat innebär överföringsbestämmelserna normalt sett inget hinder mot överföringar av sådana personuppgifter. En tillämpning av 33 § PuL leder alltså normalt till att personuppgifter i löpande text och liknande kan överföras även till tredjeland utan att träffas av personuppgiftslagens förbud. Vad gäller överföring av personuppgifter i strukturerat material får dock göras en bedöm- ning av om det finns någon adekvat skyddsnivå eller om något annat undantag är tillämpligt. I samtliga fall krävs dessutom att överföringen till det tredjelandet sker för ett korrekt ändamål och uppfyller de övriga grundläggande kraven i 9 § samt är nödvändig för att myn- digheten ska kunna utföra sin verksamhet.

488

SOU 2015:39

Överföring till tredjeland

Behov av ytterligare undantag

Bestämmelserna i 33 § PuL om att det ska göras bedömningar av om det utifrån omständigheterna finns adekvat skyddsnivå tycks vara utformade för situationer där det finns ett gott faktaunderlag om förhållandena i det tredjelandet och där det handlar om en pla- nerad överföring av en omfattande mängd personuppgifter, vilket i sig ger anledning till särskilt samlade och övertänkta ställnings- taganden. För den typen av överföringar är bestämmelserna ända- målsenligt utformade.

I en myndighets dagliga verksamhet med t.ex. ärendehantering torde det i realiteten vara tämligen vanskligt att göra den typen av bedömningar för varierande situationer, personuppgiftskategorier och olika mottagarländer. Till saken hör även att kommissionens beslut om adekvat skyddsnivå i vissa länder endast omfattar ett förhållandevis begränsat antal stater eller mottagare.

Samtycke från berörda registrerade är inte ett undantag som kan fungera tillfredsställande i myndigheters verksamhet. Om t.ex. en inlaga ska kommuniceras med en part, så skulle det inte räcka med att inhämta dennes samtycke. Andra i inlagan eventuellt omnämnda personer måste också kontaktas och tillfrågas. Ett sådant förfar- ande är inte förenligt med att myndigheterna måste ha förutsätt- ningar att sköta sina uppgifter på ett rationellt och effektivt sätt.

Övriga undantag som föreskrivs i 34 § PuL är inte heller helt anpassade för myndigheternas behov eller allmänhetens förvänt- ningar. Visserligen torde bestämmelsen i 34 § första stycket c – på motsvarande sätt som undantaget i 16 § första stycket c PuL i fråga om känsliga personuppgifter – kunna ge ett visst utrymme för en handläggande myndighet att i vissa sorters ärenden trots förbudet i 33 § första stycket överföra personuppgifter till tredjeland som sak- nar adekvat skyddsnivå. Vi bedömer dock att det undantaget, som förefaller tämligen oklart till sin räckvidd, inte fyller det generella behov som kan finnas hos alla myndigheter att i ett enskilt fall kunna överföra personuppgifter till tredjeland.

De behov av ytterligare undantag som vi identifierat tar sikte på två olika situationer.

För det första måste myndigheter på ett rättssäkert och effektivt sätt kunna handlägga ärenden med användning av modern teknik för att kommunicera och kunna förmedla information även till

489

Överföring till tredjeland

SOU 2015:39

enskilda som befinner sig i avlägsna länder. Vi menar att överföring av personuppgifter som krävs för handläggning av ett visst ärende uppfyller direktivets krav på att utgöra ett viktigt allmänt intresse (artikel 26.1 d) för vilket medlemsstater får föreskriva undantag i nationell rätt. Vi föreslår därför ett sådant undantag. När det gäller överföring av personuppgifter utanför ramen för en myndighets ärendehandläggning ser vi däremot inget behov av ett generellt undan- tag.

Det andra behovet av undantag är föranlett av att myndigheter kan ha uppgiftsskyldighet i förhållande till myndigheter i tredjeland eller till internationella organisationer. Om det är nödvändigt för en myndighet att överföra uppgifter till tredjeland för att fullgöra en uppgiftsskyldighet i lag eller förordning eller en internationell överenskommelse som är bindande för Sverige, finns det uppenbar- ligen ett viktigt allmänt intresse av att myndigheten kan fullgöra denna skyldighet med användning av modern informationsteknik utan hinder av överföringsförbudet enligt 33 § PuL. Detsamma gäller i fråga om uppgifter för vidare bearbetningar utomlands. Mot den bakgrunden föreslår vi ett generellt undantag för uppgiftsskyldig- heter av det slaget. En förutsättning för att undantaget ska vara tillämpligt är dock att det är nödvändigt att överföra personupp- gifterna. Kan uppgiftsskyldigheten fullgöras utan personuppgifter eller med anonymiserade uppgifter, är nödvändighetsrekvisitet inte uppfyllt. Vidare måste överföringen ske med godtagbar säkerhet till skydd för uppgifterna. Såvitt avser sekretessbelagda personuppgifter måste det vidare självfallet vara fråga om ett tillåtet utlämnande enligt offentlighets- och sekretesslagen, jfr 8 kap. 3 § OSL angående utlämnande till utländska myndigheter eller mellanfolkliga orga- nisationer. Är det fråga om en särskilt föreskriven uppgiftsskyl- dighet i lag eller förordning följer av 8 kap. 3 § första punkten att sekretess inte hindrar ett utlämnande. Med lag eller förordning likställs en EU-förordning. Är det fråga om en skyldighet att över- föra uppgifter till följd av ett internationellt avtal som är bindande för Sverige får en prövning göras enligt andra punkten i samma paragraf enligt vilken sekretess inte utgör något hinder om upp- giften i motsvarande fall skulle få lämnas ut till en svensk myndig- het och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller den mellanfolkliga organisationen.

490

SOU 2015:39

Överföring till tredjeland

En prövning enligt andra punkten i fall som nu avses torde som regel utmynna i bedömningen att personuppgifterna i fråga kan läm- nas ut utan hinder av sekretess.

Internetpublicering

Vi delar E-offentlighetskommitténs bedömning att EU-domstolens dom i det s.k. konfirmandmålet måste förstås på det sättet att pub- licering av uppgifter på internet i de allra flesta fall inte innebär överföring till tredjeland i dataskyddsdirektivets mening. Något undantag från 33 § PuL är därför inte påkallat för att tillgodose myndigheternas behov av internetpubliceringar. Huruvida en viss internetpublicering utgör en tillåten behandling enligt de grundlägg- ande kraven i 9 § PuL är en helt annan sak.

491

13 Information till den registrerade

13.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Att en registrerad kan få information om och insyn i behandlingar av personuppgifter om honom eller henne är en förutsättning för att han eller hon ska kunna kontrollera om behandlingen är lagenlig och i övrigt ta tillvara sina intressen och rättigheter. Direktivet innehåller därför bestämmelser om både skyldigheter för personupp- giftsansvariga att självmant informera och rättigheter för registre- rade att få information.

Bestämmelserna om information som registeransvariga själv- mant ska lämna till den registrerade finns i artiklarna 10 och 11. Medlemsstaterna har frihet att föreskriva en vidare informations- plikt än vad som följer av artikel 10 eller 11 i direktivet, som i dessa avseenden är minimikrav. Artiklarna talar alltså om vad personupp- giftsansvariga i vart fall eller åtminstone måste informeras om. Be- stämmelserna om den registrerades rätt att på begäran få informa- tion från den registeransvarige finns i artikel 12 a. Generella möjlig- heter till begränsningar i skyldigheterna respektive rättigheterna anges i artikel 13. Dessutom görs vissa undantag direkt i artiklar- na 10 och 11.

Artikel 10 reglerar informationsplikten i samband med att per- sonuppgifter samlas in från den registrerade själv. Medlemsstaterna åläggs att föreskriva att han eller hon då i vart fall ska få informa- tion om följande.

a)Den registeransvariges och dennes eventuella företrädares identitet.

b)Ändamålen med den behandling för vilken uppgifterna är avsedda.

493

Information till den registrerade

SOU 2015:39

c)All ytterligare information, exempelvis

mottagarna eller de kategorier som mottar uppgifterna,

huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,

förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom,

i den utsträckning som den ytterligare informationen – med hän- syn till de särskilda omständigheter under vilka uppgifterna samlas in – är nödvändig för att tillförsäkra den registrerade en korrekt behandling.

Information enligt artikel 10 behöver dock inte lämnas om den registrerade redan känner till informationen.

Artikel 11 reglerar informationsplikten när behandlade uppgifter inte har samlats in från den registrerade. Av bestämmelsen följer att medlemstaterna ska föreskriva att den registeransvarige då ska lämna den registrerade samma information som anges i artikel 10 a, b och c dock att, beträffande den ytterligare information som ska ges enligt punkten c, information ska ges om de kategorier av uppgifter som behandlingen gäller i stället för huruvida det är obligatoriskt eller frivilligt att besvara frågor. Informationen ska lämnas vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då upp- gifterna först lämnas ut.

Inte heller enligt artikel 11 behöver information lämnas om det som den registrerade redan känner till. Dessutom gäller att informa- tion inte behöver lämnas när det visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning att ge information. Informa- tion behöver inte heller ges om registreringen eller utlämnandet uttryckligen föreskrivs i författning. Detta gäller särskilt i samband med behandling för statistiska ändamål eller historiska eller veten- skapliga forskningsändamål. I sådana fall ska medlemsstaterna före- skriva lämpliga skyddsåtgärder (artikel 11.2). Enligt punkten 40 i ingressen till direktivet kan i detta sammanhang antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas tas i beaktande.

Artikel 12 a anger att medlemsstaterna ska säkerställa att varje registrerad har rätt att från den registeransvarige

494

SOU 2015:39

Information till den registrerade

få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behand- lingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas,

få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,

få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser så- dana automatiska beslut som avses i artikel 15.1.

Detta ska ske med rimliga intervall samt utan större tidsutdräkt eller kostnader.

Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa de registeransvarigas skyldigheter och de registrerades rättigheter enligt artiklarna 10–12. Förutsättningarna för detta anges i artikel 13. Det krävs att begränsningarna är en nödvändig åtgärd med hänsyn till a) statens säkerhet, b) försvaret, c) allmän säkerhet, d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreg- lerade yrken, e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor, f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karak- tär, är förbunden med myndighetsutövning i de under punkterna c, d och e nämnda fallen, eller g) skydd av den registrerades eller andras fri- och rättigheter.

Dessutom får medlemsstaterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behand- las för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik (artikel 11.2). Möjligheten till begränsningar enligt denna punkt förutsätter dock lämpliga rättsliga garantier.

495

Information till den registrerade

SOU 2015:39

Personuppgiftslagen

Bestämmelserna i artiklarna 10–12 rörande information har genom- förts i svensk lagstiftning genom 23–26 §§ PuL. Bestämmelserna följer i stort direktivets disposition och innehåll.

Samtliga paragrafer hör till dem som räknas upp i den s.k. miss- bruksregeln i 5 a § första stycket PuL. De behöver alltså inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har struktu- rerats för att påtagligt underlätta sökning eller sammanställning av personuppgifter, s.k. ostrukturerat material.

Bestämmelserna i 23–26 §§ PuL gäller inte i den utsträckning det är särskilt föreskrivet i lag eller annan förordning eller i beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut till den registrerade. Detta följer av 27 § PuL. För myn- digheters del är det bestämmelser i offentlighets- och sekretess- lagen som åsyftas, dvs. bestämmelser som innebär hinder mot att personuppgifter röjs på grund av sekretess. Sekretess till skydd för enskilda gäller inte gentemot den enskilde själv annat än i rena undantagsfall (12 kap. 1 § OSL). Det innebär i praktiken att sekre- tess begränsar informationsskyldigheten enligt 23–26 §§ PuL bara i fråga om uppgifter som omfattas av sekretess till skydd för det allmännas intresse, t.ex. sekretess för uppgifter till skydd för brotts- bekämpningen, eller avser ett sekretesskyddat intresse hos någon annan enskild än den registrerade.

Enligt 50 § e PuL meddelar regeringen, eller myndighet som regeringen bestämmer, närmare föreskrifter om vilken information som ska lämnas till den registrerade och hur informationen ska lämnas. Datainspektionen har genom 16 § PuF bemyndigats att meddela sådana föreskrifter. Några föreskrifter har dock inte med- delats. Däremot har inspektionen utfärdat allmänna råd om infor- mation till registrerade.

Information som den personuppgiftsansvarige ska lämna självmant

Bestämmelserna i 23–25 §§ PuL motsvarar artiklarna 10 och 11 i dataskyddsdirektivet. I förarbetena anmärktes att dessa artiklar måste genomföras i svensk lagstiftning och att det borde ske genom att bestämmelserna fördes över till personuppgiftslagen, som alltså

496

SOU 2015:39

Information till den registrerade

inte går längre än vad som krävs enligt direktivet (prop. 1997/98:44 s. 79).

I 23 § PuL föreskrivs att om uppgifter om en person samlas in från personen själv, ska den personuppgiftsansvarige i samband där- med självmant lämna den registrerade information om behandlingen av uppgifterna.

Om personuppgifterna har samlats in från någon annan källa än den registrerade, ska, enligt 24 § första stycket PuL, den person- uppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Enligt 24 § andra stycket behöver information dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personupp- gifterna i en lag eller någon annan författning. För att detta undan- tag ska vara tillämpligt, krävs att författningsregleringen uttryck- ligen tar sikte på registrering eller utlämnande av personuppgifter, se artikel 11.2 i direktivet. Tanken bakom undantaget är att den registrerade har möjlighet att genom att ta del av författningen få kännedom om vad som kan komma att hända med uppgifterna. I Datainspektionens allmänna råd om information till registrerade anges att myndigheters registrering av allmänna handlingar enligt 5 kap. 1 och 2 §§ OSL omfattas av undantaget. Datalagskommittén anförde att bestämmelser om arkivmyndigheters omhändertagande av arkivmaterial är tillräckligt preciserade för att omfattas av det nämnda undantaget (SOU 1997:39 s. 388). I 24 § tredje stycket PuL föreskrivs vidare att information enligt första stycket inte be- höver lämnas, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, ska dock information lämnas senast i samband med att så sker.

I 25 § första stycket PuL anges närmare vad information enligt 23 eller 24 § ska innehålla, nämligen följande.

a)uppgift om den personuppgiftsansvariges identitet,

b)uppgift om ändamålen med behandlingen, och

497

Information till den registrerade

SOU 2015:39

c)all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse.

Det har alltså inte meddelats några föreskrifter om hur information enligt 23 eller 24 § ska lämnas, utan det är en fråga som i hög grad beror på omständigheterna i det enskilda fallet. Vägledning finns i Datainspektionens allmänna råd. Där lämnas bl.a. rekommenda- tioner om hur information bör ges när uppgifter samlas in munt- ligen, via blanketter, via loggning då internet används m.m.

En viktig begränsning i informationsskyldigheten enligt 23 och 24 §§ är att information inte behöver lämnas om sådant som den registrerade redan känner till (25 § andra stycket PuL). Det är ett undantag som har stor relevans för myndigheters behandling av personuppgifter. I förarbetena uttalades att eftersom utlämnande av allmänna handlingar enligt offentlighetsprincipen sedan lång tid tillbaka föreskrivits i svensk grundlag, kan det förutsättas att all- mänheten redan känner till att så kan ske. Därför torde det inte vara nödvändigt att lämna särskild information i det hänseendet (prop. 1997/98:44 s. 44 f.). Däremot kan givetvis information läm- nas om att uppgifterna kan komma att lämnas ut enligt 2 kap. TF till var och en som begär det.

Datainspektionen framhåller i sina allmänna råd att den registre- rade under vissa förutsättningar får anses känna till behandlingen även om någon information inte har lämnats av den personupp- giftsansvarige eller någon annan. Om den registrerade själv har lämnat in personuppgifter till den personuppgiftsansvarige, t.ex. genom att till en kommun lämna in en ansökan om ekonomiskt bistånd, behöver kommunen inte lämna information så länge upp- gifterna bara behandlas för de ändamål som den registrerade kan förutse. I en sådan situation får den registrerade anses känna till den personuppgiftsansvariges identitet och ändamålen med behand- lingen. Det får också anses att den registrerade under nämnda förutsättning inte är i behov av ytterligare information för att kunna ta tillvara sina rättigheter.

I sammanhanget bör nämnas att de principer om parts rätt till insyn i ärenden och myndigheternas skyldighet att se till att parten får del av uppgifter som tillförts ett ärende av annan än parten själv

498

SOU 2015:39

Information till den registrerade

medför att registrerades behov av insyn i personuppgiftsbehand- lingen i praktiken ofta tillgodoses genom förfaranderegleringar som gäller i mål- och ärendehantering hos domstolar och myndig- heter. Centrala bestämmelser om rätten till partsinsyn och myndig- heters kommunikationsplikt finns i 16 och 17 §§ FL. Motsvarande rätt till insyn och skyldigheter att självmant kommunicera upp- gifter med parter finns i de processuella regelverken, se t.ex. 10–12, 18, 19 och 43 §§ FPL eller 22 § lagen (1996:242) om domstolsären- den. Motsvarande följer även av rättegångsbalken. Rätten till insyn och skyldigheten att kommunicera uppgifter enligt förfarandereg- lerna är mer vidsträckt än enligt personuppgiftslagens informations- regler genom att de inte annat än i undantagsfall kan begränsas på grund av sekretess, se 10 kap. 3 § OSL.

Information som ska lämnas efter ansökan

Bestämmelserna i 26 § första stycket PuL handlar om information som den personuppgiftsansvarige är skyldig att lämna efter ansökan från den registrerade. Enligt bestämmelserna ska var och en som ansöker om det en gång per kalenderår lämnas gratis besked om personuppgifter som rör den sökande behandlas eller inte.

Behandlas sådana uppgifter, ska dessutom skriftlig information lämnas om

a)vilka uppgifter om den sökande som behandlas,

b)varifrån dessa uppgifter har hämtats,

c)ändamålen med behandlingen, och

d)till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Det ska observeras att det i 26 § inte finns någon motsvarande be- gränsning som i 25 § beträffande uppgifter som den registrerade redan känner till. Även sådan information ska alltså lämnas. Det kan t.ex. innebära att information måste omfatta uppgifter som den registrerade redan har fått del av i ett numera avgjort ärende på grund av ovan nämnda bestämmelser i förvaltningslagen om kom- munikationsplikt m.m. i det då pågående förfarandet.

499

Information till den registrerade

SOU 2015:39

När det gäller information om varifrån uppgifterna kommer, punkt b, behöver den personuppgiftsansvarige bara lämna den infor- mation som finns tillgänglig för denne. Den personuppgifts- ansvarige behöver alltså inte hålla reda på varifrån uppgifterna har hämtats, men vet den personuppgiftsansvarige det när den registre- rade ansöker om information ska det uppges (prop. 1997/98:44 s. 81 f.).

När det gäller punkten d kan man utgå från att personuppgifts- lagen inte kräver att myndigheter dokumenterar utlämnande till mottagare som begärt insyn enligt 2 kap. TF. Det är nämligen inte förenligt med det s.k. frågeförbudet enligt 2 kap. 14 § TF att myn- digheter vid offentlighetsuttag dokumenterar vilka mottagare som fått del av allmänna handlingar med personuppgifter. Däremot bör i informationen allmänt anges att uppgifterna kan komma att lämnas ut enligt offentlighetsprincipen till den som begär det, i den mån de inte är sekretessbelagda (jfr prop. 1997/98:44 s. 45).

Datainspektionen framhåller i sina allmänna råd att avsikten är att den personuppgiftsansvarige från sina register eller andra sam- lingar av personuppgifter ska lämna ett utdrag med alla de upp- lysningar som är att anse som personuppgifter beträffande den registrerade. När personuppgifter behandlas automatiserat ska alltså enligt Datainspektionen information om vilka uppgifter som be- handlas ges genom att den registrerade erhåller en datautskrift. När det gäller manuell behandling av personuppgifter ska information i stället lämnas genom att den registrerade erhåller en kopia av de personuppgifter som finns i det manuella registret.

En ansökan om information kan inte göras formlöst. Det krävs att ansökan görs skriftligen hos den personuppgiftsansvarige. Ansökan ska vara undertecknad av den sökande själv (26 § andra stycket första meningen PuL). Enligt Datainspektionens allmänna råd medför det att ansökan måste göras per pappersskrift. Det vik- tiga i sammanhanget torde vara att på något sätt kunna kontrollera att begäran verkligen härrör från den registrerade själv. Något väg- ledande avgörande om att ansökan bara kan göras per pappersskrift eller om en kvalificerad elektronisk signatur skulle kunna vara god- tagbar finns inte.

Informationen ska lämnas inom en månad från det att ansökan gjordes. Om det finns särskilda skäl för det, får informationen läm- nas senare, dock senast fyra månader efter det att ansökan gjordes

500

SOU 2015:39

Information till den registrerade

(26 § andra stycket andra och tredje meningarna PuL). Sådana sär- skilda skäl kan vara att personuppgifterna är krypterade, att sök- möjligheterna annars är begränsade eller att den personuppgifts- ansvarige har många personuppgifter uppdelade på olika register eller andra datasamlingar (prop. 1997/98:44 s. 132).

Föreskrifterna i 26 § första stycket PuL avses genomföra arti- kel 12 a i dataskyddsdirektivet. Samtidigt finns inslag i bestämmel- sen som härrör från en motsvarande bestämmelse om register- utdrag som fanns i 10 § datalagen (1973:289). Kravet på skriftlig och egenhändigt undertecknad ansökan är ett sådant inslag. Likaså ettårsbegränsningen och huvudregeln om enmånadsfristen för när utdraget ska lämnas. Än i dag är det vanligt att information enligt 26 § PuL kallas för registerutdrag, vilket är en missvisande benäm- ning eftersom personuppgiftslagen, och därmed informationsplikten, till skillnad från datalagen omfattar mer än bara personuppgifter som behandlas i register.

I förarbetena angavs att det är rimligt att utgå från att regle- ringen i 26 § PuL inte innebär mer än att den personuppgifts- ansvarige är skyldig att utnyttja alla de sök- och sammanställnings- möjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade (prop. 1997/98:44 s. 82 f.). Regeringen anslöt sig därmed till vad Datalagskommittén hade anfört (SOU 1997:39 s. 392 f.). Enligt kommittén var det inte rim- ligt att informationsskyldigheten skulle utformas på ett sådant sätt att den tvingar fram förfaranden som i själva verket kan hota den personliga integriteten. Den personuppgiftsansvarige bör, som kom- mittén såg det, bara vara skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rätts- ligt har tillgång till för att få fram information att lämna till den registrerade. Därmed garanteras att den registrerade får tillgång till all information som den personuppgiftsansvarige själv kan få fram om den registrerade. Vad som närmare kan ha avsetts med sök- och sammanställningsmöjligheter som en personuppgiftsansvarig har tillgång till framgår dock inte. Någon vägledande praxis om hur långtgående sökningar som måste göras finns inte heller.

I 26 § tredje stycket PuL finns dock ett visst begränsat undan- tag. Enligt den bestämmelsen behöver den personuppgiftsansvarige inte informera om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnes-

501

Information till den registrerade

SOU 2015:39

anteckning eller liknande. Information måste dock ändå ges i vissa fall, bl.a. om uppgifterna i den löpande texten har behandlats under längre tid än ett år. I förarbetena påpekade regeringen att infor- mationsskyldigheten innebär att registrerade i vissa fall kan ha rätt att med stöd av personuppgiftslagen få ta del av uppgifter om sig själva som allmänheten inte har rätt att få ta del av med stöd av 2 kap. TF. Den registrerade har alltså i viss utsträckning rätt att ta del av uppgifter i handlingar som inte är allmänna, t.ex. person- uppgifter i utkast som har behandlats under längre tid än ett år (prop. 1997/98:44 s. 83 f.).

Till skillnad från vad som gäller beträffande information enligt 23–25 §§ PuL kan en myndighets beslut rörande information enligt 26 § överklagas till allmän förvaltningsdomstol enligt 52 § PuL. Denna överklagandebestämmelse infördes vid 2006 års ändringar av personuppgiftslagen. Även dessförinnan hade motsvarande överklag- andebestämmelser förekommit i en del registerförfattningar.

Som allmän princip inom förvaltningsrätten gäller att det bara är sådana beslut som på ett eller annat sätt har gått den klagande emot som är överklagbara. Såvitt avser information enligt 26 § PuL torde detta normalt innebära att det enbart är beslut innebärande helt eller delvis avslag på en begäran som kan överklagas.

Rätten att överklaga en myndighets beslut om information en- ligt 26 § är en inhemsk reglering. Dataskyddsdirektivet ställer inget sådant krav. Vad direktivet dock kräver är en rätt att föra talan vid domstol. Se vidare om överklagande i avsnitt 18.3.

Missbruksregeln och 26 § PuL

Rätten till s.k. registerutdrag fanns alltså redan enligt 1973 års data- lag. Från tid till annan har emellertid skyldigheten att lämna register- utdrag setts som betungande administrativt och ekonomiskt, se t.ex. Justitiedepartementets utvärdering av dataskyddsdirektivet enligt vilken många myndigheter tog upp registerutdragen som ett problem (Ds 2001:27 s. 75 f.).

Personuppgiftslagsutredningen tog mot den bakgrunden upp frågan om det var möjligt eller lämpligt att genom en ändring i personuppgiftslagen göra någon inskränkning i skyldigheten att lämna registerutdrag. Utredningen uttalade bl.a. följande (SOU 2004:6

502

SOU 2015:39

Information till den registrerade

s. 195 f.). Det som brukar anföras som särskilt betungande för personuppgiftsansvariga är att i vissa fall söka fram alla de person- uppgifter om den registrerade som behandlas. Det gäller främst när en personuppgiftsansvarig har en större mängd ostrukturerat mate- rial, t.ex. i form av löpande text eller ljud- och bildupptagningar, särskilt om materialet finns på olika ställen, t.ex. i hundratals persondatorer. Men det gäller också när en personuppgiftsansvarig har väldigt många regelrätta register att söka igenom. Om den personuppgiftsansvarige bara efter väldigt stora ansträngningar kan få fram uppgifter om en person, är det mindre sannolikt att dessa uppgifter kommer att användas på ett sätt som innebär ett otill- börligt intrång i den personliga integriteten. Det kan i vart fall konstateras att informationsteknikens särskilda möjligheter att effektivt strukturera, söka och sammanställa uppgifter då inte har utnyttjats på ett sätt som innebär särskilda integritetsrisker. Av bl.a. detta skäl ansåg utredningen att det skulle vara befogat och inte innebära någon egentlig och beaktansvärd inskränkning av integritetsskyddet att i personuppgiftslagen ange att skyldigheten att lämna registerutdrag inte gäller i den utsträckning det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbets- insats att lämna utdrag. Enligt utredningen var ett sådant undantag förenligt med dataskyddsdirektivet. Däremot föreslogs inte att den samtidigt föreslagna missbruksregeln skulle omfatta även 26 §.

Regeringen gjorde en annan bedömning och anförde bl.a. följ- ande (prop. 2005/06:173 s. 41).

Det kan förvisso hävdas att en rätt att begära registerutdrag har betyd- else för att den registrerade skall kunna kontrollera att hans person- uppgifter inte behandlas i strid med missbruksregeln, dvs. missbrukas. Missbruksregeln är emellertid avsedd att träffa sådana behandlingar som typiskt sett inte innefattar några risker för intrång i den person- liga integriteten. Det behov av kontroll som den registrerade kan ha kan inte anses förknippat med behandlingen som sådan – t.ex. att skriva ett namn i ett ordbehandlingsdokument – utan är snarare beroende av i vilket sammanhang personuppgifterna förekommer och av vilken sprid- ning de kan få. I den mån det verkligen är fråga om ett missbruk av personuppgifter kommer detta i normalfallet att komma till den regi- strerades kännedom på annat sätt än genom ett registerutdrag, t.ex. genom Internetpublicering. Rätten att få registerutdrag en gång per kalenderår kan alltså enligt regeringens bedömning inte anses vara en förutsättning för att kränkningar av den personliga integriteten i enlighet med missbruksregeln skall kunna uppdagas och beivras. Sammanfattningsvis anser således regeringen att utdragsskyldighetens

503

Information till den registrerade

SOU 2015:39

värde från kontrollsynpunkt vid behandling av personuppgifter i ostrukturerat material inte är särskilt framträdande.

Missbruksregeln kom alltså att omfatta även 26 § PuL. Enligt rege- ringen borde det däremot inte göras någon ändring av skyldigheten att lämna information enligt 26 § PuL för sådana behandlingar som även fortsättningsvis skulle omfattas av lagens hanteringsregler. Regeringen anförde i denna del bl.a. följande (prop. 2005/06:173 s. 50). Rätten att på begäran få ett registerutdrag är grundläggande för den registrerade och har funnits alltsedan 1973 års datalag antogs. Den fyller en viktig kontrollfunktion, framför allt när upp- gifterna finns i regelrätta register och stora databaser där integri- tetsriskerna typiskt sett är större. Genom registerutdraget får den registrerade möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade uppgifterna är riktiga. Rätten till insyn är vidare en förutsättning för att den registrerade i prak- tiken skall kunna få felaktiga uppgifter rättade i sådant material som inte omfattas av den föreslagna missbruksregeln.

Förslaget till uppgiftsskyddsförordning

Kommissionen

Förslaget till uppgiftsskyddsförordning bygger på dataskyddsdirek- tivets bestämmelser om vilken information som ska ges till den registrerade. Vissa tillkommande krav har dock föreslagits både vad gäller informationens innehåll (artiklarna 14 och 15) samt formerna för hanteringen och administrationen av informationsskyldigheten (artiklarna 11 och 12). De begränsningar i informationsplikten som får föreskrivas anges i artikel 21. Bestämmelserna finns i förord- ningens kapitel III med rubriken Den registrerades rättigheter.

I artikel 14 preciseras närmare den registeransvariges skyldighet att självmant informera den registrerade. De nuvarande kraven i artiklarna 10 och 11 i direktivet behålls. Dessutom ska den regi- strerade få information om kontaktuppgifter till uppgiftsskydds- ombudet, lagringsperioden, rätten att inge ett klagomål till tillsyns- myndigheten samt, i tillämpliga fall, om att den registeransvariga avser överföra personuppgifterna till tredjeland eller en internatio- nell organisation och nivån på det skydd som mottagaren kan er-

504

SOU 2015:39

Information till den registrerade

bjuda (14.1). När det gäller personuppgifter som inte samlas in från de registrerade ska information lämnas om var personuppgifterna har sitt ursprung (14.3). De möjliga undantagen enligt artiklarna 10 och 11 dataskyddsdirektivet finns kvar. Dessutom anges att när uppgifter inte samlas in från den registrerade, behöver information inte tillhandahållas om det får en negativ verkan på andras fri- och rättigheter på sätt som fastställs i unionslagstiftningen eller med- lemsstatens lagstiftning enligt artikel 21 (14.5). Kommissionen föreslås kunna meddela genomförandeakter samt fastställa standard- formulär för tillhandahållande av information (14.7 och 8).

I artikel 15 ges den registrerade en rätt till tillgång till sina personuppgifter. Artikel 15 motsvarar artikel 12 a i dataskydds- direktivet, dock att det tydliggörs att det handlar om information som ska tillhandahållas på begäran. Vidare har det gjorts några tillägg i fråga om vad informationen ska omfatta. Exempelvis ska anges vilka mottagare i tredjeland som kan komma i fråga. Vidare ska lagringsperioden anges liksom rätten till rättelse och radering samt att inge ett klagomål till tillsynsmyndigheten. Om den regi- strerade gör en begäran i elektronisk form ska informationen också tillhandahållas i elektronisk form, om en registrerad inte begär något annat (15.2). Kommissionen föreslås få befogenhet att anta dele- gerade akter och standardformulär eller förfaranden, t.ex. för kon- troll av den registrerades identitet (15.3 och 4).

I artiklarna 11 och 12 fastställs vissa allmänna krav på den register- ansvarige som syftar till att främja den registrerades möjligheter att utöva sina rättigheter enligt förordningen, dvs. inte bara rätten till information utan även rätten till t.ex. rättelse, radering och att göra invändningar. Enligt artikel 11 gäller en skyldighet för register- ansvariga att tillhandahålla klar och tydlig samt lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den regi- strerades rättigheter. Information till registrerade ska vara begriplig och anpassad till den registrerade, i synnerhet i fråga om eventuell information till barn.

Av artikel 12 följer att en registeransvarig måste införa förfaran- den och rutiner som den registrerade kan använda för att utöva sina rättigheter, bl.a. i fråga om att tillhandahålla information självmant enligt artikel 14 eller på begäran enligt artikel 15. Registeransvariga måste, som huvudregel, inom en månad underrätta den registrerade om vidtagna åtgärder med anledning av begäran om information

505

Information till den registrerade

SOU 2015:39

enligt artikel 15. Om den registeransvarige vägrar att vidta åtgärder på den registrerades vägnar, ska den registeransvarige informera den registrerade om orsaken och om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning (12.3). Den information och de åtgärder som vidtas på begäran ska vara gratis. Avgift får dock tas ut om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär. Kommissionen före- slås få anta delegerade akter och fastställa standardformulär m.m. (12.5 och 6).

Från kraven enligt de nämnda artiklarna om den registeransva- riges informationsskyldigheter finns vissa möjligheter till begräns- ningar. Detta föreskrivs i artikel 21 som i princip motsvarar arti- kel 13 i dataskyddsdirektivet. Skillnaderna gentemot direktivet är dels att begränsningar får föreskrivas både i unionsrätt och i med- lemsstaternas lagstiftning, dels att begränsningen för allmänna in- tressen inte är avgränsad till ekonomiska eller finansiella intressen, såsom enligt direktivet, utan kan även avse andra allmänna intressen, dock att det anges särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen (21.1 c jfr artikel 13.1. e i direktivet).

Utöver dessa bestämmelser föreslås i artikel 32 en helt ny infor- mationsplikt, nämligen information som i vissa fall ska ges den registrerade om ”inträffade personuppgiftsbrott”. Med personupp- giftsbrott avses ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personupp- gifter som överförts, lagrats eller på annat sätt behandlats (arti- kel 4.9).

Europaparlamentet

Europaparlamentet har i sin resolution med ändringsförslag i upp- giftsskyddsförordningen framför allt föreslagit olika tillägg i bestäm- melserna om informationsplikt enligt artiklarna 12, 14 och 15. Dess- utom har parlamentet, i linje med övriga förslag till förändringar i uppgiftsskyddsförordningen, föreslagit att Kommissionens befogen- heter att anta delegerade akter och standardformulär m.m. utgår.

506

SOU 2015:39

Information till den registrerade

Vad gäller artikel 12 har parlamentet föreslagit att registeransva- riga om möjligt ska erbjuda registrerade fjärråtkomst där den registrerade får direkt tillgång till sina personuppgifter.

Vidare har parlamentet föreslagit en ny artikel, artikel 13 a, om standardiserade informationsstrategier rörande information som ska lämnas innan information lämnas enligt artikel 14. Informationen enligt artikel 13 a ska vidare lämnas i strukturerad i tabellform och med användning av bildsymboler som parlamentet utformat och som föreslås tas in som en bilaga till uppgiftsskyddsförordningen.

När det gäller artiklarna 14 och 15 har parlamentet föreslagit ett antal tillägg, som dock inte redovisas närmare här. I artikel 21 före- slås att möjligheten att begränsa den registrerades rättigheter enligt punkten c endast ska avse skattefrågor.

Några kommentarer

Som redan konstaterats kommer uppgiftsskyddsförordningens be- stämmelser om information till den registrerade att innebära vissa ytterligare skyldigheter jämfört med vad som följer av dataskydds- direktivet.

När det gäller frågan om information på begäran torde det inte längre vara möjligt att på nationell nivå kräva en skriftlig och egen- händigt undertecknad begäran från den registrerade eller fastställa att rätten endast gäller en gång per år.

I övrigt bedömer vi att varken de nya kraven vad gäller vilken information som ska ges, självmant eller på begäran, eller förfar- andekraven kommer att innebära några egentliga problem för myn- digheterna. Det sagda gäller även den föreslagna skyldigheten att i vissa fall tillhandahålla information i elektronisk form (artikel 15.2). En osäkerhetsfaktor är emellertid den möjlighet som kommissio- nens föreslås få att fastställa standardformulär och meddela när- mare specificerade krav eller förfaranden i vissa avseenden. Det förefaller dock tveksamt såväl om kommissionen kommer att få dessa möjligheter som, i förekommande fall, om sådana ytterligare be- stämmelser kommer att omfatta myndigheters verksamheter.

Av särskild betydelse för myndigheters verksamhet är att undan- taget från plikten att självmant ge information rörande personupp-

507

Information till den registrerade

SOU 2015:39

gifter som inte samlats in från den registrerade när registrering och utlämnande är författningsreglerat föreslås finnas kvar.

13.2Reglering i registerförfattningar

Information som ska lämnas självmant

Flertalet registerförfattningar saknar särbestämmelser om vilken information som den personuppgiftsansvarige självmant ska lämna till den registrerade i samband med att personuppgifter samlas in från denne.

Handlar det om personuppgifter som samlas in från den regi- strerade, beror det således på omständigheterna i vad mån och i så fall hur särskild information måste ges eller om förhållandena är sådana att den registrerade redan i sin helhet eller delvis får anses känna till det som informationskravet omfattar (25 § andra stycket PuL).

Det förekommer dock registerförfattningar som ställer krav på att information ska ges i vidare mån än vad som följer av 23 och 25 §§ PuL, detta gäller i synnerhet på områden med anknytning till hälso- och sjukvården. Ett sådant exempel är 13 § apoteksdatalagen (2009:367) enligt vilken den registrerade ska få information, utöver vad som anges i 25 §, om den uppgiftsskyldighet som kan följa av lag eller förordning, de tystnadsplikts- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten till skadestånd vid behandling av personuppgifter i strid med lagen, vad som gäller i fråga om sökbegrepp samt vad som gäller i fråga om bevarande.

I de registerförfattningar som ersätter personuppgiftslagen men räknar upp vilka bestämmelser i personuppgiftslagen som ska tillämpas även vid behandling enligt registerförfattningen i fråga, brukar regelmässigt hänvisas till att 23 och 25 §§ PuL ska tillämpas.

Någon motsvarande hänvisning till 24 § PuL, om vilken informa- tion som ska ges när personuppgifter samlas in från en annan källa än den registrerade själv, förekommer emellertid normalt sett inte. Det beror på att de särskilda registerförfattningarna i sig eller i förening med annan reglering som styr myndighetens informa- tionshantering anses innehålla tillräckligt preciserade bestämmelser för att utgöra sådana bestämmelser om ”registrerandet eller utläm- nandet av personuppgifterna i en lag eller någon annan författning”

508

SOU 2015:39

Information till den registrerade

som omfattas av undantaget från informationsskyldigheten enligt 24 § andra stycket PuL.

Information som ska lämnas efter ansökan

Inte heller när det gäller rätten att få information efter ansökan enligt 26 § PuL hör det till vanligheterna att registerförfattningarna har bestämmelser som avviker från vad som följer av personupp- giftslagen. Det normala är alltså att registrerade vid behandling av personuppgifter enligt en registerförfattning kan åberopa 26 § PuL till stöd för en ansökan om information och få motsvarande infor- mation som om behandlingen enbart reglerats av personuppgifts- lagen.

Det förekommer emellertid viss särreglering. Exempelvis finns det bestämmelser som gör skillnad mellan uppgifter som förekom- mer i handlingar och andra uppgifter när det gäller vad som ska tas med i information enligt 26 § PuL. Enligt 114 kap. 30 § SFB be- höver personuppgifter i handlingar som kommit in i ett ärende eller upprättats i ett ärende inte tas med i information enligt 26 § PuL, om den registrerade tagit del av handlingens innehåll. Av informa- tionen ska det däremot framgå vilka sådana handlingar som be- handlas. Om den registrerade begär information om uppgifter i en sådan handling och anger vilken handling som avses, ska informa- tionen dock omfatta dessa uppgifter om inte annat följer av be- stämmelser om sekretess. I så fall ska begränsningen i 26 § PuL om att information bara behöver lämnas gratis en gång per kalenderår gälla varje handling för sig.

Likartade bestämmelser finns i flera andra registerförfattningar, t.ex. i de som gäller för Skatteverkets beskattningsverksamhet och för Kronofogdemyndigheten. I förarbetena till dessa båda lagar gjorde regeringen följande uttalande avseende dels begränsningen i fråga om en registrerad parts rätt att få information om handlingar, dels frågan om en i en handling omnämnd men utomstående persons rätt till information enligt 26 § PuL beträffande innehållet i hand- lingen (prop. 2000/01:33 s. 106 f.). I citatet åsyftade sökbegräns- ningar avser bestämmelser i de aktuella lagarna om att bara vissa uppgifter får användas vid sökning efter elektroniska handlingar i databaser som regleras i lagarna.

509

Information till den registrerade

SOU 2015:39

Den enskilde har i detalj kännedom om uppgifterna i handlingarna sedan tidigare, eftersom dessa antingen har getts in av eller expedierats till honom med det registrerade innehållet. Att en myndighet då i information till en registrerad tydligt anger vilka elektroniska hand- lingar som behandlas i en databas eller i ett ärende som rör denne torde enligt regeringens mening vara tillräckligt för att uppfylla dataskydds- direktivets krav på att de registrerade i detalj skall kunna kontrollera om uppgifterna är korrekta eller inte. Regeringen anser därför i likhet med utredningen att elektroniska handlingar inte behöver lämnas ut till en enskild i samband med att en personuppgiftsansvarig myndighet fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om den enskilde har tagit del av handlingens innehåll. Enskilda bör emellertid inte helt fråntas rätten att med tillämpning av 26 § person- uppgiftslagen ta del av elektroniska handlingar som de har gett in eller som har expedierats till dem. Fullständig information om vilka upp- gifter som behandlas, således även uppgifter i elektroniska handlingar, bör enligt regeringens mening lämnas om den enskilde begär det.

En annan fråga är vad som skall gälla i fråga om personer som finns omnämnda i handlingar som hör till ett ärende i vilket de inte själva är part. Dessa personer omfattas inte av det föreslagna undantaget eftersom de med största sannolikhet inte fått del av handlingarna. Det innebär emellertid enligt regeringens mening inte att de har rätt att enligt 26 § personuppgiftslagen få information om behandlingen. Rege- ringen har tidigare i den proposition som låg till grund för person- uppgiftslagen (prop. 1997/98:44, s. 83) uttalat bl.a. att det är rimligt att utgå från att Datalagskommitténs slutsats att EG-direktivet innebär att den personuppgiftsansvarige bara är skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han har tillgång till för att få fram information att lämna den registrerade är riktig. Regeringens förslag om sökbegränsningar […] innebär att myndigheterna saknar rättsliga befogenheter, och vanligen även tekniska möjligheter, att kontrollera i vilken omfattning uppgifter om en person behandlas i handlingar som hör till ett ärende som inte rör honom. Därmed har enligt regeringens mening en person som är registrerad på ett sådant sätt inte heller rätt att kräva att myndigheten gör den typen av kon- troller.

Enligt 13 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering gäller inte 26 § PuL i fråga om personuppgifter som inte direkt kan hänföras till en person. I 18 § lagen (2001:99) om den officiella stati- stiken anges på liknande sätt att den som har fått kodade person- uppgifter från en statistikansvarig myndighet inte behöver lämna information till den registrerade om att uppgifter behandlas, om

510

SOU 2015:39

Information till den registrerade

den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade.

Ett undantag i annan slags reglering än registerförfattning är 7 a § arkivförordningen (1991:446). Där föreskrivs att en arkiv- myndighet inte behöver lämna besked och information enligt 26 § PuL när det gäller personuppgifter i arkivmaterial som tagits emot för förvaring av myndigheten, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Motsvarande bestämmelse fanns tidigare i 10 § datalagen.

13.3Andra bestämmelser om rätt till information på begäran

Som vi redan har berört finns vid sidan av de bestämmelser om infor- mation som följer av 23–26 §§ PuL alternativa sätt för registrerade att få insyn i myndigheters behandling av personuppgifter om honom eller henne.

Under ett pågående förfarande som berör en registrerad, t.ex. en sökande i ett ärende, har denne ofta en långtgående rätt till insyn i ärendet och myndigheten har en skyldighet att se till att sökanden får del av information som tillförts ärendet av annan än sökanden själv. Sådana bestämmelser om partsinsyn och kommunikations- plikt är dock främst av betydelse under pågående förfaranden och ger inte annan än part eller motsvarande rätt till information.

Var och en har emellertid rätt att med stöd av 2 kap. TF få del av myndigheters allmänna handlingar. Den rätten kan bara begränsas på grund av sekretess.

Sekretess för en personuppgift till skydd för enskilds intresse gäller oftast inte i förhållande till den person som uppgiften avser, se 12 kap. 1 § OSL. Däremot kan sekretess till skydd för allmänna intressen eller till skydd för annan enskilds intressen hindra insyn. Det sistnämnda kan t.ex. vara fallet när uppgifter samtidigt berör flera personer och har lämnats av någon annan person vars intresse av att uppgifterna inte röjs för de övriga personerna skyddas av en sekretessbestämmelse.

Avgörande för rätten till insyn enligt 2 kap. TF är att handlingen blivit allmän genom att antingen ha kommit in till eller ha upp- rättats hos myndigheten. När det gäller handlingar som behandlas

511

Information till den registrerade

SOU 2015:39

med modern informationsteknik är rätten till insyn mycket vid- sträckt i och med att den enskilde kan begära att myndigheten gör sammanställningar av uppgifter ur upptagningar, s.k. potentiella handlingar. Sådan information som avses i 26 § PuL kan många gånger motsvara en sammanställning av uppgifter som i 2 kap. TF:s mening utgör en potentiell handling, i vart fall såvitt avser myndig- hetens redovisning av vilka personuppgifter som behandlas.

Rätten att begära ut potentiella handlingar begränsas bara, för- utom av sekretess, av att myndigheten måste kunna göra samman- ställningen dels med rutinbetonade åtgärder, dels utan att bryta mot något sökförbud eller liknande i lag eller förordning som gäller för myndigheten. Går sammanställningen inte att ta fram med rutinbetonade åtgärder eller utan att bryta mot någon ovillkorlig sökbegränsning i lag eller förordning är den potentiella handlingen inte allmän (2 kap. 3 § TF).

En sökande som vill få insyn i allmänna handlingar måste kunna precisera sin begäran, dvs. kunna med viss tydlighet ange vilken eller vilka handlingar som han eller hon vill ta del av. En myndighet är nämligen inte skyldig att bedriva mer omfattande efterforskning, huruvida vissa handlingar i arkiverat material omfattas av en all- mänt hållen beskrivning (RÅ79 Ab 6). Vid en begäran hos en myn- dighet att få ta del av alla beslut rörande en viss namngiven person, utan begränsning till slag eller tid, torde en myndighet inte behöva göra mer än att använda tillgängliga register för att göra sökningar (jfr NJA 1998 a. 559).

Rätten att ta del av allmänna handlingar omfattar inte bara att på plats hos myndigheten få läsa handlingar (2 kap. 12 § TF). Var och en har också rätt att mot en avgift få kopior av allmänna handlingar. Det gäller oavsett om det är fråga om en traditionell handling på papper eller om det är en handling i form av en upptagning som behandlas elektroniskt. Det finns dock, som huvudregel, ingen rätt att få elektroniska kopior. Den rätt som följer av tryckfrihets- förordningen är att få en pappersutskrift (2 kap. 13 §). Kostnaden för detta regleras närmare i avgiftsförordningen (1992:191). Någon motsvarande rätt att gratis få skriftlig information som följer av 26 § PuL finns således inte. Å andra sidan gäller betydligt mer strikta krav på skyndsamhet vid utfående av kopior enligt tryckfrihets- förordningen än vad som är fallet med information enligt 26 § PuL.

512

SOU 2015:39

Information till den registrerade

Utöver skyldigheten att på begäran lämna ut allmänna hand- lingar är myndigheter också skyldiga att på begäran av en enskild lämna uppgifter ur myndighetens allmänna handlingar. Detta följer av 6 kap. 4 § OSL. Skyldigheten kan bara begränsas på grund av sekretess eller om det skulle hindra arbetets behöriga gång att lämna ut uppgifterna.

13.4Våra överväganden och förslag

13.4.1Information som ska lämnas självmant

Förslag och bedömning: Personuppgiftslagens bestämmelser om information som självmant ska lämnas till den registrerade ska gälla vid myndigheters behandling av personuppgifter enligt den nya lagen. Det ska framgå genom en hänvisning till 23 och 25 §§ PuL. Det behövs inte någon bestämmelse om att infor- mation ska ges då uppgifter samlas in från någon annan källa än den registrerade. Någon hänvisning till 24 § PuL bör därför inte göras.

Information när personuppgifter samlas in från den registrerade

De bestämmelser som finns i 23 och 25 §§ PuL angående infor- mation som ska ges till den registrerade när uppgifter samlas in från personen själv är i sak desamma som följer av artikel 10 i direktivet. Såvitt vi erfarit medför dessa bestämmelser inga särskilda tillämp- ningsproblem för myndigheterna. Det har inte heller framkommit att det generellt sett skulle behövas mer information än vad som anges i 25 § första stycket för att tillgodose de registrerades behov. Det är därför vår uppfattning att den nya lagen inte bör innehålla bestämmelser som avviker från 23 och 25 §§ PuL när det gäller in- formation som ska lämnas då personuppgifter samlas in från den registrerade.

Det sagda gäller även bestämmelsen i 25 § andra stycket PuL om att information inte behöver lämnas om sådant som den registrerade redan känner till. Det undantaget har stor betydelse för myndig- heter och sådana slag av behandlingar då den enskilde regelmässigt kan förutsättas vara införstådd med personuppgiftsbehandlingen

513

Information till den registrerade

SOU 2015:39

även utan att ha fått någon särskild information. Det kan gälla så självklara situationer som när en enskild kontaktar en myndighet via e-post. Det ligger då i sakens natur att detta innebär behandling av personuppgifter och att denna behandling kan antas komma att föranleda en viss ytterligare personuppgiftsbehandling hos myndig- heten. Detsamma gäller t.ex. sådan ärendehandläggning som föranleds av en sökandes ansökan om något, t.ex. ett visst tillstånd. I dessa fall torde det vara fullt tillräckligt att myndigheten håller tillgänglig en sådan allmänt inriktad information med förteckning över myn- dighetens personuppgiftsbehandlingar m.m. som vänder sig till både allmänhet och en allmän krets av registrerade. Vi återkommer till detta i avsnitt 16.4.

I andra fall – t.ex. i samband med att enskilda som en service- åtgärd erbjuds att ansluta sig till en e-tjänst för inrapportering av uppgifter till en myndighet – bör det däremot åligga en person- uppgiftsansvarig myndighet att se till att den enskilde nås av adekvat information. Ingen bör t.ex. kunna få ansluta sig till en e-tjänst som inbegriper personuppgiftsbehandling utan att ha fått tillräcklig infor- mation om vilken personuppgiftsbehandling som äger rum i sam- band med just den e-tjänsten.

Såvitt vi kan se möjliggör 23 och 25 §§ PuL den flexibilitet som måste finnas i en reglering av nu aktuellt slag. Mot denna bakgrund menar vi alltså att bestämmelserna i 23 och 25 §§ PuL bör vara tillämpliga även vid myndigheters behandling av personuppgifter enligt den nya lagen. Detta bör framgå genom en hänvisning till att dessa bestämmelser ska vara tillämpliga även vid behandling enligt lagen.

Vi har i avsnitt 8.3 gjort bedömningen att myndigheters person- uppgiftsbehandling enligt vår uppfattning inte i något fall bör stödjas på missbruksregeln i 5 a § PuL och vi har föreslagit att den bestämmelsen inte ska vara tillämplig vid behandling av person- uppgifter enligt den nya lagen. Vi har därför ställt oss frågan om det behövs något undantag från informationsskyldigheten enligt 23 och 25 §§ som i något avseende motsvarar den lättnad som torde följa av missbruksregeln. Vi ser emellertid inte att det finns något sådant behov i fråga om information som ska lämnas i samband med att uppgifter samlas in från den registrerade.

514

SOU 2015:39

Information till den registrerade

Information när personuppgifter samlas in från annan källa än den registrerade

Vi har vad gäller information som ska lämnas om personuppgifter har samlats in från någon annan källa än den registrerade (24 § första stycket PuL) inte heller nåtts av signaler om att paragrafen inte skulle vara ändamålsenligt utformad eller medföra några särskilda problem för myndigheterna. Det framstår dock som oklart i vad mån det finns myndigheter som anser sig omfattas av den bestäm- melsen. Enligt 24 § andra stycket behöver information enligt första stycket nämligen inte ges om det finns bestämmelser om ”regi- strerandet eller utlämnandet av personuppgifterna” i lag eller annan författning. Enligt artikel 11.2 i direktivet ska det vara fråga om uttryckliga föreskrifter. Det är dock inte närmare beskrivet vilken grad av precision som krävs för att bestämmelser ska anses vara sådana uttryckliga föreskrifter som medför att information inte be- höver lämnas.

Frågan måste därför ställas om bestämmelserna i den nu före- slagna lagen utgör sådana föreskrifter. Om så inte är fallet upp- kommer frågan om det finns andra kompletterande bestämmelser som styr myndigheternas verksamheter och därmed informations- hantering och som i stället för eller tillsammans med den nya lagen kan anses utgöra sådana föreskrifter som innebär ett undantag från informationsskyldigheten.

Bestämmelserna i registerförfattningar har ofta ansetts vara av det slag som avses i 24 § andra stycket PuL. Att det förhåller sig på det viset kan knappast ifrågasättas när det handlar om den typ av renodlade registerförfattningar som föreskriver att ett visst register av visst innehåll ska föras. Mer tveksamt kan det måhända te sig beträffande det vi kallar informationshanteringsförfattningar som alltså anger vad myndigheterna får göra i form av personuppgifts- behandling. De informationshanteringsförfattningar som utformats utifrån modellen att hänvisa till vilka bestämmelser i personupp- giftslagen som ska vara tillämpliga även vid behandling enligt lagen i fråga hänvisar emellertid inte till 24 § PuL. Skälet torde vara att det ansetts att sådana lagar – som gäller för bl.a. Skatteverkets beskattnings- och folkbokföringsverksamhet, Kronofogdemyndig- heten, Tullverkets tullverksamhet, Polisens brottsbekämpande verk- samhet och Kustbevakningen – är specialutformade för verksam-

515

Information till den registrerade

SOU 2015:39

heterna i fråga. De innehåller preciserade regler som sedda tillsam- mans med den verksamhetsreglering som i övrigt gäller för myndig- heterna i fråga kan ses som sådana uttryckliga bestämmelser om registrering eller utlämnande som krävs enligt artikel 11.2 i direk- tivet.

Den nu föreslagna lagen kommer att tillämpas av ett mycket stort antal myndigheter. De bestämmelser som vi föreslår är följ- aktligen generellt utformade. Det kan tyckas att lagen som sådan därför inte lever upp till kravet på att vara en uttrycklig reglering om ”registrerande eller utlämnande” av personuppgifter. Samtidigt ska beaktas att sådana särregler som kommer att behöva meddelas i anslutning till lagen tveklöst torde utgöra bestämmelser av det slag som avses i 24 § andra stycket och som medför undantag från informationsskyldigheten. Så kan t.ex. vara fallet beträffande regler som syftar till att möjliggöra direktåtkomst avseende sekretessreg- lerade personuppgifter m.m. I avsaknad av sådana särskilda regler uppkommer frågan i vilken mån den övriga reglering som gäller för myndigheternas verksamheter har betydelse i sammanhanget.

Det kan då konstateras att det är ett grundläggande förhållande att all förvaltningsverksamhet på det ena eller andra sättet är för- fattningsstyrd. Detta gäller även i fråga om myndigheternas infor- mationshantering. Utgångspunkten är vidare att myndigheter inte samlar in personuppgifter om enskilda från annan än den regi- strerade själv utan att detta sker med författningsstöd som – i vart fall indirekt – ålägger eller tillåter myndigheter att samla in och registrera uppgifter av det slaget. På samma sätt förhåller det sig med utlämnande av personuppgifter. Det ska i princip inte före- komma utlämnanden som inte har i vart fall indirekt stöd i författ- ningsreglering. Mot denna bakgrund anser vi att den samlade för- fattningsregleringen av myndigheternas verksamheter och därmed informationshantering i kombination med den föreslagna lagen om myndigheters behandling av personuppgifter är tillräcklig för att uppfylla kraven enligt direktivet i detta hänseende. Det finns, som vi ser det, därför inga skäl att ålägga myndigheter att självmant lämna ytterligare information till registrerade rörande sådana förhållanden som avses i 24 § första stycket PuL.

Sammanfattningsvis gör vi således bedömningen att det inte be- hövs någon hänvisning till 24 § PuL eftersom det alltid kan antas

516

SOU 2015:39

Information till den registrerade

finnas bestämmelser om myndigheters registrerande och utlämnande av personuppgifter i författning.

13.4.2Information som ska lämnas efter ansökan

Förslag: Personuppgiftslagens bestämmelse om den registrerades rätt att efter ansökan få information ska gälla även vid myn- digheters behandling av personuppgifter enligt den nya lagen. Det ska framgå genom en hänvisning till 26 § PuL. Rätten till information efter ansökan ska dock bara gälla i fråga om per- sonuppgifter som ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt under- lätta sökning efter eller sammanställning av personuppgifter. Ett särskilt undantag görs därmed för uppgifter i s.k. ostrukturerat material, vilket motsvarar vad som i dag följer av den s.k. miss- bruksregeln i 5 a § PuL.

Som vi berört tidigare gjordes vid personuppgiftslagens tillkomst ingen närmare analys av vad direktivets krav innebar på myndig- hetsområdet, t.ex. i vad mån det redan fanns reglering av förvalt- ningsrättslig natur m.m. som i sak förverkligade direktivets krav.

En fråga som enligt vår mening möjligen kunde ha ställts var om det verkligen var till alla delar motiverat att genomföra 12 a i direk- tivet om den registrerades rätt till tillgång till uppgifter på så sätt att regleringen i 10 § datalagen om registerutdrag arbetades in i personuppgiftslagen men med ett betydligt mera vidsträckt tillämp- ningsområde än vad som hade varit fallet under datalagens tid. Då handlade det om en rätt att få regelrätta utdrag ur automatiserade personregister. Med personuppgiftslagen kom rätten till ”utdrag” att omfatta alla personuppgifter som behandlas helt eller delvis automatiserat eller i manuella register alldeles oavsett om behand- lingen sker i eller i anslutning till något register, ärendehanterings- system eller annan strukturerad informationssamling.

Till saken hör att den registrerade har helt andra möjligheter än i enskild verksamhet att med stöd av offentlighetsprincipen få insyn i den personuppgiftsbehandling som sker i den offentliga verksam- heten. Den registrerade har alltså en rätt till insyn i allmänna hand- lingar och kan åberopa 2 kap. TF för att få del av allmänna hand-

517

Information till den registrerade

SOU 2015:39

lingar med personuppgifter som rör den registrerade själv. På så sätt kan han eller hon kontrollera personuppgifterna i deras rätta samman- hang, vilket inte sällan torde ge bättre förutsättningar att tillgodo- göra sig innebörden av och bedöma lagenligheten i personuppgifts- behandlingen i fråga än vad ett utdrag med sammanställda person- uppgifter ger. I sammanhanget kan erinras om att syftet med direk- tivets bestämmelse om den registrerades rätt till tillgång till upp- gifterna är att denne i detalj ska kunna försäkra sig om att upp- gifterna är korrekta och om att behandlingen är tillåten (punkt 41 i ingressen till direktivet), ett syfte som den registrerades rätt till in- syn i allmänna handlingar väl tillgodoser. Rätten till insyn enligt offentlighetsprincipen kan vidare utnyttjas i princip hur ofta som helst – och formlöst – medan rätten enligt 26 § PuL bara kan ut- övas en gång om året och då efter skriftlig ansökan.

Samtidigt finns det andra skillnader mellan rätten till insyn enligt 26 § PuL och 2 kap. TF. Rätten enligt personuppgiftslagen ger t.ex. i princip en möjlighet till insyn i handlingar som inte är allmänna samt ytterligare upplysningar om mottagare eller mottagarkategorier. Av väsentlig betydelse är också kravet på information om ända- målen med behandlingen.

Man hade emellertid möjligen kunnat tänka sig att det hade räckt för att uppfylla direktivets krav att vid genomförandet, såvitt avser myndigheter, hänvisa till den registrerades rätt att få tillgång till allmänna handlingar eller uppgifter ur allmänna handlingar. Den sammantagna effekten av handlingsoffentligheten, myndigheternas skyldighet att anmäla eller upplysa allmänheten om ändamål, mot- tagarkategorier m.m. (artiklarna 19 och 21, jfr 36 och 42 §§ PuL) och en allmän hänvisning till myndigheternas serviceskyldighet skulle måhända ha kunnat anses motsvara direktivets krav. Artikel 12 a i direktivet ställer nämligen inte krav på att medlemsstaterna ska in- föra särskilda föreskrifter. Det som krävs är att medlemsstaterna ska säkerställa rätten till information och insyn, vilket torde lämna viss frihet för medlemsstaterna att välja metod för hur denna rätt ska förverkligas. Enligt vår uppfattning finns i och för sig inget hinder mot att vid sådant förhållande anse att redan existerande inhemska författningsreglerade rättigheter tillgodoser direktivets krav, så länge som dessa i praktiken leder till det resultat som ska uppnås.

518

SOU 2015:39

Information till den registrerade

Vi ser dock ingen anledning att nu föreslå några förändringar vad gäller frågan om hur artikel 12 a i direktivet har genomförts på myndighetsområdet. Som anfördes i förarbetena till 2006 års änd- ringar av personuppgiftslagen fyller rätten att på begäran få ett ”registerutdrag” en viktig kontrollfunktion, särskilt när det gäller uppgifter i regelrätta register eller stora databaser. Av väsentlig betydelse är vidare, som vi ser det, att informationsskyldigheten enligt 26 § PuL också innefattar en redovisning av ändamålen med behandlingen. I den mån dessa inte är författningsreglerade innebär detta en viktig kontrollfunktion för enskilda registrerade. Mot den bakgrunden skulle det kunna sägas innebära en klar försämring av enskildas rättsskydd om rätten till information på begäran togs bort. Även enligt den nya lagen bör myndigheter således ha en skyldighet att på begäran lämna sådan information som avses i 26 § PuL. Vi föreslår att detta ska framgå genom en hänvisning till den paragrafen.

Eftersom vi alltså är av uppfattningen att missbruksregeln inte ska gälla enligt den nya lagen inställer sig även här frågan om ett särskilt undantag behöver göras beträffande personuppgifter som förekommer i sådana sammanhang.

De överväganden som föranledde att missbruksregeln kom att även omfatta skyldigheten att lämna s.k. registerutdrag enligt 26 § PuL har, menar vi, bärighet också på myndigheternas område. Att nuvarande registerlagar inte har motsvarande begränsningar i sina hänvisningar till 26 § PuL torde bero på att dessa lagar i allt väsent- ligt reglerar antingen personuppgifter som strukturerats för att på- tagligt underlätta sökning efter eller sammanställning av person- uppgifter (personregister) eller personuppgifter som ingår i eller är avsedda att ingå i strukturerade informationssamlingar (t.ex. person- uppgifter i ärendehanteringsystem eller i färdiga elektroniska hand- lingar som är kopplade till ett ärendehanteringssystem).

Den nya lagen kommer att tillämpas av såväl små som stora myndigheter, oavsett vad för slags personuppgiftsbehandlingar som avses och oavsett om eller i vilken utsträckning en myndighet förfogar över material med personuppgiftsanknuten struktur. Det är rimligt, menar vi, att myndigheter som grundregel även i fort- sättningen har en lättad informationsplikt såvitt avser ”register- utdragen” motsvarande den som följer av nuvarande 5 a § första stycket PuL. Vi föreslår därför en sådan regel.

519

Information till den registrerade

SOU 2015:39

Enligt vår mening är ett fortsatt undantag avseende information om personuppgifter i ostrukturerat material förenlig med direk- tivet. Det framgår redan av det ovan sagda om att handlings- offentligheten och rätten att få uppgifter ur allmänna handlingar tillsammans med myndigheters övriga serviceskyldigheter kan anses i princip säkerställa den registrerades rätt till tillgång enligt artikel 12 a i direktivet. Till det kommer våra förslag i avsnitt 16.4 om att varje myndighet ska föra en förteckning över de behandlingar som utförs med stöd av den nya lagen.

Förslaget innebär alltså ingen saklig ändring i förhållande till dagens reglering. Genom att personuppgifter i s.k. ostrukturerat material även fortsättningsvis undantas från informationsskyldig- heten klargörs att myndigheter t.ex. inte behöver söka igenom alla befattningshavares e-post eller hårddiskar m.m. Ledning beträff- ande gränsdragningen mellan personuppgifter som ingår i respek- tive inte ingår i en samling av personuppgifter som har struktu- rerats för att underlätta sökning efter eller sammanställning av per- sonuppgifter finns i förarbetena till 5 a § PuL. Där anges bl.a. att behandling av personuppgifter t.ex. i löpande text i ordbehandlings- program, e-postmeddelanden, på internet eller enstaka ljud- och bildupptagningar faller inom det undantagna området. Om uppgift- erna i den löpande texten, i ljud- och bildupptagningen osv. däremot infogas i en databas med en personuppgiftsanknuten struktur, exempelvis ett ärendehanteringssystem, är behandlingen inte undan- tagen från personuppgiftslagens hanteringsregler (prop. 2005/06:173 s. 19–25 och 58). Se även Högsta förvaltningsdomstolens domar den 8 januari 2014 i mål nr 571-14 och 642-14.

13.4.3Begränsningar i informationsplikten på grund av sekretess

Förslag: Sekretess ska på samma sätt som enligt personupp- giftslagen begränsa informationsskyldigheten enligt den nya lagen. Det ska framgå av en bestämmelse som motsvarar 27 § PuL.

På motsvarande sätt som gäller enligt personuppgiftslagen bör sekre- tess för uppgifter som gäller gentemot den registrerade inskränka myndigheternas informationsskyldighet. I förtydligande syfte bör

520

SOU 2015:39

Information till den registrerade

någon hänvisning emellertid inte göras till den bestämmelse i person- uppgiftslagen (27 §) av vilket detta kan utläsas. I den nya lagen bör i stället införas en ny bestämmelse som klargör att det i detta hän- seende bara är sekretess enligt offentlighets- och sekretesslagen eller föreskrifter som meddelats med stöd av den lagen som kan inskränka informationsskyldigheten.

521

14 Bevarande och gallring

14.1Arkivlagstiftningen

Handlingsoffentligheten och elektronisk informationshantering

Enligt 2 kap. 1 § TF har varje svensk medborgare en grundlagsfäst rätt att ta del av myndigheters och andra offentliga organs allmänna handlingar. Av bestämmelsen framgår att syftet härmed är att främja ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar är ett av de viktigaste inslagen i offentlighetsprincipen, dvs. den grundsats som innebär att samhälls- organens verksamhet ska bedrivas under allmän insyn och kontroll. Handlingsoffentlighetens syften brukar, utöver vad som anges i 2 kap. 1 § TF, sammanfattningsvis sägas vara att garantera rätts- säkerheten samt effektiviteten i förvaltningen och i folkstyret.

Vad som är en allmän handling definieras i 2 kap. TF. Vi har relativt ingående redogjort för dessa bestämmelser i vårt delbetänk- ande med fokus på innebörden av regleringen i fråga om elek- troniskt lagrad information, se SOU 2012:90 s. 60 f. samt 91 f. I den elektroniska miljön brukar man tala om två handlingsslag, dels färdiga elektroniska handlingar, dels sammanställningar av upp- gifter, s.k. potentiella handlingar. Utmärkande för det sistnämnda handlingsslaget är att varje tänkbar sammanställning av uppgifter ur en eller flera upptagningar kan vara en allmän handling alldeles oav- sett om den vid ett givet tillfälle har eller inte har existerat tidigare i sammanställd form. För sammanställningar av uppgifter gäller dock enligt 2 kap. 3 § TF särskilda undantag från vad som konstituerar allmänna handlingar.

För att offentlighetsprincipen i form av handlingsoffentlighet ska få genomslag och kunna utnyttjas i praktiken krävs inte bara en god offentlighetsstruktur m.m. (se 4 och 5 kap. OSL). Det krävs också att allmänna handlingar bevaras även efter det att deras omedel-

523

Bevarande och gallring

SOU 2015:39

bara nytta i den löpande verksamheten har upphört. Myndigheterna har därför grundläggande skyldigheter att bevara sina allmänna hand- lingar i arkiv.

Arkivvård och gallring

En myndighets allmänna handlingar ska hållas ordnade och vårdas bl.a. för att tillgodose allmänhetens rätt att ta del av allmänna hand- lingar i ett långsiktigt perspektiv.

Arkivsystemets anknytning till handlingsoffentligheten tydlig- gjordes i samband med 2001 års ändringar av 2 kap. TF genom införandet av 2 kap. 18 § TF. Den bestämmelsen syftar till att betona arkivreglernas betydelse för offentlighetsinsynen enligt 2 kap. TF och innebär att grundläggande bestämmelser om hur allmänna hand- lingar ska bevaras samt om gallring och annat avhändande enbart kan meddelas genom lag (prop. 2001/02:70 s. 39).

Varje myndighet är ansvarig för arkivvården av den egna myn- dighetens handlingar. I arkivvården ingår emellertid även att se till att arkiven inte kommer att omfatta onödigt material och att hand- lingarna efterhand gallras (prop. 1989/90:72 s. 38).

Grundläggande bestämmelser om bevarande och gallring av all- männa handlingar hos statliga och kommunala myndigheter finns i arkivlagen (1990:782). Lagen är en ramlag som innehåller allmänna och övergripande bestämmelser om myndigheternas arkiv. Flertalet bestämmelser är teknikoberoende och avser såväl pappershand- lingar som elektroniskt lagrade upptagningar. Lagen fylls ut av arkiv- förordningen (1991:446) samt de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheterna utfärdar. Riksarkivet är statlig arkivmyndighet. Kommunstyrelsen är arkivmyndighet i en kommun och landstingsstyrelsen i ett landsting, om inte kom- munfullmäktige eller landstingsfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet. Arkivmyndigheter kan med tiden överta arkivmateriel från myndigheter som står under deras tillsyn.

I 3 § arkivlagen slås fast att myndigheternas arkiv är en del av det nationella kulturarvet och att de ska bevaras, hållas ordnade och vårdas så att de tillgodoser

524

SOU 2015:39

Bevarande och gallring

1.rätten att ta del av allmänna handlingar,

2.behovet av information för rättskipningen och förvaltningen, och

3.forskningens behov.

En myndighets arkiv bildas av de allmänna handlingarna från myndigheternas verksamhet. Så snart ett ärende slutbehandlats ska de allmänna handlingarna arkiveras och myndigheten ska pröva i vilken omfattning minnesanteckningar, utkast eller liknande hand- lingar som avses i 2 kap. 9 § TF ska rensas bort eller tas om hand för arkivering, vilket innebär att de blir allmänna handlingar. All- männa handlingar som inte tillhör ett ärende ska arkiveras så snart de justerats av myndigheten eller på annat sätt färdigställts. I diarier och journaler eller register och förteckningar som förs fortlöpande ska varje införd anteckning anses arkiverad i och med den har gjorts (3 § arkivförordningen).

Arkivering är ett teknikneutralt begrepp. Elektronisk arkivering av allmänna handlingar är alltså fullt möjligt och är på stark fram- växt i den offentliga förvaltningen. För närvarande pågår flera myn- dighetsövergripande projekt rörande digital arkivering i s.k. e-arkiv. Riksarkivet har lett ett projekt eARD som tagit fram förvaltnings- gemensamma specifikationer (FGS:er) för e-arkiv och e-diarium. Även Sveriges Kommuner och Landsting driver projekt om e-arkiv hos kommuner och landsting.

Huvudprincipen enligt arkivlagen är att allmänna handlingar ska bevaras i myndigheternas arkiv. Denna huvudprincip gäller dock inte utan undantag.

För elektronisk information gäller till en början ett undantag vid situationer då flera myndigheter har tillgång till samma upptagning. Om en upptagning för automatiserad behandling är tillgänglig för flera myndigheter så att den utgör en allmän handling hos alla dessa myndigheter, ska upptagningen bilda arkiv endast hos en av myndig- heterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § arkivlagen). Svarar statliga myndigheter för unge- fär lika stora delar av upptagningen, får Riksarkivet meddela före- skrifter om hos vilken myndighet upptagningen ska bilda arkiv (4 § arkivförordningen).

525

Bevarande och gallring

SOU 2015:39

Ett annat undantag från huvudregeln om bevarande är att all- männa handlingar enligt 10 § arkivlagen får gallras. Därvid ska alltid beaktas att arkiven utgör en del av kulturarvet och att det arkiv- material som återstår ska kunna tillgodose rätten att ta del av all- männa handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Med forskning avses i arkiv- lagen inte enbart professionell, vetenskaplig forskning utan även amatörforskning, t.ex. släktforskning.

Det kan således konstateras att arkivlagen inte föreskriver att bevarande- och gallringsfrågor ska beaktas också utifrån hänsyns- tagande till intresset av skydd för den personliga integriteten. Gall- ring i arkivhänseende sker närmast av praktiska och ekonomiska skäl och syftar enligt arkivlagens motiv till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara ut- gör dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. En riktigt utförd gallring bör därmed leda till att arkiven blir mer överskådliga och effektiva som informationskällor (prop. 1989/90:72 s. 40 f.).

Gallring av traditionella pappershandlingar innebär att dessa för- störs fysiskt. När det gäller gallring av elektroniska upptagningar avses normalt att viss information raderas från databäraren. Det är dock inte nödvändigt att den egentliga information som finns på ett elektroniskt medium verkligen förstörs för att det ska vara fråga om gallring. Gallring kan exempelvis också ske genom att elektroniskt lagrad information skrivs ut på papper varefter den elektroniska versionen raderas. Ett annat exempel kan vara att en excel-fil med en samling uppgifter sparas i ett pdf-dokument som överförs till ett usb-minne, varefter excel-filen raderas från datorn. Även om möj- ligheten till insyn som sådan inte försvinner vid sådan partiell gall- ring – informationen finns ju kvar på pappret eller i pdf-dokumen- tet – så kan förutsättningarna för att söka fram eller sammanställa informationen påtagligt ha försämrats.

Riksarkivet har i 2 kap. 1 § Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling; RA-FS 2009:1) definierat gallring som förstöring av all- männa handlingar eller förstöring av uppgifter i allmänna handling- ar. Det är också fråga om gallring när andra åtgärder vidtas med allmänna handlingar som medför förlust av betydelsebärande data,

526

SOU 2015:39

Bevarande och gallring

förlust av möjliga sammanställningar, förlust av sökmöjligheter, eller förlust av möjligheter att bedöma handlingarnas autenticitet.

Begreppsapparaten på arkivområdet innebär att det bara är all- männa handlingar som gallras. Vid förstöring av handlingar som inte är allmänna handlingar talar man om rensning. Då myndigheter sorterar bort minnesanteckningar, utkast, föredragningspromemorior och andra sådana handlingar som avses i 2 kap. 9 § TF i syfte att de inte ska tas om hand för arkivering, sker således en rensning och inte en gallring.

Överföring av allmänna handlingar från ett ursprungligt data- medium till ett datamedium för digital arkivering torde i sig inte innebära gallring i arkivlagens mening så länge några förluster av sökmöjligheter inte uppstår (se t.ex. prop. 2011/12:45 s. 175).

En statlig myndighet får inte på egen hand med tillämpning av 10 § arkivlagen avgöra vilka allmänna handlingar som ska gallras ur dess arkiv. Allmänna handlingar hos myndigheten får endast gallras i enlighet med föreskrifter eller beslut av Riksarkivet, om inte sär- skilda gallringsföreskrifter finns i lag eller förordning (14 § arkiv- förordningen). Sådana särskilda gallringsföreskrifter finns ofta i registerförfattningar och gäller i stället för arkivlagens bestämmel- ser oavsett om de förekommer i lag eller förordning. Detta följer av 10 § tredje stycket arkivlagen enligt vilken arkivlagen är subsidiär till avvikande bestämmelser om gallring av vissa allmänna handlingar i lag eller förordning. På det kommunala området gäller att beslut om gallring kan meddelas av kommunfullmäktige respektive lands- tingsfullmäktige som då, liksom Riksarkivet, har att följa de yttre ramar för gallring som anges i 10 § arkivlagen. Inte heller på det kommunala området får alltså en arkivbildande myndighet själv av- göra vad som ska gallras eller inte.

14.2Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Enligt artikel 6.1 e i dataskyddsdirektivet ska medlemsstaterna före- skriva att personuppgifter förvaras på ett sätt som förhindrar identi- fiering av den registrerade under en längre tid än vad som är nöd- vändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna ska vidare vidta lämp-

527

Bevarande och gallring

SOU 2015:39

liga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål. Det är således underförstått att det ligger i den registrerades intresse att personuppgifter inte lagras utan något konkret syfte.

Personuppgiftslagen

Artikel 6.1 e i direktivet har genomförts i Sverige genom 9 § första stycket i PuL enligt vilken det är ett grundläggande krav att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ända- målen med behandlingen. Det är alltså ändamålen för en person- uppgiftsbehandling som avgör hur länge uppgifterna får bevaras. Ospecificerad lagring av personuppgifter som kan vara ”bra att ha” är inte tillåten. Behövs uppgifterna inte längre för ändamålen ska de förstöras eller avidentifieras (SOU 1997:39 s. 353).

Dock får uppgifterna bevaras även därefter så länge det behövs för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket). I det sistnämnda fallet får uppgifterna endast i undantags- fall användas för att vidta någon åtgärd i fråga om den registrerade (9 § fjärde stycket).

Om missbruksregeln i 5 a § PuL är tillämplig behöver bestäm- melserna i 9 § inte tillämpas. Det innebär att regeln i 9 § första stycket i om längsta bevarandetid inte gäller vid behandling av per- sonuppgifter som inte ingår i en uppgiftssamling med personupp- giftsanknuten struktur.

För myndigheter gäller enligt 8 § andra stycket PuL särskilda regler om förhållandet till arkivbildning. Enligt 8 § andra stycket första meningen hindrar bestämmelserna i personuppgiftslagen inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I motiven till be- stämmelsen anfördes att myndigheters arkivering kan hänföras till vad direktivet avser med ”historiskt, statistiskt eller vetenskapligt ändamål” varför arkivering inte behöver anges som ett uttryckligt ändamål när personuppgifter samlas in. Är en myndighets primära hantering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Inte heller kan det anses oförenligt med de ursprungligen angivna ändamålen att myn-

528

SOU 2015:39

Bevarande och gallring

digheten efter en tid lämnar över sina handlingar till en arkivmyn- dighet för långtidsförvaring. Regeringen framhöll vidare att myn- digheterna är rättsligt förpliktade att bevara allmänna handlingar och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således tillåten enligt artikel 7. För myndigheternas bevarande av känsliga personuppgifter ansågs det däremot behövas ett undantag enligt artikel 8.4, vilket var möjligt enligt direktivet då bevarandet utgör ett viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Att arkivmyndigheter lämnar ut icke sekretess- belagda uppgifter med stöd av offentlighetsprincipen kunde inte heller anses oförenligt med de ändamål för vilka uppgifterna sam- lades in, framhöll regeringen (prop. 1997/98:44 s. 47 f.).

Bestämmelsen i 10 § arkivlagen om att avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förord- ning ska ha företräde framför arkivlagens gallringsregler syftar inte på personuppgiftslagens bestämmelser om hur länge personupp- gifter får bevaras. Arkivlagstiftningen har alltså i fråga om allmänna handlingar företräde framför personuppgiftslagens bestämmelser om längsta bevarandetid. I detta avseende kan alltså sägas att intresset av att bevara allmänna handlingar har prioriterats framför integritets- skyddsintresset.

För personuppgifter som inte ingår i allmänna handlingar gäller dock det grundläggande kravet i 9 § första stycket i PuL om att myndigheter inte får bevara personuppgifter under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behand- lingen. Sådana uppgifter ska således avidentifieras eller förstöras eller, med den arkivmässigt relevanta termen, rensas bort när de inte längre behövs. Det torde inte vara aktuellt med fortsatt bevarande av sådana uppgifter för historiska, statistiska eller vetenskapliga ändamål. Om så ändå sker, följer av 2 kap. 9 § TF att handlingarna vari personuppgifterna ingår torde vara att betrakta som allmänna genom att de blivit omhändertagna för arkivering.

Myndigheter har inte exkluderats från den s.k. missbruksregelns tillämpningsområde. Personuppgiftslagens krav i fråga om person- uppgifter som inte ingår i allmänna handlingar torde därmed inte nödvändigtvis gälla i fråga om personuppgifter som förekommer hos myndigheter i s.k. ostrukturerat material.

529

Bevarande och gallring

SOU 2015:39

Förslaget till uppgiftsskyddsförordning

Kommissionen

Även i förslaget till allmän uppgiftsskyddsförordning finns bestäm- melser om längsta bevarandetid.

I förslagets artikel 5 e anges att personuppgifterna ska förvaras i en form som förhindrar identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas; personuppgifter får lagras under längre perioder i den mån som uppgifterna endast behandlas för histo- riska, statistiska eller vetenskapliga forskningsändamål i enlighet med bestämmelserna och villkoren i artikel 83 och om en periodisk översyn genomförs för att bedöma behovet av fortsatt lagring.

Den sistnämnda artikeln handlar enbart om behandling för historiska, statistiska och vetenskapliga forskningsändamål. Där före- slås bl.a. att personuppgifter får behandlas för historiska, statistiska och vetenskapliga forskningsändamål endast under förutsättning att dessa ändamål inte kan uppfyllas på annat sätt genom behand- ling av uppgifter som inte medger eller inte längre medger identi- fiering av den registrerade samt att uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar regi- strerad person ska hållas åtskilda från övrig information så länge som dessa ändamål kan uppfyllas på det sättet. Dessutom får som huvudregel uppgifter inte publiceras eller annars röjas.

Enligt artikel 17 föreslås att den registrerade under vissa förhåll- anden får en rätt att bli bortglömd och en rätt att utverka radering av personuppgifter som rör vederbörande. Enligt kommissionen är detta en precisering av den rätt till radering som föreskrivs i arti- kel 12 b i direktivet (se kommissionens förklaring till förordningen, avsnitt 3.4.3.3). Den registeransvarige ska då avstå från ytterligare spridning av sådana uppgifter, särskilt när det gäller personuppgifter som gjordes tillgängliga av den registrerade när vederbörande var barn. Bland annat kan detta gälla om uppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. Den registeransvarige ska genomföra en radering utan dröjsmål, utom i den utsträckning som det är nödvändigt att bevara personuppgifterna för bl.a. historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83 (artikel 17.3 c) eller för att iakt- ta en rättslig förpliktelse att bevara personuppgifter enligt unions-

530

SOU 2015:39

Bevarande och gallring

lagstiftningen eller enligt en medlemsstats lagstiftning som den regi- steransvarige lyder under (artikel 17.3 d). I det sistnämnda fallet krävs dock att medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

Europaparlamentet

Europaparlamentet har föreslagit vissa ändringar i förordningen av intresse för bevarandefrågorna. Det föreslås bl.a. att arkivändamål förs in i artikel 5 e som ett lagringsändamål vid sidan om historiska, statistiska eller vetenskapliga forskningsändamål. Vidare föreslås en ändring i artikel 9.2 enligt vilken nödvändig behandling för arkiv- tjänster tas in som ett nytt undantag från förbudet att behandla känsliga personuppgifter.

Möjligheterna till behandling för arkivtjänster regleras vidare i en av parlamentet föreslagen ny artikel 83 a enligt vilken person- uppgifter får, under en längre tid än vad som är nödvändigt för att uppnå syftena med den behandling för vilken uppgifterna samlats in, behandlas av arkivtjänster vilkas huvudsakliga uppgift eller lag- stadgade uppgift är att samla in, lagra, tillhandahålla information om, använda och sprida arkivalier i det allmännas intresse, särskilt för att försvara enskildas rättigheter eller för historiska, statistiska eller vetenskapliga forskningsändamål. Dessa uppdrag ska utföras i enlighet med medlemsstaternas bestämmelser om tillgång till och utlämnande och spridning av administrativa handlingar eller arkiv- handlingar och i enlighet med bestämmelserna enligt förordningen, särskilt vad gäller samtycke och rätten att göra invändningar.

Några kommentarer

Kommissionens förslag innebär en viss uppstramning när det gäller de allmänna och grundläggande förutsättningarna för att bevara personuppgifter jämfört med motsvarande reglering i dataskydds- direktivet. Bland annat genom uttryckligt krav på regelbundna om- prövningar av behovet av fortsatt lagring av uppgifter om identifier- bara personer (artikel 5) och krav på att personuppgifter som be-

531

Bevarande och gallring

SOU 2015:39

varas för historiska, statistiska eller vetenskapliga forskningsända- mål om möjligt ska lagras i kodad form åtskilda från den s.k. kod- nyckeln (artikel 83). Enligt vår bedömning är det dock inte särskilt troligt att just dessa förslag har direkt betydelse för myndigheter- nas arkivverksamhet.

Förslaget i artikel 17 om den registrerades rätt att bli bortglömd och utverka radering förefaller ge registrerade, under vissa förhåll- anden, en rätt till utplåning som kan liknas vid en rätt till gallring. Det verkar dock på nuvarande stadium inte troligt att förslaget får någon omedelbar betydelse för svenska myndigheters bevarande och arkiverande av allmänna handlingar. Det finns skäl att tro att förändringar i kommissionens förslag kommer att skapa ett större utrymme för undantag för den offentliga sektorn och för nationell lagstiftning rörande myndigheternas personuppgiftsbehandling.

14.3Reglering i registerförfattningar

När stora mängder personuppgifter samlas hos myndigheter upp- står oundvikligen integritetsrisker, i synnerhet då informations- teknikens utveckling inneburit ständigt förbättrade möjligheter till avancerade sök- och sammanställningar av personuppgifter på ganska enkla sätt. Redan då databaserade myndighetsregister började dis- kuteras i den allmänna debatten uppmärksammades att det var viktigt från integritetssynpunkt att personregister gallrades. I data- lagens (1973:289) förarbeten lyftes bl.a. fram som en integritetsrisk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad påverkar hans eller hennes möjligheter i framtiden (prop. 1973:33 s. 42 och 129). Enligt datalagen förutsattes Datainspektionen med- dela föreskrifter om bl.a. bevarande och gallring även av myndig- heters personregister, i den mån det behövdes för att förebygga otillbörliga intrång i den personliga integriteten.

Bakgrunden till utformningen av 10 § tredje stycket arkivlagen om att avvikande bestämmelse om gallring av vissa allmänna hand- lingar i annan lag eller förordning gäller före arkivlagen är följande. I förarbetena till arkivlagen påpekade föredragande departements- chef att man när det gäller bevarande av allmänna handlingar också måste föra in integritetsaspekten. Integritetshänsyn kunde leda till att material inte bevarades i den utsträckning som hade varit önsk-

532

SOU 2015:39

Bevarande och gallring

värd från andra synpunkter eller att tillgången till bevarat material begränsades. Sådana av integritetshänsyn påkallade avvikelser från huvudregeln om bevarande borde dock tas in i de särskilda lagar som reglerar integritetskänsliga akter och register. Reglerna kunde därmed bäst anpassas efter vad det speciella materialet kräver (prop. 1989/90:72 s. 32).

Det finns ingen allmän bestämmelse i arkivlagen om hur inte- gritetsintressena, som talar för gallring, ska vägas mot de intressen som anges i 3 § arkivlagen om arkivens syfte. Den föredragande departementschefen uttalade emellertid i motiven till arkivlagen att bestämmelser i registerförfattningar om gallringsskyldighet som regel bör ges i lag (a. prop. s. 77). Vid sin behandling av regeringens förslag framhöll kulturutskottet nödvändigheten av att göra en av- vägning mellan olika intressen när det gäller gallring och att därvid integritetsaspekten är särskilt viktig att beakta. Vidare underströk utskottet att huvudregeln för gallring är att särbestämmelser bör ha lagform, vilket ju hade slagits fast i propositionen. Utskottet delade dock den bedömning som hade gjorts där om att det bör finnas möjlighet att göra undantag från huvudregeln med tanke på att det kan finnas fall då en lagreglering enbart med hänsyn till en gall- ringsbestämmelse vore onödig (1989/90:KrU29 s. 12 f.).

Vidare konstaterades i motiven till arkivlagen, mot bakgrund av då gällande registerförfattningar, att gallringsbestämmelserna i fler- talet registerförfattningar var konstruerade utifrån en omvänd prin- cip i förhållande till den som den föreslagna arkivlagen skulle bygga på, nämligen att gallring ska ske om inte något annat uttryckligen föreskrivits (a. prop. s. 50 f.). Enligt departementschefen var denna omvända princip eller presumtion i förhållande till arkivlagen rimlig med hänsyn till de integritetsintressen som kan föreligga på de sär- skilda registerförfattningarnas område.

När det däremot gällde undantag från gallringsskyldigheten fram- hölls att det från lagstiftningsteknisk synpunkt fanns anledning att se något olika på de undantag som kan komma i fråga. Undantag som förestavas av hänsyn till insynsaspekten och myndighetens informationsbehov samt rättssäkerhetsaspekter bör och kan som regel tas in direkt i den särskilda registerlagen. Sådana frågor kan nämligen normalt regleras genom generella bestämmelser. Däremot borde, menade departementschefen, konkreta avgöranden av vilka handlingar som bör bevaras med hänsyn till forskningens behov i

533

Bevarande och gallring

SOU 2015:39

princip överlåtas på fackkunnigt folk inom arkivmyndigheterna. När det gäller bevarande för forskningens behov förordade departe- mentschefen således att det i lagen slogs fast att, utöver de undan- tag från gallringsplikten som konkret angavs i lagen, ytterligare undantag fick föreskrivas av regeringen eller den myndighet som regeringen bestämde.

I flertalet registerförfattningar finns bestämmelser om bevarande och gallring. Den normala principen för dessa bestämmelser är att presumtionen är omvänd i förhållande till arkivlagens huvudregel om bevarande av allmänna handlingar. I registerförfattningarna föreskrivs normalt att gallring ska ske på vissa sätt, dvs. utgångs- punkten är obligatorisk gallring, men att undantag får föreskrivas. Det är vanligt att principen om gallring som huvudregel återfinns i lagen medan det i förordningar som utfärdats i anslutning till regi- sterlagen har överlåtits åt Riksarkivet att meddela närmare före- skrifter om undantag från gallring.

I den mån det i särförfattningar för myndigheters registerföring eller annan behandling av personuppgifter inte finns gallringsbestäm- melser, tillämpas däremot arkivlagens bestämmelser om bevarande som huvudprincip och med närmare föreskrifter, som meddelats i anslutning till arkivlagen, om när gallring får ske. Utgångspunkten här är alltså att gallring är en frivillig åtgärd för den arkivbildande myn- digheten.

Det kan avslutningsvis noteras att arkivlagstiftningen inte med- för några rättigheter för enskilda registrerade. En utebliven obliga- torisk gallring enligt en föreskrift i en registerlag torde däremot t.ex. kunna vara i och för sig skadeståndsgrundande enligt 48 § PuL förutsatt att den bestämmelsen även gjorts tillämplig vid person- uppgiftsbehandlingen enligt registerlagen i fråga.

Exempel på utformningen av regler om bevarande och gallring i registerförfattningar

Lagen om behandling av personuppgifter om totalförsvarspliktiga

I 15 § lagen (1998;938) om behandling av personuppgifter om total- försvarspliktiga föreskrivs att en personuppgift i ett automatiserat register över totalförsvarpliktiga ska gallras så snart uppgiften inte längre behövs för de ändamål för vilken behandling får ske enligt

534

SOU 2015:39

Bevarande och gallring

lagen. Gallring är alltså huvudregel och i första hand knuten till lagens ändamålsbestämning. Regeringen får meddela föreskrifter om undantag från gallring i fråga om bevarande av material för forskningens skull. Sådana uppgifter ska dock avföras från registret vid den tidpunkt då de annars skulle ha gallrats enligt lagen. I en anslutande förordning har Riksarkivet bemyndigats att meddela undantag från gallringsbestämmelserna för att tillgodose forskningens behov.

I förarbetena betonade regeringen att gallringsbegreppet används i lagen på samma sätt som enligt Riksarkivets definition och att gall- ring alltså kan ske genom att uppgifterna förs över på ett annat medium, t.ex. på en mikrofilm, innan de raderas eller utplånas i registret förutsatt att överföringen innebär förlust av möjligheter till informationssammanställningar eller förlorade sökmöjligheter. Dock innebär gallringskravet alltid att personuppgifter ska tas bort från registret. Med tanke på personuppgifternas stora värde för forsk- ning om t.ex. förändringar i folkhälsan fanns dock befogade skäl, menade regeringen, till undantag från gallringskravet. Därmed skulle det inte vara nödvändigt att överföra uppgifterna till annan data- bärare med någon typ av informationsförlust som följd. Däremot borde personuppgifterna ”avföras, dvs. tas bort från registret”. Vilka uppgifter som ska bevaras med hänsyn till forskningens behov borde Riksarkivet ha att avgöra (prop. 1997/98:80 s. 70 f.).

Lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet

Enligt de allmänna bestämmelserna i lagen (2001:184) om behand- ling av uppgifter i Kronofogdemyndighetens verksamhet ska upp- gifter som behandlas i någon av Kronofogdemyndighetens olika databaser – utsöknings- och indrivningsdatabasen, betalningsföre- läggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen – gallras enligt olika gallringsfrister bero- ende på till vad för slags ärende uppgifterna hör (2 kap. 6, 12, 18 och 23 §§). I lagen gäller således gallringsskyldighet som huvud- princip. Undantag från den huvudprincipen meddelas av regeringen eller myndighet som regeringen bestämmer.

I förarbetena anfördes att Kronofogdemyndighetens databaser var särskilt integritetskänsliga och att arkivlagens bestämmelser därför

535

Bevarande och gallring

SOU 2015:39

inte borde gälla. I stället borde gallring vara huvudregel med möj- lighet för Riksarkivet att föreskriva eller besluta om undantag när det anses motiverat. På så sätt blir det möjligt att ta hänsyn till såväl offentlighets- som integritetsintresset utan en omfattande och till- krånglad författningsreglering (prop. 2000/01:33 s. 118).

Riksarkivet har alltså bemyndigats att, efter samråd med Krono- fogdemyndigheten, meddela föreskrifter om att handlingar och uppgifter får bevaras under längre tid än vad som följer av lagen. Uppgifter och handlingar i skuldsaneringsdatabasen har genom en sådan föreskrift undantagits helt från gallring (RA-MS 2011:29). De ska alltså bevaras. Däremot ska inkommande pappershandlingar i skuldsaneringsprocessen som skannats in i ärendehanteringssyste- met gallras. Likartade föreskrifter finns för konkurstillsynsdatabasen (RA-MS 2012:17).

Socialförsäkringsbalken

Enligt 114 kap. 31 § SFB ska personuppgifter gallras när de inte längre är nödvändiga för de primära ändamål som de behandlats för. Regeringen eller myndighet som regeringen bestämmer kan dock meddela föreskrifter om att uppgifter får bevaras för histo- riska, statistiska eller vetenskapliga ändamål.

I de ursprungliga motiven till föreskrifterna (prop. 2002/03:135 s. 122 f.) gjordes bedömningen att en föreskrift om bevarande för historiska, statistiska och vetenskapliga ändamål innebär bl.a. att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov får be- aktas, dvs. de ändamål som arkivlagen syftar till att tillgodose. Riksarkivet har meddelat föreskrifter med relativt omfattande undan- tag från gallringsskyldigheten.

Det kan nämnas att Lagrådet hade anfört att en huvudregel om gallring utifrån en behovsprövning i förhållande till ändamålen knappast tillförde något utöver vad som följer av 9 § PuL. Av flera skäl ansåg Lagrådet att en tillämpning av arkivlagens bevarande- och gallringsregel i stället vore att föredra, bl.a. eftersom huvud- regeln om gallring är så vag att det blir regeringen eller den myn- dighet som regeringen bestämmer som kommer att ge bestämmel- sen innehåll (a prop. s. 165).

536

SOU 2015:39

Bevarande och gallring

Det finns många fler registerförfattningar som på motsvarande sätt föreskriver att bevarande, trots huvudregler om gallring, får ske för historiska, statistiska eller vetenskapliga ändamål som undantag från en huvudprincip om gallring. Här kan noteras att vid angiv- ande av för vilka syften fortsatt bevarande får ske, så är det de ända- mål som enligt dataskyddsdirektivet och personuppgiftslagen kan motivera långtidslagring som används och inte något av de ändamål för bevarande av allmänna handlingar som anges i 3 § arkivlagen.

Förordningen om registerföring m.m. vid allmän domstol med hjälp av automatiserad behandling

Uppgifter i elektroniska verksamhetsregister vid allmänna domstolar – som utgör domstolarnas mål- och ärendehanteringssystem – ska alltid gallras inom vissa tidsramar räknade från avgörandeåret. Någon möjlighet till undantag är inte föreskriven. Dock föreskrivs att domstolen innan uppgifterna gallras ska se till att uppgifterna be- varas i skrift, dvs. i form av pappersutskrifter, i den omfattning som Domstolsverket föreskriver, se 5 § förordningen (2001:639) om registerföring m.m. vid allmän domstol med hjälp av automatiserad behandling.

I förslaget till domstolsdatalag föreslås inga gallringsregler utan elektroniskt bevarande av allmänna handlingar ska regleras av arkiv- lagen, arkivförordningen och Riksarkivets föreskrifter (Ds 2013:10). Övriga personuppgifter som inte är allmänna handlingar – t.ex. en föredragningspromemoria eller ett domsutkast – ska få bevaras så länge det är nödvändigt med hänsyn till ändamålen för behand- lingen eller om bevarandet sker för historiska, statistiska eller veten- skapliga ändamål. Skälet till nyordningen i förhållande till gällande rätt motiveras med att domstolsdatalagen ska möjliggöra en ord- ning med s.k. e-akter vilket kräver en anpassning av regleringen om bevarande och gallring.

I stället för gallring av integritetshänsyn föreslås införandet av ett kompletterande integritetsskydd genom att det meddelas bestäm- melser i förordning eller myndighetsföreskrifter om att tillgången till elektroniskt bevarade uppgifter i avslutade mål och ärenden ska begränsas i tid och omfattning och kringgärdas av olika åtgärder. Bland annat anges att uppgifterna, när viss tid gått, ska överföras till ett separat datorsystem för fortsatt bevarande med vissa begränsningar

537

Bevarande och gallring

SOU 2015:39

vad avser t.ex. sökning, direktåtkomst, säkerhet och intern åtkomst (a. a. s. 150 f.). Förslaget i denna del synes vara inspirerat av polis- datalagstiftningens reglering om att personuppgifter som inte ska gallras ska avskiljas från den brottsbekämpande verksamheten när de efter vissa angivna tidsfrister och förutsättningar inte längre får behandlas för brottsbekämpande ändamål, se t.ex. 3 kap. 9–11 §§ jämfört med 2 kap. 12 § andra stycket polisdatalagen (2010:361) (prop. 2009/10:85 s. 203 f). Enligt 19 § polisdataförordningen (2010:1155) ska åtkomsten till avskilda uppgifter och handlingar, dvs. till det digitala arkivet, begränsas till särskilt angivna tjänste- män. Liknande bestämmelser finns bl.a. i 12 § kustbevakningsdata- förordningen (2012:146).

Studiestödsdatalagen

Enligt 16 § studiestödsdatalagen (2009:287) ska personuppgifter i ärenden gallras senast inom vissa tidsfrister som är knutna till ärende- relaterade slutpunkter eller registreringsdatum. Riksarkivet får, med undantag från 16 § och efter samråd med Datainspektionen, meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål eller för redovisningsändamål. Centrala studie- stödsnämnden, dvs. den arkivbildande myndigheten, får vidare, trots lagens krav på gallring, i enstaka fall besluta att personuppgifter i ett ärende om studiestöd ska bevaras på papper eller annat medium som inte är elektroniskt.

I författningskommentaren till 16 § anförde regeringen att med gallring avses enligt paragrafen att personuppgifterna förstörs så att de inte kan återskapas. Det är alltså inte tillåtet för myndigheten att inför gallringen av de behandlade personuppgifterna föra över dem på annat medium, t.ex. papper. I den allmänna motiveringen an- fördes dock att det i enstaka fall kunde finnas behov av ett sådant förfarande, t.ex. i samband med en granskning av ärendet hos myn- dighet med tillsynsfunktioner eller i fråga om beslut i ett ärende som överklagats och där överprövningen ännu inte är klar (prop. 2008/09:96 s. 73 och 87).

Det kan konstateras att den innebörd som i detta lagstiftnings- ärende lagts in i begreppet gallring inte framgår av lagtexten. Någon motsvarande reglering om att tillåta utskrifter på papper trots lagens

538

SOU 2015:39

Bevarande och gallring

krav på gallring tycks inte finnas i någon annan nu gällande register- författning.

Lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.

Enligt 14 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska personuppgifter som utgångspunkt gallras så snart de inte längre behövs för de ändamål som de behandlas för. Av intresse här är 3 och 4 §§ i anslutande förordning (2012:742) som föreskriver att Institutet ska upprätta särskilda rutiner för gallring av de uppgifter som har behandlats i verksamheten. Institutet ska dels efter varje avslutat projekt, dels kontinuerligt pröva vilka uppgifter som kan gallras och vilka uppgifter som måste bevaras för att myndigheterna ska kunna fullgöra sitt uppdrag. Vidare föreskrivs uttryckligen att Riksarkivet – då det är aktuellt att föreskriva undantag från gall- ringsreglerna – ska väga intresset av att uppgifterna bevaras (forsk- ningens behov) mot behovet av skydd för den enskildes personliga integritet.

Några kommentarer och reflektioner

Exemplifieringen ovan visar att registerförfattningarnas regler om bevarande och gallring inte är enhetligt utformade.

Visserligen kan skillnader vara sakligt motiverade på grund av de speciella förhållandena för personuppgiftsbehandlingen i fråga. Huru- vida gallring är huvudprincip eller inte kan ha samband med hur integritetskänslig den reglerade informationshanteringen är eller för vilka ändamål som personuppgiftsbehandlingen sker. Likaså kan skillnader i hur gallringstider är bestämda – till vissa tidsfrister utifrån sakliga förhållanden eller till behovet utifrån ändamålen med personuppgiftsbehandlingen – te sig i sitt sammanhang välgrundade.

Det finns emellertid skillnader i utformningen av regleringen som väcker frågor.

En sådan fråga är att det kan vara svårt att bedöma vad gallring enligt registerförfattningarnas bestämmelser konkret innebär i fråga om faktisk informationsförlust. Med tanke på de många undantag

539

Bevarande och gallring

SOU 2015:39

som har föreskrivits av Riksarkivet är det vidare svårt att skaffa sig överblick över vilka konkreta konsekvenser registerförfattningar med gallring som huvudprincip innebär i kvantitativ och kvalitativ mening för myndigheternas informationstillgångar jämfört med om arkivlagens huvudprincip om bevarande hade varit tillämplig. I exemplen ovan med Kronofogdemyndighetens skuldsaneringsdata- bas och konkurstillsynsdatabas är undantagen från registerförfatt- ningens huvudprincip om gallring så omfattande att det i praktiken har skett ett slags återgång till arkivlagstiftningens grundregel om bevarande.

I en del författningar är det vidare oklart om det som åsyftas handlar om ett fullständigt förstörande eller om en partiell gallring som t.ex. innebär att informationen bara tas bort från ett register eller ett ärendehanteringssystem men kommer att bevaras i annan form, på pappersutskrifter eller liknande. Som regel framgår inte av författningarna vad som egentligen avses. Det är vidare ofta oklart om avsikten har varit att helt överlåta den bedömningen åt den arkiv- och personuppgiftsansvariga myndigheten.

I de fall där det i vart fall indirekt framgår om det är fullständig eller partiell gallring som avses harmonierar emellertid reglerna inte med varandra i så måtto att begreppet gallring har olika innebörd i olika författningar. I ett fall behandlas bevarande av pappersutskrif- ter från elektroniska allmänna handlingar som ett undantag från gallringsplikten. I ett annat fall beskrivs samma förfarande såsom ett moment i den föreskrivna gallringen. Förekomsten av sådana sinsemellan motstridiga regleringar är olycklig och underlättar inte förståelsen om vad som följer av de aktuella regelverken. När det gäller rena begreppsfrågor förefaller det alltså finnas en risk för att den varierande och inte helt enhetliga användningen i register- författningar av förekommande begrepp – gallra, förstöra, utplåna, avföra, ta bort – leder till osäkerhet vid tillämpningen.

Vidare förekommer olika varianter av registerförfattningars beskrivningar av för vilka syften personuppgifter ska bevaras, antingen hänvisas till den dataskyddsrättsliga lokutionen ”historiska, statistiska eller vetenskapliga ändamål” eller så hänvisas till arkivens syften enligt 3 § arkivlagen. Om begreppsvalet innebär någon skill- nad i sak är emellertid tveksamt. I allt väsentligt överlappar de syften som anges i 3 § arkivlagen personuppgiftslagens motsvarighet och regeringen har i motiven till personuppgiftslagen uttalat att arkiv-

540

SOU 2015:39

Bevarande och gallring

lagens syften ryms inom begreppen historiska, statistiska och veten- skapliga ändamål (prop. 1997/98:44 s. 47). Vissa mindre skillnader finns dock. Exempelvis torde arkivlagens forskningsbegrepp, som i sitt sammanhang inkluderar amatörforskning, vara ett mera vid- sträckt ändamål än det som ligger i personuppgiftslagens begrepp vetenskapligt ändamål. Rättsligt sett vållar detta måhända inte några problem eftersom historiska ändamål bör kunna omfatta amatör- forskning, t.ex. släktforskning. Man kan dock fråga sig i vad mån bevarande för ”statistiska ändamål” passar ihop med arkivregleringen.

En annan reflektion är att Riksarkivet, till skillnad från vad som förutsattes vid arkivlagens införande, numera har att göra många slags avvägningar mellan integritetsintresset och de olika ändamål för vilka ett fortsatt bevarande kan vara påkallat. Riksarkivets be- vakningsområde kan därmed sägas ha vuxit efter hand; från ambi- tionen vid arkivlagens införande med tonvikt på ansvaret för att verka för att forskningens långsiktiga behov tillgodoses till att också bevaka inte bara allmänhetens rätt till insyn, rättskipningens och förvaltningens behov utan även skyddet av registrerades personliga integritet och ibland även behovet av statistikproduktion.

Slutligen kan anmärkas att det inte sällan anges i registerförfatt- ningar att det är personuppgifter som ska gallras. Rättsligt sett förefaller det kunna uppstå ett glapp mellan vad som ska ske med personuppgifter respektive med vad som får ske med uppgifter om sakförhållanden m.m. som rimligen inte kan anses vara person- uppgifter och som kan tänkas förekomma i samma handling eller upptagning. Bedöms det saknas stöd att gallra även sådana övriga uppgifter torde allmänna handlingar få gallras genom att avidenti- fieras, vilket kan antas vara praktiskt komplicerat och kostsamt. Under alla förhållanden förefaller det inte vara särskilt ändamåls- enligt med bestämmelser om gallring enbart av personuppgifter som förekommer i färdiga elektroniska handlingar, t.ex. inlagor som skannats in för lagring i ett elektroniskt ärendesystem.

541

Bevarande och gallring

SOU 2015:39

14.4Våra överväganden och förslag

14.4.1Allmänna utgångspunkter

Av redogörelsen i avsnitt 14.1 och 14.2 framgår att regleringen av hur länge personuppgifter får bevaras hos myndigheter är komplex i och med att behandlade personuppgifter så gott som alltid ingår i upptagningar som är eller kommer att bli allmänna handlingar hos myndigheterna. Sådana handlingar omfattas av ett regelverk rörande bevarande som kan sägas ha en diametralt motsatt utgångspunkt mot vad det persondataskyddsrättsliga regelverket har. I det ena fallet är bevarande huvudregeln medan motsatsen gäller i det andra.

I personuppgiftslagen regleras denna konflikt genom bestäm- melsen i 8 § andra stycket PuL som innebär att personuppgifts- lagens föreskrifter inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet samt att 9 § fjärde stycket inte gäller för en myndighets användning av personuppgifter i allmänna handlingar, dvs. att personuppgifter i arkiverade handlingar får användas för att vidta åtgärder i fråga om den registrerade. Detta förhållande gäller normalt sett generellt, dvs. för såväl myndighetsverksamhet som omfattas av registerförfattningar som verksamhet som regleras enbart genom personuppgiftslagen. Utgångspunkten kan därmed sägas vara att myndigheters arkivbildning och arkivmyndigheters omhänder- tagande av arkivmaterial har getts företräde.

Samtidigt förhåller det sig alltså så, att det i många register- författningar – både sådana som vi kallar informationshanterings- författningar och sådana som rör specifika register – har införts huvudregler om gallring som i väsentlig omfattning modifierar arkiv- lagstiftningens grundläggande krav på bevarande.

14.4.2Vilken huvudprincip bör gälla?

Förslag: Arkivlagstiftningens bestämmelser om bevarande och gallring ska gälla enligt den nya lagen vid myndigheters be- handling av personuppgifter som ingår i eller kan komma att ingå i allmänna handlingar. Detta ska framgå genom en hänvis- ning till 8 § andra stycket PuL som alltså ska ha motsvarande

542

SOU 2015:39

Bevarande och gallring

tillämpning vid myndigheters behandling av personuppgifter en- ligt den nya lagen.

Sedan införandet av arkivlagen har den informationstekniska utveck- lingen medfört avsevärda förändringar. Mycket stora informations- mängder samlas numera i myndigheternas datorsystem med alltmer avancerade möjligheter för sökning, bearbetning och sammanställ- ning. Det är givet att den potentiella risken för integritetsintrång ökar med denna utveckling. Även om sekretessreglering finns på mer integritetskänsliga områden kan stora mängder information vara åtkomliga för många hos myndigheterna.

Detta skulle kunna tala för att man på motsvarande sätt som gjorts i flera informationshanteringsförfattningar i den nya lagen om myndigheters personuppgiftsbehandling inför en huvudprincip om att gallring ska ske, dvs. en gallringspresumtion. Det finns dock skäl som med styrka talar emot detta.

Det finns numera i praktiken knappast något alternativ till elek- tronisk informationshantering och tekniken ger förutsättningar för effektivisering, förbättrad service och ökad rättssäkerhet i myndig- heternas verksamhet vilket det är ett starkt samhälleligt intresse att ta tillvara. På motsvarande sätt är det ett starkt samhälleligt intresse att informationstekniken kan tas tillvara för att ge allmänheten in- syn i myndigheternas verksamhet liksom att myndigheternas infor- mationssamlingar kan användas som en samhällelig resurs och inte bara för myndigheternas omedelbara behov. Elektronisk primär lag- ring av information har blivit allt mer vanlig, liksom digital arki- vering av allmänna handlingar. Med en elektronisk informations- hantering som är en integrerad del av myndigheternas verksamheter på alla nivåer blir den tidigare vanliga ordningen för registerför- fattningar med gallring som huvudregel och bevarande som undan- tag allt svårare att hävda utan allvarliga konsekvenser för offentlig- hetsinsynen och de övriga intressen som bär upp arkivverksam- heten och som anges i 3 § arkivlagen.

Den nya lagen ska kunna tillämpas av ett stort antal statliga och kommunala myndigheter alldeles oavsett karaktären på deras infor- mationshantering och graden av integritetskänslighet i den person- uppgiftsbehandling som äger rum. En allmän huvudregel om att personuppgifter i allmänna handlingar ska gallras skulle därför i praktiken behöva förses med så många och omfattande undantag

543

Bevarande och gallring

SOU 2015:39

att den i realiteten skulle komma att sakna egentlig funktion sam- tidigt som dessa undantagsregler skulle fordra mycket stora arbets- insatser att ta fram.

Mot den angivna bakgrunden anser vi att en bestämmelse om gallring som huvudprincip när det gäller myndigheters behandling av personuppgifter i allmänna handlingar knappast kan komma i fråga beträffade den nya lagen. I stället ska den arkivrättsliga huvud- regeln om bevarande vara grunden för myndigheters behandling av personuppgifter. I den nya lagen bör det därmed, menar vi, komma till uttryck att arkivlagstiftningen gäller för myndigheternas behand- ling av personuppgifter som ingår i allmänna handlingar.

I registerförfattningar som konstruerats på motsvarande sätt som den vi föreslår – dvs. genom en reglering som ersätter personupp- giftslagen men anger olika bestämmelser i personuppgiftslagen som ändå ska tillämpas – hänvisas utan undantag till 8 § PuL om för- hållandet till offentlighetsprincipen, dvs. inbegripet paragrafens andra stycke.

Vi anser att en motsvarande hänvisning bör tas in i den nya lagen. Av hänvisningen följer att varken övriga tillämpliga bestämmelser i personuppgiftslagen eller bestämmelserna i den nya lagen utgör något hinder mot att en myndighet arkiverar och bevarar allmänna handlingar eller att en arkivmyndighet behandlar personuppgifter genom att överta arkivmaterial från en arkivbildande myndighet eller en enskild.

14.4.3Regler om undantag från huvudregeln om bevarande

Bedömning: Det finns inte anledning att i den nya lagen införa bestämmelser om att viss gallring ska ske.

Det förhållandet att vi inte anser att den nya lagen kan bygga på en presumtion om gallring innebär på inget sätt att gallring av allmänna handlingar skulle sakna betydelse som metod att skydda enskildas personliga integritet.

Vi har därför ställt oss frågan om det finns behov av någon gene- rell gallringsbestämmelse som skulle gälla för alla myndigheter vars personuppgiftsbehandling omfattas av den nya lagen. Vi har emeller- tid dragit den slutsatsen att så inte är fallet.

544

SOU 2015:39

Bevarande och gallring

Den avvägning som måste göras mellan å ena sidan intresset av bevarande – dvs. intresset av allmänhetens insyn i allmänna hand- lingar, behovet av information för rättskipningen och förvaltningen, kulturarvsaspekten samt forskningens behov – och, å andra sidan, intresset av gallring med syftet att tillgodose registrerades behov av skydd för sin personliga integritet kan nämligen inte göras utifrån generella utgångspunkter. Avsteg från bevarandepresumtionen i arkivlagstiftningen och därmed från den grundregel som ska gälla vid behandling av personuppgifter enligt den nya lagen bör alltså även i fortsättningen utformas utifrån vad som är påkallat på det särskilda området i fråga efter en ingående och noggrann avvägning mellan de skäl som kan tala för respektive mot bevarande. Det betyder att gallringsbestämmelser måste vara tämligen specifika.

Det ska vidare framhållas att de avvägningar som då ska göras kan vara komplicerade, inte minst därför att det inte är givet att gallring alltid ligger i den registrerades intresse i det långa loppet. Man kan alltså inte alltid utgå från att ett bevarande inte skulle vara av värde för den registrerade. Det kan tvärtom vara av stort värde att kunna få tillgång till arkiverat material för att bringa klarhet i händelseförlopp i handläggningen av ett sedan länge avslutat ärende. Detta intresse kan, men behöver inte, stå i motsats till graden av integritetskänslighet i materialet. Erfarenheterna visar att förekom- sten av arkiverade handlingar från höggradigt integritetskänslig verksamhet många år senare kan få mycket stor betydelse för indi- vider vars personuppgifter förekommer i handlingarna.

Av 10 § tredje stycket arkivlagen framgår att från arkivlagen av- vikande gallringsbestämmelser i annan lag eller förordning har före- träde framför arkivlagen. Det behöver därmed inte föreskrivas i den nya lagen att särskilda gallringsbestämmelser kan gälla i stället för arkivlagstiftningens bestämmelser om bevarande och gallring. En helt annan sak är att sådana särskilda gallringsbestämmelser, i linje med vad vi föreslår beträffande exempelvis särskilda bestämmelser om sökbegränsningar, med fördel kan tas in i en bilaga till den nya lagen eller meddelas i en till den lagen anslutande förordning.

Det kan här erinras om att bestämmelser om gallring i arkiv- vårdande syfte, dvs. som motiveras av att begränsa arkiven till att omfatta bara det som har ett informationsvärde för framtiden, givetvis också gäller vid myndigheters behandling av personupp- gifter. Det följer av arkivlagen eller föreskrifter som meddelats med

545

Bevarande och gallring

SOU 2015:39

stöd av arkivlagen. Arkivlagens bestämmelser kommer därför att gälla parallellt med eventuella särskilda gallringsbestämmelser. På det statliga området finns sådana gallringsföreskrifter som är gene- rella eller myndighetsspecifika och som meddelats av Riksarkivet. Indirekt kan sådana gallringsföreskrifter ha betydelse även för inte- gritetsskyddet och förefaller också tillämpas med den biavsikten. Ett exempel är Riksarkivets föreskrifter och allmänna råd om gall- ring av handlingar av tillfällig eller ringa betydelse (RA-FS 1991:6; ändrad genom RA-FS 1997:6). Under förutsättning att allmänhet- ens rätt till insyn inte åsidosätts och att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning får sådana hand- lingar gallras av statliga förvaltningsmyndigheter (7 §). E-delega- tionen har i delbetänkandet Så enkelt som möjligt för så många som möjligt – Bättre juridiska förutsättningar för samverkan och service framhållit att den bestämmelsen kan användas för att besluta om s.k. omedelbar gallring i samband med att enskildas användning av e-tjänster i form av presentationstjänster och hjälptjänster till- fälligt genererar allmänna handlingar vilka bedöms vara av tillfällig betydelse och sakna betydelse från offentlighetssynpunkt (SOU 2014:39 s. 103 f.).

14.4.4Utformningen av specifika gallringsbestämmelser

Bedömning: Särskilda gallringsbestämmelser bör utformas i enlig- het med arkivlagstiftningens terminologi och enbart ta sikte på att begränsa hur länge personuppgifter i allmänna handlingar får bevaras.

De gallringsbestämmelser som behövs till skydd för registrerades integritet vid myndigheters behandling av personuppgifter enligt lagen bör alltså enligt vårt förslag även fortsatt utformas utifrån de speciella behov och det slags intresseavvägningar som uppstår i viss typ av verksamhet eller gäller en viss informationssamling osv.

Det är dock vår bestämda uppfattning att sådana särskilda gall- ringsregler måste anpassas bättre till arkivlagstiftningens termino- logi än vad som är fallet för närvarande. Begreppsbildningen på området behöver stramas upp. Som vi ser det handlar det arkiv- rättsliga begreppet ”gallring” om arkivvårdande åtgärder, dvs. åtgär-

546

SOU 2015:39

Bevarande och gallring

der som innebär att handlingar inte ska vara kvar i en myndighets arkiv eller aldrig ska hamna där (omedelbar gallring). Vi förordar att den arkivrättsliga termen gallring genomgående används även när det som avses är föreskrifter om att inte längre bevara person- uppgifter i allmänna handlingar. Gallringsbegreppet bör således enbart användas i den betydelse som begreppet har i arkivlagstift- ningen. En annan sak är att inget hindrar att man i särskilda gall- ringsföreskrifter också anger hur gallring ska ske, t.ex. om viss par- tiell gallring avses eller att vissa uppgifter eller handlingar ska för- störas helt eller delvis.

Enligt vår uppfattning bör det vidare inte anges att undantag från gallringsplikt enligt en särskild gallringsregel får meddelas för bevarande för ”historiska, statistiska eller vetenskapliga ändamål”, dvs. med angivande av dataskyddsdirektivets och personuppgifts- lagens lokution. De syften som motiverar fortsatt bevarande finns uttryckligt angivna i 3 § arkivlagen. Vi anser att det är till dessa syften hänvisning bör ske, uttryckligen eller genom en paragraf- hänvisning. Syftena i 3 § arkivlagen tillämpas generellt och obero- ende av om en allmän handling innehåller personuppgifter eller inte. Det skapar, menar vi, förvirring att man fört in en beskrivning från personuppgiftslagen om varför en återgång till handlings- offentlighetens grundprincip om bevarande kan komma i fråga. Det ger ett felaktigt intryck av att bevarandet sker med stöd av person- uppgiftslagen. Att i detta hänseende avvika från direktivets orda- lydelse för att i stället använda en redan etablerad nationell be- greppsapparat för samma sakförhållande kan inte anses strida mot direktivet enligt vår uppfattning.

14.4.5Åtgärder för att skydda bevarade personuppgifter

Från integritetssynpunkt är det givetvis inte tillfredsställande om personuppgifter som inte längre behövs i en myndighets verksam- het fortsätter att vara tillgängliga tillsammans med uppgifter som är aktuella i t.ex. ett ärendehanteringssystem som en förhållandevis vid krets av behöriga ärendehandläggare har tillgång till och kanske även andra myndigheters handläggare via direktåtkomst. Verksam- hetens behov av en effektiv och enkel tillgång till sådana uppgifter klingar normalt av ju längre tid som gått efter handläggningens

547

Bevarande och gallring

SOU 2015:39

avslutande eller det att en person inte längre är aktuell i en faktisk verksamhet varför en sådan fortsatt lagring och tillgänglighet i myndighetens ordinarie databaser inte alltid ter sig motiverad. Det följer emellertid av den bestämmelse vi föreslagit i avsnitt 10.2.5 om att anställda bara ska ges den tillgång till personuppgifter som krävs för att de ska kunna utföra sina arbetsuppgifter att behörig- heten till inaktuella uppgifter inte kan vara obegränsad.

En åtgärd för att motverka integritetsrisker som kan vara för- knippade med elektroniskt bevarande av personuppgifter i allmänna handlingar är alltså att se till att personuppgifterna inte är lika åt- komliga när de inte längre är aktuella och behövs för den löpande verksamheten hos myndigheten.

Som har framgått finns det informationshanteringsförfattningar där det förekommer bestämmelser om att personuppgifter ska av- skiljas för fortsatt bevarande i myndigheternas elektroniska arkiv, åtskilda från ordinarie informationssamlingar i pågående verksam- heter och med en strikt begränsad intern åtkomst. Det förekom- mer också att Datainspektionen i sin tillsynsverksamhet ställer krav på att personuppgifter ska avskiljas när de inte längre behövs för det ursprungliga ändamålet (se t.ex. Datainspektionens föreläggande mot Försäkringskassan rörande intern åtkomst, beslut 2009-06-23, dnr 1764-2008 eller mot Landstinget Gävleborg, beslut 2014-01-23, dnr 52-2013, rörande provresultat från alkoholtester). Datainspek- tionen har beskrivit avskiljande som en säkerhetsåtgärd i person- uppgiftslagens mening som innebär att personuppgifterna lagras på ett sådant sätt att de inte längre hålls tillgängliga i den dagliga hanteringen (Datainspektionens rapport 2010:2, Intern åtkomst till känsliga personuppgifter hos försäkringsbolag, s. 5).

Det ska observeras att ett avskiljande i nu angiven mening inte utgör en gallring i arkivlagstiftningshänseende. En vanlig metod att avskilja är att uppgifterna förs över till en databas för fortsatt lag- ring i myndighetens elektroniska arkiv.

Vi har övervägt om det finns skäl att i den nya lagen införa en generell regel rörande åtgärder av det nu aktuella slaget. Vi bedömer dock att behovet och utformningen av sådana bestämmelser måste övervägas och anpassas efter förhållandena på det relevanta om- rådet om åtgärderna ska fungera väl, vara flexibla och bara omfatta fall där sådana restriktioner eller begränsningar verkligen är moti- verade.

548

SOU 2015:39

Bevarande och gallring

Vi återkommer till begreppet avskiljande i avsnitt 15.4.4.

14.4.6Personuppgifter som ingår i handlingar som inte är allmänna

Viss information hos myndigheterna blir aldrig allmän handling. Det kan t.ex. handla om sådana minnesanteckningar m.m. som avses i 2 kap. 9 § TF och som aldrig tas om hand för arkivering eller handlingar som är undantagna från att uppnå statusen av att vara allmän handling, t.ex. sådana säkerhetskopior som genereras i myn- digheternas verksamhet och som omfattas av ett undantag i 2 kap. 10 § TF. Vi ser ingen anledning att för personuppgifter som ingår i handlingar av det nämnda slaget föreslå någon reglering som ersätter eller avviker från vad som föreskrivs i 9 § första stycket i PuL om längsta bevarandetid. Den bestämmelsen bör alltså vara tillämplig i fråga om personuppgifter som behandlas enligt den nya lagen och som inte ingår i någon allmän handling. Detta följer emellertid redan av vad vi föreslagit i avsnitt 9.2.4 om att 9 § PuL ska vara tillämplig vid personuppgiftsbehandling enligt den nya lagen.

Personuppgiftslagens grundläggande krav innebär alltså att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket i). De får visserligen bevaras längre om det behövs för his- toriska, statistiska eller vetenskapliga ändamål (9 § andra stycket). Vi bedömer dock att det normalt sett knappast kan bli aktuellt med någon sådan förlängd bevarandetid för just dessa ändamål utan att handlingarna vari personuppgifterna ingår ska anses omhänder- tagna för arkivering och därigenom bli allmänna handlingar.

Det kan här erinras om att det i 3 § arkivförordningen föreskrivs att myndigheter i samband med att ett ärende slutbehandlas ska ta ställning till om minnesanteckningar, utkast och koncept m.m. som hör till ärendet ska tas om hand för arkivering och bli allmänna handlingar eller om akten eller motsvarande ska rensas från sådana handlingar. Högsta förvaltningsdomstolen har uttalat att det krävs en aktiv åtgärd av myndigheten för att en handling ska anses ha tagits om hand för arkivering. Myndigheten ska t.ex. enligt 3 § arkiv- lagen ”besluta” att handlingen ska arkiveras. De handlingar som efter en sådan genomgång inte anses ingå i akten men som ändå på något sätt finns kvar – t.ex. i en pärm hos en tjänsteman eller i

549

Bevarande och gallring

SOU 2015:39

dennes dator – torde inte kunna anses omhändertagna för arkive- ring, RÅ 1999 ref. 36. I prop. 1975/76:160 s. 168 gjorde departe- mentschefen motsvarande bedömning beträffande handling som en tjänsteman ”för eget bruk” sparar i en skrivbordslåda i sitt tjänste- rum.

Det kan emellertid inte sällan krävas ganska kvalificerade rätts- liga bedömningar för att avgöra om och i så fall när föredragnings- promemorior, utkast m.m. som varken arkivlagts eller kastats kan anses ha blivit omhändertagna för arkivering. På motsvarande sätt är det – inte minst i den elektroniska miljön – svårt att ange gene- rella kriterier för när sådana handlingar som inte hör till ett ärende blir allmänna handlingar genom att de anses justerade eller färdig- ställda enligt 2 kap. 7 § TF, detta trots en relativt riklig rättspraxis på området.

Oavsett hur det förhåller sig med detta kan emellertid konsta- teras att i den utsträckning personuppgifter förekommer i hand- lingar som inte är allmänna hos myndigheten följer, som framgått, ett krav på den personuppgiftsansvariga myndigheten att ha en överblick över myndighetens totala personuppgiftshantering och aktivt se till – genom t.ex. ändamålsenliga rutiner och uppföljande kontroller – att behandling genom t.ex. fortsatt lagring av för myn- digheten inaktuella personuppgifter, som inte ingår i allmänna handlingar, inte pågår utan att det är befogat för det specifika ända- målet med behandlingen. Det är alltså ett dataskyddsrättsligt krav som gäller utöver sådana andra krav som kan gälla för myndigheten om att t.ex. hålla nere volymen på myndighetens elektroniskt lag- rade information.

550

15Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

15.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

I artikel 6.1 dataskyddsdirektivet finns principer om personupp- gifters kvalitet. Där sägs i punkt c att uppgifter ska vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare har behandlats. Vidare anges i punkt d att medlems- staterna ska föreskriva att personuppgifter ska vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säker- ställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas utplånas eller rättas.

Enligt artikel 12 b ska medlemsstaterna säkerställa att varje regi- strerad har rätt att från den registeransvarige i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestäm- melserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga.

I artikel 12 c föreskrivs en underrättelseskyldighet som innebär att den registrerade har rätt att ”få genomfört” att en tredje man till vilka sådana uppgifter har utlämnats ska underrättas om varje rätt- else m.m. som utförts i enlighet med punkt b, om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträng- ning.

Medlemsstaterna ges i artikel 13 rätt att under vissa förutsätt- ningar begränsa de rättigheter som anges i artikel 12. I 13.1 före-

551

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

skrivs att medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artikel 12 i de fall då sådan begränsning är en nödvändig åtgärd med hänsyn till a) statens säkerhet, b) försvaret, c) allmän säkerhet, d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken, e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos EU, inklusive monetära frågor, budget- frågor och skattefrågor, f) en tillsyns-, inspektions- eller reglerings- funktion som, även om den är av övergående karaktär, är förbun- den med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen, g) skydd av den registrerades eller andras fri- och rättigheter.

Personuppgiftslagen

Allmänt om bestämmelserna om rättelse

I personuppgiftslagen har bestämmelserna i artikel 6.1 genomförts genom bestämmelserna i 9 § om grundläggande krav på behandling av personuppgifter. Där sägs att den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen (punkt e). De ska också vara är riktiga och, om nödvändigt, aktuella (punkt g). Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen (punkt h).

Artiklarna 12.1 b och c har genomförts genom 28 § personupp- giftslagen. I den bestämmelsen föreskrivs att den personuppgifts- ansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behand- lats i enlighet med lagen eller föreskrifter som har utfärdats med stöd av den. Den personuppgiftsansvarige ska också underrätta tredje man till vilken uppgifterna har lämnats ut om åtgärden, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade skulle kunna undvikas genom en underrättelse. Någon sådan underrättelse behöver dock inte lämnas, om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbets- insats.

552

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Den svenska bestämmelsen innehåller, till skillnad från dataskydds- direktivet, ett krav på att en rättelse ska vidtas snarast. Även skyl- digheten för den personuppgiftsansvarige att under vissa förut- sättningar underrätta tredje man om att en korrigering har skett, även om den registrerade inte har begärt det, är en inhemsk regle- ring som inte krävs enligt direktivet.

Bestämmelserna i artikel 13 i direktivet föranledde ingen regle- ring i samband med att personuppgiftslagen infördes. Däremot har år 2007 införts en ny bestämmelse i lagen – 8 a § – där regeringen bemyndigas att meddela föreskrifter om undantag från bl.a. 28 §, om det är nödvändigt med hänsyn till de intressen som räknas upp. Dessa motsvarar de intressen som omfattas av artikel 13.

Skyldigheten att rätta m.m.

I förarbetena till personuppgiftslagen (prop. 1997/98:44 s. 86 f.) påpekas att det redan av de grundläggande kraven, dvs. bestämmel- serna i 9 §, framgår att den personuppgiftsansvarige på egen hand måste vara aktiv för att se till att behandlade uppgifter är korrekta. Dessa bestämmelser innehåller således en skyldighet för denne att agera. Bestämmelsen i 28 § innehåller en rätt för den registrerade att begära att den personuppgiftsansvarige rättar en uppgift. Det understryks att dataskyddsdirektivet kräver att båda bestämmel- serna införs. Eftersom det inte framgår vilken av de alternativa metoderna rättelse, blockering eller utplånande som ska väljas, an- ses det stå den personuppgiftsansvarige fritt att välja metod.

Det diskuteras inte i förarbetena vad den personuppgiftsansva- riges skyldighet att rätta uppgifter närmare består i. Frågan om vad direktivet innebär för myndigheters skyldighet att rätta person- uppgifter, exempelvis i förhållande till redan befintliga föreskrifter som kan ha betydelse för frågan, diskuteras inte heller i förarbetena utom i ett avseende. Det gäller myndigheters skyldighet att rätta personuppgifter i allmänna handlingar. I detta sammanhang påpekas att friheten att välja metod för att rätta innebär att direktivet inte kräver att myndigheter utplånar felaktiga uppgifter till förfång för allmänhetens rättigheter enligt offentlighetsprincipen (a. prop. s. 47).

553

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

Underrättelseskyldigheten

Som exempel på fall då den personuppgiftsansvarige, oavsett om det finns en begäran från den enskilde, är skyldig att underrätta tredje man om en rättelse nämns i förarbetena att en känslig per- sonuppgift felaktigt har registrerats, t.ex. att den registrerade är sjuk eller har en extrem politisk eller religiös övertygelse (prop. 1997/98:44 s. 134 f.). En sådan registrering sägs regelmässigt kunna antas orsaka sådan skada eller olägenhet som avses. Gäller det däremot en mer harmlös uppgift, t.ex. om den registrerades adress, bör det som regel krävas någon särskild omständighet för att en skada eller olägenhet kan antas uppstå om någon underrättelse inte sker.

Av 28 § följer att underrättelse inte i något fall behöver lämnas om det visar sig vara omöjligt att underrätta eller det skulle inne- bära en oproportionerlig stor arbetsinsats. I förarbetena diskuteras inte närmare när en sådan undantagssituation kan tänkas vara för handen.

Förslaget till uppgiftsskyddsförordning

I förslaget till en allmän uppgiftsskyddsförordning finns i artikel 6 bestämmelser som motsvarar principerna i artikel 6 i dataskydds- direktivet om personuppgifters kvalitet. Bland annat sägs i punkten c att personuppgifterna ska vara adekvata, relevanta och begränsade till ett strikt minimum när det gäller de syften för vilka de behandlas; de ska bara behandlas om, och så länge som, syftena inte kan uppnås genom att man behandlar information som inte rör person- uppgifter. Vidare föreskrivs i punkten d att personuppgifterna ska vara riktiga och aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

I artikel 16 finns bestämmelser om rätt till rättelse. Enligt arti- keln ska den registrerade ha rätt att av den personuppgiftsansvarige få rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska också ha rätt att få till stånd kom- plettering av ofullständiga personuppgifter, bl.a. genom att lägga till en korrigering.

I artikel 17 finns bestämmelser om ”rätt att bli bortglömd” och till radering. Där föreskrivs i 17.1 att den registrerade ska ha rätt att

554

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

under vissa förutsättningar få personuppgifter som rör denne rade- rade och att man avstår från ytterligare spridning av sådana upp- gifter. Det gäller särskilt när det avser personuppgifter som gjordes tillgängliga av den registrerade när denne var barn. En av följande grunder ska vara tillämplig för att radering ska ske:

a)Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)Den registrerade återkallar ett samtycke eller den lagringsperiod för vilket samtycke lämnats har löpt ut, och det inte finns någon annan rättslig grund för behandlingen.

c)Den registrerade invänder mot behandlingen enligt artikel 19.

d)Behandlingen uppfyller inte villkoren i förordningen av andra skäl.

En skyldighet att underrätta ”tredje part” framgår av artikel 17.2 och gäller den registrerades begäran om att radera eventuella länkar eller kopior eller reproduktioner av personuppgifter som avses i 17.1.

Av artikel 17.3 följer att den registeransvarige ska genomföra raderingen utan dröjsmål, utom i den utsträckning som det är nöd- vändigt att bevara personuppgifterna av följande skäl:

a)För att utöva rätten till yttrandefrihet enligt artikel 80.

b)Av viktiga skäl på folkhälsoområdet enligt artikel 81.

c)För historiska, statistiska eller vetenskapliga forskningsändamål enligt artikel 83.

d)För att iaktta en rättslig förpliktelse att bevara personuppgifter enligt unionslagstiftningen eller enligt en medlemsstats lagstift- ning som den registeransvarige lyder under; medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse, respektera det väsentliga innehållet i rätten till skydd av personuppgifter och vara proportionell mot det legitima mål som eftersträvas.

e)I de fall som avses i punkt 4.

I artikel 17.4 anges fyra situationer då den registeransvarige ska begränsa behandlingen av personuppgifter i stället för att radera dem, exempelvis då de måste bevaras för bevisändamål (b) eller den registrerade motsätter sig en radering även om behandlingen är

555

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

olaglig. Av 17.5 följer att sådana personuppgifter som avses i punkt 4 får behandlas endast för vissa särskilt uppräknande ändamål, bl.a. för att skydda annan fysisk eller juridisk persons rättigheter eller för ett mål av allmänt intresse.

Vad som i detalj kan komma att gälla framgår emellertid inte av uppgiftsskyddsförordningen, eftersom kommissionen enligt arti- kel 17.9 föreslås få befogenhet att anta delegerade rättsakter i syfte att närmare precisera vad som ska gälla enligt punkterna 1, 2 och 4. Denna befogenhet gäller emellertid inte möjligheterna att bevara personuppgifter enligt punkten 3.

Enligt artikel 13 ska den registeransvarige underrätta varje mot- tagare till vilken uppgifter har lämnats ut om eventuella rättelser eller raderingar som utförts i enlighet med artiklarna 16 och 17, om inte detta visar sig vara omöjligt eller inbegripa en oproportionerlig ansträngning. Till skillnad från direktivet omfattar skyldigheten inte bara underrättelse till tredje män utan även gemensamma register- ansvariga och registerförare.

I Europaparlamentets resolution med ändringsförslag föreslås inga ändringar i artikel 16 om rättelse men däremot i artikel 17 om rätten till radering. Bland annat föreslås i artikel 17.1 att den registeransvarige också ska vara skyldig att radera om det finns ett lagakraftvunnet avgörande från en domstol eller en reglerings- myndighet i unionen. Beträffande artikel 17.2 föreslås att det inte bara ska finnas en underrättelseskyldighet utan att den register- ansvarige även ska vidta alla rimliga åtgärder för att få uppgifterna raderade genom tredje parts försorg. Huvudregeln i artikel 17.3 att raderingen ska genomföras utan dröjsmål gäller enligt förslaget därför också för tredje man.

15.2Reglering i registerförfattningar

Den vanligaste formen av reglering

Bestämmelserna om rättelse och underrättelse till tredje man i 28 § PuL gäller inte om personuppgifter behandlas med stöd av en särskild registerförfattning som gäller före personuppgiftslagen (jfr 2 §). Särskilda registerförfattningar måste därför innehålla egna så- dana bestämmelser. Ofta har frågan om rättelse reglerats genom en hänvisning till 28 § personuppgiftslagen (Öman/Lindblom, s. 420).

556

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Som exempel kan nämnas 3 kap. 3 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.

Särskilda bestämmelser om rättelse

Det förekommer emellertid författningar som innehåller särskilda bestämmelser om rättelse. Som exempel kan nämnas lagen (2011:1200) om elcertifikat. Den innehåller bl.a. bestämmelser om behandling av uppgifter i elcertifikatregistret, för vilket Svenska Kraftnät är personuppgiftsansvarigt (3 kap. 17 § nämnda lag och 3 § förordningen [2011:1480] om elcertifikat). Enligt 3 kap. 15 § ska en uppgift på ett certifikatkonto rättas, om den innehåller någon uppenbar oriktighet till följd av skrivfel, räknefel eller liknande förbiseende eller till följd av något tekniskt fel. Den vars rätt berörs ska ges möjlighet att yttra sig, om rättelsen inte är till förmån för denne eller yttrandet annars är uppenbart obehövligt. Bestämmel- sen avviker således från 28 § personuppgiftslagen genom att dels det ställs upp ett krav på att felet ska vara uppenbart, dels att yttrande i vissa fall ska inhämtas. Som skäl för att ha en avvikande bestämmelse om rättelse anfördes i förarbetena till den tidigare lagen (2003:113) om elcertifikat, vars bestämmelse om rättelse motsvarar den nuvarande (prop. 2002/30:40 s. 89 f.) att syftet inte var att skydda den personliga integriteten. Det var i stället att registret på ett korrekt sätt ska återge kontohavarens äganderätt och förfoganderätt till de elcertifikat som finns registrerade på certifikatkonto. Begränsningarna i rättelsebestämmelsens tillämp- lighet ansågs förenliga med dataskyddsdirektivet, eftersom arti- kel 13.1 g medger att omfattningen av rätten till rättelse begränsas med hänsyn till skyddet för den registrerades eller andras fri- och rättigheter. Eftersom bestämmelsen avser att skydda bl.a. enskilds äganderätt ansågs de begränsningar som den innefattar omfattas av undantaget i direktivet.

Rättelse i Kronofogdemyndighetens verksamhet

I lagen (2001:184) om behandling av personuppgifter i Krono- fogdemyndighetens verksamhet har det år 2008 införts en särskild bestämmelse om rättelse. Enligt 3 kap. 3 a § ska Kronofogdemyn-

557

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

digheten på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som 1) inte har behandlats i enlighet med lagen eller anslutande författningar, eller 2) är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina eko- nomiska förpliktelser. Skyldigheten att rätta omfattar både person- uppgifter och andra uppgifter (jfr 1 kap. 1 § andra stycket). Bestäm- melsen innehåller också regler om underrättelse till tredje man som i sak överensstämmer med 28 § personuppgiftslagen.

I praxis hade det, inte minst efter personuppgiftslagens inför- ande, utvecklats en restriktiv praxis när det gällde att rätta upp- gifter i utsöknings- och indrivningsdatabasen (prop. 2007/08:116 s. 12 f.). Detta motiverades främst av att databasen används för såväl målhantering som diarieföring. Frågan om rättelse hade kom- mit att prövas av domstol i ett stort antal fall. Genom Datainspek- tionens granskningar hade det också kommit fram att de dåvarande regionala kronofogdemyndigheterna tolkade skyldigheten att rätta på olika sätt. I förarbetena till den nuvarande bestämmelsen om rättelse konstaterades vidare att det sällan är komplicerat att fast- ställa att en uppgift är oriktig till sitt innehåll, medan bedömningen av om i och för sig riktiga personuppgifter behandlats i strid med personuppgiftslagen emellertid kan erbjuda större svårigheter (a. prop. s. 14 f.) Det senare borde enligt Högsta förvaltningsdom- stolen bedömas bl.a. mot bakgrund av ändamålen med databasen och vilka uppgifter som får behandlas (se RÅ 2006 ref. 86). Rege- ringen anförde att den dåvarande situationen fick antas ha upp- kommit till stor del på grund av att det finns flera olika perspektiv som kan anläggas på frågan. Man stannade för att föreslå en lösning som innebar att begreppet ”missvisande”, som förekommit i den tidigare datalagen, skulle återinföras i lagtexten. Regeringen påpek- ade att det kunde diskuteras om förslaget innebar en utvidgning av skyldigheten att vidta rättelse eller bara ett förtydligande av vad som redan gällde. Något svar lämnades emellertid inte, utan regeringen anförde att det viktigaste var att ändringen, tillsammans med den utbyggnad av sekretesskyddet som också föreslogs, banade väg för en tillämpning som tillgodoser såväl kraven på Kronofogdemyndig- hetens diarieföring som de enskildas berättigade krav på att inte behöva förekomma med uppgifter som ger ett i sak ogrundat in- tryck av bristande vilja eller förmåga att göra rätt för sig.

558

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Bestämmelsen om rättelse i dess nuvarande lydelse har prövats av Högsta förvaltningsdomstolen i rättsfallet HFD 2011 ref. 45.

Rättelse enligt 26 § förvaltningslagen i stället för 28 § personuppgiftslagen

Det förekommer att det i förordningsbestämmelser om förande av vissa register föreskrivs att 26 § förvaltningslagen (1986:223) ska tillämpas i stället för 28 § personuppgiftslagen. Som exempel kan nämnas rättelse i aktiebolagsregistret. Enligt 27 kap. 1 § aktiebolags- lagen (2005:551) ska Bolagsverket föra ett aktiebolagsregister för registrering enligt lagen eller annan lag. I 2 kap. aktiebolags- förordningen (2005:559) finns bestämmelser om behandlingen av uppgifter i registret. I 6 § föreskrivs att i fråga om rättelse av per- sonuppgifter i aktiebolagsregistret tillämpas 26 § förvaltningslagen i stället för 28 § personuppgiftslagen.

15.3Förvaltningslagens bestämmelser om rättelse m.m.

Allmänt om bestämmelserna

Enligt 26 § förvaltningslagen får ett beslut som innehåller en uppen- bar oriktighet till följd av myndighetens eller någon annans skrivfel, räknefel eller liknande förbiseende rättas av den myndighet som har meddelat beslutet. Innan rättelse sker ska myndigheten ge den som är part tillfälle att yttra sig, om ärendet avser myndighetsutövning mot någon enskild och åtgärden inte är obehövlig.

I 27 § föreskrivs att om en myndighet finner att ett beslut, som den har meddelat som första instans, är uppenbart oriktigt på grund av nya omständigheter eller av någon annan anledning, ska myndigheten ändra beslutet, om det kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild part. Skyldigheten gäller även om beslutet överklagas, såvida inte klaganden begär att beslutet tills vidare inte ska gälla (inhibition). Däremot gäller skyl- digheten inte, om myndigheten har överlämnat handlingarna i ären- det till en högre instans eller om det finns särskilda skäl mot att myndigheten ändrar beslutet.

559

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

Av 21 § följer en underrättelseskyldighet för myndigheten. Den innebär (enligt första stycket) att myndigheten ska underrätta en sökande, klagande eller annan part om innehållet i det beslut varigenom myndigheten avgör ärendet, om detta avser myndighets- utövning mot någon enskild. Parten behöver dock inte underrättas, om det är uppenbart obehövligt. I andra stycket finns föreskrifter i fråga om överklagande. Vidare sägs i tredje stycket att myndig- heten bestämmer om underrättelsen ska ske muntligt, genom van- ligt brev, genom delgivning eller på något annat sätt. Underrättel- sen ska dock alltid ske skriftligt, om part begär det. Paragrafen tillämpas också när någon annan som får överklaga beslutet begär att få ta del av det (fjärde stycket).

Närmare om rättelse enligt 26 §

Myndighetens möjlighet att vidta rättelse enligt 26 § FL gäller alla former av ärenden och inte endast då det är fråga om myndig- hetsutövning. Möjligheten tar enbart sikte på s.k. förbiseendefel, t.ex. vid namnförväxlingar, då belopp har summerats felaktigt, att text i beslut har fallit bort på grund av ett tekniskt missöde eller att myndigheten har förväxlat en sökande med någon annan som gjort en liknande ansökan (Hellners/Malmqvist, kommentaren till 26 §). Befogenheten att rätta gäller även fel som har orsakats av någon annan än myndigheten själv. I förarbetena pekas bl.a. på den situa- tionen att part eller någon annan lämnat en oriktig uppgift om en detalj som är väsentlig för verkställigheten av myndighetens beslut men som inte är tvistig, t.ex. en uppgift om personnummer, adress eller bilnummer (prop. 1989/90:71 s. 50).

Paragrafen ger däremot inte myndigheter någon befogenhet att rätta sådana fel i ett besluts innehåll som beror på en felaktig bedömning, t.ex. på grund av en bristfällig utredning, felaktig be- dömning av fakta, oriktig rättstillämpning eller missriktad använd- ning av skönsbefogenheter (bedömningsfel).

Ordet ”får” i paragrafen innebär visserligen en befogenhet att rätta. Det ligger emellertid i sakens natur att myndigheten ska använda sig av denna befogenhet när felet har en praktisk betydelse i något avseende (Hellners/Malmqvist, a.a.). Har en part uttryck- ligen begärt att ett fel ska rättas, bör myndigheten gå med på

560

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

dennes begäran, även om myndigheten har fog för att inte själv ta initiativ till en rättelse t.ex. på grund av att felet rör stavning av namn eller något annat som saknar praktisk betydelse.

Då myndighetens beslut avser myndighetsutövning är ett minimi- krav vid rättelse att den som är part ska få tillfälle att yttra sig, om det inte är obehövligt.

Motsvarande möjlighet att rätta oriktiga uppgifter finns också för domstolar i 17 kap. 15 § RB och 32 § FPL.

Närmare om omprövning av beslut enligt 27 §

Om en myndighet har meddelat ett beslut som visar sig vara uppenbart oriktigt, följer av 27 § FL att myndigheten ska meddela ett nytt beslut som upphäver eller ändrar det tidigare beslutet. Här är således inte fråga om att – som sker enligt 26 § – rätta en uppgift i det redan meddelade beslutet, utan att ersätta detta beslut med ett nytt beslut.

Som en förutsättning för att myndigheten ska vara skyldig att ändra sitt beslut gäller att det är lätt för myndigheten att konstatera att beslutet är oriktigt, dvs. någon mer ingående granskning av beslutet bör normalt inte behövas. Bara i det fall då en genom- läsning av beslutet visar att det sannolikt är oriktigt, behöver myn- dighet i allmänhet granska ärendet närmare (prop. 1985/86:80 s. 78). Uttrycket ”uppenbart oriktigt” täcker även det fall då be- slutet var riktigt vid tillkomsten, men omständigheter som inträffat senare gör att beslutet framstår som felaktigt eller olämpligt.

En annan förutsättning är att beslutet kan ändras snabbt och enkelt. Skyldigheten att ompröva gäller därför normalt inte när det krävs att ytterligare utredning görs i ärendet (a. prop. s. 78). Slut- ligen gäller att ändringen ska kunna ske utan nackdel för någon enskild part.

Skyldigheten att ompröva gäller inte då någon som överklagat beslutet begärt att det överklagade beslutet inte ska gälla tills vidare (inhibition), då myndigheten har överlämnat handlingarna i ärendet till en högre instans eller då något annat särskilt skäl talar emot att myndigheten ändrar beslutet.

Skyldigheten att ompröva enligt denna paragraf ska ses som ett minimikrav. Den ska inte förväxlas med de befogenheter att om-

561

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

pröva beslut som myndigheter har i enlighet med regler om förvalt- ningsbesluts rättskraft som har vuxit fram i praxis. Dessa regler ger alltså myndigheter rätt att ompröva sina beslut också i vissa andra fall än då omprövning ska ske enligt förvaltningslagen (denna praxis redovisas inte utförligare här, se vidare Hellners/Malmqvist, kommentaren till 27 § och SOU 2010:29 s. 559 f.). Skyldigheten att ompröva enligt 27 § FL ska inte heller förväxlas med den obliga- toriska omprövning som vissa myndigheter är skyldiga att vidta enligt särskilda regler, se t.ex. 113 kap. 7 § SFB.

Närmare om underrättelseskyldigheten

Någon skyldighet att underrätta part om en rättelse som vidtas enligt 26 § FL finns inte. Av bestämmelsen följer emellertid, som redovisats ovan, en skyldighet att låta part yttra sig innan rättelse sker, om det inte är obehövligt. Däremot anses det lämpligt att rättelsen antecknas på den handling som innehåller originalbeslutet samt att datum anges och att rättelsen undertecknas. Myndigheten bör också se till att få tillbaka de exemplar av beslutet som har expedierats och att nya, rättade versioner expedieras (Hellners/ Malmqvist, kommentaren till 26 §).

Då myndigheten ändrar ett felaktigt beslut med stöd av 27 § FL och alltså meddelar ett nytt beslut som ersätter det tidigare, följer av 21 § samma lag att en sökande, klagande eller annan part ska underrättas om innehållet i det nya beslutet. Skyldigheten gäller dock inte om det är uppenbart obehövligt att en underrättelse sker.

Förslaget i betänkandet En ny förvaltningslag (SOU 2010:29)

I betänkandet med förslag till en ny förvaltningslag (SOU 2010:29) sägs det vara en brist att det i allt väsentligt inte är reglerat vad som gäller i fråga om myndigheters möjligheter eller skyldigheter att ompröva eller ändra sina egna beslut, förutom i de fall som regleras i 26 och 27 §§ FL och där resultatet enligt utredningen närmast kan betraktas som ”givet” (s. 579 f.). Utredningen föreslår därför en utökad reglering av institutet och använder där genomgående be- greppet ”rättelse”.

562

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Utredningen föreslår att det för det första införs en bestäm- melse som uttryckligen ger en myndighet obegränsad befogenhet att rätta ett beslut innan det expedierats eller på annat sätt gjorts tillgängligt för utomstående.

Efter denna tidpunkt föreslås beslut kunna rättas under de förutsättningar som anges i lagen. Därvid föreslås en möjlighet att vidta rättelse på grund av skrivfel eller liknande som i allt väsentligt överensstämmer med nuvarande 26 § FL.

Därutöver föreslås en bestämmelse som föreskriver i vilka fall rättelse får ske i andra fall. I bestämmelsen ges en generell befogen- het för en myndighet att rätta sina egna beslut som är felaktiga på grund av att nya omständigheter har tillkommit eller av någon annan anledning. Är beslutet gynnande för någon enskild part får dock rättelse ske endast under vissa omständigheter. Möjligheten att ändra övergår enligt bestämmelsen till en skyldighet, om beslutet är uppenbart ogiltigt i något väsentligt avseende, korrigeringen kan ske snabbt och enkelt och utan att det blir till nackdel för någon enskild part. Särskilda begränsningar gäller för möjligheten att rätta beslut som överklagats.

Vidare föreslås en skyldighet att ge part möjlighet att yttra sig innan rättelse sker, om det inte är uppenbart obehövligt. Skyldig- heten föreslås således gälla generellt och inte vara begränsad – som enligt nuvarande 26 § – till ärenden om myndighetsutövning. Det hänvisas också till att det framgår av en annan bestämmelse att part ska underrättas om det beslut som ersätter det rättade.

Förslaget till en ny förvaltningslag har ännu inte lett till någon lagstiftning.

563

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

15.4Våra överväganden och förslag

15.4.1Det behövs bestämmelser om rättelse m.m. av personuppgifter som kompletterar reglerna i förvaltningslagen

Bedömning: Förvaltningslagens bestämmelse om rättelse och om omprövning av beslut uppfyller inte dataskyddsdirektivets krav på en rätt för den registrerade att begära rättelse eller annan korrigering av personuppgifter som behandlas i strid med direk- tivet. Kompletterande regler behöver därför finnas beträffande myndigheters behandling av personuppgifter.

Rättelse av oriktiga uppgifter

Av redovisningen ovan framgår att det finns bestämmelser i för- valtningslagen som ger myndigheterna möjlighet att i alla slags ärenden rätta beslut som innehåller en uppenbar oriktighet, t.ex. p.g.a. skrivfel, räknefel eller liknande förbiseenden (26 §), samt att ändra ett beslut som är uppenbart oriktigt p.g.a. nya omständig- heter eller av någon annan anledning (27 §).

Bestämmelsen om rättelse i 26 § förvaltningslagen innebär en befogenhet för myndigheterna att vidta rättelse. Någon uttrycklig skyldighet att rätta en uppenbar oriktighet finns dock inte, inte ens i det fallet att en part uttryckligen har begärt att rättelse ska ske. Bestämmelsen innebär inte heller någon uttrycklig rätt för en part att begära att en uppgift ska rättas. Även om det ligger i sakens natur att myndigheten ska använda sig av sin befogenhet att rätta när en felaktig uppgift har en praktisk betydelse i något avseende, kan det alltså konstateras att 26 § varken innebär någon uttrycklig skyldighet för myndigheten eller någon egentlig rätt för part i ett ärende hos myndigheten. Denna omständighet innebär en avgör- ande skillnad i förhållande till personuppgiftslagens bestämmelser om dels de grundläggande krav i fråga om personuppgifters kvalitet som den personuppgiftsansvarige är skyldig att iaktta när person- uppgifter behandlas (9 §), dels den registrerades rätt att begära att den personuppgiftsansvarige rättar oriktiga personuppgifter (28 §).

Av artikel 12 b i dataskyddsdirektivet följer en skyldighet för medlemsstaterna att säkerställa att varje registrerad har rätt att från

564

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

den registeransvarige i förekommande fall få personuppgifter rättade m.m., särskilt om dessa är ofullständiga eller felaktiga. Det kan konstateras att denna skyldighet för Sverige som medlemsstat knappast kan anses uppfylld genom 26 § förvaltningslagen, efter- som den bestämmelsen varken innebär någon uttrycklig skyldighet för myndigheten eller en rätt för den registrerade när det gäller att rätta oriktiga personuppgifter i myndigheternas informations- samlingar. Bestämmelsen tar vidare enbart sikte på frågan om rätt- else av uppgifter i beslut och inte på när uppgifter hanteras i myn- dighetens verksamhet i övrigt. Skälet till det torde vara att det anses självklart att en myndighet har befogenhet att rätta felaktiga uppgifter som behandlas i andra sammanhang än i beslut. Det kan emellertid konstateras att det inte heller i det fallet finns vare sig någon uttrycklig skyldighet för myndigheten att rätta eller en rätt för en part att begära att rättelse ska ske. Förvaltningslagens bestämmelse om rättelse av oriktiga uppgifter kan alltså inte fullt ut anses uppfylla de krav som ställs i dataskyddsdirektivet. Även i den generella lagen för myndighetsområdet behövs det alltså särskilda bestämmelser om rättelse av oriktiga personuppgifter.

Bestämmelser som syftar till personuppgifter ska korrigeras i andra fall

Förvaltningslagen innehåller också en bestämmelse som innebär att en myndighet ska ändra ett beslut som befunnits uppenbart orik- tigt p.g.a. nya omständigheter eller av någon annan anledning (27 §). Det handlar då alltså inte om att rätta en felaktig uppgift, utan vad saken gäller är att ersätta ett beslut med ett nytt beslut. Till skillnad för vad som gäller i fråga om rättelse, innebär denna bestämmelse en skyldighet för myndigheten att fatta ett nytt beslut om de förutsättningar som anges i lagen är för handen.

Artikel 12 b i dataskyddsdirektivet innebär också en skyldighet att korrigera personuppgifter även i andra fall än då det är fråga om personuppgifter som är felaktiga i något avseende. Denna skyldig- het har i svensk rätt också genomförts genom 28 § PuL, som före- skriver en skyldighet att rätta, blockera eller utplåna personupp- gifter som över huvud taget har behandlats i strid med lagen eller anslutande föreskrifter. Denna skyldighet får uppfattas ha ett helt annat fokus än 27 § FL. Den sistnämnda bestämmelsen syftar till

565

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

att ett beslut som av någon anledning har blivit uppenbart oriktigt ska ersättas med ett nytt beslut. Fokus ligger alltså på om beslutet som sådant framstår som oriktigt av något skäl, inte på vilken kvalitet enskilda uppgifter har. Bestämmelsen är också, i likhet med 26 §, endast tillämplig i fråga om beslut och inte om myndigheters hantering av uppgifter i övrigt. Redan av detta skäl kan det konsta- teras att myndigheters skyldighet att ändra sina beslut enligt 27 § FL inte kan anses tillräcklig för att uppfylla dataskyddsdirektivets krav.

Vi kommer nedan att behandla frågan om personuppgiftslagens bestämmelser i fråga om rättelse av oriktiga uppgifter och korri- gering av otillåtna behandlingar bör gälla också fortsättningsvis på myndighetsområdet eller ersättas med nya bestämmelser i den gene- rella lagen. I samband med att vi behandlar frågan om hur myndig- heternas skyldigheter i dessa avseenden bör regleras framöver tar vi också upp vad som bör gälla i fråga om skyldighet att underrätta tredje man om vidtagna rättelser.

15.4.2En åtskillnad bör göras mellan korrigering i form av rättelse av felaktiga personuppgifter och korrigering när uppgifter har behandlats på ett otillåtet sätt

Bedömning: I den nya lagen bör det föras in dels en bestäm- melse som tar sikte på en myndighets skyldighet att rätta fel- aktiga eller ofullständiga uppgifter, dels en bestämmelse som tar sikte på skyldigheten att korrigera en behandling som av andra skäl inte är tillåten enligt lagen.

Den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta felaktiga eller ofullständiga uppgifter samt att i övrigt rätta, blockera eller utplåna personuppgifter som har behand- lats på ett otillåtet sätt regleras i en och samma bestämmelse både i dataskyddsdirektivet och i personuppgiftslagen (artikel 12.1 punkt b i direktivet respektive 28 § PuL). I förslaget till uppgiftsskydds- förordning har däremot gjorts en åtskillnad mellan å ena sidan skyldigheten att rätta felaktiga eller ofullständiga uppgifter (arti- kel 16) och å andra sidan skyldigheten att radera personuppgifter som av diverse andra skäl inte längre får behandlas (artikel 17).

566

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Det kan konstateras att skyldigheten att rätta felaktiga eller ofullständiga personuppgifter har en direkt anknytning till det grundläggande kravet på den personuppgiftsansvarige att person- uppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella samt att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga korrigeras (artikel 6.1 punkt d i dataskyddsdirektivet och 9 § första stycket punkterna g och h PuL). Skyldigheten att i övrigt korrigera en otillåten behandling hänför sig inte mer specifikt till de krav som allmänt gäller i fråga om behandling av personuppgifter.

För den personuppgiftsansvarige torde det vara mer okompli- cerat att bedöma om en personuppgift är felaktig eller ofullständig än om den registrerade exempelvis gör gällande att en person- uppgift inte är relevant i förhållande till det ändamål för vilken uppgiften samlats in. Rimligen finns det inte heller något intresse för en personuppgiftsansvarig myndighet att behandla en person- uppgift som är felaktig eller ofullständig. Rätten att få felaktiga eller ofullständiga personuppgifter korrigerade kan därför göras mer ovillkorlig än rätten att få personuppgifter som av andra skäl be- handlas på ett otillåtet sätt korrigerade genom exempelvis utplån- ing. Följaktligen har, som redovisats ovan, i förvaltningslagen och processrättsliga regelverk införts en i princip ovillkorlig möjlighet för myndigheter och domstolar att rätta felaktiga uppgifter även i beslut.

Den nu redovisade skillnaden mellan grunderna för att få till stånd en korrigering av en behandling som är otillåten har emeller- tid inte kommit till något klart uttryck i dataskyddsdirektivet och personuppgiftslagen. Däremot görs alltså en tydlig åtskillnad i förslaget till uppgiftsskyddsförordning. Enligt vår uppfattning skulle en sådan åtskillnad leda till en avsevärt förbättrad tydlighet på myndighetsområdet när det gäller vilka krav som ställs på den personuppgiftsansvarige beträffande vilka åtgärder som ska vidtas när personuppgifter av olika skäl behandlas på ett otillåtet sätt. Till saken hör att även lagstiftaren på vissa områden uppmärksammat att 28 § PuL i vissa fall inte har ansetts utgjort en tydlig vägledning i fråga om vad som ska gälla. Det har därför i fråga om exempelvis Kronofogdemyndighetens register införts förtydligande bestäm- melser i den registerförfattning som gäller för myndigheten och i fråga om vissa register har det föreskrivits att 28 § PuL inte alls ska

567

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

tillämpas utan i stället 26 § FL. I lagen (2011:1200) om elcertifikat har det vidare införts en särskild bestämmelse om rättelse som ersätter 28 § PuL och utgör en begränsning i skyldigheten att rätta i förhållande till vad som följer av den sistnämnda bestämmelsen.

Vi föreslår därför att det i den nya lagen införs dels en bestäm- melse som tar sikte på en personuppgiftansvarig myndighets skyldighet att rätta felaktiga eller ofullständiga uppgifter, dels en bestämmelse som tar sikte på skyldigheten att korrigera en behand- ling som av andra skäl inte är tillåten enligt lagen. Nedan redovisas våra överväganden när det gäller utformningen av de båda bestäm- melserna.

15.4.3En särskild bestämmelse om skyldighet att rätta felaktiga eller ofullständiga personuppgifter

Förslag och bedömning: I den nya lagen införs en skyldighet för en myndighet att på begäran av den registrerade rätta eller komplettera en personuppgift som rör den registrerade, om uppgiften är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någon annans bedömning.

Någon särskild skyldighet att underrätta tredje man om en rättelse eller komplettering behöver inte införas.

Skyldighet att rätta

I den nya lagen bör en bestämmelse införas som föreskriver en skyldighet för en myndighet att på begäran av den registrerade rätta eller komplettera en personuppgift som rör den registrerade, om uppgiften är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myndighetens eller någon annans bedömning. En sådan bestämmelse uppfyller de krav som ställs enligt både dataskyddsdirektivet och förslaget till uppgiftsskyddsförordning.

Genom bestämmelsen uttrycks både en rätt för den registrerade att begära rättelse eller komplettering och en skyldighet för myn- digheten att korrigera en personuppgift om den är felaktig eller ofullständig. Att detta uttrycks i bestämmelsen utgör, mot bak- grund av dataskyddsdirektivets krav, en nödvändig komplettering

568

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

av myndigheters befogenhet att rätta oriktiga uppgifter enligt 26 § FL. En sådan bestämmelse gör det också tydligt att skyldigheten att rätta inte enbart gäller felaktiga uppgifter i beslut, utan gäller i fråga om alla former av dokumentation där personuppgifter före- kommer.

I materiellt hänseende avses skyldigheten att rätta en felaktig eller komplettera en ofullständig personuppgift inte i någon nämn- värd utsträckning skilja sig från den befogenhet för en myndighet som följer av förvaltningslagen. Det ska alltså vara frågan om ett fel eller en ofullständighet som har uppstått på grund av en åtgärd som inte har sin grund i myndighetens eller någon annans bedömning. Det kan alltså handla om sådana förbiseendefel som omfattas av 26 § FL eller exempelvis ett fel som uppstått p.g.a. något tekniskt förfarande. Inom ramen för denna bestämmelse ska det alltså inte finnas utrymme för att korrigera en personuppgift som ur ett objektivt perspektiv är riktig, men som den registrerade av något skäl anser är felaktig eller ofullständig i förhållande till ändamålet med behandlingen. I det fallet handlar det ju inte om att en uppgift är felaktig eller ofullständig utifrån direktivets krav på att uppgifter som behandlas ska vara riktiga. I stället behöver det göras en be- dömning av om uppgiften är adekvat eller relevant med hänsyn till ändamålet med den aktuella behandlingen. Den typen av bedöm- ningar hör i stället samman med den bestämmelse som vi föreslår nedan. För att det ska vara frågan om en rättelse eller komplet- tering i den mening som nu avses ska den felaktiga uppgiften kunna ersättas av en annan uppgift som är riktig eller kompletteras med en uppgift så att den blir fullständig i en objektiv mening, exem- pelvis om ett namn är felaktigt eller om endast delar av ett namn har återgetts i en handling hos myndigheten.

I 26 § FL, liksom i de processrättsliga reglerna som är utformade på motsvarande sätt, sägs att det ska vara fråga om en ”uppenbar oriktighet” som har orsakats av ”skrivfel, räknefel eller annat lik- nande förbiseende”. En felaktighet eller ofullständighet på grund av en åtgärd som inte har sin grund i någons bedömning kan dock per definition uppfattas vara uppenbar till sin natur. Kravet att oriktig- heten ska vara uppenbar kan dock anses medföra att en viss ytter- ligare utredningsskyldighet åligger den som påkallar en rättelse enligt förvaltningslagens bestämmelse. Mot den bakgrunden bör något sådant krav inte ställas upp. Men även om ett sådant krav inte tas in

569

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

i den bestämmelse som vi nu föreslår, torde enligt vår mening detta knappast innebära någon större skillnad i sak. Det kan sägas ligga i sakens natur att om en felaktighet av nu aktuellt slag kan konsta- teras föreligga, så är felaktigheten uppenbar. Den bestämmelse som vi nu föreslår innebär därför enligt vår uppfattning i detta hän- seende inte någon nämnvärd skillnad i förhållande till den möjlig- het som förvaltningslagen ger myndigheter att rätta oriktiga upp- gifter.

Genom att det införs en särskild bestämmelse i den nya lagen om en skyldighet att rätta eller komplettera en felaktig eller ofull- ständig personuppgift, som åtskiljs från en myndighets skyldighet att korrigera behandlingar som är otillåtna i andra avseenden, upp- nås enligt vår mening en ökad tydlighet. En sådan bestämmelse stämmer också bättre överens med de övriga regelverk som rör myndigheters hantering av uppgifter. Inom ramen för de krav som följer av dataskyddsdirektivet åstadkommer man på så sätt en reg- lering som så nära som möjligt ansluter till förvaltningslagens och de processrättsliga regelverkens bestämmelser om rättelse. Dessa bestämmelser avses ge uttryck för en rimlig balans mellan intressen som rör å ena sidan att de uppgifter som en myndighet hanterar bör vara korrekta och å andra sidan att ett beslut som är slutgiltigt avfattat inte ska kunna ändras på ett godtyckligt sätt.

Några särskilda regler om en myndighets skyldighet att doku- mentera att en rättelse av en felaktig eller ofullständig person- uppgift har skett behöver inte införas. I stället gäller vad som följer av andra regler (se t.ex. 32 § tredje stycket andra meningen FPL).

Underrättelse till tredje man om en rättelse

Enligt artikel 12 c i dataskyddsdirektivet ska den registrerade ha rätt att få ”genomfört” att tredje man, som fått del av en felaktig eller ofullständig personuppgift, underrättas om varje rättelse som utförts enligt artikel 12 b. En sådan skyldighet finns dock inte om det visar sig vara omöjligt eller innebära en oproportionerligt stor ansträngning.

Vi vill inledningsvis framhålla att det inte kan anses följa av direktivets krav att det skulle finnas en underrättelseskyldighet enligt artikel 12 c i förhållande till varje tredje man som tagit del av

570

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

uppgifter i ett offentligt register eller fått del av personuppgifter genom rätten att ta del av allmänna handlingar. En sådan skyldighet skulle rimligen vara omöjlig att uppfylla eller innebära en opropor- tionerligt stor ansträngning. I en myndighets verksamhet torde underrättelseskyldigheten i förhållande till tredje man därför i första hand bli aktuell beträffande en annan part som figurerar i eller direkt berörs av samma ärende som den registrerade.

Enligt 26 § förvaltningslagen är tredje mans intresse tillvarataget på så sätt att den som är part ska ges tillfälle att yttra sig innan rättelse sker, om ärendet avser myndighetsutövning mot någon enskild och åtgärden inte är obehövlig. Eftersom befogenheten att rätta enligt denna bestämmelse är begränsad till en myndighets beslut, gäller alltså skyldigheten att ge part tillfälle att yttra sig också enbart när rättelse avses ske i ett beslut. Det förefaller främ- mande att det skulle finnas en skyldighet att låta part yttra sig över en sådan sak innan myndigheten har fattat sitt beslut. Fram till denna tidpunkt förfogar ju parterna i princip över de uppgifter som genom dem själva tillförts ärendet. Av såväl förvaltningslagen som de processrättsliga regelverken följer däremot att en myndighet eller domstol under ett pågående mål eller ärende har en skyldighet att låta part ta del av vad som tillförts ärendet eller målet. Därigenom sker alltså en underrättelse av om uppgifter har ändrats som rör någon av parterna. Dessutom följer av 21 § FL att part ska under- rättas om det beslut som ersätter det rättade beslutet. Motsvarande skyldigheter följer även av de processrättsliga regelverken.

Enligt vår uppfattning bör det inte föras in någon bestämmelse i den nya lagen som ger den registrerade en särskild rätt att påkalla underrättelse till tredje man då en rättelse eller komplettering har skett. Det får anses tillräckligt med de skyldigheter som myn- digheten ändå har enligt övriga regelverk att låta parter ta del av vad som tillförts ett ärende och att höra part innan rättelse görs i ett beslut. Enbart den omständigheten att det i så fall inte blir fråga om en åtgärd som den registrerade förfogar över på det sätt som är fallet enligt artikel 12 c i dataskyddsdirektivet innebär enligt vår mening inte att direktivets krav inte är uppfyllda i detta avseende. Vi anser alltså att det är förenligt med dataskyddsdirektivets bestämmelser att inte föreslå att det av den nya lagen ska följa någon särskild rätt för den registrerade att begära att en myndighet underrättar tredje man om en rättelse eller komplettering.

571

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

15.4.4En särskild bestämmelse om skyldighet att korrigera en behandling som är otillåten

Förslag och bedömning: En bestämmelse införs som föreskriver att en personuppgift på begäran av den registrerade ska avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. TF eller utplånas, om uppgiften rör honom eller henne och inte får behandlas enligt den nya lagen eller före- skrifter som har meddelats med stöd av den.

Rätten att begära korrigering i form av avskiljande från fort- satt behandling och hinder mot spridning eller genom utplåning ska inte gälla personuppgifter i en myndighets beslut.

En allmän skyldighet att korrigera

Enligt artikel 12 b i dataskyddsdirektivet ska medlemsstaterna säker- ställa att varje registrerad får personuppgifter rättade, utplånade eller blockerade som inte behandlas i enlighet med bestämmelserna i direktivet även i andra fall än då uppgifterna är ofullständiga eller felaktiga. Denna skyldighet tar ospecificerat sikte på alla krav som uppställs i direktivet för att en behandling ska vara tillåten. Det kan alltså handla om personuppgifter som varken är felaktiga eller ofull- ständiga, dvs. personuppgifter som i och för sig är riktiga, men ändå inte får behandlas enligt direktivet på grund av att de exempelvis är för gamla eller inte relevanta.

Den generella lagen bör därför innehålla en bestämmelse som ger registrerade rätt att, förutom att åberopa att en rättelse eller komplettering bör ske, göra gällande att en personuppgift inte får behandlas av myndigheten i fråga. Av bestämmelsen bör också framgå att myndigheten är skyldig att korrigera en behandling om den är otillåten. Frågan om en personuppgift behandlas i strid med den nya lagen får bedömas mot bakgrund av de bestämmelser som är tillämpliga på behandlingen och för det ändamål som myndig- heten behandlar uppgiften (jfr RÅ 2006 ref. 86).

572

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Vilka korrigeringsåtgärder ska vidtas?

I såväl dataskyddsdirektivet som personuppgiftslagen används begreppen att rätta, blockera eller utplåna för att beskriva de for- mer av korrigering som ska göras för att en behandling av person- uppgifter ska bli tillåten. Enligt vår mening bör alltså begreppet rättelse förbehållas de fall då en myndighet korrigerar en person- uppgift som är felaktig till sitt innehåll. Den skyldighet som vi nu talar om, dvs. att myndigheten ska korrigera en behandling av per- sonuppgifter som inte är förenlig med gällande bestämmelser, måste alltså benämnas på annat sätt än genom termen rättelse.

I såväl dataskyddsdirektivet och personuppgiftslagen används begreppen blockera eller utplåna en personuppgift för att beskriva de åtgärder som ska vidtas. Vilken metod som ska användas har det i princip ansetts vara upp till den personansvarige att avgöra, även när den ansvarige är en myndighet (se t.ex. prop. 2007/08:116 s. 20 om rättelse i Kronofogdemyndighetens databaser).

Utplåning

Eftersom utplåning anses innebära att personuppgifter tas bort från informationssamlingarna på ett sådant sätt att de inte ur dessa samlingar kan återskapas, bör en sådan åtgärd vidtas av en myn- dighet bara om den är förenlig med huvudprincipen att allmänna handlingar ska bevaras i myndigheternas arkiv. Detta innebär att utplåning av personuppgifter i allmänna handlingar som utgör s.k. färdiga elektroniska handlingar, handlingar i pappersform och så- dana handlingar som tagits om hand för arkivering inte bör ske utan uttryckligt lagstöd. Sådant stöd torde finnas endast i absoluta undantagsfall. Som exempel kan nämnas att det i 7 kap. 2 § andra stycket patientdatalagen (2008:355) finns bestämmelser om att personuppgifter ska utplånas ur kvalitetsregister om den enskilde motsätter sig att de behandlas. Enligt 8 kap. 4 § samma lag får Inspek- tionen får vård och omsorg på ansökan av en patient eller någon annan som omnämns i en patientjournal besluta att journalen helt eller delvis ska förstöras. Den bestämmelse som vi nu föreslår bör alltså inte kunna åberopas till stöd för en myndighet att utplåna personuppgifter i allmänna handlingar utan en bedömning att en

573

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

sådan åtgärd är förenlig med de intressen som bär upp regler om arkiv.

Såvitt avser personuppgifter i allmänna handlingar torde således utrymmet för myndigheter att utplåna personuppgifter som har be- handlats på ett sätt som inte är förenligt med gällande bestäm- melser vara mycket litet. Frågan är vilken åtgärd myndigheten i stället ska vidta för att korrigera en behandling som kommer till uttryck eller dokumenteras på det sättet fast den inte är tillåten.

Gallring

Frågan om personuppgifter har behandlats under alltför lång tid be- döms på myndighetsområdet utifrån vad som föreskrivs i bestäm- melser om gallring. Den åtgärd som ska vidtas i så fall är alltså att följa tillämplig gallringsbestämmelse. Någon särskild bestämmelse om detta behöver därför inte föras in i den nya lagen (se vidare kapitel 14).

Blockering ersätts med en åtgärd som innebär att personuppgifter avskiljs från fortsatt behandling

I den händelse en myndighet har behandlat personuppgifter som inte är adekvata eller relevanta utifrån ändamålet med den aktuella behandlingen är emellertid frågan om vilken åtgärd som bör vidtas. När det gäller det s.k. Kringresanderegistret hos Polismyndigheten i Skåne, som befunnits olagligt i flera avseenden (se avsnitt 18.1) har åtgärder vidtagits som inneburit att uppgiftssamlingen har av- slutats och gallrats (Säkerhets- och integritetsskyddsnämndens uttalande den 11 december 2014, dnr 463-2013). Två kopior av upp- giftssamlingen har dock sparats för att kunna besvara frågor om förekomst.

Den åtgärd som dataskyddsdirektivet och personuppgiftslagen anvisar som alternativ åtgärd till utplåning för att korrigera en otillåten behandling är att blockera personuppgifterna. I 3 § PuL definieras blockering som en åtgärd som vidtas för att personupp- gifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och för att uppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. Av

574

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

definitionen anses följa att de blockerade uppgifterna får användas internt hos den personuppgiftsansvarige och hos ett personupp- giftsbiträde under förutsättning att det framgår att de är blockerade och anledningen till den åtgärden. Däremot får uppgifterna inte lämnas ut till tredje man. Det anses vara upp till den person- uppgiftsansvarige att bestämma hur det tekniskt ska åstadkommas att de blockerade uppgifterna är förknippade med information om blockeringen (Öman/Lindblom, s. 85).

Det är emellertid svårt att se framför sig på vilket sätt åtgärden blockering skulle fylla någon funktion från den registrerades perspek- tiv när det gäller en myndighets verksamhet. Såvitt avser hans eller hennes intresse av att myndigheten endast ska behandla person- uppgifter som är adekvata, relevanta och nödvändiga för det ända- mål som behandlingen sker förefaller åtgärder av den typ som har vidtagits i fråga om det s.k. Kringresanderegistret vara mer rele- vanta än att en blockering görs, oavsett vad det sistnämnda nu kan tänkas innebära. Det centrala i sammanhanget förefaller nämligen vara att myndigheten upphör med att behandla personuppgifter som inte får ingå i den aktuella behandlingen. Det kan exempelvis handla om att uppgifterna inte är relevanta utifrån syftet med ett visst register eller att känsliga personuppgifter behandlas trots att det inte finns någon tillämplig undantagsbestämmelse som tillåter det.

En åtgärd som innebär att myndigheten upphör med behandling av en personuppgift som inte är tillåten utifrån syftet med den aktuella behandlingen kan lämpligen beskrivas som att uppgiften avskiljs från fortsatt behandling. Genom begreppet avskiljs uttrycks att den aktuella personuppgiften i fortsättningen inte får ingå i den behandling som är i fråga. Samtidigt framgår att det inte är frågan om att i teknisk mening fullständigt gallra uppgiften eller att utplåna den, utan den kan och bör bevaras i enlighet med vad som i övrigt gäller för myndighetens verksamhet och är lämpligt i sammanhanget. Om och på vilket sätt personuppgiften bör bevaras hos myndig- heten efter ett avskiljande får alltså bedömas med utgångspunkt i vilken verksamhet myndigheten bedriver och för vilka skäl ett fortsatt bevarande kan vara nödvändigt. I fråga om det s.k. Kring- resanderegistret hade det exempelvis, med hänsyn till möjligheterna att ställa eventuella beslutsfattare till ansvar och att reglera krav på skadestånd, varit högst olämpligt att utplåna de personuppgifter

575

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

som ingick i registret liksom registret som sådant. Det kan vidare tilläggas att begreppet avskiljande i dataskyddsdirektivets perspek- tiv kan liknas vid att personuppgifterna blockeras eller spärras, i vart fall med avseende på den aktuella behandlingen hos myndig- heten. I och med att uppgifter på detta sätt avskiljs från den aktu- ella behandlingen, saknas det vidare ett behov av att särskilt göra en markering av uppgiften att den är ”blockerad”.

Begreppet blockering innebär enligt legaldefinitionen i person- uppgiftslagen att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap TF. Den senare markeringen förefaller i och för sig överflödig, eftersom detta redan följer av att bestämmelserna i 2 kap. TF gäller före bestämmelserna i person- uppgiftslagen (jfr 8 § PuL).

Någon motsvarande rätt att få uppgifter ur allmänna handlingar som finns beträffande själva handlingen finns inte. Om en myn- dighet inte vill lämna ut en uppgift ur en allmän handling, saknas möjlighet för den enskilde att överklaga beslutet (6 kap. 4 och 7 §§ OSL). Såvitt vi har erfarit finns det inga indikationer på att åtgär- den ”blockering” skulle ha åberopats som skäl för att inte lämna ut en personuppgift till tredje man eller att bestämmelsen i person- uppgiftslagen i detta avseende har lett till några problem på myn- dighetsområdet. Det förefaller vidare främmande att en myndighet självmant skulle ägna sig åt att sprida personuppgifter som av något skäl bör ”blockeras”. Å andra sidan finns inget tungt vägande skäl mot att en bestämmelse om rätt till korrigering av en otillåten behandling i en myndighets verksamhet även bör omfatta att upp- gifterna i fråga inte får lämnas ut annat än med stöd av 2 kap. TF. En sådan rätt kan emellertid på myndighetsområdet bara avse utlämnande till enskilda och inte till en annan myndighet, eftersom myndigheter har en överklagbar rätt enligt 6 kap. 5 § OSL att be- gära ut både uppgifter och handlingar. I vilken utsträckning en myndighet ska vara skyldig att lämna ut en ”blockerad” person- uppgift till en annan myndighet får därför avgöras utifrån de andra bestämmelser som gäller sådant uppgiftsutbyte.

Vi föreslår mot bakgrund av det anförda att begreppet blockering inte ska användas i den nya lagen utan ersättas av en åtgärd som avser att en myndighet, om en personuppgift inte får behandlas, ska avskilja uppgiften från fortsatt behandling och inte heller lämna ut en sådan uppgift till en enskild annat än med stöd av 2 kap. TF.

576

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

Avslutningsvis kan nämnas att enligt förslaget till uppgifts- skyddsförordning ska en otillåten behandling åtgärdas genom radering (artiklarna 17.1–17.3) eller att behandlingen av personupp- gifter begränsas (artiklarna 17.4). Enligt vår bedömning ryms den bestämmelse som vi nu föreslår även inom de krav som förord- ningen föreslås uppställa i denna del.

Undantag för en myndighets beslut

Enligt 1 kap. 9 § RF ska domstolar och myndigheter i sin verksam- het beakta allas likhet inför lagen samt iaktta saklighet och opartisk- het.

Detta grundlagsstadgade krav innebär att t.ex. att domstolar och myndigheter ska utforma sina beslut så att de även betraktade ut- ifrån framstår som sakliga och opartiska. Redan genom detta grund- läggande krav på myndigheternas verksamhet, oavsett i vilken form den tar sig uttryck, finns en starkt styrande kraft som verkar för att domstolars och myndigheters beslut ska hålla hög kvalitet i så måtto att de inte innehåller andra uppgifter än sådana som är korrekta och relevanta för den fråga som avgjorts genom beslutet.

I förvaltningslagen samt i de processrättsliga regelverken finns kompletterande bestämmelser som styr hur myndigheters och dom- stolars beslut ska vara utformade. Ett gemensamt krav är bl.a. att det av ett beslut ska framgå de skäl som bestämt utgången i ärendet eller målet. Av dessa bestämmelser, liksom av de grundläggande bestämmelserna i 9 § PuL, följer att en omständighet som anges i ett beslut ska vara adekvat, relevant och påkallad för att motivera utgången i ärendet eller målet. Det innebär i sin tur att de krav som ställs i 9 § PuL måste bedömas med beaktande av de legitima och grundläggande värden och intressen som ligger till grund för en domstols eller förvaltningsmyndighets verksamhet (jfr RH 2008:87). Vad gäller en sådan verksamhet ligger det i sakens natur att det i allmänhet måste finnas ett relativt stort utrymme för myndigheten eller domstolen att själv avgöra vilka omständigheter som bör åter- ges i en handling där domstolens eller myndighetens ställnings- tagande beträffande ett visst mål eller ärende redovisas.

Av andra regelverk som styr hur myndigheter och domstolar ska utforma sina beslut finns alltså redan högt ställda krav som

577

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

motsvarar de grundläggande krav som gäller för behandling av per- sonuppgifter i dataskyddsdirektivet.

Enligt förvaltningslagen och processrättsliga regelverk finns vidare uttryckliga bestämmelser om möjlighet att få beslut om- prövade av den beslutande instansen eller, efter ett överklagande, av en högre instans. Det finns också särskilda regler om omprövning som gäller i viss myndighetsverksamhet. Det finns därutöver möj- lighet att på extraordinär väg föra talan om ändring genom s.k. res- ning. Av allmänna rättsgrundsatser följer också ytterligare möjlig- heter för myndigheter att ompröva sina beslut.

Både en omprövning av ett beslut av beslutinstansen eller en ändring efter ett överklagande syftar till att ändra ett besluts rättsverkningar, dvs. att själva beslutet ska ändras. En förutsättning för att det ska finnas en rätt att överklaga ett beslut är således enligt 22 § FL att beslutet har gått den klagande emot. Det innebär att om en persons klagomål rörande ett beslut inte går ut på att själva beslutet ska ändras eller upphävas utan enbart avser beslutsmoti- veringen, finns det ingen klagorätt (se t.ex. RÅ 2006 ref. 21).

Genom JO och JK:s verksamhet kan den enskilde däremot få prövat om en myndighet eller domstol, eller en enskild tjänsteman som är anställd där, förtjänar kritik för att ett beslut inte har utfor- mats i överensstämmelse med gällande regelverk, exempelvis genom att i motiveringen ta med omständigheter som inte är relevanta för att avgöra den fråga som är aktuell i målet eller ärendet (se t.ex. JO:s beslut den 21 mars 2012, dnr 511-2011, angående hur en tingsrätts dom hade formulerats). Ett sådant ärende kan vidare i sin tur leda till, om det är fråga om ett tillräckligt klandervärt beteende, att beslutsfattaren blir föremål för disciplinåtgärd eller att det väcks åtal för brottet tjänstefel. Grava felbedömningar som kommit till uttryck i ett beslut kan också ge utrymme för att utkräva ett skade- ståndsrättsligt ansvar enligt 3 kap. 2 § skadeståndslagen (1972:207) på grund av fel eller försummelse från statens eller en kommuns sida (se t.ex. NJA 2003 s. 285).

Om ett beslut har utformats på ett så klandervärt sätt att beslutsfattaren i fråga gör sig skyldig till brott, kan en person som har orsakats lidande på grund av det undermåligt utformade be- slutet få skadestånd enligt de allmänna bestämmelserna i skade- ståndslagen. I de fall ett beslut har ändrats till följd av att en person har begärt omprövning av det eller överklagat detsamma kan det

578

SOU 2015:39 Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

vidare också uppstå en situation där en rätt till skadestånd enligt 48 § PuL kan föreligga. Genom det ändrade beslutet kan en personuppgift, som tidigare ansetts riktig, nu anses felaktig. En felaktig personuppgift har alltså behandlats, vilket beroende på om- ständigheterna kan ha ställt till med både ekonomisk skada och lidande för den enskilde. Myndigheten kan då i egenskap av per- sonuppgiftsansvarig bli skadeståndsskyldig för att den, som det sedermera visat sig, har behandlat en felaktig personuppgift (se t.ex. JK:s beslut den 2 mars 2011, dnr 8156-09-40).

Sammanfattningsvis kan det konstateras att det, vid sidan av vad som sägs i 9 § PuL, finns regler som ställer krav på vilken kvalitet som personuppgifter ska hålla som behandlas i myndigheters och domstolars beslut. Det finns också ett förvaltningsrättsligt och processrättsligt regelverk som i princip uttömmande reglerar i vilken utsträckning ett beslut av en myndighet eller domstol kan ändras. Detta regelverk har utformats med avseende på att både ta hänsyn till parters intresse av att kunna få beslut ändrade och in- tresset av att man ska kunna utgå från att ett beslut, varigenom ett ärende eller mål har avgjorts, står fast och inte utan vidare kan ändras. Det finns också inom ramen för den ordning som beskrivits ovan möjlighet att få prövat om utformningen av ett avgörande från en myndighet eller domstol inte uppfyller de krav som ställs. Det är vidare möjligt att göra anspråk på rätt till skadestånd.

Enligt vår uppfattning saknas det mot denna bakgrund ett behov av att i den nya lagen tillhandahålla ytterligare en möjlighet för den registrerade att föra talan om att ett beslut av en myndighet eller en domstol inte har utformats på ett sätt som motsvarar de krav som gäller för beslutsfattandet. Vi anser också att det från prin- cipiella utgångspunkter framstår som tveksamt att tillhandahålla en sådan rätt vid sidan av den ordning som finns att tillgå genom andra regelverk, vilka har funnits under lång tid och har sin grund i de allmänna rättsgrundsatser som bär upp de förvaltningsrättsliga och processrättsliga regelverken. Ett sådant ställningstagande är enligt vår uppfattning väl förenligt med de möjligheter till undantag från skyldigheterna i artikel 12 b i dataskyddsdirektivet som föreskrivs i artikel 13.1 beträffande skyddet för andras fri- och rättigheter. Det- samma gäller undantagen i förslaget i uppgiftsskyddsförordningen från skyldigheten att radera, jfr artikel 17.3 d.

579

Skyldighet att vidta åtgärder då personuppgifter är oriktiga eller behandlas otillåtet

SOU 2015:39

Rätten att begära korrigering i form av avskiljande från fortsatt behandling och hinder mot spridning eller genom utplåning av en personuppgift ska alltså inte gälla uppgifter i en myndighets beslut. Däremot har den registrerade rätt att enligt den bestämmelse om rättelse som vi föreslagit ovan begära att ett beslut rättas om det innehåller en personuppgift som är felaktig eller ofullständig.

Skyldighet att underrätta tredje man

Vi har ovan redovisat vår uppfattning att det inte behöver införas någon särskild skyldighet att underrätta tredje man om att en rätt- else skett i pågående ärenden eller mål, eftersom det är tillräckligt med den skyldighet att kommunicera som redan åligger myndig- heter och domstolar. När det gäller skyldigheten att korrigera en otillåten behandling, som enligt vårt förslag enbart gäller behand- lingar som inte har samband med utformning av ett beslut, gör vi samma bedömning. När en personuppgift avskiljs från fortsatt behandling eller undantagsvis utplånas bedömer vi alltså att det är tillräckligt med en myndighets skyldighet att kommunicera som redan finns enligt andra regelverk för att uppfylla direktivets krav i detta hänseende.

580

16Anmälan till tillsynsmyndigheten m.m.

16.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Anmälningsskyldighet

Direktivet bygger på huvudregeln att all helt eller delvis automati- serad behandling av personuppgifter ska anmälas till tillsynsmyndig- heter, artikel 18.1. Denna huvudregel om anmälningsplikt måste medlemsstaterna föreskriva. I punkten 48 i ingressen till direktivet anges att anmälningsförfarandet är avsett att göra behandlingens ändamål och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vid- tas för att genomföra direktivet.

Medlemsstaterna ska, enligt artikel 19.1, precisera vilka uppgifter som anmälan ska innehålla, dock ska den innehålla åtminstone föl- jande uppgifter.

a)Den registeransvariges eller dennes eventuella företrädares namn och adress.

b)Ändamålen med behandlingen.

c)En beskrivning av den eller de kategorier av registrerade som be- rörs och av de uppgifter eller kategorier av uppgifter som hänför sig till berörda registrerade.

d)Mottagarna eller de kategorier av mottagare till vilka uppgifter- na kan komma att lämnas ut.

e)Föreslagna överföringar av uppgifter till tredjeland.

581

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

f)En allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av vidtagna säkerhetsåtgärder enligt artikel 17.

Medlemsstaterna ska vidare, enligt artikel 21.2, föreskriva att tillsyns- myndigheten ska föra ett allmänt tillgängligt register över anmälda behandlingar. Registret ska åtminstone innehålla de uppgifter som anges i artikel 19.1 a–e och vara allmänt tillgängligt.

Undantag från anmälningsplikten

Anmälningsplikten enligt artikel 18.1 är en huvudregel som med- lemsstaterna inom vissa gränser får föreskriva undantag från. Möjliga undantag anges i artikel 18.2–4. Alternativt kan medlemsstaterna meddela föreskrifter om ett förenklat anmälningsförfarande.

Av intresse för myndigheters behandlingar av personuppgifter är till en början artikel 18.2 som anger två undantagsmöjligheter.

Den första gäller de typer av behandlingar i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks. För att undantag ska få göras krävs dock att det för dessa typer av behandling anges behand- lingens ändamål, vilka uppgifter eller kategorier av uppgifter som be- handlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut och hur länge uppgifterna ska bevaras.

Den andra möjligheten till undantag gäller när den registeransva- rige, i enlighet med den nationella lagstiftning som gäller för honom eller henne, har utsett ett uppgiftsskyddsombud. Uppgiftsskydds- ombudet ska ha till uppgift att dels på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som har an- tagits till följd av direktivet, dels föra ett register över de behand- lingar som utförs av den registeransvarige. Registret ska innehålla de obligatoriska uppgifter som en anmälan skulle ha innehållit med undantag för beskrivning av de säkerhetsåtgärder som har vidtagits, dvs. registret ska innehålla de uppgifter som anges i artikel 19.1 a–e. Uppgiftsskyddsombudet ska på detta sätt säkerställa att de registre- rades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna. Ombudet ska vidare rådfråga tillsynsmyn- digheten i tveksamma fall rörande huruvida det krävs en förhands-

582

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

kontroll av särskilt riskfyllda behandlingar (artikel 20.2). I punkt 49 i ingressen betonas att den person som utses till uppgiftsskydds- ombud måste – vare sig han eller hon är anställd av den register- ansvarige eller inte – ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.

I artikel 18.3 ges en tredje möjlighet för medlemsstaterna att före- skriva undantag, nämligen för behandling i författningsreglerade register vars enda syfte är att förse allmänheten med information och som är tillgängliga antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse.

Förhandskontroll

Enligt artikel 20 måste vissa särskilt riskfyllda behandlingar anmälas och kontrolleras innan de påbörjas. Till skillnad från den ordinarie anmälningsskyldigheten enligt artikel 18.1 ska alltså tillsynsmyndig- heten göra en kontroll i det särskilda fallet. Det är dock medlems- staterna som ska bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och därför kräver förhandskontroll (artikel 20.1). I punkt 53 i ingressen anförs att vissa typer av behandling på grund av sin natur, sin omfattning eller sitt ändamål kan innebära särskilda risker för att de registrerades fri- och rättigheter kränks. Som exempel anges behandling som har till ändamål att utesluta den berörde från möjligheten att utöva en rättighet, ta emot en förmån eller ingå ett avtal och sådan behand- ling som innebär användning av ny teknik. Förhandskontroller ska utföras av tillsynsmyndigheten efter anmälan (artikel 20.2). Kon- trollen kan alternativt ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder (artikel 20.3). Från bestämmelserna i artikel 20 om förhandskontroll föreskrivs inga särskilda undantag.

583

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

Behandlingarnas offentlighet

Även för de fall där medlemsstaterna utnyttjat möjligheten att före- skriva om undantag från huvudregeln om anmälningsplikt, har medlemsstaterna ett fortsatt ansvar för att se till att behandlingarna görs offentligt tillgängliga. Den som vill ska kunna få uppgifter om en behandling även om den inte har anmälts till tillsynsmyndig- heten. Detta följer av artikel 21.1 och 3. Medlemsstaterna får dock föreskriva att detta inte ska gälla för sådana författningsreglerade register som undantagits från anmälningsplikt enligt artikel 18.3.

Härutöver gäller att medlemsstaterna får föreskriva begräns- ningar i kraven i artikel 21 på behandlingars offentlighet med stöd av artikel 13.1, dvs. då en begränsning är en nödvändig åtgärd med hänsyn till något av de skäl som anges i punkt a–g, t.ex. med hän- visning till skyddet av den registrerades eller andras fri- och rättig- heter. Begränsningar kan alltså komma i fråga för såväl tillsynsmyn- dighetens register över anmälda behandlingar som registeransvarigas ansvar att tillhandahålla allmänheten information.

Personuppgiftslagen

Dataskyddsdirektivets bestämmelser om anmälan till tillsynsmyn- digheten m.m. har genomförts i Sverige genom 36–42 §§ PuL och kompletterande bestämmelser i personuppgiftsförordningen samt Datainspektionens föreskrifter. I personuppgiftslagens förarbeten uttalades att det på grund av artikel 18.1 i direktivet var nödvändigt att föreskriva att alla automatiserade behandlingar ska anmälas till tillsynsmyndigheten. Dock ansågs att tillsynsmyndighetens verksam- het, dvs. Datainspektionens, borde koncentreras till att ge råd och sprida kunskap om de materiella reglerna och att utöva tillsyn över att reglerna följs. Det var därför viktigt att fullt ut utnyttja de möj- ligheter till undantag från anmälningsskyldigheten som direktivet medger. På det sättet borde anmälningsskyldigheten kunna begränsas till ett minimum (prop. 1997/98:44 s. 98).

584

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

Anmälningsskyldighet

Huvudregeln om anmälningsskyldighet för helt eller delvis automa- tiserad behandling slås fast i 36 § första stycket PuL. Anmälan till tillsynsmyndigheten ska göras av den personuppgiftsansvarige innan behandlingen eller en serie av sådana behandlingar med samma ända- mål genomförs. Tillsynsmyndigheten gör ingen prövning av behand- lingens lagenlighet eller liknande med anledning av en anmälan utan för in uppgifter om behandlingen i ett automatiserat register över anmälda personuppgiftsbehandlingar som inspektionen för enligt 7 § PuF. Vidare ska personuppgiftsansvariga som utser eller ent- ledigar ett personuppgiftsombud anmäla detta till tillsynsmyndig- heten (36 § andra stycket PuL).

Genom 16 § 6 PuF har Datainspektionen bemyndigats att med- dela föreskrifter om vad en anmälan ska innehålla. Enligt 6 § DIFS 2013:1 ska anmälan innehålla motsvarande uppgifter som anges i artikel 19.1 i direktivet. Ändringar av något förhållande ska också anmälas.

Undantag från anmälningsskyldigheten

Från huvudregeln om anmälningsskyldighet finns flera undantag. Enligt 36 § tredje stycket PuL får regeringen, eller den myndig-

het som regeringen bestämmer, meddela föreskrifter om undantag från anmälningsskyldigheten enligt första stycket för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten (jfr artikel 18.2 första streck- satsen). Så har skett genom 3–5 §§ PuF samt 3–5 §§ DIFS 2013:1 (se även 6 § PuF med bemyndigande för Datainspektionen att med- dela undantag för behandlingar som avses i 36 § tredje stycket PuL). Enligt dessa gäller följande undantag från anmälningsskyldigheten såvitt är av intresse nu.

Behandling av personuppgifter som utförs till följd av en myndig- hets skyldighet enligt 2 kap. TF att lämna ut allmän handling (3 § 1 PuF).

Behandling av personuppgifter som till följd av arkivlagen (1990:782) eller arkivförordningen (1991:446) utförs av arkiv- myndighet (3 § 2 PuF).

585

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

Behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning i andra fall än enligt 2 kap. TF eller arkivlagstiftningen (3 § 3 PuF).

Behandling av personuppgifter i löpande text eller sådant ostrukturerat material som avses i 5 a § PuL (4 § PuF).

Behandling av personuppgifter som sker efter samtycke från den registrerade (4 § DIFS 2013:1).

Behandling av personuppgifter som har samlats in från den re- gistrerade om behandlingen är nödvändig för att uppfylla bestämmelser i lag eller förordning under villkor att den personuppgiftsansvarige själv för en förteckning över behand- lingarna med de uppgifter som annars skulle ha anmälts (5 § d DIFS 2013:1).

Behandling av personuppgifter som får behandlas på hälso- och sjukvårdsområdet enligt 18 § PuL (känsliga personuppgifter) under villkor att den personuppgiftsansvarige själv för en för- teckning över behandlingarna med de uppgifter som annars skulle ha anmälts (5 § e DIFS 2013:1).

Ett ytterligare undantag från anmälningsskyldigheten anges i 37 § PuL. Enligt den bestämmelsen behöver en anmälan enligt 36 § första stycket inte göras om den personuppgiftsansvarige har anmält till tillsynsmyndigheten att ett personuppgiftsombud utsetts och vem det är (jfr artikel 18.2 andra strecksatsen). Detta i praktiken bety- delsefulla undantag är, till skillnad från sådana undantag som avses i 36 § tredje stycket, inte villkorat av att det ska handla om en behand- lingstyp som sannolikt inte leder till otillbörligt intrång i den per- sonliga integriteten. Systemet med personuppgiftsombud är frivilligt för myndigheter liksom för andra personuppgiftsansvariga.

Särskilt om personuppgiftsombudet

I 3 § PuL definieras personuppgiftsombud som den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Med självständighetsrekvisitet avses detsamma som anges i direktivet om att ombudet ”på ett oberoende sätt” ska kunna säkra

586

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

den interna tillämpningen. Är ombudet anställd hos den person- uppgiftsansvarige, får han eller hon inte ha en alltför underordnad ställning (prop. 1997/98:44 s. 140). Den personuppgiftsansvarige kan också anlita någon utanför den egna organisationen att vara per- sonuppgiftsombud. Denne anses då inte vara tredje man i person- uppgiftslagens mening (3 § PuL). Det finns inget som hindrar att den personuppgiftsansvarige utser flera personuppgiftsombud eller att flera personuppgiftsansvariga utser en och samma person till personuppgiftsombud (a. prop. s. 139). Datainspektionen framhåller i sin informationsbroschyr om personuppgiftsombud att det, för det fall det finns flera ombud, är bra om man beskriver ombudens inbördes arbetsfördelning och roller. Om den personuppgiftsansva- rige utser ett ombud utanför sin egen organisation är det vidare lämpligt att ett avtal upprättas mellan den personuppgiftsansvarige och ombudet. Av avtalet bör framgå vilket uppdrag ombudet har och vilka arbetsuppgifter denne ska utföra.

Personuppgiftsombudets uppgifter anges i 38–40 §§ PuL. Enligt 38 § första stycket ska personuppgiftsombudet självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed. Personuppgifts- ombudet ska också påpeka eventuella brister för den personuppgifts- ansvarige.

Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet anmäla för- hållandet till tillsynsmyndigheten (38 § andra stycket). Personupp- giftsombudet ska även i övrigt samråda med tillsynsmyndigheten vid tveksamhet om hur de bestämmelser som gäller för behandlingen av personuppgifter ska tillämpas (tredje stycket).

I 39 § PuL föreskrivs att personuppgiftsombudet ska föra en förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Förteckningen ska omfatta åtminstone de uppgifter som en anmälan enligt 36 § skulle ha innehållit (se 6 § DIFS 2013:1).

Enligt 40 § PuL ska personuppgiftsombudet hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. Denna bestämmelse

587

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

har ingen motsvarighet i direktivet utan är en inhemsk reglering med rötter i 1973 års datalag. Enligt 8 § fjärde stycket datalagen (1973:289) skulle en registeransvarig utse en eller flera personer som skulle bistå de registrerade vid misstanke om oriktig eller missvisande per- sonuppgift. Sådana uppgifter skulle, enligt första stycket samma paragraf, under vissa förutsättningar rättas, ändras eller uteslutas. Enligt bestämmelsen i datalagen var det också denne person som skulle lämna underrättelse om vidtagen rättelse m.m. till en tidigare mottagare av personuppgiften i fråga, om den registrerade begärde det eller om det förelåg risk för otillbörligt intrång i personlig inte- gritet.

Förhandskontroll

I 41 § PuL bemyndigas regeringen att meddela föreskrifter om att sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten ska för förhands- kontroll anmälas till tillsynsmyndigheten enligt 36 § tre veckor i förväg. Om regeringen har meddelat sådana föreskrifter, gäller inte undantaget från anmälningsskyldigheten enligt 37 §. Det innebär att anmälan för förhandskontroll måste göras även om den personupp- giftsansvarige har ett personuppgiftsombud. Paragrafen har införts mot bakgrund av artikel 20.1 i direktivet (prop. 1997/98:44 s. 141). Det finns numera inga gällande allmänna bestämmelser som före- skriver en sådan förhandskontroll som avses i 41 § PuL. Den 1 mars 2013 upphävdes dåvarande 10 § PuF som föreskrev anmälningsplikt och förhandskontroll för personuppgifter om genetiska anlag som framkommit efter genetisk undersökning. Sådan personuppgifts- behandling förekommer hos myndigheter som bedriver hälso- och sjukvård eller medicinsk forskning. Däremot finns en särbestämmel- se om att behandling hos Skatteverket rörande personuppgifter om brottsmisstankar ska anmälas för förhandskontroll (2 § förordning- en [1999:105] om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar).

Enligt Datalagskommittén kan sådan förhandskontroll som avses i artikel 20 i direktivet av särskilt känsliga personuppgiftsbehand- lingar sägas ske i samband med att registerförfattningar tas fram och beslutas av riksdag eller regering (SOU 1997:37 s. 427).

588

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

Upplysningar till allmänheten om behandlingar som inte anmälts

I 42 § PuL finns bestämmelser om upplysningar till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten. Den per- sonuppgiftsansvarige ska till var och en som begär det skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiserade eller andra behandlingar av personuppgifter som inte har anmälts till tillsynsmyndigheten. Upplysningarna ska omfatta det som en an- mälan enligt 36 § första stycket skulle ha omfattat. Den person- uppgiftsansvarige är dock inte skyldig att lämna ut sekretessbelagda uppgifter eller uppgifter om vilka säkerhetsåtgärder som har vidtagits. Paragrafen är avsedd att ha samma innebörd som artikel 21.3 första stycket i direktivet (prop. 1997/98:44 s. 142). På samma sätt som enligt direktivet omfattar bestämmelsen inte bara helt eller delvis automatiserad behandling utan även behandling i manuella register. Det finns inget krav på att upplysningar ska lämnas skriftligen. I för- arbetena angavs att bestämmelserna i 42 § PuL förmodligen skulle leda till att de personuppgiftsansvariga upprättar och håller aktuell någon form av förteckning över aktuella behandlingar (a. prop. s. 100). Som framgått ovan har vidare ett av undantagen från anmälnings- skyldigheten enligt 36 § första stycket för viss behandling gjorts beroende av att den personuppgiftsansvarige själv för en förteckning med de uppgifter som annars skulle ha anmälts (5 § d DIFS 2013:1).

En myndighets beslut om upplysningar enligt 42 § PuL är över- klagbart enligt 52 § PuL då ett sådant beslut ansetts direkt beröra den enskilde (prop. 2005/06:173 s. 51 f.). Se vidare angående frågor om överklagande avsnitt 18.3.

Bestämmelserna i 42 § PuL om upplysningar till allmänheten på begäran från en enskild behöver inte tillämpas i fråga om behand- ling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Detta följer av den s.k. missbruksregeln i 5 a § PUL. Enligt för- arbetena till missbruksregeln kan skyldigheten att på begäran lämna upplysningar till allmänheten om behandlingar inte anses bidra till integritetsskyddet i någon nämnvärd omfattning eller ha en sådan praktisk betydelse för de registrerade att det uppväger besväret för den personuppgiftsansvarige att lämna upplysningarna. Ett undantag

589

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

beträffande 42 § PUL för personuppgifter i ostrukturerat material ansågs därför vara motiverat (prop. 2005/06:173 s. 40).

Förslaget till uppgiftsskyddsförordning

I förslaget till uppgiftsskyddsförordning finns en hel del nyheter och förändringar i förhållande till dataskyddsdirektivet såvitt avser anmälningsskyldighet m.m. Bland annat slopas huvudregeln om anmälningsskyldighet till tillsynsmyndigheten. I stället ska person- uppgiftsansvariga bevara dokumentation om behandlingar samt göra konsekvensbedömningar av planerade behandlingar som medför särskilda risker. I vissa fall krävs dock förhandstillstånd från eller samråd med tillsynsmyndigheten. Vidare införs krav på att ett uppgiftsskyddsombud utses i vissa fall samt en tydligare reglering av dennes uppgifter och ställning. Det ska observeras att den före- slagna regleringen delvis är tämligen omfattande och redogörelsen nedan är inte heltäckande. Det ska också observeras att Europaparla- mentets ändringsförslag i lagstiftningsresolutionen av den 12 mars 2014 behandlas i anslutning till redogörelsen under respektive underrubrik.

Dokumentation

Enligt artikel 28 ska registeransvariga och registerförare bevara doku- mentation om all behandling som de ansvarar för. Dokumentationen ska innehålla i princip motsvarande uppgifter som en anmälan till tillsynsmyndigheten enligt direktivet ska innehålla (artikel 19.1 i direktivet). Dessutom ska dokumentationen innehålla bl.a. kontakt- uppgifter till eventuella registerförare, gemensamma registeransvariga eller uppgiftsskyddsombudet. En allmän anvisning om tidsfristerna för radering av de olika kategorierna av uppgifter ska också finnas liksom en beskrivning av de rutiner som avses i artikel 22.3, dvs. rutiner som införts för kontrollen av om antagna policyer och åt- gärder för säkerställandet m.m. av att personuppgiftsbehandlingen utförs i enlighet med förordningen är verkningsfulla.

Den registeransvarige (och registerföraren) är skyldig att på tillsynsmyndighetens begäran göra dokumentationen tillgänglig så

590

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

att den kan tjäna som grund för övervakningen av behandlingen (artikel 28.2).

Kommissionen föreslås få befogenheter att anta delegerade akter som preciserar kriterierna och kraven för dokumentationen och att fastställa standardformulär för densamma (artikel 28.5 och 6).

Europaparlamentet har föreslagit flera strykningar avseende vilka uppgifter dokumentationen enligt artikel 28 ska innehålla. Bara kontaktuppgifter till registeransvarig och uppgiftsskyddsombudet m.m. behålls. I övrigt anges att den dokumentation som krävs för att uppfylla de krav som fastställs i förordningen ska bevaras. Här, liksom beträffande många övriga förslag i förordningen, har parla- mentet strukit möjligheten för kommissionen att anta delegerade akter. Detta gäller även de övriga artiklar som berörs nedan.

Konsekvensbedömning avseende uppgiftsskydd och förhandstillstånd eller förhandssamråd

Genom artikel 33 föreslås en skyldighet för registeransvariga och registerförare att i förväg göra en konsekvensbedömning avseende uppgiftsskydd för en planerad behandling som medför särskilda integritetsrisker för de registrerade. Vidare specificeras vissa typfall som innebär särskilda integritetsrisker, exempelvis systematisk och omfattande bedömning av en fysisk person för olika syften, vissa behandlingar av känsliga personuppgifter, information från kamera- övervakning från allmän plats i stor skala eller storskaliga register med uppgifter om barn, genetisk information eller biometriska data. Konsekvensbedömningen ska innehålla åtminstone en allmän be- skrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades fri- och rättigheter, de åtgärder som planeras för att hantera risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att förordningen efterlevs. Den registeransvarige ska inhämta synpunk- ter från de registrerade och deras företrädare om den avsedda be- handlingen, utan att det påverkar skyddet av kommersiella eller allmänna intressen eller behandlingens säkerhet.

Om den registeransvarige är en offentlig myndighet eller ett offentligt organ och om behandlingen följer av en rättslig skyldig- het enligt artikel 6.1 c som föreskriver regler och förfaranden som rör behandlingen och regleras av unionslagstiftningen, ska kravet på

591

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

konsekvensbedömningar inte gälla, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen (artikel 33.5). Undantaget från det ovillkorliga kravet på konsekvens- bedömningar omfattar således inte behandlingar som följer av rätts- liga skyldigheter enligt en medlemsstats nationella lagstiftning.

Enligt punkten 72 i ingressen till förordningen kan konsekvens- bedömningar avse bredare områden än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämp- nings- eller behandlingsplattform.

I artikel 34 – förhandstillstånd och förhandssamråd – anges de fall där tillstånd av eller samråd med tillsynsmyndigheten är obliga- toriskt inför planerade behandlingar. Bestämmelserna bygger på begreppet “förhandskontroll” i artikel 20 i dataskyddsdirektivet. Förhandstillstånd av tillsynsmyndigheten krävs i vissa fall i samband med planerad överföring av personuppgifter till tredjeland eller inter- nationell organisation (artikel 34.1). Vidare ska förhandssamråd ske med tillsynsmyndigheten om en konsekvensanalys enligt artikel 33 visat att behandlingen sannolikt medför höggradiga särskilda risker eller om behandlingen hör till en behandlingstyp för vilken tillsyns- myndigheten uppställt generella krav på förhandssamråd (artikel 34.2). Kommissionen ska få anta delegerade akter som preciserar bl.a. kriterierna för fastställandet av höggradiga särskilda risker.

Europaparlamentet har föreslagit relativt omfattande föränd- ringar i förslaget när det gäller konsekvensbedömningar m.m. Bland annat föreslås en ny artikel 32a enligt vilken registeransvariga ska göra en riskanalys av planerade behandlingars konsekvenser för de registrerades rättigheter och friheter med en bedömning av frågan om behandlingen medför särskilda risker. Vidare preciseras vissa behandlingsformer som sannolikt medför särskilda risker. Först om en riskanalys visar att vissa av dessa slags behandlingsformer ska ut- föras, måste en konsekvensbedömning enligt artikel 33 göras. Den ska, till skillnad från i kommissionens förslag, uttryckligen ta hänsyn till hela ”livscykeln” avseende behandlingen av personuppgifterna, från insamling till radering. Konsekvensbedömningen ska vidare dokumenteras i enlighet med närmare och uttryckliga krav på inne- hållet. Enligt en ny artikel 33a ska vidare regelbunden uppföljning ske. Därutöver föreslår Europaparlamentet att kravet på förhandstill- stånd i vissa fall slopas.

592

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

Uppgiftsskyddsombud

Enligt artikel 35 blir det obligatoriskt för myndigheter och vissa andra registeransvariga att utse uppgiftsskyddsombud. En offentlig myndighet får utnämna ett gemensamt ombud för flera av dess en- heter. Motsatsvis följer således att en myndighet kan utse flera ombud. Ett ombud ska utnämnas för en period på minst två år. Ett upp- giftskyddsombud kan vara en extern och oberoende uppdragstagare men ombudet kan också utses bland den personuppgiftsansvariges anställda. Den registrerade ska ha rätt att kontakta uppgiftsskydds- ombudet om alla frågor som rör behandlingen av den registrerades uppgifter och för att begära att få utöva sina rättigheter enligt för- ordningen.

Genom artikel 36 redogörs för uppgiftsskyddsombudets ställning. Det åligger den registeransvarige (eller registerföraren) att se till att ombudet deltar i alla frågor som rör skyddet av personuppgifter, att ombudet kan utföra sitt uppdrag på ett oberoende sätt och ges stöd i form av personal och utrustning m.m. som krävs för uppdraget.

Genom artikel 37 preciseras och utvidgas ombudets uppgifter i förhållande till direktivet. En av flera uppgifter för ombudet är att övervaka genomförandet och tillämpningen när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt konsekvensbedömningar. Ombudet ska vidare fungera som kontaktpunkt i förhållande till tillsynsmyndigheten.

Europaparlamentet har endast föreslagit smärre tillägg eller för- ändringar i kommissionens förslag när det gäller frågor om upp- giftsskyddsombud. Av intresse här är närmast förslaget till tillägg i artikel 36 om att uppgiftsskyddsombudet ska omfattas av tystnads- plikt rörande de registrerades identitet och sådana omständigheter som gör det möjligt att identifiera dem, om de inte befrias från denna skyldighet av de registrerade.

Några kommentarer

Det kan konstateras att den föreslagna uppgiftsskyddsförordningen innehåller ett flertal krav som innebär nyheter eller förtydliganden i förhållande till vad som för närvarande gäller enligt dataskyddsdirek- tivet och personuppgiftslagen.

593

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

Ordningen med dokumentation i stället för anmälan till tillsyns- myndigheten innebär minskad administration framför allt för till- synsmyndigheterna men sannolikt i viss mån även för personupp- giftsansvariga. Det är dock svårt att uppskatta vilken betydelse i praktiken förändringen skulle få för personuppgiftsbehandlande myndigheter. Några anpassningssvårigheter torde dock inte uppstå. Visserligen riktas det föreslagna kravet om att bevara dokumentation även mot myndigheter som är personuppgiftsbiträden. Det torde dock vara den personuppgiftsansvariga myndigheten som har att upprätta den dokumentation som personuppgiftsbiträdet måste be- vara.

De uttryckliga kraven på konsekvensbedömningar avseende upp- giftsskydd inför planerade behandlingar som medför särskilda risker för den registrerades fri- och rättigheter är visserligen ett nytt krav jämfört med direktivet. Med tanke på vad för slags behandlingstyper som enligt uppgiftsskyddsförordningen kräver konsekvensbedöm- ningar är det emellertid vår preliminära bedömning att regelverket redan i dagsläget implicit kräver den sortens bedömningar när en myndighet initierar en behandling av det slaget i den mån myndig- heten alls kan hämta rättsligt stöd för att utföra sådan behandling i regleringen av myndighetens uppgifter och verksamhet. Det är alltså vår bedömning att myndigheter inte heller enligt gällande rätt kan påbörja särskilt integritetskänsliga personuppgiftsbehandlingar utan att först ha gjort en riskbedömning och en bedömning av vilka säkerhetsåtgärder som krävs. Vad som förefaller i viss mån proble- matiskt är emellertid att konsekvensbedömningar ska göras även när myndighetens behandling följer av en rättslig skyldighet i lag eller förordning, t.ex. på grund av att riksdagen har beslutat genom lag att ett visst register med visst innehåll ska föras. Som framgått ovan är det bara när den rättsliga skyldigheten för den register- ansvariga myndigheten följer av unionslagstiftningen som myndig- heten inte behöver göra någon konsekvensbedömning (artikel 33.5) Det ter sig emellertid något udda för svenska förhållanden att en myndighet skulle behöva göra en egen konsekvensbedömning av bl.a. riskerna för de registrerades fri- och rättigheter trots att det i det bakomliggande lagstiftningsärendet redan gjorts en avvägning mellan intresset av registerföringen och motstående risker för inte- gritetsintrång. Ett ytterligare förhållande när det gäller förslaget om konsekvensbedömningar som det finns skäl att notera är att det ter

594

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

sig allmänt sett oklart hur myndigheter ska inhämta synpunkter från registrerade om avsedda behandlingar och vilka administra- tionskostnader m.m. som det förslaget kan medföra (artikel 33.4).

Förslaget om att det ska bli obligatoriskt för myndigheter att utse ett uppgiftsskyddsombud kommer att innebära förändringar i vart fall för sådana myndigheter som inte redan har personuppgifts- ombud. Det finns t.ex. många myndigheter som inte sysslar med integritetskänslig eller omfattande personuppgiftsbehandling och som i dag saknar sådant ombud.

Det kan vidare nämnas att Europaparlamentets förslag om tyst- nadsplikt för personuppgiftsombud generellt sett inte skulle över- ensstämma med vad som följer av sekretessregleringen i offentlighets- och sekretesslagen. För det fall det handlar om personuppgifter som är offentliga hos myndigheten kan det konstateras att det i dag inte finns någon bestämmelse om att myndighetens personuppgifts- ombud skulle ha tystnadsplikt eller att personuppgifter skulle om- fattas av sekretess vid ombudets hantering av dem. En anpassning i offentlighets- och sekretesslagen torde därför behöva övervägas om den föreslagna tystnadsplikten genomförs i en kommande förordning. Om och i så fall hur en sådan anpassning bör ske torde vara en inte helt okomplicerad fråga.

Slutligen kan konstateras att uppgiftsskyddsförordningen inte innehåller någon motsvarighet till artikel 21 i dataskyddsdirektivet om behandlingars offentlighet. Enligt förordningen finns alltså ingen skyldighet för registeransvariga att lämna information om behand- lingar till var och en som begär det.

16.2Reglering i registerförfattningar

Registerförfattningar innehåller normalt inga bestämmelser om an- mälningsskyldighet till tillsynsmyndigheten. I den mån frågan över huvud taget kommenteras hänvisas i allmänhet till att bestämmelsen i 3 § 3 PuF – där det föreskrivs att behandling av personuppgifter som regleras genom särskilda föreskrifter i lag eller förordning inte omfattas av anmälningsskyldighet – innebär att någon anmälan inte behöver göras (se t.ex. prop. 2000/01:33 s. 95 och prop. 2009/10:85 s. 88). Inte i någon av de informationshanteringsförfattningar som är konstruerade på det sättet att de uttryckligen hänvisar till olika

595

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

bestämmelser i personuppgiftslagen som ska vara tillämpliga vid per- sonuppgiftsbehandling enligt registerförfattningen i fråga hänvisas till personuppgiftslagens huvudregel om anmälningsskyldighet (36 § PuL) eller de olika undantagen från anmälningsskyldigheten (se t.ex. 2 kap. 2 § polisdatalagen [2010:361]). Resonemangen bakom dessa konstruktioner ter sig dock inte helt konsekventa. Å ena sidan ska bestämmelserna i 36 § om anmälningsskyldighet och bemyndigande för regeringen att meddela undantag inte vara tillämpliga. Å andra sidan motiveras bedömningarna om att anmälan inte behöver göras vid behandling enligt lagen i fråga med en undantagsbestämmelse i personuppgiftsförordningen som regeringen meddelat med stöd just av bemyndigandet i 36 § PuL.

Som huvudregel gäller enligt registerförfattningarna personupp- giftslagens bestämmelser om möjligheten att utse ett personupp- giftsombud. Endast i några författningar – lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunder- rättelseverksamhet och militära säkerhetstjänst, lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvars- underrättelse- och utvecklingsverksamhet samt polisdatalagen och kustbevakningsdatalagen – har det gjorts obligatoriskt för den per- sonuppgiftsansvarige att utse ett eller flera ombud. I förarbetena till polisdatalagen anförde regeringen att integritetskänsligheten i be- handlade uppgifter gör det särskilt angeläget med den kontroll som kan utövas av ett personuppgiftsombud. Vidare framhölls vikten av att enskilda registrerade enkelt kan vända sig till rätt person hos myndigheten i bl.a. frågor om information om behandlingen och om rättelse av felaktiga uppgifter (prop. 2009/10:85 s. 93). Även för- slaget till domstolsdatalag innehåller ett krav på att det ska bli obliga- toriskt för domstolarna att utse personuppgiftsombud (Ds 2013:10).

Det förefaller inte finnas några gällande registerförfattningar vars bestämmelser i sak avviker från vad personuppgiftslagen anger om ombudets uppgifter i 38–40 §§ PuL. Dessa gäller således även på registerförfattningsreglerade områden. Förslaget till domstolsdata- lag avviker dock i det avseendet att personuppgiftsombudet inte ska ha i uppgift att föra en förteckning över behandlingar som skulle ha omfattats av anmälningsskyldighet enligt 36 § första stycket PuL om ombudet inte hade funnits. I förslaget har det därför inte gjorts någon hänvisning till 39 § PuL. Det sammanhänger med att det i

596

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

stället föreslås att den personuppgiftsansvariga domstolen ska föra en motsvarande förteckning.

För flertalet registerförfattningsreglerade myndigheter torde det inte bli aktuellt med sådan behandling av särskilt integritetskänsliga behandlingar som avses i 41 § PuL och beträffande vilka regeringen kan föreskriva om anmälningsplikt för förhandskontroll. Icke desto mindre brukar det hänvisas till att 41 § PuL ska vara tillämplig i sådana registerförfattningar som konstruerats på det sättet att hän- visning sker till de bestämmelser i personuppgiftslagen som ska vara tillämpliga då personuppgifter behandlas enligt registerlagen i fråga. Det har således bedömts att regeringen bör ha den möjligheten (se t.ex. prop. 2000/01:33 s. 96). Lagarna om behandling av personupp- gifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst respektive Försvarets radioanstalts försvarsunder- rättelse- och utvecklingsverksamhet är de enda författningar som helt saknar bestämmelser rörande förhandskontroll. Dessa författ- ningar avser dock verksamhetsområden som faller utanför unions- rättens tillämpningsområde. Det torde vidare kunna hävdas att verk- samheterna är tillräckligt reglerade som de är då de per definition avser känsliga behandlingar.

Vad slutligen gäller upplysningar till allmänheten är bestämmel- serna i 42 § PuL normalt tillämpliga även vid behandling av person- uppgifter enligt olika registerförfattningar. I förarbeten har ofta endast anförts att det är väsentligt att den enskilde på ett enkelt sätt kan få besked om vilka behandlingar som utförs av myndigheterna även om de inte omfattas av någon anmälningsskyldighet till tillsyns- myndigheten (se t.ex. prop. 2009/10:85 s. 89).

16.3Andra bestämmelser om information till allmänheten m.m.

I avsnitt 13.3 har vi berört handlingsoffentlighetens betydelse för den registrerades möjligheter att få närmare insyn i myndigheters behandling av personuppgifter om honom eller henne. Rätten att ta del av allmänna handlingar har givetvis en vidare betydelse än så och innebär en princip om offentlighet i myndigheternas informations- hantering som sedan länge gällt i Sverige. Här kan också påminnas om myndigheternas serviceskyldighet och grundläggande skyldighet

597

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

att på begäran lämna uppgifter ur allmänna handlingar (4 § FL samt 6 kap. 4 och 6 § OSL).

På myndighetsområdet finns alltså bestämmelser i grundlag som innebär en möjlighet att följa och kontrollera myndigheternas infor- mationshantering genom att ta del av allmänna handlingar. Det finns också bestämmelser i vanlig lag som ställer krav på att myndigheter ska kunna tillhandahålla allmänheten och övriga intressenter över- gripande redovisning av vilken informationshantering som myndig- heterna ägnar sig åt. Denna reglering gäller parallellt med personupp- giftslagens reglering av vilken information om behandlingar som ska anmälas till tillsynsmyndigheten eller förtecknas och kunna lämnas till var och en som begär det.

En central bestämmelse i detta sammanhang är 4 kap. 2 § OSL. Av den paragrafen följer att varje myndighet ska upprätta en beskriv- ning av myndighetens allmänna handlingar som ska vara tillgänglig för allmänheten och som ger information om

1.myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,

2.register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,

3.tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,

4.vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sök- möjligheter,

5.vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar,

6.uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och

7.myndighetens rätt till försäljning av personuppgifter.

Syftet med beskrivningarna är framför allt att underlätta för en- skilda som vill utnyttja sin grundlagsstadgade rätt att få ta del av myndigheternas allmänna handlingar. Kravlistan tillmötesgår vidare i praktiken flera av de krav på vad en anmälan enligt 36 § PuL till

598

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

tillsynsmyndigheten ska innehålla och därmed hur och om vad all- mänheten ska kunna få upplysningar enligt 42 § PuL.

Bestämmelserna i 4 kap. 2 § OSL är sedan offentlighets- och sekre- tesslagens införande år 2009 teknikneutrala men omfattade i 1980 års sekretesslag enbart myndigheters ADB-register (15 kap. 9 och 11 §§ SekrL). En annan skillnad är att beskrivningen inte längre behöver omfatta uppgifter om ett ADB-registers benämning eller om dess ändamål. På så vis har överlappningen minskat mellan sekretess- lagstiftningens beskrivning av myndighetens allmänna handlingar och personuppgiftslagens krav på information till allmänheten. Det är numera bara 42 § PuL som uttryckligen föreskriver att informa- tion om ändamålen för behandlingar i personregister m.m. måste ges.

Inte heller finns det längre något uttryckligt krav på beskrivning av vilka typer av uppgifter i ADB-register som myndigheten har tillgång till. Däremot gäller fortfarande ett krav på att myndigheten bl.a. redovisar vilken direktåtkomst myndigheten har till andra aktörers informationssamlingar och myndighetens eget utlämnande av uppgifter genom direktåtkomst. Det framgår av 4 kap. 2 § första stycket 6 OSL. Bestämmelsen omfattar dock inte bara krav på redovisning av vilken direktåtkomst som förekommer. Även annat regelmässigt informationsutbyte ska redovisas. Enligt motiven är det särskilt viktigt att upplysningar ges om information lämnas till eller hämtas från andra utan den registrerades medverkan (prop. 1990/91:60 s. 77). Här finns en tydlig överlappning såvitt avser be- stämmelserna i 42 § PuL och de närmare föreskrifter som finns om vad informationen enligt den bestämmelsen ska innehålla.

Punkten 7 i 4 kap. 2 § första stycket OSL syftar till att ge re- gistrerade möjligheter att få reda på om uppgifter om dem säljs av myndigheterna (a. prop. s. 56). Genom placeringen i offentlighets- och sekretesslagen är redovisningsskyldigheten i detta avseende inte begränsad till elektronisk informationshantering eller behandling i manuella register (jfr 5 § PuL). Frågan är dock vilken betydelse skill- naden i regleringarnas tillämpningsområde har i praktiken. Av allt att döma torde det numera enbart förekomma försäljning av sam- manställda personuppgifter som behandlas helt eller delvis automati- serat. Man kan därför tycka att, med det syfte punkten 7 har, be- stämmelsen rent systematiskt skulle passa bättre i en reglering av myndigheters behandling av personuppgifter.

599

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

Av vikt för allmänhetens insyn i myndigheters personuppgifts- behandlingar är vidare bestämmelserna om att allmänna handlingar som regel ska registreras (5 kap. 1 och 2 §§ OSL), att de ska hållas ordnade och, vad gäller elektronisk information, att därvid ska beaktas det intresse som enskilda kan ha av att själva utnyttja tekniska hjälp- medel hos myndigheter för att ta del av allmänna handlingar (4 kap. 1 § OSL).

Slutligen kan nämnas bestämmelsen i 6 § arkivlagen (1990:782) enligt vilken det ingår i arkivvården att en myndighet ska organisera arkivet på ett sådant sätt att rätten att ta del av allmänna handlingar underlättas (punkt 1). Dessutom ska myndigheten upprätta dels en arkivbeskrivning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning (punkt 2). För statliga myndig- heter gäller dessutom särskilda krav på hur en myndighet ska doku- mentera sina elektroniska handlingar (5 kap. RA-FS 2009:1).

Sammanfattningsvis kan konstateras att de bestämmelser som finns i offentlighets- och sekretesslagen samt arkivlagen, direkt eller indirekt, sammantaget får anses uppfylla väsentliga delar av de krav på information som följer av bestämmelserna i dataskyddsdirektivet om att behandlingarna ska göras offentliga (artikel 21) och som i huvudsak genomförts i Sverige genom 42 § PuL. Det mervärde som den bestämmelsen ger är att informationen koncentreras till just per- sonuppgifter och, inte minst, att myndigheterna måste tydliggöra för vilka ändamål man samlar in och sedan behandlar personupp- gifter i sin verksamhet.

16.4Våra överväganden och förslag

16.4.1Anmälningsskyldighet m.m.

Förslag: Myndigheters behandling av personuppgifter enligt den nya lagen ska inte omfattas av anmälningsskyldighet till tillsyns- myndigheten. Myndigheterna ska i stället föra förteckningar över de behandlingar som utförs med stöd av lagen. Förteckningarna avses innehålla motsvarande uppgifter som en anmälan till till- synsmyndigheten enligt 36 § PuL skulle ha innehållit. Närmare

600

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

föreskrifter om förteckningarnas innehåll bör meddelas av rege- ringen eller myndighet som regeringen bestämmer.

Formellt omfattas alltså även den offentliga sektorns personupp- giftsbehandling av personuppgiftslagens huvudregel om att behand- lingar ska anmälas till tillsynsmyndigheten. Olika undantagsbestäm- melser medför emellertid sammantaget att stora delar av myndig- heternas personuppgiftsbehandling inte behöver anmälas. Detta gäller inte bara registerförfattningsreglerade verksamheter. Flertalet undan- tagsbestämmelser, se ovan i avsnitt 16.1, omfattar alla myndigheter oavsett om deras personuppgiftsbehandling omfattas av register- författningar eller inte. Frånsett undantaget i 37 § PuL om att ut- seendet av ett personuppgiftsombud medför att anmälan enligt 36 § inte behöver göras, bygger bestämmelserna på bedömningen att undantagen avser sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörliga intrång i den personliga integri- teten eller att de registrerades fri och rättigheter kränks (jfr 36 § tredje stycket PuL och artikel 18.2 första strecksatsen i direktivet).

Personuppgiftsbehandling är en integrerad del i myndigheternas utförande av sina författningsreglerade uppgifter och befogenheter. Rent generellt anser vi att det måste vara en utgångspunkt att myn- digheters behandling av personuppgifter normalt sett inte innebär kränkning av de registrerades fri- och rättigheter. Det är vidare vår bedömning att anmälningsskyldigheten i sig inte bidrar till ett för- bättrat integritetsskydd, i vart fall inte på myndigheternas område, utan snarare framstår som en tämligen udda företeelse i det sam- manhanget. Stora delar av personuppgiftsbehandlingen är särskilt reglerad genom uttryckliga bestämmelser om registrering, informa- tionsutbyte m.m. Detta gäller regelmässigt beträffande sådan behand- ling som är särskilt känslig från integritetssynpunkt. Även i anslut- ning till den nya lagen kommer det att finnas särbestämmelser som klargör vad som gäller på vissa specifika områden. Mot den bak- grunden anser vi att det är motiverat att generellt undanta all person- uppgiftsbehandling hos myndigheter från anmälningsskyldighet.

Dataskyddsdirektivet kan emellertid förefalla kräva, för att undantag från anmälningsskyldighet ska kunna föreskrivas, att med- lemsstaterna i sin nationella lagstiftning också slår fast behandlings- typens ändamål, vilka uppgiftskategorier som behandlas och vilka kategorier registrerade som avses m.m. (artikel 18.2 första streck-

601

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

satsen). Sådana preciserade bestämmelser kommer den nya lagen inte att innehålla. Vi menar dock att bestämmelsen i direktivet måste läsas i ljuset av det bakomliggande syftet med anmälningsförfaran- det. Av punkt 48 i ingressen framgår att meningen är att göra behandlingens syfte och viktigaste egenskaper allmänt kända, vilket i sin tur ska säkerställa att behandlingen sker i enlighet med person- dataskyddsregleringen. Det huvudsakliga syftet kan alltså antas vara att skapa offentlighet åt anmälda behandlingar. Det är t.ex. därför tillsynsmyndigheter ska föra ett allmänt tillgängligt register över an- mälda behandlingar (artikel 21.2 och 7 § PuF). Någon kontroll eller prövning av anmälda behandlingars laglighet eller liknande ska där- emot inte göras.

Förutsatt att det i den nationella rätten finns garantier för att behandlingens syfte och viktigare egenskaper blir allmänt kända, är det alltså vår uppfattning att det inte strider mot direktivet att generellt undanta myndigheters behandling av personuppgifter från kravet på anmälningsskyldighet då utgångspunkten får anses vara att dessa behandlingar, normalt sett, inte medför kränkningar av de registrerades fri- och rättigheter.

För att uppnå samma syfte som med anmälningsförfarandet, dvs. att göra information om behandlingarna offentligt tillgänglig, bör varje myndighet i stället åläggas att sammanställa information om sina personuppgiftsbehandlingar i en förteckning som regelbundet uppdateras. Utgångspunkten bör därmed vara att förteckningen ska innehålla i vart fall samma information som en anmälan till tillsyns- myndigheten skulle ha innehållit enligt artikel 19 i direktivet. Vidare bör information kunna lämnas om t.ex. personuppgiftsombudets kontaktuppgifter och myndigheters rätt att sälja personuppgifter. Vad gäller det sistnämnda har vi tidigare anfört att bestämmelsen i 4 kap. 2 § 7 OSL om att myndigheters information om allmänna handlingar ska innehålla uppgift om myndighetens rätt att försälja personuppgifter systematiskt sett skulle passa bättre i en reglering av myndigheters behandling av personuppgifter. Den nya lag vi före- slår omfattar emellertid inte samtliga statliga och kommunala myn- digheter. Redan av det skälet ser vi ingen anledning att föreslå en flytt av bestämmelsen från offentlighets- och sekretesslagen till den nya lagen. Det utesluter givetvis inte att en sådan förteckning som vi föreslår ändå innehåller motsvarande information.

602

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

Närmare föreskrifter om förteckningens innehåll bör inte ges i lag utan i förordning eller genom myndighetsföreskrifter. Det är dock väsentligt att framhålla att skyldigheten att föra en förteckning inte är avsedd att medföra någon egentlig meradministration för myn- digheterna, vilket får beaktas i utformningen av föreskrifterna om vad förteckningarna ska innehålla. I det sammanhanget kan vidare konstateras att det i praktiken redan torde gälla att myndigheter måste ha något slags förteckning av de avsedda uppgifterna med tanke på vad som föreskrivs i 42 § PuL om upplysningar till allmän- heten om behandlingar som inte anmälts.

Ansvaret för att det förs en korrekt förteckning över myndig- hetens personuppgiftsbehandlingar bör ligga hos myndigheten. Efter- som det enligt personuppgiftslagen är personuppgiftsombudet, inte den personuppgiftsansvariga myndigheten, som ska föra motsvaran- de förteckning kan, i vart fall hypotetiskt, annars den situationen tänkas uppstå att, om en myndighet har anlitat en extern uppdrags- tagare att vara personuppgiftsombud, förteckningen inte blir allmän handling hos myndigheten. Att myndigheten själv ansvarar för för- teckningen har vidare den fördelen att förteckningen, och arbetet med den, kan samordnas med de beskrivningar av myndighetens allmänna handlingar och arkiv som ändå ska finnas enligt offent- lighets- och sekretesslagen respektive arkivlagen. Det torde öka informationsvärdet för enskilda och underlätta rent arbetsmässigt för myndigheterna med ett samordnat framställande av dokumen- ten. En förteckning som myndigheten själv för kan vidare enkelt publiceras på myndighetens webbplats.

Sammanfattningsvis anser vi alltså att myndigheters behandling av personuppgifter enligt den nya lagen inte ska omfattas av anmäl- ningsskyldighet till tillsynsmyndigheten. Vi föreslår i stället att det införs en bestämmelse av vilken det framgår att myndigheter åläggs att föra en förteckning över de behandlingar som utförs med stöd av lagen. Förteckningen avses innehålla motsvarande uppgifter som en anmälan till tillsynsmyndigheten enligt 36 § PuL skulle ha inne- hållit.

Det kan emellertid för särskilda fall finnas behov av särreglering innebärande krav på förhandskontroll. Som kommer att framgå av det följande föreslår vi relativt generella bemyndiganden för rege- ringen – med möjlighet till vidaredelegation – att meddela före- skrifter i olika frågor, se avsnitt 18.2. Redan här kan därvid sägas att

603

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

föreskrifter om förhandskontroll av behandlingar av särskilt inte- gritetskänsliga behandlingar ryms inom de föreslagna generella be- myndigandena. Någon hänvisning till 41 § PuL behövs därför inte.

16.4.2Personuppgiftsombud

Förslag och bedömning: Det bör inte införas någon generell skyldighet för myndigheter att utse personuppgiftsombud. Med undantag för föreskrifterna om ett personuppgiftsombuds upp- gift att föra en särskild förteckning över myndighetens behand- lingar, ska personuppgiftslagens bestämmelser om personuppgifts- ombudets uppgifter gälla även enligt den nya lagen. Detta bör framgå genom hänvisningar till 38 och 40 §§ PuL.

Personuppgiftsombudet fyller en viktig funktion för integritetsskyd- det vid behandling av personuppgifter. Dels bidrar ombudet genom den kontroll över myndighetens behandling som denne utför enligt 38 § PuL. Dels har ombudet en viktig roll gentemot den registre- rade som kan få hjälp av ombudet då det är aktuellt med rättelse, se 40 § PuL. Till detta kommer att personuppgiftsombudet har en vidare betydelse för att skapa ett allsidigt personuppgiftsskydd än vad som direkt framgår av de nämnda bestämmelserna. Ett personuppgifts- ombud kan antas få särskilda kunskaper om personuppgiftsfrågor och kan därför ge god service åt enskilda som behöver hjälp för att kunna ta tillvara sina rättigheter. Personuppgiftsombudet kan också bidra till kunskapsspridning inom den egna myndigheten och vara ett stöd för andra medarbetare (se Ds 2013:10 s. 162).

Det ter sig naturligt att myndigheter som behandlar personupp- gifter i en inte obetydlig omfattning bör ha ett personuppgiftsom- bud. När myndigheter samarbetar i informationssystem som är gemensamma för flera myndigheter eller samarbetar för att tillhanda- hålla enskilda sammanhållna e-tjänster, kan det vidare finnas behov av ett personuppgiftsombud som kan se till helheten och hjälpa en- skilda registrerade i förhållande till samtliga inblandade myndigheter. Som vi ser det finns det inget hinder mot att myndigheter t.ex. i ett avgränsat e-förvaltningssamarbete ”delar” ett personuppgiftsombud med uppdraget koncentrerat till personuppgiftsbehandlingen rörande detta avgränsade samarbete.

604

SOU 2015:39

Anmälan till tillsynsmyndigheten m.m

Detta skulle kunna tala för att det på myndighetsområdet inte borde vara frivilligt att utse ett personuppgiftsombud utan att huvud- regeln skulle vara ett krav på att så ska ske. Samtidigt finns det myndigheter vars storlek knappast motiverar ett krav av det slaget. Det finns också myndigheter som inte hanterar personuppgifter om enskilda annat än i ringa utsträckning eller där uppgifterna i vart fall inte är av integritetskänslig art. Även sådana myndigheter kommer att omfattas av den nya lagens tillämpningsområde. Det har i vårt arbete inte kommit fram några konkreta uppgifter om att den nuvarande frivilligheten i fråga om personuppgiftsombud med- för negativa konsekvenser för personuppgiftsskyddet eller i något annat avseende. Vi anser mot denna bakgrund att det inte är påkallat att införa ett generellt krav på att myndigheter ska ha ett eller flera personuppgiftsombud. Det hindrar naturligtvis inte att det på sär- skilda områden eller inom särskilda sektorer måhända kan visa sig vara påkallat att uppställa ett sådant krav.

Enligt vår bedömning bör således den nuvarande möjligheten att utse personuppgiftsombud gälla även vid myndigheters behandling av personuppgifter enligt den nya lagen. Personuppgiftsombudets arbetsuppgifter och skyldigheter bör vara desamma som vad som gäller enligt personuppgiftslagen, dock med undantag för skyldig- heten att föra en förteckning. Att ombudet själv för en förteckning kan visserligen ofta vara befogat med hänsyn till ombudets upp- gifter. Vi ser dock ingen anledning att i lag slå fast en skyldighet för ett eventuellt personuppgiftsombud att föra en separat förteckning utöver den förteckning som vi ovan föreslagit att den personupp- giftsansvariga myndigheten ska ansvara för. Vad som ska gälla i här berörda avseenden bör framgå genom hänvisningar till 38 och 40 §§ PuL.

Det föreslagna generella undantaget från anmälningsskyldigheten är inte är kopplat till frågan om det finns ett personuppgiftsombud eller inte. Det är därmed inte längre givet att utseende och entledi- gande av personuppgiftsombud ska anmälas till tillsynsmyndigheten (jfr 36 § andra stycket PuL). Visserligen är den nuvarande ordningen med anmälan till Datainspektionen av personuppgiftsombud till stor nytta för såväl ombuden som myndigheterna eftersom det etablerar en kontakt med inspektionen som personuppgiftsombudet har behov av i sitt uppdrag, t.ex. då det blir aktuellt att samråda vid tveksam- heter (38 § tredje stycket PuL). Vidare anordnar Datainspektionen

605

Anmälan till tillsynsmyndigheten m.m

SOU 2015:39

kurser och liknande för personuppgiftsombud vilka bjuds in genom riktade utskick. Även information distribueras direkt till anmälda personuppgiftsombud. Vi menar dock att detta inte motiverar att anmälningar ska vara ett lagkrav. De behov av kontakt som här nämnts torde kunna tillgodoses utan en sådan reglering.

16.4.3Upplysningar till allmänheten

Bedömning: Det behövs inte någon särskild bestämmelse om att upplysningar om behandlingar ska ges till var och en som begär det. Rätten att med stöd av 2 kap. TF få ta del av den förteckning över personuppgiftsbehandlingar som varje personuppgiftsansva- rig myndighet ska upprätta tillgodoser dataskyddsdirektivets krav i detta hänseende.

Som har framgått följer av artikel 21.3 i dataskyddsdirektivet att medlemsstaterna ska föreskriva att registeransvariga på lämpligt sätt tillhandahåller var och en som begär det information om upp- gifter som undantagits från anmälningsskyldighet. Informationen ska omfatta det som en anmälan till tillsynsmyndigheten skulle ha omfattat, dock inte allmänna uppgifter om säkerhetsåtgärder.

Som vi ser det ger emellertid redan rätten att ta del av allmänna handlingar enligt 2 kap. TF i kombination med bestämmelserna om beskrivningar av allmänna handlingar i offentlighets- och sekretess- lagen samt arkivlagen goda förutsättningar för insyn i myndigheter- nas personuppgiftsbehandlingar. Till det kommer den förteckning över personuppgiftsbehandlingar som vi föreslår att varje myndig- het ska föra. Genom att den förteckningen blir allmän handling tillgodoses, menar vi, direktivets krav i detta hänseende. Vårt förslag om myndigheters skyldighet att upprätta en förteckning över sina personuppgiftsbehandlingar ska således ses som en sådan föreskrift som avses i artikel 21.3. Att själva utlämnandet till ”var och en” sker till följd av en grundlagsstadgad rättighet för enskilda kan knappast anses innebära att direktivets syfte inte uppnås. Vi föreslår därför inte någon hänvisning till 42 § PuL eller någon motsvarande bestämmelse om upplysningar till allmänheten.

606

17Tillsynsmyndighetens befogenheter i förhållande till myndigheter

17.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

I artikel 28:1–7 dataskyddsdirektivet finns bestämmelser om tillsyns- myndighet som ska finnas i respektive medlemsstat. Nedan redogörs för de bestämmelser som har betydelse för tillsynen av myndig- heters behandling av personuppgifter.

Enligt artikel 28.1 ska varje medlemsstat se till att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter ska fullständigt obe- roende utöva de uppgifter som åläggs dem.

I artikel 28.3 föreskrivs att varje tillsynsmyndighet ska ha under- sökningsbefogenheter. Som exempel på sådan befogenhet nämns att få tillgång till uppgifter som blir föremål för behandling och be- fogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen.

Myndigheten ska enligt samma artikel också ha effektiva befogen- heter att ingripa. Exempel på sådana befogenheter är enligt direk- tivet att kunna avge yttranden om behandlingar som bör kräva för- handskontroll enligt artikel 20, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den register- ansvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner.

607

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

Vidare sägs i artikel 28:3 att sådana beslut av tillsynsmyndig- heten som går en part emot kan överklagas till domstol.

I artikel 28.4 finns bestämmelser om var och ens rätt att hos till- synsmyndigheten begära dels skydd för sina personuppgifter, dels att en kontroll görs av om en behandling är tillåten. I båda fallen finns också en rätt att få besked om vilka följder en begäran har fått.

Enligt artikel 28.6 har en nationell tillsynsmyndighet, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de be- fogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

Tillsynsmyndigheternas ledamöter och personal ska enligt arti- kel 28.7 ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.

Personuppgiftslagen m.m.

Bestämmelserna

Bestämmelserna i artikel 28.3 har genomförts i svensk lagstiftning genom 43 § PuL enligt vilken tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

a)tillgång till de personuppgifter som behandlas,

b)upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerheten vid denna,

c)tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

I 44–47 §§ PuL finns bestämmelser som syftar till att genomföra direktivets krav i artikel 28.3 på att tillsynsmyndigheten ska ha effek- tiva befogenheter att ingripa.

Enligt 44 § PuL får tillsynsmyndigheten vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, om myndigheten inte efter en begäran enligt 43 § kan få tillräckligt underlag för att konstatera att behand- lingen av personuppgifter är laglig.

608

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

Vidare följer av 45 § första stycket PuL att tillsynsmyndigheten genom påpekanden eller liknande förfaranden ska försöka åstad- komma rättelse, om myndigheten konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Går det inte att få rättelse på något annat sätt eller är saken brådskande får myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem. I andra stycket föreskrivs att myndigheten också har befogenhet att föreskriva vite om den personuppgifts- ansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft.

I 46 § PuL föreskrivs som huvudregel att den personuppgifts- ansvarige ska ha fått tillfälle att yttra sig innan tillsynsmyndigheten beslutar om vite enligt 44 och 45 §§. Om saken är brådskande, får myndigheten dock i avvaktan på yttrandet meddela ett tillfälligt beslut om vite. Det tillfälliga beslutet ska omprövas, när yttrande- tiden har gått ut.

Enligt 47 § PuL får tillsynsmyndigheten hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

Av 51 § PuL följer att tillsynsmyndighetens beslut enligt denna lag om annat än föreskrifter får överklagas hos allmän förvaltnings- domstol. Tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.

Enligt 2 § PuF, är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen.

Enligt 1 § förordningen (2007:975) med instruktion för Data- inspektionen är inspektionens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Myndigheten ska särskilt inrikta sin verk- samhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Vidare hänvisas i 2 § till att det i 2 § PuF finns bestämmelser om Datainspektionens uppgifter enligt personuppgiftslagen

Av 32 kap. 1 § OSL följer att sekretess gäller hos Datainspek- tionen i ärende om tillstånd eller tillsyn som enligt lag eller annan författning ska handläggas av inspektionen för uppgift om enskilds

609

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider skada eller men om uppgiften röjs. Enligt 2 § gäller motsvarande sekretess hos Justitie- kanslern, om den myndigheten får en uppgift som är sekretessregle- rad enligt 1 §.

Närmare om Datainspektionens befogenheter

I förarbetena till bestämmelserna i personuppgiftslagen om tillsyns- myndighetens uppgifter och befogenheter anförde regeringen att föreskrifter i dessa ämnen kan i flera fall ges i förordning och att rege- ringen avsåg att senare meddela sådana (prop. 1997/98: 44 s. 101 f.). Förslaget i propositionen omfattade befogenheter som tillsynsmyn- digheten bör ha och som enligt regeringen måste eller bör meddelas i lag. Regeringen anförde vidare att syftet med myndighetens tillsyn och rättigheter i samband med den är ytterst att myndigheten ska kunna konstatera om den behandling av personuppgifter som utförs är laglig. Kan myndigheten inte på begäran få tillgång till ett till- räckligt underlag för att konstatera att en behandling är laglig, bör myndigheten kunna vid vite förbjuda den personuppgiftsansvarige att fortsätta behandla personuppgifter på annat sätt än genom att lagra dem. Den som obstruerar riskerar således att bli förbjuden att i fortsättningen behandla personuppgifter. Om tillsynsmyndigheten får reda på att personuppgifter behandlas på ett olagligt sätt, bör enligt regeringen myndigheten i första hand försöka att åstadkomma rättelse genom påpekanden eller liknande förfaranden. Myndigheten bör dock kunna vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem, om det inte går att få rättelse på annat sätt. Om saken är brådskande, bör myndigheten genast kunna gripa in på detta sätt. När det gällde myndighetens föreslagna befogenhet att få fatta ett tillfälligt beslut om vite, dvs. innan den personuppgiftsansvarige hade fått yttra sig, anförde regeringen att denna möjlighet endast borde utnyttjas när saken är klar och så brådskande att yttrandet inte kan avvaktas. I fråga om myndighetens möjlighet att hos förvaltningsrätt ansöka om utplånade av personuppgifter låg det enligt regeringen i sakens natur att möjligheten endast borde användas i sådana fall då

610

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller.

Förslag till uppgiftsskyddsförordning

Kommissionen

I likhet med dataskyddsdirektivet innehåller kommissionens förslag till uppgiftsskyddsförordning ett krav på varje medlemsstat att utse en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av förordningen (artikel 46.1). Om det finns flera tillsynsmyndigheter ska medlemsstaten utse den tillsynsmyn- dighet som ska fungera som enda kontaktpunkt så att myndigheten i fråga kan effektivt delta i Europeiska dataskyddsstyrelsens arbete (artikel 46.2).

I artikel 47.1 föreskrivs att tillsynsmyndigheten ska vara fullstän- digt oberoende i utövandet av det uppdrag och de befogenheter som den anförtrotts. Vidare ställs i artiklarna 47.2–42.7 ytterligare krav på medlemsstaterna som syftar till att säkerställa oberoendet hos tillsynsmyndighetens ledamöter och att myndigheten förfogar över egna resurser i form av bl.a. lokaler, personal och egen budget.

Enligt artikel 48.1 ska varje medlemsstat fastställa att tillsynsmyn- dighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering. I artiklarna 48.2–48.5 finns bestämmelser om villkor som gäller för ledamöternas uppdrag.

I artikel 49 finns regler för inrättandet av en tillsynsmyndighet, bl.a. att en sådan ska inrättas och att det ska fastställas vilka krav i fråga om kompetens, erfarenhet och sakkunskap som krävs för att utföra uppdraget som ledamot vid myndigheten.

I likhet med dataskyddsdirektivet finns krav på att tillsynsmyn- dighetens ledamöter och personal ska omfattas av tystnadsplikt (artikel 50).

Bestämmelser om tillsynsmyndighetens behörighet finns i arti- kel 51. Där sägs i 51.1 att varje myndighet ska inom sin medlems- stats territorium utöva de befogenheter som den tilldelas enligt för- ordningen. Enligt 51.2 ska i de fall en registeransvarig eller register- förare är etablerad i fler än en medlemsstat den tillsynsmyndighet, som är behörig på dess huvudsakliga verksamhetsställe, vara behörig att utöva tillsyn över all personuppgiftsbehandling som utförs av

611

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

denne registeransvarige i alla medlemsstater. Vidare sägs i artikel 51.3 att tillsynsmyndigheten inte ska vara behörig att utöva tillsyn över domstolar som behandlar personuppgifter som en del av sin dömande verksamhet.

I artikel 52 formuleras tillsynsmyndighetens uppdrag. Där sägs bl.a. att den ska övervaka och garantera tillämpningen av förordning- en (punkt a), ta emot klagomål från registrerade, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade om hur behandlingen av klagomålet fortskrider och vilket slutsats som nås (punkt b), utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet (punkt d) samt följa sådan utveckling som påverkar skyddet av personupp- gifter och bedriva rådgivningsverksamhet m.m. (punkterna e–j).

Enligt artikel 53.1 ska varje tillsynsmyndighet ha bl.a. följande befogenheter:

a)meddela den registeransvarige om att det finns en påstådd över- trädelse av bestämmelserna om behandling av personuppgifter, och om så krävs specifikt beordra den registeransvarige att komma till rätta med överträdelsen,

b)beordra den registeransvarige att följa den registrerades krav att få utöva sina rättigheter enligt förordningen,

c)beordra den registeransvarige att lägga fram alla uppgifter som behövs för att myndigheten ska kunna fullgöra sitt uppdrag,

e)varna eller tillrättavisa den registeransvarige,

f)beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med förordningen samt underrätta den tredje part till vilken uppgifterna har lämnats ut om dessa åtgärder,

g)tillfälligt eller definitivt förbjuda behandling,

h)avbryta flödet av uppgifter till en mottagare i tredje land eller en internationell organisation.

I artikel 53.2 föreskrivs att varje tillsynsmyndighet ska ha de under- sökningsbefogenheter som behövs för att kräva följande av den registeransvarige:

612

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

a)tillgång till personuppgifter och all annan information som myn- digheten behöver för att kunna fullgöra sitt uppdrag.

b)tillgång till den registeransvariges lokaler, inklusive all utrustning och alla andra medel för behandling av personuppgifter, om det finns rimliga skäl att anta att där har förekommit överträdelse av förordningen.

Befogenheterna i b ska utövas på ett sätt som är förenligt med unionens och medlemsstatens lagstiftning.

Tillsynsmyndighetens befogenheter enligt artikel 53.1 och 53.2 gäller även i förhållande till en registerförare.

Enligt artikel 53.3 ska varje tillsynsmyndighet ha befogenhet att upplysa de rättsliga myndigheterna om överträdelser av förordningen och att väcka talan vid domstol, särskilt enligt artiklarna 74.4 (föra talan på en registrerads vägnar mot en tillsynsmyndighet i en annan medlemsstat än den där den registrerade har sin hemvist, om den registrerade berörs av ett beslut av den myndigheten) och 75.2 (föra talan mot en registeransvarig eller registerförare).

Varje tillsynsmyndighet ska också ha befogenhet att utfärda sank- tioner vid administrativa överträdelser, särskilt enligt artikel 79.4, 79.5 och 79.6. I dessa artiklar ges tillsynsmyndigheten befogenhet att utfärda böter till vissa fastställda belopp i förhållande till den registeransvarige vid olika former av överträdelser av förordningens bestämmelser.

I artikel 74.1 föreskrivs att varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med avseende på vederbörande. Vidare sägs i artikel 74.3 att talan mot ett beslut som fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där myndigheten har sitt säte.

Europaparlamentet

I Europaparlamentets resolution med ändringsförslag föreslås bl.a. att artikel 51.1 ska ändras på så sätt att endast tillsynsmyndigheten i respektive medlemsstat ska vara behörig att utöva tillsyn över offent- liga myndigheters behandling av personuppgifter. Dessutom föreslås att artikel 51.2 utgår.

613

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

Vidare föreslår parlamentet att det införs en ny punkt i artikel 52 (punkt 2a), där det bl.a. föreskrivs att alla tillsynsmyndigheter till- sammans med Europeiska dataskyddsstyrelsen ska föra ett register över sanktioner och överträdelser. Registret ska så detaljerat som möjligt innehålla alla varningar och sanktioner samt information om avhjälpande av överträdelser.

Parlamentet föreslår också att det i inledningen av artikel 53.1 skjuts in att varje tillsynsmyndighets befogenheter ska vara ”i linje med denna förordning” och alltså inte följa direkt av förordningen. I övrigt föreslås i princip inga ändringar av befogenheterna. Däremot anser parlamentet att det ska införas en ny punkt som innebär en befogenhet för varje tillsynsmyndighet att införa mekanismer för en s.k. visselblåsarfunktion.

Därutöver föreslår parlamentet att befogenheterna att utfärda sanktioner enligt artikel 53.4 ska avse hela artikel 79 samt att det ska läggas till att befogenheten ska utövas på ett effektivt, propor- tionellt och avskräckande sätt. Vad avser artikel 79 föreslås betydligt mer detaljerade bestämmelser än i kommissionens förslag om vilka faktorer som ska beaktas vid de administrativa sanktionerna.

Några kommentarer

Det kan konstateras att förslaget till uppgiftsskyddsförordning inne- håller relativt stora skillnader i förhållande till dataskyddsdirektivet när det gäller en tillsynsmyndighets befogenheter. Det gäller inte minst i fråga om myndighetens behörighet att utöva sina befogenhe- ter, eftersom den enligt kommissionens förslag till uppgiftsskydds- förordning utsträcks till att gälla också i fråga om uppgiftsbehandling i andra medlemsstater. En annan skillnad är att tillsynsmyndigheten enligt förslaget till förordning uttryckligen ska sakna behörighet att utöva tillsyn över domstolar när de behandlar personuppgifter som en del av sin dömande verksamhet.

När det gäller en tillsynsmyndighets befogenheter föreskrivs i dataskyddsdirektivet endast att myndigheten ska ha effektiva befo- genheter att ingripa (artikel 28.3). Några tvingande regler om vilka befogenheter detta ska avse ges inte, utan i direktivet anges vissa exempel på effektiva befogenheter. I förslaget till uppgiftsskydds- förordning finns emellertid en uppräkning av vilka befogenheter

614

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

som myndigheten ska ha. Om dessa bestämmelser införs kommer alltså befogenheterna att följa direkt av förordningen och på mot- svarande sätt gälla i förhållande till en myndighet som är register- ansvarig. Europaparlamentets ändringförslag förefaller emellertid innebära att befogenheterna inte ska följa direkt av förordningen, de ska gälla ”i linje med förordningen”, vilket torde förutsätta att tillsynsmyndighetens befogenheter ges i nationell lagstiftning.

I artikel 28.3 i dataskyddsdirektivet sägs att varje tillsynsmyn- dighet ska ha undersökningsbefogenheter, varefter det som exempel på sådana befogenheter nämns att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen. I artikel 53.2 förslaget till uppgiftsskyddsförordning ställs inte bara som krav att varje tillsyns- myndighet ska ha undersökningsbefogenheter, utan det föreskrivs också vad dessa ska bestå i.

I personuppgiftslagen har tillsynsmyndigheten getts befogenhet att i vissa fall besluta om vite i förhållande till den personuppgifts- ansvarige. Denna befogenhet är inte någon följd av dataskydds- direktivet, som saknar bestämmelser om att en tillsynsmyndighet ska kunna utfärda administrativa sanktioner. Förslaget till uppgifts- skyddsförordning ger emellertid tillsynsmyndigheterna befogenhet att besluta om administrativa sanktioner i form av böter till fast- ställda belopp eller, i fråga om företag, till viss procent av omsätt- ningen. Några särskilda bestämmelser om administrativa sanktioner mot myndigheter föreslås inte, utan samma befogenheter avses gälla i förhållande till alla registeransvariga.

Av Europaparlamentets resolution med ändringsförslag framgår att parlamentet är i vissa delar emot att myndighetens behörighet utsträcks utanför den egna medlemsstaten. Exempelvis anser parla- mentet att endast tillsynsmyndigheten i respektive medlemsstat ska vara behörig att utöva tillsyn över offentliga myndigheters behand- ling av uppgifter.

17.2Reglering i registerförfattningar

Såvitt framgår av den inventering av registerförfattningarna som utredningen har genomfört torde det i princip inte förekomma att det har föreskrivits om undantag från Datainspektionens befogen-

615

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

het enligt 43 § PuL att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behand- lingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av person- uppgifter. Inspektionens befogenhet enligt personuppgiftslagen som syftar till att den ska kunna undersöka om personuppgifter behand- las på ett tillåtet sätt torde alltså gälla utan undantag över hela myndighetsområdet.

I allmänhet innehåller registerförfattningarna inte heller något undantag från 45 § första stycket första meningen PuL, där det före- skrivs att tillsynsmyndigheten ska genom påpekanden och eller lik- nande förfaranden försöka åstadkomma rättelse om personuppgifter behandlas eller kan komma att behandlas olagligt. Registerförfatt- ningarna på skatteområdet och för Kronofogdemyndighetens verk- samhet innehåller emellertid undantag från denna bestämmelses tillämpning. Som skäl anförde regeringen att det torde vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd en rättelse när brister i myndigheternas hantering upptäcks (prop. 2000/01:33 s. 97).

När det gäller Datainspektionens befogenhet att vid vite förbjuda den personuppgiftsansvarige att behandla personuppgifter på annat sätt än genom att lagra dem – vilket kan bli aktuellt dels då in- spektionen inte får tillräckligt underlag för att kunna konstatera om behandlingen är laglig efter en begäran enligt 43 § (44 §), dels då det inte går att få rättelse av en behandling som utförs eller kan komma att utföras på ett olagligt sätt eller saken är brådskande (45 § första stycket) – har undantag föreskrivits i en del registerförfattningar. Som exempel kan nämnas författningarna för Skatteverket och Tull- verkets brottsbekämpande verksamhet samt Försvarsmaktens för- svarsunderrättelseverksamhet och militära säkerhetstjänst (ytterligare exempel nämns i Öman/Lindblom, s. 499). Som motivering har det ibland anförts att det inte kan anses behövligt att ha denna typ av bestämmelser, eftersom det får förutsättas att den berörda myndig- heten och tillsynsmyndigheten har en dialog i en sådan fråga och att myndigheter följer tillsynsmyndighetens uppmaningar (prop. 2000/01:33 s. 96 och prop. 2006/07:46 s. 105). I andra fall har moti- veringen varit att det följer av allmänna rättsgrundsatser att vite inte bör användas som sanktionsmedel mellan statliga myndigheter (prop. 2004/05:164 s. 54 och 2009/10:85 s. 90).

616

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

Som en följd av att Datainspektionen inte ska ha befogenhet att förbjuda viss behandling vid vite har undantag i förekommande fall även meddelats från en tillämpning av 46 § PuL, där det föreskrivs att den personuppgiftsansvarige dessförinnan ska få möjlighet att yttra sig och att vite i vissa fall ändå får meddelades om saken är brådskande.

I polisdatalagen (2010:361) har man skiljt på frågorna om Data- inspektionens befogenhet att förbjuda annan behandling av person- uppgifter än att lagra dem och att meddela sådant förbud vid vite (jfr 2 kap. 2 § första stycket 11 och fjärde stycket). Som skäl för att Datainspektionen ska ha befogenhet att förbjuda viss behandling an- förde regeringen att sådana bestämmelser redan gällde inom polisens brottsbekämpande verksamhet och borde gälla även fortsättnings- vis (prop. 2009/10:85 s. 90). Däremot borde av de ovan redovisade principiella skälen inte någon hänvisning göras till de bestämmelser i personuppgiftslagen som behandlar frågan om vite.

Även i promemorian med förslag till en ny domstolsdatalag har en motsvarande åtskillnad gjorts (Ds 2013:10 s. 161). Där konstateras emellertid att ett förbud för en domstol att behandla personupp- gifter på något annat sätt än genom att lagra dem skulle i många fall innebära att verksamheten blockeras, vilket kan ha allvarliga följder för rättssäkerheten, tilltron till rättsväsendet och för enskildas möj- ligheter att ta tillvara sin rätt. Datainspektionen borde därför i det längsta undvika att tillgripa denna åtgärd. JO har i sitt remissvar över förslaget anfört, med hänvisning till de konsekvenser som det pekas på i promemorian, att Datainspektionen inte bör ha möjlighet att meddela denna typ av förbud (dnr R 26-2013).

I allmänhet brukar registerförfattningar inte innehålla något undantag från tillsynsmyndighetens befogenhet enligt 47 § PuL att hos förvaltningsrätten inom vars domkrets som tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

617

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

17.3Våra överväganden och förslag

17.3.1Utgångspunkter för tillsynen på myndighetsområdet

Bedömning: Även om tillsynsmyndighetens nuvarande tillsyns- uppgift inte har formulerats i någon författning, bör utgångs- punkten vara att tillsynen över myndigheternas personuppgifts- behandling ska fortgå såsom den hittills har bedrivits i praktiken, bl.a. genom att initieras via klagomål från enskilda eller genom att myndigheten agerar på eget initiativ.

Det finns också i fortsättningen ett stort behov av att olika berörda kontrollorgan samverkar när det gäller skyddet av person- uppgifter.

Den rättsliga grunden för tillsynen

I lagstiftningsarbetet inför personuppgiftslagens införande synes frågan om dataskyddsdirektivets krav innebär att det behövs mer uttryckliga regler om vad som kan initiera Datainspektionens tillsyn, eller om det behövs av andra skäl, inte närmare ha berörts. I Data- lagskommitténs betänkande berördes frågan enbart på så sätt att kommittén utgick från att Datainspektionen borde finnas kvar som en fristående myndighet och att inspektionen inte borde ha en ut- präglad ombudsmannaverksamhet (SOU 1997:39 s. 448).

I 1 § förordningen (2007:975) med instruktion för Datainspek- tionen sägs att inspektionens uppgift är att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Vidare sägs att inspektionen särskilt ska in- rikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Den ska också följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik.

Några andra förordningsbestämmelser som allmänt rör Data- inspektionens uppgifter och befogenheter i egenskap av tillsynsmyn- dighet enligt personuppgiftslagen synes inte ha införts. Det saknas således regler i svensk lagstiftning som exempelvis motsvarar arti- kel 28.4 där det sägs att var och en, på egen hand eller företrädd av

618

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

en organisation, kan vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Personen i fråga har enligt samma artikel en rätt att informeras om vilka följder hans begäran fått.

Instruktionen för Datainspektionen innehåller inte heller några bestämmelser om vad som kan initiera inspektionens tillsyn. Detta är däremot vanligt förekommande beträffande andra tillsynsmyn- digheter. I exempelvis 26 kap. 2 § skollagen (2010:80) definieras Skol- inspektionens tillsynsuppdrag såsom en självständig granskning som har till syfte att kontrollera om den verksamhet som granskas upp- fyller de krav som följer av lagar och andra föreskrifter. I tillsynen ingår att fatta de beslut om åtgärder som kan behövas för att den huvudman som bedriver verksamheten ska rätta fel som upptäckts vid granskningen. Ett annat exempel är den tillsyn som Inspektionen för vård och omsorg bedriver enligt patientsäkerhetslagen (2010:659). I den lagen definieras vad tillsyn enligt lagen innebär (7 kap. 3 §). Lagen innehåller också bestämmelser som föreskriver att inspek- tionen ska efter anmälan pröva klagomål och att utredning också kan inledas på inspektionens eget initiativ (7 kap. 10–19 §§). Även hur JO:s tillsyn kan initieras regleras uttryckligen i 5 § lagen (1986:765) med instruktion för Riksdagens ombudsmän. I nämnda bestämmelse föreskrivs att ombudsmännens tillsyn bedrivs genom prövning av klagomål från allmänheten samt genom inspektioner och andra undersökningar, som ombudsmännen finner påkallade.

Att det inte finns några uttryckliga regler om vad som kan initiera ett tillsynsärende hos Datainspektionen synes emellertid i prakti- ken inte ha inneburit något problem, eftersom det förefaller vara allmänt accepterat att inspektionen har behörighet att besluta om en sådan åtgärd. På Datainspektionens webbplats ges upplysningen att inspektionen inte är skyldig att inleda en tillsyn p.g.a. klagomål som lämnas till den, utan att frågan om en tillsyn ska inledas avgörs självständigt av inspektionen. Det görs också klart att inspektionen inte agerar som ombud för den som klagar.

Förutom den ovan nämnda artikel 28.4 innehåller dataskydds- direktivet inte några närmare bestämmelser om vad som kan initiera en tillsynsmyndighets tillsyn. I förslaget till uppgiftsskyddsförord- ning är denna fråga emellertid mer tydligt reglerad. I artikel 52.1 b föreskrivs i princip samma krav som ställs i artikel 28.4 i direktivet. Där sägs att tillsynsmyndigheten ska ansvara för att ta emot klago-

619

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

mål från registrerade, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås. Därtill föreskrivs i samma artikel att tillsynsmyndigheten ska ansvara för att utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet (punkten d).

Vi ser det inte som vår uppgift att överväga om det behöver in- föras några nya bestämmelser som tydliggör vad Datainspektionens tillsynsuppgift består i, exempelvis när det gäller skyldighet att ta emot och pröva klagomål från registrerade. Frågan har emellertid ett intresse för utredningen på så sätt att regler om vad som kan initiera Datainspektionens tillsyn påverkar inspektionens befogenheter i för- hållande till myndigheter i deras egenskap av personuppgiftsansvariga.

Vi utgår således från att Datainspektionens tillsyn över myndig- heternas behandling av personuppgifter tills vidare kommer att fort- gå såsom den hittills har bedrivits i praktiken, dvs. att ett tillsyns- ärende initieras genom att inspektionen blir uppmärksammad på ett missförhållande genom ett klagomål eller genom att inspektionen av annat skäl beslutar att på eget initiativ inleda en granskning.

Vikten av att berörda kontrollorgan samverkar när det gäller skyddet av personuppgifter

Myndigheters automatiserade behandling av personuppgifter utgör i dag en integrerad del av myndigheternas verksamhet och därmed ett utflöde av den myndighetsutövning som myndigheterna ägnar sig åt. Det innebär att Datainspektionens tillsyn många gånger kan sammanfalla med eller nära ansluta till den tillsyn som JO bedriver utifrån ett mer övergripande verksamhetsperspektiv. JO:s tillsyn kan vidare rikta sig mot både myndigheten som sådan och enskilda tjänste- män, medan Datainspektionens tillsyn riktar sig enbart mot myn- digheten i egenskap av personuppgiftsansvarig. Det innebär att JO utifrån sin tillsynsuppgift kan behandla frågor som rör skydd för personuppgifter från ett mer heltäckande perspektiv än vad Data- inspektionen kan göra (se t.ex. JO:s beslut den 9 september 2014, dnr 3032-2011). JO kan också uttala sig i frågor om ansvar för att regler efterlevs inte bara på myndighetsnivå utan också i förhållande till enskilda tjänstemän. JO kan alltså både uttala sig om att myn- digheten i något avseende inte har fullgjort sin uppgift som person-

620

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

uppgiftsansvarig och rikta kritik mot en enskild tjänsteman för en otillåten behandling som han eller hon har gjort sig skyldig till (se t.ex. JO:s beslut den 17 mars 2015, dnr 5205-2013). JO:s på detta sätt mer vidsträckta möjlighet att uttala sig om en otillåten hantering av personuppgifter får, vid sidan av Datainspektionens verksamhet, anses vara av stor vikt för att myndigheter ska få led- ning i hur personuppgifter ska skyddas i deras verksamhet. Den lag som vi nu föreslår syftar visserligen till att reglerna för myndig- heters behandling av personuppgifter ska vara enklare att tillämpa och stämma bättre överens med andra regelverk som styr myndig- heters hantering av personuppgifter. Vi ser emellertid också i fort- sättningen ett stort behov av ett väl fungerande samarbete mellan Datasinspektionen och JO.

Förutom JO har Justitiekanslern, JK, enligt lagen (1975:1339) om justitiekanslerns tillsyn ett allmänt uppdrag att ha tillsyn över att de som utövar offentlig verksamhet efterlever lagar och andra författningar samt i övrigt fullgör sina åligganden. Denna tillsyn om- fattar både statliga myndigheter och anställda, uppdragstagare och andra som är knutna till sådana myndigheter som står under JK:s tillsyn. Under JK:s tillsyn står dessutom kommunala myndigheter och andra myndigheter som inte är statliga samt tjänstemän och befattningshavare vid sådana myndigheter. Även vissa andra befatt- ningshavare som utövar myndighetsutövning i annan verksamhet m.m. omfattas av tillsynen. Inom ramen för denna tillsyn kan alltså JK få anledning att uttala sig om huruvida en viss myndighet upp- fyller kraven i gällande bestämmelser i sin behandling av person- uppgifter. Inom ramen för den frivilliga skaderegleringen på det statliga området ingår också i JK:s uppgifter att besluta om skade- stånd i de fall en statlig myndighet har behandlat personuppgifter i strid med gällande bestämmelser. I dessa beslut gör således JK ut- talanden om huruvida en viss behandling uppfyller kraven i gällande föreskrifter. Dessa beslut utgör således också viktig vägledning i frågor som rör myndigheters personuppgiftsbehandling.

621

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

17.3.2Befogenheter för att undersöka om personuppgifter behandlas på ett tillåtet sätt

Förslag: I den nya lagen införs bestämmelser som ger tillsynsmyn- digheten samma befogenheter som enligt gällande rätt att hos en myndighet undersöka om en behandling av personuppgifter sker i enlighet med de krav som gäller för verksamheten.

I personuppgiftslagen har Datainspektionen genom bestämmelser- na i 43 § getts undersökningsbefogenheter som i princip motsvarar de krav som ställs i förslaget till uppgiftsskyddsförordning. Registerförfattningar brukar i allmänhet inte innehålla bestämmel- ser om att dessa befogenheter inte ska gälla på ett visst myndig- hetsområde. Enligt nuvarande bestämmelser torde befogenheterna alltså gälla fullt ut vid tillsyn hos alla myndigheter. Vi ser inte några skäl till att detta förhållande skulle behöva ändras. Tillsynsmyndig- heten bör alltså även framöver ha samma befogenheter som i dag att hos en myndighet undersöka om en behandling av person- uppgifter sker i enlighet med de krav som gäller för verksamheten.

17.3.3Påpekanden eller andra åtgärder som inte är tvingande i förebyggande syfte

Förslag: Det ska framgå av den nya lagen att åtgärder från till- synsmyndighetens sida i form påpekanden eller liknande förfaran- den som inte har tvingande karaktär ska användas endast i före- byggande syfte och inte då det har konstaterats att en behandling av personuppgifter utförs på ett otillåtet sätt.

I förordningen (2007:975) med instruktion för Datainspektionen anges i 1 § att inspektionen ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personupp- giftsombud enligt personuppgiftslagen. Denna inriktning har även kommit till uttryck i personuppgiftslagens bestämmelser om till- synsmyndighetens befogenheter. Av 45 § första stycket PuL följer således att tillsynsmyndigheten i första hand ska försöka åstadkom- ma rättelse genom påpekanden eller liknande förfaranden och att

622

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

detta gäller även om en behandling kan konstateras vara eller komma att bli olaglig.

Personuppgiftslagen anvisar alltså samma slags åtgärder från till- synsmyndighetens sida oavsett om de avses användas i förebyggan- de syfte eller för att korrigera en behandling som konstaterats inte uppfylla lagens krav. Det har i praktiken bl.a. medfört att Data- inspektionen – med stöd av 45 § första stycket PuL – har förelagt en personuppgiftsansvarig att åtgärda konstaterade brister i sin person- uppgiftsbehandling. Genom den praxis som har utbildats kring till- synsmyndighetens befogenheter enligt personuppgiftslagen får denna ordning anses ha accepterats (se t.ex. Kammarrätten i Stockholms dom den 6 mars 2013, mål nr 2415-12). I personuppgiftslagens mening ryms alltså en åtgärd från tillsynsmyndighetens sida i form av ett föreläggande inom ramen för uttrycket ”påpekanden och lik- nande förfaranden”. Denna tolkning ska emellertid ses i ljuset av att dels 45 § första stycket PuL också omfattar de fall då en behandling konstateras vara otillåten, dels att den tvingande åtgärd som enligt lagen annars står till buds är att förbjuda behandlingen.

I vissa fall då Datainspektionen konstaterat att en behandling inte uppfyller de krav som följer av de föreskrifter som gäller för den personuppgiftsansvariges verksamhet har det tidigare förekommit att inspektionen i sitt beslut, i stället för att förelägga vederbörande att åtgärda bristerna, uttalat att den personuppgiftsansvarige ”upp- manas ”att vidta vissa åtgärder eller att inspektionen ”förutsätter att” så sker. Det slaget av formuleringar från tillsynsmyndighetens sida har lett till oklarhet beträffande huruvida beslutet har sådana verk- ningar för den personuppgiftsansvarige eller andra att det är frågan om ett överklagbart beslut. I praxis har ett sådant beslut i sakligt hänseende ansetts ligga så nära ett formligt föreläggande att det har kunnat överklagas (se t.ex. Kammarrätten i Stockholms beslut den 23 januari 2001 i mål nr 1173-2001). Avgörande synes alltså vara den omständigheten att tillsynsmyndigheten konstaterar att en per- sonuppgiftsbehandling inte uppfyller kraven i gällande föreskrifter även om den personuppgiftsansvarige trots det genom en inte tvingande formulering uppmanas att på eget initiativ komma till rätta med bristerna. Enligt vad vi har erfarit kan det finnas en risk för att ett sålunda utformat beslut kan uppfattas ha ett dubbelt och delvis motstridigt budskap och därför inte kommer att efterlevas.

623

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

Av artikel 12 b i dataskyddsdirektivet följer att medlemsstaterna ska säkerställa att varje registrerad har rätt att från den registeransva- rige i förekommande fall få sådana uppgifter som inte behandlats i enlighet med direktivets bestämmelser korrigerade. Datainspektion- ens tillsynsuppgift innefattar visserligen efterlevnaden av hela lag- stiftningen och inte enbart att korrigera en felaktig behandling av personuppgifter, dvs. även krav på exempelvis information och tillräckliga säkerhetsåtgärder. Enligt vår uppfattning synes det emel- lertid vara mer förenligt med kravet på att den registrerades rätt säkerställs och det grundläggande syftet med lagen att skydda en- skildas personliga integritet att tillsynsmyndigheten genom någon form av påbud ingriper mot en personuppgiftsansvarig som brister i sina skyldigheter enligt lagen i stället för att anvisa denne att genom en frivillig åtgärd komma till rätta med bristerna.

Mot denna bakgrund anser vi att tillsynsmyndigheten inte bör använda sig av påpekanden och andra åtgärder som inte har en tvingande karaktär i de fall då myndigheten har konstaterat att en myndighet behandlar personuppgifter på ett sätt som inte uppfyller lagens krav. Denna typ av åtgärder, som alltså har karaktär av upp- maningar och inte påbud, bör endast användas i de fall det exem- pelvis finns en farhåga om att en behandling kan komma att ske på ett otillåtet sätt eller att det annars behövs för att förebygga att en behandling ska bli otillåten. Vi anser att detta bör komma till klart uttryck i den nya lagen och föreslår därför en bestämmelse med ett sådant innehåll.

17.3.4Tvingande åtgärder i form av föreläggande eller förbud

Förslag: Tillsynsmyndigheten ska kunna förelägga en myndighet att uppfylla sina skyldigheter om myndigheten inte uppfyller de krav som följer av den nya lagen eller föreskrifter som meddelats med stöd av den. I föreläggandet ska anges vad tillsynsmyndig- heten anser är nödvändigt för att avhjälpa de påtalade bristerna.

Tillsynsmyndigheten ska också ha befogenhet att förbjuda en myndighet att fortsätta en behandling av personuppgifter på något annat sätt än att uppgifterna lagras. Ett sådant beslut förutsätter att myndigheten allvarligt brister i sin skyldighet att uppfylla de krav som gäller för behandlingen.

624

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

Det är ett rimligt antagande att utgångspunkten är att myndigheter vill behandla personuppgifter på ett sätt som uppfyller de krav som gäller för myndigheten. Det finns emellertid exempel på att det kan uppstå situationer när Datainspektionen och myndigheten i fråga inte är överens om den aktuella behandlingen uppfyller kraven i gällande regelverk eller inte. I en sådan situation, dvs. då myndig- heten inte själv har vidtagit åtgärder för att komma till rätta med brister som enligt tillsynsmyndigheten kan konstateras, är det likaså rimligt att tillsynsmyndigheten har mer kraftfulla maktmedel att ta till än att försöka åstadkomma rättelse genom påpekanden eller andra åtgärder som inte har en tvingande karaktär. Ett sådant ställnings- tagande förefaller vidare, som redan påpekats, vara mer förenligt med kravet på medlemsstaterna som följer av dataskyddsdirektivet att säkerställa den registrerades rätt att få en personuppgiftsbehand- ling som inte uppfyller direktivets krav korrigerad. Till bilden hör vidare att om artikel 53.1 i förslaget till uppgiftsskyddsförordning blir verklighet kommer en befogenhet för tillsynsmyndigheten att förbjuda behandling att följa direkt av förordningen.

Föreläggande att åtgärda en behandling som inte uppfyller gällande krav

Den praxis som utbildats rörande tillsynsmyndighetens nuvarande befogenheter enligt 45 § första stycket PuL kan sägas inrymma en möjlighet för Datainspektionen att förelägga en personuppgifts- ansvarig att genom en viss påbjuden åtgärd komma till rätta med en otillåten behandling. En sådan möjlighet bör enligt vår uppfattning också följa av den nya lagen. Vi anser att den befogenheten emeller- tid bör komma till tydligare uttryck än vad som är fallet med formuleringen i 45 § första stycket PuL. Föreläggandet bör kunna ta sikte på samtliga skyldigheter som den personuppgiftsansvarige har enligt lagen eller föreskrifter som har meddelats med stöd av den. I den nya lagen bör det vidare ställas krav på att det av före- läggandet ska framgå vad inspektionen anser är nödvändigt för att påtalade brister ska avhjälpas.

Tillsynsmyndigheten ska alltså kunna använda sig av ett före- läggande i de fall där de konstaterade bristerna kan åtgärdas utan att det är nödvändigt att behandlingen som sådan upphör, såsom kan vara fallet om t.ex. ett visst register inte längre bör få föras. Som

625

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

exempel kan nämnas att personuppgifter som rör en viss registrerad har behandlats för länge på grund av att myndigheten i fråga om just dessa uppgifter inte har iakttagit de gallringsföreskrifter som gäller för behandlingen, vilken annars utförs för ett berättigat ända- mål och även i övrigt uppfyller gällande krav. Ett annat exempel kan vara att myndigheten behöver vidta en viss säkerhetsåtgärd för att behandlingen ska kunna anses omgärdad av en tillräcklig säker- hetsnivå eller att två myndigheter har börjat utbyta personuppgifter genom direktåtkomst utan att träffa en sådan överenskommelse som vi föreslår ska krävas enligt den nya lagen (jfr kapitel 10).

Förbud mot att fortsätta en behandling

Det kan konstateras att Datainspektionens befogenhet enligt 44 och 45 §§ PuL att under vissa förutsättningar förbjuda annan behandling av personuppgifter än lagring kan få långtgående konsekvenser om ett sådant förbud meddelas för en myndighet. Såsom påpekades i promemorian med förslag till en ny domstols- datalag skulle det i många fall innebära att verksamheten hindras helt och hållet (Ds 2013:10 s. 161). Det föranledde JO att i sitt remissvar avstyrka förslaget att Datainspektionen skulle ha möjlig- het att meddela denna typ av förbud på domstolsområdet.

Det kan tyckas att domstolarna intar en särställning i samhället genom sin för rättssäkerheten principiellt viktiga uppgift såsom i många fall exklusiv utövare av makt i förhållande till enskilda och som den slutliga uttolkaren av en lagstiftnings innehåll. Men även vad gäller myndigheter i allmänhet torde det kunna konstateras att ett förbud att behandla personuppgifter på annat sätt än genom att lagra dem kan få allvarliga följder, inte bara för verksamhetens be- drivande som sådan utan även för enskildas möjligheter att i olika hänseenden tillvarata sina rättigheter liksom deras krav på service. Att myndigheters verksamhet kan hindras innebär därmed risker för den allmänna tilltron till det allmännas förmåga att bedriva samhälls- nyttig verksamhet, vilket är allvarligt.

I vissa registerförfattningar har gjorts undantag från personupp- giftslagens nu aktuella bestämmelser på så sätt att Datainspektionen på myndighetsområdet i fråga inte har getts befogenhet att för- bjuda en personuppgiftsbehandling. Utan att frågan har behandlats

626

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

särskilt utförligt i förarbetena får slutsatsen dras att i dessa lagstift- ningsärenden har Datainspektionens möjlighet enligt 45 § första stycket att försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden, dvs. inbegripet möjligheten att förelägga en myndighet att åtgärda en behandling som konstaterats brista i något avseende, samt befogenheten enligt 47 § att hos domstol ansöka om utplåning av uppgifter ansetts utgöra tillräckligt effektiva be- fogenheter.

Det kan mot den angivna bakgrunden ifrågasättas om tillsyns- myndigheten generellt sett alls bör ha en sådan långtgående befogen- het på myndighetsområdet och om så, om det bör införas bestäm- melser som reglerar förutsättningarna för att meddela ett sådant förbud. Vårt förslag att tillsynsmyndigheten också enligt den nya lagen ska ha möjlighet att förelägga en myndighet att åtgärda brister i en viss personuppgiftsbehandling som myndigheten utför innebär att denna åtgärd bör vidtas då en iakttagen brist kan åtgärdas utan att behandlingen som sådan behöver upphöra. Men den situationen kan alltså uppstå att det förekommer sådana allvarliga brister ur integritetsskyddssynpunkt i samband med en viss personuppgifts- behandling att behandlingen som sådan bör upphöra. Som exempel kan nämnas det s.k. Kringresanderegistret hos dåvarande Polismyn- digheten i Skåne. Vid sin granskning fann Säkerhets- och integritet- skyddsnämnden, SIN, att det förekommit generella och allvarliga brister vid polisens behandling av personuppgifter i registret, exem- pelvis att ändamålet med behandlingen var alldeles för vitt och att tillgången till personuppgifter i registret inte hade begränsats till varje tjänstemans behov (SIN:s uttalande den 15 november 2013, dnr 173-2013). Polismyndigheten beslutade därefter att avsluta re- gistret (se SIN:s uttalande den 11 december 2014, dnr 463-2013). Ett annat exempel är Gotlands tingsrätts behandling av personupp- gifter i form av att domstolens uppropslistor publicerades på dom- stolens webbplats. Datainspektionen konstaterade att publiceringen utgjorde en kränkning av registrerades personliga integritet enligt den s.k. missbruksregeln i 5 a § PuL och förelade tingsrätten att upphöra med publiceringen (beslut den 28 juni 2012, dnr 655-2012, se HFD 2014 ref. 32).

Som vi ser det kan man, sett till förvaltningsmyndigheters verk- samhet i stort, alltså knappast utesluta att situationer kan uppstå där behovet av verksamma åtgärder i syfte att kunna avbryta pågå-

627

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

ende kränkningar av enskildas integritet är sådant att tillsynsmyndig- heten måste ha befogenhet att kunna stoppa pågående behandlingar. Det går alltså inte att utesluta att det kan behövas en befogenhet för tillsynsmyndigheten att stoppa en pågående behandling även så- vitt avser myndigheter. Däremot bör det gälla särskilda förutsätt- ningar för ett ingripande av det slaget. Enligt vår mening bör till- synsmyndigheten få ingripa genom ett förbud mot en fortsatt behand- ling av personuppgifter bara då en myndighet på ett allvarligt sätt har åsidosatt sina skyldigheter som personuppgiftsansvarig enligt den nya lagen och bristerna är av sådant slag att de inte kan åtgärdas på så sätt att ett tillräckligt skydd för personuppgifterna uppnås annat än genom att den aktuella behandlingen upphör. Det ska alltså exem- pelvis vara frågan om att en myndighet i en inte obetydlig omfatt- ning behandlar känsliga personuppgifter trots att myndigheten saknar författningsstöd för det. Ett annat exempel kan vara att en myndig- het har medgett en aktör direktåtkomst till sekretessreglerade per- sonuppgifter trots att myndigheten saknar stöd för det i lag eller förordning. Att en myndighet på ett allvarligt sätt åsidosätter sin skyldighet att vidta åtgärder för att upprätthålla en tillräckligt hög säkerhetsnivå för en stor mängd känsliga personuppgifter är ytter- ligare exempel på en situation då tillsynsmyndigheten bör ha befogen- het att kunna förbjuda en fortsatt behandling.

Trots att myndigheten förbjuds att fortsätta en viss behandling av personuppgifter bör den ändå inte vara förhindrad att behandla uppgifterna genom att i någon form lagra dem, exempelvis för att det kan vara nödvändigt för att i ett senare skede kunna använda informationen som bevismedel i ett eventuellt skadeståndsärende. Detta bör framgå uttryckligen av den bestämmelse som vi nu före- slår.

17.3.5Befogenhet att besluta om vite

Bedömning: Tillsynsmyndigheten bör inte ha befogenhet att rikta vitesförelägganden mot vare sig statliga eller kommunala myn- digheter vars behandling av personuppgifter regleras av den nya lagen. Någon sådan bestämmelse föreslås därför inte.

628

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

Allmänt om viten på det offentligrättsliga området

Enligt 2 § lagen (1985:206) om viten, viteslagen, ska ett vitesföre- läggande vara riktat till en eller flera namngivna fysiska eller juridiska personer. Det förefaller inte vara möjligt att utifrån rådande praxis på området få ett heltäckande svar på frågan om ett vite kan riktas till ett offentligrättsligt juridiskt objekt. Frågan behandlas utförligt i kommentaren till viteslagen (Lavin, Viteslagstiftningen, augusti 2010, Zeteo, kommentaren till 2 § viteslagen). Där redovisas bl.a. följande. Det finns författningsbestämmelser som innehåller ut- tryckliga förbud mot att vite föreläggs staten eller en kommun (se t.ex. 9 kap. 8 § andra stycket RB, ”staten” och 18 kap. 27 § fastig- hetstaxeringslagen [1979:1152], ”staten, kommun eller tjänsteman i tjänsten”). Socialstyrelsen har emellertid rätt att meddela vissa vites- förelägganden mot den som bedriver verksamhet enligt socialtjänst- lagen (2001:453) och lagen (1993: 387) om stöd och service till vissa funktionshindrade, vilket kan vara en kommun. I den mån ut- tryckliga regler saknas, är rättsläget alltså oklart beträffande i vilken utsträckning ett vitesföreläggande kan, eller bör, riktas mot en offentligrättslig juridisk person. Det förekommer dock i praxis att viteshot har riktats mot en kommun och inte bara då den uppträtt som privaträttsligt subjekt. Det är däremot omöjligt att säga något bestämt om huruvida staten, då främst närmast ansvarig statlig myn- dighet, utan särskilt lagstöd kan vara adressat i ett vitesförelägg- ande. Den omständigheten att staten i princip betraktas som ett enhetligt rättssubjekt borde principiellt sett innebära att vitesföre- lägganden inte ska förekomma inom statlig offentlig verksamhet. Mer problematiskt är det fall då staten uppträder som privaträttsligt subjekt, t.ex. som arbetsgivare. Vidare kan eventuellt statliga affärs- drivande verk exempelvis kunna bli föremål för ett vitesföreläg- gande, eftersom verksamheten inte skiljer sig nämnvärt från den som bedrivs i ett statligt aktiebolag.

Enligt 4 kap. 5 § diskrimineringslagen (2008:567) kan ett vites- föreläggande riktas även mot staten som arbetsgivare när den inte fullgör sin skyldighet att vidta aktiva åtgärder enligt vad som före- skrivs i 3 kap. samma lag. Bestämmelsen motsvarar 35 § i den tidigare jämställdhetslagen (1991:433). I samband med att den bestämmel- sen infördes erinrade Lagrådet om uttalandena i förarbetena till vites- lagen (prop. 1984/85:96 s. 100) att det krävs att ett helt speciellt

629

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

undantagsfall är för handen för att vitesföreläggande mot staten ska komma i fråga (prop. 1999/2000:143 s. 156). Enligt Lagrådet hade det i lagrådsremissen inte anförts några bärande skäl för att denna mycket restriktiva inställning till att förelägga staten vite ska från- gås just på jämställdhetsområdet. Regeringen delade emellertid inte Lagrådets bedömning utan ansåg att frågorna om jämställdhet och mångfald i arbetslivet är av sådan vikt att denna allmänt restriktiva inställning nu borde frångås (a. prop. s. 98 f.).

Även i arbetsmiljölagen (1977:1160) har det införts en möjlighet att rikta vitesförelägganden mot staten som arbetsgivare (7 kap. 7 § andra stycket). I förarbetena anförde regeringen att frågan om effek- tiva sanktioner för att förebygga skador och ohälsa i arbetslivet även på arbetsmiljö- och arbetstidsområdet är av sådan vikt att den restriktiva inställningen till att förelägga staten vid vite bör frångås (prop. 2012/13:143 s. 66 f.).

I sammanhanget kan noteras att Skolinspektionen har befogen- het enligt skollagen (2010:800) att rikta vitesföreläggande mot den som bedriver sådan verksamhet som står under inspektionens tillsyn, vilket kan vara både kommuner och enskilda. Vidare följer det av 21 § andra stycket lagen (1986:765) med instruktionen för Riksdagens ombudsmän att JO får förelägga vite om högst 10 000 kr när om- budsman inom ramen för sin tillsyn begär upplysningar och yttranden som domstolar, förvaltningsmyndigheter samt anställda hos staten eller kommun eller annan som står under en ombudsmans tillsyn är skyldiga att lämna enligt 13 kap. 6 § andra stycket RF. Det gäller emellertid inte i de ärenden där en ombudsman har beslutat om förundersökning.

Bör befogenheten att besluta om viten som riktas mot myndigheter finnas kvar?

Vid personuppgiftslagens införande fördes i förarbetena inga prin- cipiella resonemang angående den omständigheten att lagförslaget innehöll föreskrifter som gav Datainspektionen befogenhet att rikta vitesförbud även mot myndigheter, både statliga och kommunala, såsom personuppgiftsansvariga. Resonemangen rörde endast frågor om behovet av ett vitessanktionerat förbud och förutsättningar för att vitet skulle kunna dömas ut (prop. 1997/98:44 s. 102 f.). Någon remissinstans framförde synpunkten att ett förbud borde kunna

630

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Enligt regeringens mening var det emellertid viktigt att tillsynsmyndigheten i första hand kunde fungera som ett stöd vid de personuppgiftsansvarigas behandling av personupp- gifter och ge råd om hur behandlingen bör gå till för att vara laglig. Möjligheten till ett vitessanktionerat förbud fick anses tillräckligt för att förmå de personuppgiftsansvariga att följa tillsynsmyndig- hetens råd.

Som framgått har det i flera registerförfattningar som reglerar be- handling av personuppgifter vid statliga myndigheter införts bestäm- melser som föreskriver att Datainspektionens befogenhet enligt personuppgiftslagen att besluta om vite inte ska gälla i samband med tillsyn över den aktuella myndigheten. Som skäl har anförts att det följer av allmänna rättsgrundsatser att vite inte bör användas som sanktionsmedel mellan statliga myndigheter.

Av redovisningen ovan framgår alltså att det förekommer att viten kan riktas mot kommunala myndigheter, inte bara i de fall då de uppträder som ett privaträttsligt subjekt och även om det inte finns en uttrycklig bestämmelse som ger tillsynsmyndigheten i fråga en sådan befogenhet. Att en statlig tillsynsmyndighet kan rikta ett vite mot en annan statlig myndighet har emellertid ansetts strida mot allmänna rättsgrundsatser. Något uttryckligt förbud mot att rikta ett vite mot staten finns emellertid inte och från senare tid finns alltså ett par exempel på att lagstiftaren har frångått denna restrik- tiva inställning.

Datainspektionens nuvarande befogenhet att besluta om vite mot både staten och kommuner aktualiserar enligt vår mening återigen frågan om myndigheters behandling av personuppgifter ska ses som en verksamhet som innebär att myndigheter såsom personuppgifts- ansvariga ska jämställas med privaträttsliga subjekt såvitt avser sådana skyldigheter som personuppgiftsansvaret innebär eller medför. Be- handling av personuppgifter är visserligen i sig en verksamhet som kan bedrivas av både enskilda och det allmänna. Den behandling av personuppgifter hos myndigheter som den generella lagen avser att träffa sker emellertid uteslutande inom ramen för ett offentligrätts- ligt uppdrag. På det statliga området bedrivs denna verksamhet exklusivt av statliga myndigheter. Därmed finns enligt vår mening principiellt sett inget behov av att jämställa statliga myndigheters behandling av personuppgifter med enskilda aktörers behandling i

631

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

så måtto att samma villkor i alla delar bör gälla. Bilden är delvis annorlunda när det gäller det kommunala området, där t.ex. verk- samhet inom den kommunala socialtjänsten och hälso- och sjuk- vården också bedrivs av enskilda. På skolområdet finns aktörer som fristående från såväl stat som kommun bedriver både grund- och gymnasieskola.

Enligt vår uppfattning innebär statliga myndigheters behandling av personuppgifter, som är en integrerad del i en myndighets hela verksamhet och myndighetsutövning, inte på något sätt att myndig- heter kan anses agera på en marknad eller av annat skäl bör jämställas med eller anses agera som ett privaträttsligt subjekt. Eftersom dessa myndigheters behandling av personuppgifter sker i en verksamhet som i allmänhet inte förekommer utanför det allmänna och som omgärdas av helt andra krav och regler än vad som annars är fallet finns inga bärande skäl för att i alla delar ha samma sanktionsmöjlig- heter mot både myndigheter och enskilda. Det finns därmed inget sådant starkt vägande skäl som talar för att myndigheters behand- ling av personuppgifter utgör ett sådant undantagsfall att man bör avvika från den allmänna rättsgrundsatsen att staten inte kan rikta viten mot sig själv. Vi föreslår därför att tillsynsmyndigheten inte ska ha befogenhet att rikta viten mot andra statliga myndigheter, vare sig i samband med föreläggande eller för att sanktionera ett förbud mot behandling.

Vår ovan uttalade principiella syn på vad myndigheters behand- ling av personuppgifter utgör, dvs. en integrerad del i myndigheters egentliga uppdrag och verksamhet vilket normalt saknar privaträtts- liga inslag, talar enligt vår uppfattning för att tillsynsmyndigheten som huvudregel inte heller ska ha någon befogenhet på det kom- munala området att rikta viten mot myndigheterna där. Vi är emel- lertid väl medvetna om att det inom viss kommunal verksamhet såsom socialtjänst och hälso- och sjukvård däremot finns starka skäl för att så långt som möjligt jämställa villkoren för kommunala respek- tive enskilda aktörer. När det gäller behandling av personuppgifter inom dessa områden finns emellertid särskilda författningar som reglerar verksamheten och som riktar sig till alla huvudmän oavsett om de är en kommunal myndighet eller en enskild aktör. Person- uppgiftsansvariga inom dessa områden kommer därför inte att träffas av den lag som vi nu föreslår, utan tillsynsmyndighetens befogen-

632

SOU 2015:39

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

heter i förhållande till dess aktörer framgår i stället av respektive specialförfattning.

Vi föreslår således att den nya lagen inte ska innehålla någon före- skrift som ger tillsynsmyndigheten befogenhet att rikta viten mot de myndigheter som ska behandla personuppgifter enligt lagen. För- utom de starka principiella skäl som talar för att denna befogenhet inte bör finnas, kan det också konstateras att Datainspektionen inte i något fall har använt sig av möjligheten att vid vite förbjuda en myndighet att fortsätta med en viss behandling. Vad som föreskrivs om vite i 44–46 §§ PuL ska alltså inte gälla enligt den nya lagen.

Vårt förslag innebär att inte heller befogenheten enligt 45 § andra stycket PuL att föreskriva vite om en myndighet inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § kommer att finnas i fort- sättningen. Det kan sättas i fråga om 32 § över huvud taget behöver kunna tillämpas på myndighetsområdet längre, eftersom vi föreslår att tillsynsmyndigheten uttryckligen ska ha befogenhet att utfärda förelägganden som kan ta sikte på en personuppgiftsansvarigs alla skyldigheter enligt lagen eller anslutande föreskrifter. Om det upp- står ett behov för tillsynsmyndigheten att ålägga en myndighet att på visst sätt höja sin säkerhetsnivå för personuppgifter som den behandlar bör det alltså lika bra kunna ske i form av ett förelägg- ande som ett beslut enligt 32 §. Det finns därför inte längre något behov av att kunna tillämpa 32 § på myndighetsområdet. Vi har i avsnitt 10.2 behandlat frågan om en myndighets skyldigheter enligt 31 § PuL att vidta nödvändiga säkerhetsåtgärder och om det finns ett behov av att på myndighetsområdet fylla ut denna bestämmelse med kompletterande regler.

17.3.6Befogenhet att ansöka hos allmän förvaltningsdomstol om utplåning av uppgifter

Förslag: Tillsynsmyndigheten ska också i fortsättningen kunna ansöka hos en förvaltningsrätt om utplåning av personuppgifter som behandlas olagligt hos en myndighet.

633

Tillsynsmyndighetens befogenheter i förhållande till myndigheter

SOU 2015:39

Registerförfattningar brukar inte, som framgått ovan, innehålla något undantag från tillsynsmyndighetens befogenhet enligt 47 § PuL att hos förvaltningsrätt ansöka om utplåning av personuppgifter som har behandlats på ett olagligt sätt.

I sammanhanget kan dock konstateras att Datainspektionen hit- tills aldrig har använt sig av möjligheten att ansöka hos förvaltnings- rätt om att personuppgifter ska utplånas. På myndighetsområdet kan man vidare fråga sig på vilken grund en domstol ska kunna besluta om att en utplåning ska ske. Vi har redan i avsnitt 15.4.4 konstaterat att när det gäller personuppgifter som finns i allmänna handlingar torde en myndighet inte en sådan befogenhet enbart med stöd av personuppgiftslagen eller den nya lagen. För en sådan åtgärd bör därför krävas särskilt lagstöd och sådant finns endast i undan- tagsfall.

Vi ser å andra sidan inte heller något direkt hinder mot att till- synsmyndigheten även i fortsättningen ska kunna ha denna befogen- het på såväl det statliga som kommunala myndighetsområdet. Det kan inte uteslutas att en sådan ansökan någon gång kan visa sig vara en ändamålsenlig åtgärd för att tillgodose intresset av att motverka kränkningar av enskildas integritet genom olaglig behandling av personuppgifter. Vi menar därför att det i nuläget inte är motiverat att avskaffa denna möjlighet. I vilken mån den i praktiken går att utnyttja på myndighetsområdet får klargöras i rättstillämpningen. Vårt förslag är alltså att tillsynsmyndigheten också i fortsättningen ska kunna ansöka om utplåning av olagligt behandlade personupp- gifter.

634

18 Övriga bestämmelser

18.1Skadestånd och straff

18.1.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Skadestånd

Enligt artikel 22 i dataskyddsdirektivet ska medlemsstaterna före- skriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstift- ning som är tillämplig på ifrågavarande behandling. Denna rätt på- verkar inte möjligheten att utnyttja något administrativt förfarande, t.ex. vid tillsynsmyndigheten, som kan användas innan ett ärende anhängiggörs hos en rättslig instans.

Av artikel 23.1 följer att medlemsstaterna ska föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestäm- melser som antagits till följd av direktivet, har rätt till ersättning av den registeransvarige för den skada som han eller hon har lidit.

I artikel 23.2 föreskrivs att den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Krav på sanktioner

Medlemsstaterna ska enligt artikel 24 anta lämpliga bestämmelser för att säkerställa att direktivet genomförs fullständigt och ska särskilt besluta om de sanktioner som ska användas vid överträdelse av de bestämmelser som antagits för att genomföra direktivet.

635

Övriga bestämmelser

SOU 2015:39

Personuppgiftslagen

Skadestånd

Enligt 48 § första stycket PuL ska den personuppgiftsansvarige er- sätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat.

Vidare sägs i andra stycket att ersättningsskyldigheten kan jämkas i den utsträckning det är skäligt, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

I förarbetena till personuppgiftslagen anfördes att rätten till per- sonlig integritet är en immateriell rättighet (prop. 1997/98:44 s. 106 f.). Någon ekonomisk skada behöver alltså inte uppstå vid en kränkning. Den enskilde, som drabbas av en olaglig behandling, bör därför ha rätt till ekonomisk kompensation för själva kränkningen förutom rätt till ersättning för personskada, sakskada och ren för- mögenhetsskada. Alla åtgärder som är oförenliga med bestämmel- serna i lagen kan leda till skadeståndsskyldighet. Skyldigheten är således mer vidsträckt än enligt den tidigare datalagen, där ersätt- ningsansvaret var begränsat till oriktiga eller missvisande uppgifter eller vissa brott enligt den lagen. Den personuppgiftsansvarige är gentemot den registrerade ansvarig för all behandling som han eller hon har ansvaret för, även när ett personuppgiftsbiträde eller annan hjälp anlitas (a. prop. s. 144).

Skadeståndsansvaret enligt 48 § PuL är i princip strikt. Det krävs alltså inte att den personuppgiftsansvarige har haft uppsåt att skada någon eller att en otillåten behandling skett av oaktsamhet. För skadeståndsansvar räcker det med att den personuppgiftsansvarige har utfört en behandling i strid med lagens bestämmelser.

Straff

I 49 § föreskrivs att till böter eller fängelse i högst sex månader, eller om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av grov oaktsamhet lämnar osann uppgift i vissa fall, behandlar känsliga personuppgifter eller uppgifter om lagöver- trädelser i strid med 13–21 §§ eller 5 a § andra stycket, i vissa fall

636

SOU 2015:39

Övriga bestämmelser

brister i sin anmälningsskyldighet eller i visst fall överträder förbudet mot överföring av personuppgifter till tredje land.

När det gäller bestämmelsen om straff anförde regeringen i för- arbetena till personuppgiftslagen (prop. 1997/98:44 s. 108 f.) att de huvudsakliga sanktionerna mot de personuppgiftsansvariga som inte följer den nya lagen är skadestånd och vite. Dessa sanktioner för brott mot lagen fick anses effektiva och i stort sett tillräckliga. Det fanns emellertid behov av att kriminalisera vissa olagliga åtgärder. När personuppgiftslagen infördes omfattade straffbestämmelsen även överträdelser som begicks av oaktsamhet utan att de var grova. Genom lagändringar år 2006 avkriminaliserades oaktsamhet av nor- malgraden. I förarbetena anfördes som skäl bl.a. att utvecklingen hade gått mot att straff inte är en nödvändig reaktion på överträ- delser av personuppgiftslagen eller anslutande registerförfattningar (prop. 2005/06:173 s. 48).

Det förefaller som om det inte finns något exempel i rättspraxis på att en person har dömts för brott mot personuppgiftslagen för en överträdelse som denne gjort sig skyldig till i egenskap av anställd hos en myndighet.

Förslaget till uppgiftsskyddsförordning

Skadeståndsansvar

I kommissionens förslag till uppgiftsskyddsförordning föreskrivs i artikel 75.1 att varje fysisk person som anser att hans eller hennes rättigheter enligt förordningen har åsidosatts som en följd av att personuppgifter har behandlats i strid med förordningen ska ha rätt att begära domstolsprövning. I likhet med dataskyddsdirektivets bestämmelser ska denna rätt inte påverka tillgängliga administrativa rättsmedel.

Enligt artikel 75.2 ska talan mot en registeransvarig eller register- förare väckas vid domstolarna i den medlemsstat där den register- ansvarige eller registerföraren är etablerad eller där den registrerade har hemvist. Det senare gäller emellertid inte om registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighets- utövning.

Enligt artikel 77.1 ska varje person eller medlemsstat som har lidit skada till följd av en otillåten behandling av uppgifter eller något

637

Övriga bestämmelser

SOU 2015:39

annat handlande som är oförenligt med förordningen ha rätt till ersätt- ning av den registeransvarige eller den registerförare som bär an- svaret för den uppkomna skadan.

I artikel 77.2 finns en bestämmelse om solidariskt betalningsansvar om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter.

Vidare sägs i artikel 77.3 att den registeransvarige eller register- föraren helt eller delvis kan undgå ansvar om vederbörande bevisar att denne inte är ansvarig för den händelse som orsakade skadan.

Krav på påföljder

Medlemsstaterna ska enligt artikel 78.1 föreskriva påföljder för över- trädelser av bestämmelserna i förordningen och vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas. Påföljderna ska vara effektiva, proportionella och avskräckande.

Europaparlamentets resolution

I Europaparlamentets resolution med ändringsförslag föreslås inga ändringar av betydelse i de nu aktuella artiklarna.

Några kommentarer

Förslaget till artikel 75 i uppgiftsskyddsförordningen om rätten att vid domstol föra talan om den registrerades rättigheter har åsidosatts bygger på artikel 22 i dataskyddsdirektivet. Förordningsbestäm- melsen innehåller emellertid också en forumregel som ger registre- rade rätt att välja en domstol i den medlemsstat där den register- ansvarige är etablerad eller där den registrerade har hemvist.

Även bestämmelsen i artikel 77 i förslaget till uppgiftsskydds- förordning bygger på motsvarande artikel i dataskyddsdirektivet (artikel 23). Rättigheten utvidgas dock till att också avse register- förares ansvar när denne orsakat skada och föreskriver ett solidariskt skadeståndsansvar för gemensamma registeransvariga eller register- förare.

638

SOU 2015:39

Övriga bestämmelser

Av förslaget till förordning framgår inte om rättigheten enligt artikel 77 innebär att den registrerade kan välja att begära ersättning från den registeransvarige eller registerföraren. Om inte en sådan valmöjlighet finns, kan det befaras att förordningens förslag inne- bär en sämre möjlighet att få ersättning än enligt dagens system. Ersättningsbestämmelserna enligt direktivet innebär ju att den re- gisteransvarige alltid är ansvarig även för de felaktiga behandlingar som registerföraren utför. Om den registrerade med förordningens förslag inte har en möjlighet att välja att begära ersättning från den registeransvarige innebär det att det först måste klargöras vem som är ersättningsansvarig för en viss behandling. Exempelvis skulle det kunna uppstå en situation där en registerförare gör gällande att denne gjort sig skyldig till en otillåten behandling på grund av otillräckliga eller otydliga instruktioner från den registeransvarige. Om en sådan situation uppstår kan det alltså eventuellt innebära att den registre- rade måste föra två processer för att få ersättning.

Förslaget till artikel 78 i uppgiftsskyddsförordningen om krav på påföljder motsvarar i allt väsentligt artikel 24 i dataskyddsdirektivet.

18.1.2Reglering i registerförfattningar

Skadestånd

I allmänhet brukar det i registerförfattningar hänvisas till att 48 § PuL om skadestånd gäller när personuppgifter behandlas enligt den aktuella författningen. Myndighetens skadeståndsansvar enligt den bestämmelsen omfattar därmed överträdelser som begås mot i första hand reglerna i registerförfattningen, men även mot personuppgifts- lagens bestämmelser i den mån de också gäller för myndighetens behandling av personuppgifter.

I några registerförfattningar finns föreskrifter som innebär att t.ex. 28 § PuL om rättelse inte ska tillämpas, utan att frågan om rättelse regleras i någon annan författning, exempelvis i 26 § för- valtningslagen (1986:223). I sådana fall kan inte 48 § PuL användas som grund för att begära skadestånd.

639

Övriga bestämmelser

SOU 2015:39

Straff

I flera registerförfattningar förekommer det att en hänvisning görs till 49 § PuL om straff vid brott mot vissa bestämmelser i lagen. Ett sådant exempel är 1 kap. 2 § första stycket 9 lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet en- ligt vilken bestämmelsen om straff i 49 § PuL gäller när personupp- gifter behandlas enligt lagen eller enligt andra föreskrifter i det ämne som regleras i lagen. Vid lagens införande anförde Lagrådet att 49 § PuL föreskriver ansvar för överträdelser av olika bestämmelser i den lagen (prop. 2000/01:33 s. 346). Enligt legalitetsprincipen kan paragrafen inte ges motsvarande tillämpning beträffande överträ- delser av bestämmelser i de lagar som föreslogs i lagstiftningsären- det. Hänvisningen till 49 § PuL fick därför endast den innebörden att ansvar inträder i händelse av överträdelser av de paragrafer i per- sonuppgiftslagen som i övrigt ska gälla och som är straffsanktione- rade. Lagrådet kunde emellertid inte se att det fanns något behov av att införa separata straffbestämmelser i de föreslagna registerlagarna. Regeringen instämde i Lagrådets bedömning (a. prop. s. 97).

Det förekommer i vissa registerförfattningar att någon hänvis- ning inte görs till 49 § PuL om straffansvar. Ett sådant exempel är lagen (2005:787) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I förarbetena till den lagen anfördes att det saknades behov av en hänvisning till 49 § PuL, eftersom per- sonuppgiftslagens bestämmelser om behandling av känsliga person- uppgifter och överföring till tredje land inte skulle tillämpas och straffbestämmelsen skulle därför urholkas (prop. 2004/05:164 s. 55). Det fanns inte heller något behov av att införa separata straffbestäm- melser i den nya lagen.

Ett annat exempel är polisdatalagen (2010:361). I förarbetena till den lagen pekades också på att behandlingen av personuppgifter skulle utföras av personer anställda vid statliga myndigheter som redan omfattas av bestämmelser om tjänstefel m.m. i brottsbalken (prop. 2009/10:85 s. 91). Även reglerna om disciplinansvar för tjänste- förseelse enligt lagen (1994:260) om offentlig anställning borde enligt regeringen vägas in vid bedömningen av behovet av en regel om straffansvar. Motsvarande påpekande görs i promemorian med för- slag till en ny domstolsdatalag, där det även erinras om att straff för

640

SOU 2015:39 Övriga bestämmelser

dataintrång enligt 4 kap. 9 § c brottsbalken kan ha betydelse i sammanhanget (Ds 2013:10 s. 168 f.).

18.1.3Allmänna regler om skadestånd och straff på myndighetsområdet

Det allmännas ansvar enligt skadeståndslagen

Enligt 3 kap. 2 § SkL, ska staten eller en kommun ersätta person- skada, sakskada eller ren förmögenhetsskada, som vållas genom fel eller försummelse vid myndighetsutövning i verksamhet för vars fullgörande staten eller kommunen svarar. Ersättningsskyldigheten omfattar även ideell skada på grund av att någon annan kränkts på det sätt som anges i 2 kap. 3 § genom fel eller försummelse vid sådan myndighetsutövning.

I 2 kap. 3 § SkL föreskrivs att den som allvarligt kränker någon annan genom brott som innefattar ett angrepp mot dennes person, frihet, frid eller ära ska ersätta den skada som kränkningen innebär. För att få ideellt skadestånd för att någons personliga integritet har kränkts, dvs. ersättning för en skada som inte har samband med personskada eller någon form av ekonomisk skada, krävs alltså att kränkningen har skett genom ett brott. Det krävs också att kränk- ningen är allvarlig.

Att ersättning för kränkning ska kunna utgå med stöd av 3 kap. 2 § SkL, jämförd med 2 kap. 3 § samma lag, förutsätter att aktuella åtgärder från myndighetens sida har skett i samband med myndig- hetsutövning. Om det inte är fråga om myndighetsutövning kan skadestånd ändå utgå med stöd av 3 kap. 1 § SkL enligt reglerna om ansvar för skada som vållas av arbetstagare. En förutsättning för det är att kränkningen har orsakats av att den anställde har begått brott i tjänsten.

Genom Högsta domstolens praxis har det under senare tid lagts fast att det finns en rätt till ideellt skadestånd vid kränkningar av Europakonventionen i andra fall än de som regleras av skadestånds- lagen. Det har bl.a. rört kränkningar av rätten till privat- och familje- liv enligt artikel 8 i konventionen. Utredningen om det allmännas ansvar enligt Europakonventionen föreslog i betänkandet Skadestånd och Europakonventionen (SOU 2010:87) att det ska införas en ny regel i skadeståndslagen som ger möjlighet för enskilda fysiska och

641

Övriga bestämmelser

SOU 2015:39

juridiska personer att få skadestånd av staten eller en kommun vid överträdelser av Europakonventionen. Förslaget har ännu inte lett till lagstiftning.

En enskild som anser att han eller hon har orsakats skada av det allmänna kan ansöka hos allmän domstol om stämning mot staten eller en kommun. Saken blir då prövad i den ordning som gäller för tvistemål.

I de fall det är fråga om en skada som orsakats av staten finns också en annan möjlighet. Justitiekanslern, JK, kan besluta om skade- stånd till enskilda inom ramen för statens frivilliga skadereglering. Sådana anspråk från enskilda handläggs enligt förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten. Det kan handla om anspråk som bl.a. grundas på 3 kap. 1–2 §§ SkL eller 48 § PuL. Denna skadereglering är kostnadsfri för den enskilde. Även viss ersättning för ombudskostnader kan utgå. Om man inte är nöjd med JK:s beslut kan man föra talan på sedvanligt sätt inför domstol.

Enligt 10 § förordningen om handläggning av skadeståndsanspråk mot staten får JK uppdra åt annan myndighet att fullgöra de upp- gifter som JK har enligt förordningen. Ett sådant uppdrag har getts åt Skatteverket. Det innebär att Skatteverket bl.a. får handlägga skadeståndsanspråk mot staten som grundas på uppenbara register- skador hänförliga till behandlingen av personuppgifter i register för vilka Skatteverket ansvarar enligt personuppgiftslagen och där ersätt- ningsbeloppet uppgår till högst 5 000 kr.

Några motsvarande bestämmelser som rör frivillig skadereglering på det kommunala området finns inte. Det står emellertid en kom- mun fritt att själv reglera en skada som en enskild orsakats inom ramen för kommunens verksamhet, exempelvis i samband med en otillåten behandling av personuppgifter. Såvitt utredningen har erfarit har sådan frivillig skadeståndsreglering ägt rum inom ett landsting eller en kommun i endast ett fåtal fall. Om ett landsting eller en kommun inte själv vill reglera en skada, får den enskilde alltså vända sig till allmän domstol. Sedan den 1 juli 2014 är ansökningsavgiften i allmän domstol 900 kr i ett mål där värdet av vad som yrkas inte uppgår till mer än ett halvt prisbasbelopp och annars 2 800 kr.

642

SOU 2015:39

Övriga bestämmelser

Straffbestämmelser m.m. på myndighetsområdet

Ett brott som på myndighetsområdet kan förorsaka en sådan kränk- ning som kan föranleda skadeståndsansvar enligt 2 kap. 3 § SkL är tjänstefel enligt 20 kap. 1 § BrB.

När det gäller andra brott som kan ha samband med en otillåten hantering av personuppgifter kan även brott mot tystnadsplikt en- ligt 20 kap. 3 § BrB komma i fråga. Detsamma gäller brottet data- intrång enligt 4 kap. 9 c § BrB.

I sammanhanget kan också nämnas bestämmelserna om disciplin- ansvar i lagen (1994:260) om offentlig anställning. Enligt dessa be- stämmelser kan en arbetstagare meddelas disciplinpåföljd för tjänste- förseelse i form av varning eller löneavdrag. För detta gäller dock vissa förutsättningar, bl.a. att den misstänkta gärningen inte ska an- mälas till åtal eller, om gärningen prövats i straffrättslig ordning, inte har ansetts vara något brott p.g.a. någon annan anledning än bristande bevisning. Genom Arbetsdomstolens praxis har bl.a. prövats frågan om disciplinansvar för en handläggare som gjort obehöriga sökningar i Försäkringskassans datasystem (AD 2005:82).

18.1.4Justitiekanslerns skadereglering på grund av 48 § personuppgiftslagen

Allmänt om verksamheten

Sedan personuppgiftlagen trädde i kraft har JK inom ramen för statens frivilliga skadereglering handlagt ärenden som rör skade- ståndsanspråk enligt 48 § PuL. Under åren 2011–2013 kom det in 196 sådana ärenden. Under samma period avgjorde JK 225 ärenden varav ersättning utgick i 131 fall, dvs. i ca 60 procent av ärendena. Denna andel kan jämföras med att det i ett ärende om skadestånds- anspråk mot staten som grundas på skadeståndslagen normalt utgår ersättning i 12–13 procent av ärendena. Som exempel på skador på grund av överträdelse av personuppgiftslagen som enligt JK:s beslut medfört ersättningsskyldighet kan nämnas bristande gallringsrutiner och felaktiga personuppgifter i olika register, exempelvis avseende folkbokföringen och hos Försäkringskassan.

Den 1 januari 2015 hade det kommit in ca 2 900 ärenden som rör det s.k. Kringresanderegistret som förts av dåvarande Polismyndig-

643

Övriga bestämmelser

SOU 2015:39

heten i Skåne (se vidare nedan om JK:s beslut den 7 maj 2014). Ytterligare sådana ärenden kommer fortfarande in till myndigheten.

Exempel från Justitiekanslerns skadereglering

Förutsättningar för att ersättning alls ska utgå

I ett beslut från den 2 mars 2011 (dnr 8156-09-40) uttalade JK vilka omständigheter som bör beaktas för att det alls ska finnas en rätt till ersättning enligt 48 § PuL. Av beslutet kan utläsas att det enligt JK inte räcker med att skadeståndskyldighet i och för sig föreligger, dvs. att en behandling har skett i strid med lagen, för att också ersättning ska utgå. I sak gällde beslutet om skadestånd enligt 48 § PuL skulle utgå med anledning av bl.a. ett felaktigt beslut om sjuk- penning. JK fann att Försäkringskassans register under en tid kom- mit att innehålla en felaktig uppgift. Detta kom att påverka den aktuella personens sjukpenningförmåner och ledde senare till att vederbörande fick återbetala det som uppburits för mycket. Felet hade inneburit att en personuppgift hade hanterats i strid med 9 § g PuL, varför skadeståndsskyldighet för staten i och för sig hade upp- kommit. Mot bakgrund av förarbetsuttalanden till den tidigare data- lagen och de år 2002 ändrade reglerna om rätt till ersättning för ideell skada i skadeståndslagen fann JK att i princip samma omstän- digheter som ska beaktas när ersättning för kränkning bestäms bör ligga till grund för bedömningen av om det alls finns rätt till er- sättning enligt 48 § PuL. Av betydelse är alltså om det har varit fråga om registrering av personuppgifter av känslig art, om det funnits risk för otillbörlig spridning av uppgifterna och om den felaktiga behandlingen fått eller kunnat få några beaktansvärda negativa kon- sekvenser för den registrerade. Om så inte är fallet kan en begäran om ersättning avslås även i de fall där en kränkning i och för sig anses ha skett, men bedöms vara försumbar. I det aktuella ärendet fann JK att den felaktiga behandlingen av personuppgiften inte kunde ha orsakat någon sådan kränkning av den berörda personens personliga integritet som är en förutsättning för rätt till ersättning enligt personuppgiftslagen.

644

SOU 2015:39

Övriga bestämmelser

Ersättningsbeloppets storlek

I ett beslut den 7 maj 2014 (dnr 1441-14-47) prövade JK skade- ståndsanspråk med hänvisning till att personuppgifter i det s.k. Kringresanderegistret hade behandlats i strid med polisdatalagen (2010:361). Säkerhets- och integritetsskyddsnämnden (SIN) hade den 15 november 2013 uttalat att behandlingen av personuppgifter hade brister på så sätt att ändamålet med behandlingen var för oprecist, tillgången till personuppgifterna inte var begränsade till varje tjänstemans behov och att ingen loggning hade förekommit när personuppgifter behandlats. SIN hade anmält till JK att de gene- rella brister som förekommit vid polisens behandling av personupp- gifter i registret, som omfattade drygt 4 700 personer, var sådana som kan medföra skadeståndsansvar för staten (jfr 20 § förord- ningen [2007:1141] med instruktion för Säkerhets- och integritets- skyddsnämnden). Många personer hade också begärt ersättning av staten, bl.a. genom att vända sig till JK.

JK instämde i SIN:s bedömning att polisens behandling av per- sonuppgifter i Kringresanderegistret i flera avseenden stått i strid med lag. Mot bakgrund av att det var fråga om integritetskänsliga personuppgifter och att de generella bristerna i behandlingen av dem sammantaget var allvarliga måste de personer vilkas uppgifter behandlats i registret anses ha blivit utsatta för en sådan kränkning av den personliga integriteten att de var berättigade till ersättning av staten enligt 48 § PuL. Kränkningen kunde med hänsyn till re- gistrets inriktning och syfte samt de brister som konstaterats inte anses som mindre allvarlig. De brister som förekommit i registret hade emellertid inte lett till några negativa beslut eller åtgärder som inte uppkommit om behandlingen skett helt i enlighet med polis- datalagens bestämmelser. Den som varit föremål för registrering i Kringresanderegistret borde därför vara berättigad till ersättning för kränkning med 5 000 kr. Vid bedömningen av ersättnings- beloppets storlek beaktade JK att Högsta domstolen slagit fast att en schabloniserad bedömning i stor utsträckning kunde användas då en kränkningsersättning ska bestämmas, eftersom det sker utifrån en bedömning av vilken kränkning som typiskt sett får anses ha uppkommit (NJA 2013 s. 1046). Ersättning för en kränkning som bedöms som mindre allvarlig bör enligt Högsta domstolen i normal- fallet bestämmas till 3 000 kr.

645

Övriga bestämmelser

SOU 2015:39

Det kan noteras att dåvarande Polismyndigheten i Skånes brister i behandlingen av personuppgifter i det s.k. Kringresanderegistret sammantaget kan komma att kosta Polismyndigheten omkring 20 miljoner kr till följd av krav på ersättning från de registrerade.

Från JK:s praxis kan också nämnas två beslut där det bedömts att väsentligt högre ersättningsbelopp än vad som normalt är fallet skulle utgå. Det ena beslutet, från den 29 mars 2010 (dnr 8043-08- 42), rörde en person för vilken det felaktigt hade registrerats i be- lastningsregistret att han var dömd av norsk domstol för försök till ett grovt brott. JK konstaterade att det tagit exceptionellt lång tid från det att uppgifterna rätteligen borde ha tagits bort ut registret till dess att så skedde, att det var fråga om uppgifter av mycket käns- lig art som var direkt felaktiga, att registreringen utgjorde ett obe- fogat ingrepp i personens privat- och familjeliv och att registrering- en hade medfört att han tillfälligt förlorat sitt arbete. Vid en samlad bedömning bestämdes kränkningsersättningen till 25 000 kr.

Det andra beslutet, från den 14 oktober 2010 (dnr 1813-10-42), rörde en person som felaktigt hade registrerats som avliden hos Försäkringskassan och Pensionsmyndigheten. Enligt JK hade den felaktiga registreringen rört ett mycket integritetskänsligt område. Felet hade vidarebefordrats till premiepensionsregistret vilket hade förorsakat ytterligare problem och olägenheter. JK ansåg att per- sonen i fråga hade orsakats ett betydande lidande. Han hade också under lång tid varit felaktigt registrerad som avliden. Skälig ersätt- ning i detta fall uppgick till 30 000 kr. JK fann det vidare rimligt att Försäkringskassan, som orsakat felet, ansvarade för hela den skada som uppstått.

Fråga om ersättning skulle utgå på grund av publicering på publik respektive intern webbplats

I ett beslut den 24 januari 2005 (dnr 2370-04-42) prövade JK skade- ståndsanspråk med anledning av att Kriminalvårdsstyrelsen hade gjort en dom från Arbetsdomstolen tillgänglig i fulltext på intranätet. Domen rörde en tvist mellan Kriminalvårdsstyrelsen och en anställd, vars namn hade ersatts av initialerna. Datainspektionen hade i ett tidigare beslut funnit att myndigheten behandlat känsliga person- uppgifter i strid med personuppgiftslagen eftersom domen innehöll uppgifter om den anställdes hälsa. JK kom till samma slutsats. Den

646

SOU 2015:39

Övriga bestämmelser

berörda personen hade därför rätt till ersättning enligt 48 § PuL. Vid bedömningen av skadeståndsbeloppets storlek beaktade JK att uppgifterna rörde särskilt integritetskänsliga förhållanden, att upp- gifterna funnits på intranätet i sju månader och varit tillgängliga för ca 8 000 användare, såväl de närmaste arbetskamraterna som andra anställda. Vidare beaktade JK den omständigheten att om Kriminal- vårdsstyrelsen hade valt att enbart ha en länk till Arbetsdomstolens webbsida eller till Lagrummet hade detta inte varit i strid med personuppgiftslagen. Skadeståndet bestämdes till 15 000 kr.

Enligt JK:s beslut den 26 september 2007 (dnr 3497-06-40) skulle Rikspolisstyrelsen betala skadestånd till två personer med vardera 25 000 kr på grund av att kränkande uppgifter i en rapport från Riks- kriminalpolisen hade lagts ut på myndighetens webbplats. Rapport- en rörde nationella hot- och problembilder och framställdes med viss regelbundenhet för i princip internt bruk. Efter önskemål från framför allt medierna hade dock en sekretessprövad version gjorts tillgänglig på Rikspolisstyrelsens webbplats på internet. Rapporten innehöll ett avsnitt om hur hot, våld, utpressning och bestickning kan utgöra försök att påverka utgången i ett myndighetsärende. I det sammanhanget nämndes som exempel en bok som de i skade- ståndsärendet berörda personerna skrivit som rörde deras kontakter med Skatteverket. JK uttalade att undantagen i 7 och 8 §§ PuL inte var aktuella samt att myndigheter inte kan åberopa meddelarfrihet. Vid en prövning av om publiceringen kunde utgöra en tillåten be- handling av personuppgifter enligt 10 § f PuL, fann JK att det inte fanns något särskilt tungt vägande skäl att tillhandahålla de berörda personernas personuppgifter på det sätt som nu blivit fallet.

I ett beslut den 19 februari 2008 (dnr 805-08-40) fann JK att någon ersättning inte skulle utgå med anledning av ett skadestånds- anspråk som grundades på att en polismyndighet gjort en bild- publicering på internet. Publiceringen avsåg en film som spelats in av en övervakningskamera i en butik. Polisen valde att offentliggöra den för att få information om ett rånförsök som butiken utsatts för. Efter att filmen lagts ut på polisens hemsida hade en lokaltidning kopierat den och lagt ut den på sin hemsida. JK hade granskat ärendet tidigare i egenskap av tillsynsmyndighet och hade då kom- mit fram till att det varken i sekretesshänseende eller i övrigt fanns anledning att rikta kritik mot polisen på grund av offentliggörandet. I det nu aktuella skadeståndsärendet fann JK att det hade rört sig

647

Övriga bestämmelser

SOU 2015:39

om en kort filmsekvens där den berörda personen förekom under en mycket begränsad tid. Uppgifterna om hennes personliga för- hållanden i filmen kunde inte anses vara av ömtåligt slag även om de i och för sig hade fått stor spridning. Polisens behandling av upp- gifterna hade dock inte skett med något otillbörligt syfte utan för att försöka få information om ett brott. Det var därför inte fråga om en sådan kränkning av den berördas personliga integritet som avses i 5 a § PuL. Det förelåg inte heller på annan grund skade- ståndsskyldighet enligt 48 § PuL.

Skadeståndsansvarets fördelning om flera statliga myndigheter är inblandade

I ett beslut den 3 mars 2009 (dnr 6961-08-40) prövade JK ett ersätt- ningsanspråk som grundade sig på att en länsstyrelse felaktigt hade fört in i vägtrafikregistret att det för en person gällde villkor om glasögon för körkort. JK konstaterade att den felaktiga personupp- giften hade förts in i registret av länsstyrelsen, medan det var Väg- verket som var personuppgiftsansvarig för registret. I en situation där det är en statlig myndighet som är personuppgiftsansvarig bör 48 § PuL enligt JK förstås så att det är staten som är ersättnings- skyldig. För det fall flera enheter inom staten är berörda bör för- delningen av ansvaret dem emellan bli en fråga för staten själv. Där- vid bör den principen tillämpas som innebär att ersättning ska utges av den enhet som bär huvudansvaret för felet. Det betydde i det aktuella fallet att länsstyrelsen skulle ombesörja att ersättning betalades ut till personen i fråga.

JK har i ett tidigare beslut (2006-09-12, dnr 1127-05-42) kommit till samma slutsats.

648

SOU 2015:39

Övriga bestämmelser

18.1.5Våra överväganden och förslag

Förslag och bedömning: I den nya lagen införs en bestämmelse som innebär att 48 § PuL om skadestånd gäller vid behandling av personuppgifter enligt den nya lagen eller enligt föreskrifter som meddelats med stöd av lagen.

Straffbestämmelsen i 49 § PuL kan inte medföra straffansvar för överträdelser av bestämmelser i den nya lagen. Något behov av att införa särskilda straffbestämmelser i den lagen finns inte. Lagen ska inte heller hänvisa till 49 § PuL. Skadeståndssanktionen får anses tillräcklig på myndighetsområdet.

Skadestånd

Genom att skadeståndsbestämmelsen 48 § PuL i allmänhet också gäller på de myndighetsområden som har särreglerats genom en registerförfattning medför den ett skadeståndsansvar för de allra flesta myndigheter vid deras behandling av personuppgifter, dvs. oavsett om behandlingen regleras av personuppgiftslagen eller i en registerförfattning. Enligt dataskyddsdirektivet finns ingen möjlig- het att ha regler som innebär att en viss otillåten behandling inte ska medföra skadeståndsansvar för den personuppgiftansvarige. Någon sådan möjlighet finns inte heller i förslaget till en uppgiftskydds- förordning. I den nya lagen om myndigheters behandling av person- uppgifter behöver det därför finnas en skadeståndsbestämmelse som kan tillämpas vid alla former av otillåten behandling enligt lagen. Något behov av att införa en särskild sådan bestämmelse i lagen finns inte, utan en hänvisning till 48 § PuL bör göras. Vi föreslår därför att det av den nya lagen ska framgå att den bestämmelsen gäller när personuppgifter behandlas enligt den nya lagen eller enligt föreskrifter som har meddelats i anslutning till lagen. Enligt den nya lagen kommer alltså en myndighet att på samma sätt som tidigare ha ett skadeståndsansvar för en behandling av personuppgifter som den utför i strid med de bestämmelser som gäller för myndigheten.

Enligt förslaget till uppgiftsskyddsförordning ska det även finnas, till skillnad från i dataskyddsdirektivet, möjlighet att rikta en skade- ståndstalan mot en registerförare, dvs. ett personuppgiftsbiträde. Det saknas enligt vår uppfattning tillräckliga skäl för att på myn-

649

Övriga bestämmelser

SOU 2015:39

dighetsområdet redan nu föra in en sådan nyordning. Inte heller den föreslagna bestämmelsen i förordningen som syftar till att klar- göra att det gäller ett solidariskt betalningsansvar bör nu införas på myndighetsområdet. På området för statliga myndigheter sker redan en ansvarsfördelning utifrån rättsgrundsatsen att staten är ett enhet- ligt rättssubjekt. I de fall det är fråga om flera statliga myndigheter som är inblandade i en behandling av personuppgifter är det, som redovisats, inte nödvändigtvis den myndighet som är personuppgifts- ansvarig som ska betala skadeståndsersättningen utan detta kan i stället ankomma på den myndighet som bär huvudansvaret för att en otillåten behandling ägt rum.

I vårt uppdrag ingår inte att överväga en ny ordning för på vilket sätt en registrerad ska kunna föra talan om skada och kränkningar som har sin grund i att en myndighet har behandlat personuppgifter på ett otillåtet sätt. Det kan emellertid konstateras att den frivilliga skadereglering som handläggs av JK enligt förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten utgör ett relativt lättillgängligt rättsmedel när det är fråga om statliga myndigheters behandling av personuppgifter, bl.a. eftersom det är kostnadsfritt. Detta till skillnad från vad som är fallet på det kommunala området där det enda faktiskt tillgängliga rättsmedlet är att stämma berörd kommun inför allmän domstol. Dataskyddsdirektivet ställer dock inte upp några krav på hur lätt tillgängligt ett rättsmedel för att föra skadeståndstalan ska vara, utan det krävs endast att var och en ska ha rätt att föra en talan inför domstol. I direktivets perspektiv upp- fyller alltså de svenska reglerna de krav som ställs, även om rätts- medlen är utformade på olika sätt beroende på vem som är person- uppgiftsansvarig.

Straff

Både dataskyddsdirektivet och förslaget till uppgiftsskyddsförord- ning innehåller bestämmelser som innebär att medlemsstaterna ska föreskriva sanktioner eller påföljder som ska säkerställa att bestäm- melserna om skydd för personuppgifter i respektive regelverk inte överträds. Något uttryckligt krav på att det ska införas straffbestäm- melser finns inte. Huruvida det ska finnas straffbestämmelser för överträdelser av de bestämmelser om skydd för personuppgifter som

650

SOU 2015:39

Övriga bestämmelser

gäller för svenska myndigheter är alltså en fråga som den svenske lagstiftaren själv råder över.

Till skillnad från vad som är fallet enligt skadeståndslagen är skadeståndsansvaret enligt personuppgiftslagen strikt och det gäller även för myndigheter. Det krävs alltså exempelvis inte att ett brott har begåtts av en anställd hos en myndighet för att ersättning för kränkning enligt 48 § PuL ska kunna utgå. Behovet av straffbestäm- melser kan alltså bedömas utan att någon koppling behöver göras till möjligheten att få skadestånd för kränkning vid en otillåten be- handling.

Bestämmelsen om straff i 49 § PuL tar sikte på överträdelser av sådana bestämmelser i den lagen som endera inte föreslås gälla för myndigheterna enligt den nya lagen eller som inte fullt ut före- skriver vad som i en viss fråga gäller för myndigheters behandling av personuppgifter. Så är exempelvis fallet med de föreslagna be- stämmelserna om när en myndighet får behandla känsliga person- uppgifter. Om en överträdelse av bestämmelserna för när en sådan behandling är tillåten ska vara straffsanktionerad, behöver det alltså införas separata straffbestämmelser i den nya lagen vid sidan av 49 § PuL. Det ligger i sakens natur att nya straffbestämmelser inte ska införas utan att det finns ett starkt behov av det.

Den nya lagen innehåller enbart bestämmelser som riktar sig till myndigheter som är personuppgiftsansvariga. Det finns ingen be- stämmelse som föreskriver någon skyldighet för en anställd vid myn- digheten, dvs. som riktar sig mot en enskild person. Det är således myndigheten som sådan i egenskap av personuppgiftsansvarig som svarar för att samtliga bestämmelser i lagen följs vid den behandling av personuppgifter som sker vid myndigheten. Redan denna om- ständighet i sig talar för att lagen inte bör innehålla några straff- bestämmelser, eftersom en myndighet inte kan begå brott.

I samband med införandet av de registerförfattningar där man avstått från att införa separata straffbestämmelser har lagstiftaren i flera fall påpekat att anställda vid både statliga och kommunala myndigheter redan omfattas av vissa straffbestämmelser som kan medföra straffansvar då den anställde bryter mot regler som gäller på myndighetens område. Som exempel kan nämnas brotten tjänste- fel, brott mot tystnadsplikt eller dataintrång. Även reglerna om disciplinansvar för tjänsteförseelse kan tillämpas i fråga om en anställd inom såväl det statliga som kommunala området.

651

Övriga bestämmelser

SOU 2015:39

Mot bakgrund av vad som nu sagts bedömer vi att det, vid sidan av skadeståndsansvaret enligt 48 § PuL, inte behöver införas några ytterligare sanktioner genom särskilda bestämmelser i den nya lagen som innebär att vissa överträdelser mot lagen också är straffsank- tionerade. Vi lämnar därför inget förslag till några nya straffbestäm- melser som ska gälla på myndighetsområdet.

Vår bedömning innebär också att det inte ska göras någon hän- visning till bestämmelsen om straff i 49 § PuL i den nya lagen.

18.2Bemyndiganden

18.2.1Bestämmelser som avviker från eller kompletterar den nya lagen

Den nya lagen innehåller bestämmelser som rör frågor där personupp- giftslagens bestämmelser inte på ett tillräckligt tydligt sätt uttrycker vad som gäller för myndigheters behandling av personuppgifter. Be- stämmelserna reglerar alltså vad som ska gälla särskilt för myndig- heterna i en viss fråga till skillnad från vad enskilda personuppgifts- ansvariga har att iaktta. Den nya lagen förtydligar på detta sätt i materiellt hänseende vad som gäller för myndigheters behandling av personuppgifter i förhållande till personuppgiftslagen. Den kan därmed sägas ställa upp en mer fast ram för myndigheters behand- ling av personuppgifter. Det innebär i sin tur att behovet av sådana relativt vidsträckta bemyndiganden som ges i 50 § PuL minskar. Vi har emellertid i samband med våra överväganden i de olika avsnitten om enskilda sakfrågor redan konstaterat att den reglering som ges i lagen i vissa fall behöver kompletteras med mer detaljerade före- skrifter eller att det behöver ges utrymme för avvikande bestäm- melser.

Vi har i avsnitt 7.3 redovisat vår uppfattning att vi från allmän normgivningssynpunkt inte ser några hinder mot att bestämmelser som avviker från innehållet i den generella lagen i form av t.ex. myn- dighetsspecifika föreskrifter om sökbegränsningar, direktåtkomst, behandling av känsliga personuppgifter m.m. ges i form av förord- ning. Såvitt avser statliga myndigheter under regeringen meddelas sådana föreskrifter med stöd av den s.k. restkompetensen (8 kap. 7 första stycket 2 RF).

652

SOU 2015:39

Övriga bestämmelser

I den mån bestämmelser som avviker från vad som föreskrivs i den generella lagen innebär åligganden för de kommunala myndig- heterna krävs emellertid enligt 8 kap. 2 § första stycket 3 RF att lagen innehåller ett bemyndigande för regeringen att meddela före- skrifterna i förordning. Föreskrifter som innebär ökade befogen- heter för kommuner kräver enligt samma lagrum också lagstöd. Om en kommun ges en befogenhet i lag krävs att en begränsning av den lagstadgade befogenheten också ges i lag eller med stöd av bemyn- digande i lag. Det krävs därför ett bemyndigande i lag för rege- ringen att meddela sådana föreskrifter som innebär en begränsning av kommunala myndigheters befogenheter att behandla personupp- gifter automatiserat enligt den generella lagen.

Även i fråga om sådana regleringar som är att se som ingrepp i enskilds personliga förhållanden krävs att lagen innehåller ett be- myndigande för regeringen att meddela föreskrifter (jfr 8 kap. 3 och

10§§).

Om riksdagen enligt 8 kap. RF bemyndigar regeringen att meddela

föreskrifter i visst ämne, kan riksdagen också medge att regeringen bemyndigar en förvaltningsmyndighet eller en kommun att med- dela föreskrifter i samma ämne (8 kap. 10 §).

18.2.2Våra överväganden och förslag

Förslag: I lagen ges regeringen eller den myndighet som rege- ringen bestämmer bemyndigande att meddela föreskrifter om när behandling av personuppgifter är tillåten, vilka krav som ställs på en personuppgiftsansvarig myndighet och att känsliga person- uppgifter får behandlas, om det behövs med hänsyn till ett vik- tigt allmänt intresse. Regeringen bemyndigas också att meddela föreskrifter om begränsningar i möjligheterna att använda andra sökbegrepp än som avses i förslaget till 12 §.

Vi föreslår alltså en generell bestämmelse som tillåter en myndighet att behandla personuppgifter om det är nödvändigt för att myndig- heten ska kunna utföra sina uppgifter. Det bör emellertid vara möj- ligt för regeringen att meddela föreskrifter om att det för en viss myndighet eller i en viss myndighetspecifik verksamhet ska gälla särskilda begränsningar i möjligheterna att behandla personupp-

653

Övriga bestämmelser

SOU 2015:39

gifter automatiserat. Om en sådan begränsning avser en kommunal myndighet innebär det en begränsning av vad som annars skulle ha gällt enlig lagen. Det behövs därför ett bemyndigande för regeringen att meddela denna typ av föreskrifter. Regeringen bör även medges att bemyndiga en myndighet att meddela föreskrifter i samma ämne. Bemyndigandet bör ges motsvarande utformning som 50 § a PuL.

Av samma skäl behövs ett bemyndigande för regeringen att meddela föreskrifter om ytterligare begränsningar i möjligheten att använda sökbegrepp utöver huvudregeln om sökförbud i fråga om känsliga personuppgifter i 13 §. I detta fall bör emellertid regeringen inte medges att vidaredelegera föreskriftsrätten, eftersom en sådan föreskrift inte skulle kunna utgöra en sådan sökbegränsning som avses i den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF.

I lagen föreskrivs ett generellt undantag från förbudet i 13 § PuL mot att behandla känsliga personuppgifter som innebär att en myn- dighet tillåts att i viss uttryckligen begränsad omfattning behandla känsliga personuppgifter. I den mån sådan behandling kan anses ut- göra ett ingrepp i enskilds personliga förhållanden finns således ett sådant lagstöd som krävs enligt 8 kap. 2 § första stycket 2 RF.

I likhet med vad som är fallet enligt 20 § PuL bör det emellertid finnas möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare undantag från förbudet i 13 § samma lag om det behövs med hänsyn till ett viktigt allmän intresse. Ett sådant bemyndigande föreslås därför bli intaget i den generella lagen.

Vi föreslår vidare att det i den nya lagen tas in en bestämmelse som på ett tydligare sätt än 31 § PuL anger vad som krävs av myn- digheter när det gäller deras skyldighet som personuppgiftsansvariga att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Det kan emellertid förutsättas att det ändå kommer att finnas ett behov av mer specifika regler inom vissa sektorer eller för en viss myndighet eller verksamhet. Även en sådan bestämmelse kan inne- bära ett åliggande för en kommun och behöver därför hämta sitt stöd i ett bemyndigande i lagen. Ett sådant bemyndigande bör ges en sådan utformning att det också kan täcka in sådana fall då de grundläggande kraven i 9 § PuL i något avseende behöver preciseras, exempelvis om begränsande regler för direktåtkomst till person- uppgifter som inte är sekretessreglerade behövs i fråga om en viss

654

SOU 2015:39

Övriga bestämmelser

myndighets verksamhet. Det bör därför ges ett motsvarande inne- håll som 50 § b PuL.

Den nya lagen föreslås också innehålla en bestämmelse som före- skriver en generell skyldighet för myndigheter att föra en förteck- ning över de behandlingar av personuppgifter som myndigheten utför. Lagen bör emellertid inte tyngas av detaljerade föreskrifter om vilka uppgifter en sådan förteckning ska innehålla utan sådana föreskrifter bör meddelas av regeringen eller den myndighet som regeringen bestämmer. Dessa föreskrifter tillhör regeringens eget primärområde och något bemyndigande i lagen behövs därför inte. Däremot bör en upplysning om att regeringen eller en myndighet, efter vidaredelegation av regeringen, meddelar närmare föreskrifter i ämnet tas in i lagen i anslutning till huvudbestämmelsen.

18.3Överklaganden

18.3.1Allmänna dataskyddsrättsliga regler

Dataskyddsdirektivet

Enligt artikel 22 i dataskyddsdirektivet ska medlemsstaterna före- skriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstift- ningen som är tillämplig på behandling enligt direktivet.

I artikel 28.3, som innehåller bestämmelser om vilka undersök- ningsbefogenheter och befogenheter i övrigt som tillsynsmyndigheten ska ha för sin tillsyn, föreskrivs att sådana beslut av tillsynsmyndig- heten som går en part emot kan överklagas till domstol.

Personuppgiftslagen

Rätten att överklaga tillsynsmyndighetens beslut

Direktivets krav på att tillsynsmyndighetens beslut som går en part emot ska kunna överklagas till domstol har genomförts i svensk lagstiftning genom 51 § PuL. Enligt den bestämmelsen får tillsyns- myndighetens beslut enligt personuppgiftslagen överklagas hos all- män förvaltningsdomstol. Det gäller emellertid inte tillsynsmyn- dighetens beslut om föreskrifter. Vidare ges tillsynsmyndigheten

655

Övriga bestämmelser

SOU 2015:39

befogenhet att besluta att dess beslut ska gälla även om det över- klagas.

Högsta förvaltningsdomstolen har i rättsfallet RÅ 2010 ref. 29 funnit att Datainspektionens beslut, som genom en skrivelse med- delats den som framfört ett klagomål, att inte vidta någon åtgärd med anledning av ett klagomål inte är ett överklagbart beslut. Ett sådant beslut anses alltså inte ha gått part emot på det sätt som avses i 51 § PuL. Till stöd för den tolkningen har Högsta förvaltnings- domstolen anfört allmänna principer som har utbildats i praxis om vad som utgör ett överklagbart förvaltningsbeslut.

Rätten att överklaga vissa myndighetsbeslut

I 52 § PuL, som infördes år 2007, föreskrivs att en myndighets beslut om information enligt 26 §, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § får överklagas hos allmän förvalt- ningsdomstol. Rätten att överklaga gäller dock inte beslut av riks- dagen, regeringen eller riksdagens ombudsmän.

Direktivets krav enligt artikel 22 att medlemsstaterna ska före- skriva en rätt för var och en att föra talan om kränkningar av rättig- heter enligt den nationella lagstiftningen medförde inte några särskilda lagstiftningsåtgärder vid personuppgiftslagens införande. Frågan be- handlades inte heller närmare i förarbetena utom beträffande rätten att begära att en personuppgift korrigeras enligt 28 §. Regeringen anförde rörande en sådan begäran att om oenighet uppstod mellan den personuppgiftsansvarige och den registrerade om huruvida kor- rigering skulle ske, kunde den registrerade vända sig till tillsyns- myndigheten (prop. 1997/98:44 s. 86). Regeringen erinrade också om möjligheten att själv väcka talan vid allmän domstol. Det får således antas att den bedömningen gjordes att vars och ens rätt att väcka talan vid allmän domstol i den ordning som gäller för tviste- mål ansågs vara tillräcklig för att uppfylla direktivets krav i denna del.

Den särskilda bestämmelsen om överklagande i 52 § PuL infördes som en följd av den översyn av personuppgiftslagen som Person- uppgiftslagsutredningen gjorde (SOU 2004:6). Bakgrunden var enligt förarbetena i huvudsak följande (prop. 2005/06:173 s. 51 f.). Rege-

656

SOU 2015:39

Övriga bestämmelser

ringen konstaterade inledningsvis att tillämpningen av allmänna förvaltningsrättsliga principer torde leda till att åtminstone vissa myndighetsbeslut enligt personuppgiftslagen kunde överklagas, trots avsaknad av uttryckliga bestämmelser om det i lagen. I samband med utformningen av särskilda registerlagar efter införandet av per- sonuppgiftslagen hade det ofta bedömts att myndighetsbeslut som direkt berör den enskilde skulle kunna överklagas. Myndighets- beslut som ansetts vara interna eller administrativa – t.ex. att inrätta ett register – och således inte direkt berör den enskilde bedömdes däremot inte vara av sådant slag att de borde kunna överklagas. Det hade därför ofta införts bestämmelser i registerförfattningar som gav den registrerade rätt att till allmän förvaltningsdomstol överklaga beslut om rättelse och om information som ska lämnas enligt 26 § PuL (s.k. registerutdrag). Det påpekades att bilden dock var något splittrad i fråga om existensen och utformningen av bestämmelser om överklagande i särskilda registerlagar. Den rättsliga fråga som en överklaganderätt i den särskilda registerlagen tog sikte på reg- lerades däremot ofta i sin helhet i personuppgiftslagen. Lagrådet hade i några lagstiftningsärenden framfört synpunkten att bestäm- melser om överklagande i sådana fall av systematiska skäl borde införas i personuppgiftslagen och inte i den särskilda registerlagen (se t.ex. prop. 2002/03:40 s. 241). Enligt regeringen var det inte tillfredsställande att bestämmelser om överklagande av beslut fanns i en lag och bestämmelser om beslutens meddelande i en annan. Till detta kom att inte alla myndigheters personuppgiftsbehandling reg- lerades i en särskild registerförfattning. Dessa myndigheter stödjer i stället sin behandling direkt på personuppgiftslagen. För att av- göra om sådana myndigheters beslut enligt lagen kan överklagas måste utgångspunkt tas i allmänna förvaltningsrättsliga principer om överklagande i stället för en uttrycklig bestämmelse i lagen. Mot bakgrund av dessa förhållanden borde det, som utredningen före- slagit, i personuppgiftslagen införas särskilda bestämmelser om över- klagande av myndighetsbeslut.

657

Övriga bestämmelser

SOU 2015:39

Förslaget till uppgiftsskyddsförordning

I kommissionens förslag till uppgiftsskyddsförordning föreskrivs i artikel 74.1 att varje fysisk eller juridisk person ska ha rätt till ett rättsmedel mot beslut som en tillsynsmyndighet har fattat med av- seende på vederbörande.

Av artikel 74.3 följer att en sådan talan ska ges in vid dom- stolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

I artikel 75.1 föreskrivs att varje fysisk person som anser att hans eller hennes rättigheter enligt denna förordning har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med förordningen ska ha rätt att begära domstols- prövning.

Enligt artikel 75.2 ska en sådan talan väckas vid domstolarna i den medlemsstat där den registeransvarige eller registerföraren är etable- rad. Alternativt får sådan talan väckas vid domstolarna i den med- lemsstat där den registrerade har hemvist, såvida inte registerföraren är en offentlig myndighet som agerar inom ramen för sin myndighets- utövning.

Några kommentarer

Det kan konstateras att bestämmelserna i förslaget till förordning om överklaganden av tillsynsmyndighetens beslut och möjligheterna att föra talan om kränkningar bygger på dataskyddsdirektivets be- stämmelser. I förordningen finns emellertid också förslag till forum- regler. Om förordningen införs, behövs ju forumregler eftersom förordningen blir direkt tillämplig i varje medlemsstat. På myndig- hetsområdet innebär förslagen till forumregler emellertid i princip inga skillnader jämfört med vad som redan gäller enligt svenska regler.

658

SOU 2015:39

Övriga bestämmelser

18.3.2Allmänna bestämmelser om överklagande av myndighetsbeslut

Enligt 22 § FL, får ett beslut överklagas av den som beslutet angår, om det har gått honom emot och beslutet kan överklagas.

I bestämmelsen finns således en allmän regel om vem som har rätt att överklaga en myndighets beslut. Frågan om klagorätt hänger nära samband med frågan om beslutet över huvud taget är överklag- bart. Regler om det finns i specialförfattningar och myndighets- instruktioner. Det finns också överklagbarhetsregler som gäller på sedvanerättslig grund (se Hellners/Malmqvist, kommentaren till 22 §).

I 22 a § föreskrivs att beslut som huvudregel överklagas hos all- män förvaltningsdomstol. I sådana fall krävs prövningstillstånd vid överklagande till kammarrätten. Beslut i anställningsärenden eller i normgivningsärenden undantas emellertid från bestämmelsens tillämpningsområde.

Paragrafen infördes år 2006. Syftet var bl.a. att förebygga negativa kompetenskonflikter mellan de allmänna domstolarna och de all- männa förvaltningsdomstolarna (Hellners/Malmqvist, kommentaren till 22 a §). Bestämmelsen innebär att frågan om ett myndighets- beslut är överklagbart numera prövas av förvaltningsdomstol, utom såvitt avser anställnings- eller normgivningsärenden. Den tidigare oskrivna regeln om att man i sista hand kunde överklaga till rege- ringen har därmed övergetts.

18.3.3Våra överväganden och förslag

Möjligheten att överklaga tillsynsmyndighetens beslut

Förslag: Tillsynsmyndighetens beslut enligt lagen om annat än föreskrifter ska kunna överklagas till allmän förvaltningsdomstol. Ett sådant beslut ska kunna gälla även om det överklagas, om tillsynsmyndigheten beslutar om detta.

659

Övriga bestämmelser

SOU 2015:39

Allmänt om förutsättningarna för en myndighet att överklaga en annan myndighets beslut

De förvaltningsrättsliga principerna om klagorätt anses ha tillämp- ning också på myndigheter när de uppträder i någon privaträttslig egenskap, exempelvis som arbetsgivare eller fastighetsägare (Hellners /Malmqvist, kommentaren till 22 §). I en sådan egenskap har en myndighet alltså samma rätt att överklaga som enskilda. När myn- digheter däremot uppträder i sin offentligrättsliga skepnad är för- hållandena annorlunda. Härvidlag är det grundläggande synsättet annorlunda beträffande myndigheter i kommuner och landsting än för statliga myndigheter. Som huvudregel gäller att en statlig myn- dighet endast har rätt att överklaga en annan myndighets beslut när detta är särskilt föreskrivet. I andra fall saknas alltså klagorätt. På det kommunala området kan däremot en rätt att överklaga finnas även utan särskilt författningsstöd, om beslutet berör sådana allmänna, till kommunen knutna intressen som exempelvis trafik, ordning och trivsel och att det i speciallagstiftningen på området i fråga har tagits hänsyn till de kommunala intressena.

Om det saknas ett särskilt författningsstöd för en statlig myn- dighet som lyder under regeringen att överklaga en annan sådan statlig myndighets beslut anses allmänt gälla att en tvistig fråga ytterst kan avgöras av regeringen. Det är därför 6 kap. 8 § fjärde stycket OSL föreskriver att ett beslut av en statlig myndighet som lyder under regeringen att vägra att lämna ut en uppgift till en annan sådan statlig myndighet enligt 6 kap. 5 § OSL överklagas till regeringen. I förarbetena till bestämmelsen anfördes att det ibland kan innebära att en svår och känslig avvägning måste ske när det gäller att lösa tvister mellan statliga myndigheter i frågor som det här gäller. Vid denna avvägning träder mera sällan de rent rättsliga aspekterna i förgrunden (prop. 1979/80:2 Del A s. 364).

Rätten att överklaga enligt dataskyddsdirektivet

Det är ett krav enligt dataskyddsdirektivet att tillsynsmyndighetens beslut när den utövar sina tillsynsbefogenheter ska kunna överklagas till domstol. Om förslaget till uppgiftsskyddsförordning blir verklig- het kommer en sådan rätt att följa direkt av förordningen. Något undantag görs alltså inte för myndigheters rätt att överklaga.

660

SOU 2015:39

Övriga bestämmelser

Även om man kan tycka att det är en något udda företeelse att det förekommer processer i allmän förvaltningsdomstol mellan till- synsmyndigheten – som är en statlig myndighet som lyder under regeringen – och andra statliga myndigheter som också lyder under regeringen, kräver direktivet alltså att även myndigheter såsom per- sonuppgiftsansvariga ska ha en möjlighet att kunna överklaga till- synsmyndighetens beslut. Vi tycker oss kunna skönja en tendens att processer av det här slaget har blivit vanligare. Detta torde i viss mån hänga samman med tillsynsmyndighetens val av metod för åtgärder riktade mot myndigheters behandling av personuppgifter. I den mån tillsynsmyndigheten beslutar om föreskrifter snarare än att agera genom tillsynsbeslut mot enskilda myndigheter minskar antalet överklagbara beslut.

Det skulle naturligtvis kunna diskuteras, av samma skäl som an- fördes beträffande den särskilda instansordningen som gäller då myndigheter tvistar om skyldigheten att utbyta uppgifter, om det inte vore lämpligare att regeringen löste tvister mellan tillsynsmyn- digheten och andra statliga myndigheter under regeringen när det gäller vilka krav som bör ställas på behandlingen av personuppgifter, exempelvis i fråga om vilken skyddsnivå som olika säkerhetsåtgärder bör ligga på. Som redan påpekats följer emellertid av såväl data- skyddsdirektivet som förslaget till uppgiftsskyddsförordning ett krav på att samtliga personuppgiftsansvariga ska ha rätt att överklaga till- synsmyndighetens beslut till domstol. Det kan vidare knappast komma i fråga att föreskriva att en kommunal myndighets överkla- gande av tillsynsmyndighetens beslut ska ske till regeringen. Samt- liga myndigheters överklaganden av tillsynsmyndighetens beslut bör därför, liksom hittills, ske till allmän förvaltningsdomstol.

Eftersom vi föreslår att tillsynsmyndighetens samtliga befogen- heter gentemot myndigheterna bör regleras i den nya lagen, bör den lagen även en innehålla en bestämmelse som föreskriver en rätt att överklaga tillsynsmyndighetens beslut. I sak anser vi att den bör vara i princip likalydande med 51 § PuL.

661

Övriga bestämmelser

SOU 2015:39

Möjligheten att överklaga en myndighets beslut i egenskap av personuppgiftsansvarig

Förslag: En myndighets beslut enligt den nya lagen om rättelse eller komplettering, om avskiljande eller utplåning och om rätt till information ska kunna överklagas till allmän förvaltnings- domstol. Någon rätt att överklaga sådana beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän ska emellertid inte finnas.

Några andra beslut som en myndighet fattar enligt den nya lagen ska inte kunna överklagas.

En överklagandebestämmelse bör införas i den nya lagen

Personuppgiftslagen innehöll alltså ursprungligen inte några be- stämmelser om överklaganden av beslut som en myndighet fattar i egenskap av personuppgiftsansvarig. Skälet till detta kan ha varit att den rätt att föra talan som föreskrivs i artikel 22 i dataskydds- direktivet uppfattades avse enbart ett sådant civilrättsligt förhållande där tvister ska lösas i allmän domstol. Även en personuppgifts- ansvarig myndighet torde alltså i detta sammanhang ha uppfattas som ett privaträttsligt subjekt som tvistar mot ett annat sådant. Om en personuppgiftsansvarig som är ett enskilt rättssubjekt be- slutar sig för att exempelvis inte tillmötesgå en begäran från en registrerad att upphöra med behandling av känsliga personuppgifter som rör denne, måste det givetvis finnas en möjlighet att få tvisten löst i allmän domstol. Den personuppgiftsansvarige kan ju i en så- dan situation inte ensidigt få råda över vad som ska gälla.

Några uttryckliga bestämmelser som reglerar vad som gäller i fråga om överklagbarhet när en myndighet uppträder som part i ett civilrättsligt förhållande och i den egenskapen fattar beslut, exem- pelvis s.k. partsbesked, finns inte. Normalt saknas möjlighet för motparten då tvist uppstår i ett sådant förhållande att få tvisten löst av allmän förvaltningsdomstol genom överklagande av myndighetens beslut. Ett överklagande av ett sådant beslut kommer att avvisas av domstolen. Beslut av det slag som är aktuella nu faller nämligen utanför begreppet myndighetsutövning, eftersom saken i dessa fall inte avgörs ensidigt av myndigheten (Hellners/Malmqvist, kom-

662

SOU 2015:39

Övriga bestämmelser

mentaren till 22 §). I den mån överklagbarhet saknas, får alltså en tvist lösas i civilrättslig ordning i allmän domstol.

När överklagandebestämmelsen infördes i 52 § PuL förefaller det emellertid ha setts som en självklarhet att beslut som myndig- heten fattar i egenskap av personuppgiftsansvarig i princip utgör ett utflöde av dess myndighetsutövning och inte någon form av ställ- ningstagande i ett civilrättsligt förhållande. Det synsättet hade tidi- gare anlagts i olika lagstiftningsärenden rörande registerförfatt- ningar. Frågan i dessa lagstiftningsärenden var snarare i vilken mån myndighetens tillämpning av lagens olika bestämmelser ur ett för- valtningsrättsligt perspektiv utgjorde ett överklagbart beslut. Normalt anlades det synsättet att beslut som direkt berör den enskilde skulle kunna överklagas på samma sätt som andra förvaltningsbeslut, dvs. till allmän förvaltningsdomstol (se t.ex. prop. 2000/01:33 s. 109). Ett beslut av det slaget ansågs det bl.a. vara fråga om då en myn- dighet tillämpar 28 § PuL om rättelse. Överklaganderätten skulle däremot inte omfatta beslut som avsåg interna eller administrativa frågor, exempelvis i samband med att ett register inrättas.

Det kan konstateras att det får anses naturligt att se en myn- dighets beslut i egenskap av personuppgiftsansvarig, exempelvis i fråga om en personuppgift ska rättas eller inte, som ett utflöde av dess myndighetsutövning. I allmänhet har ju myndigheten samlat in sina personuppgifter i syfte att kunna utföra förvaltningsupp- gifter. Uppgifterna har också många gånger samlats in med stöd av olika författningsbestämmelser oberoende av om de registrerade har getts möjlighet att samtycka till insamlingen eller inte. Detta skiljer i betydande mån den behandling av personuppgifter som sker hos myndigheter från den behandling som sker hos personuppgifts- ansvariga som utgör enskilda rättssubjekt. I det senare fallet har t.ex. personuppgifter som huvudregel ursprungligen samlats in med stöd av samtycke från den registrerade.

Vi anser därför att den generella lagen bör innehålla en bestäm- melse som föreskriver att vissa beslut som fattas när en myndighet tillämpar lagens bestämmelser ska kunna överklagas till allmän för- valtningsdomstol. Nedan behandlar vi vilka beslut som bör omfattas.

663

Övriga bestämmelser

SOU 2015:39

Vilka beslut enligt lagen ska kunna överklagas?

När det gäller den registrerades rätt att överklaga en myndighets beslut enligt den nya lagen som myndigheten fattar i egenskap av personuppgiftsansvarig bör enligt vår uppfattning samma utgångs- punkt gälla som i fråga om rätten att överklaga beslut enligt person- uppgiftslagen. Överklaganderätten bör alltså enbart ta sikte på så- dana beslut av myndigheten som direkt berör den enskilde. Sådana beslut bör alltså kunna överklagas på samma sätt som andra för- valtningsbeslut.

Vi anser alltså att den registrerade ska kunna överklaga beslut då en myndighet med stöd av den nya lagen beslutar om rättelse eller komplettering, om avskiljande eller utplåning och om rätt till infor- mation. Besluten ska överklagas till allmän förvaltningsdomstol. Rätten att överklaga ska emellertid inte omfatta beslut av rege- ringen, Högsta domstolen, Högsta förvaltningsdomstolen eller JO.

Bestämmelsen om rätt att överklaga en myndighets beslut enligt 22 § FL och forumbestämmelsen för ett sådant överklagande i 22 a § samma lag gäller generellt.

Av 3 § FL följer emellertid att om en annan lag eller förordning innehåller någon bestämmelse som avviker från denna lag, gäller den bestämmelsen.

Det är enbart sådana beslut som räknas upp i bestämmelsen om överklagande i den nya lagen som ska kunna överklagas. För att det ska bli tydligt att någon rätt att överklaga andra beslut som en myndighet fattar med stöd av lagen än de som räknas upp i be- stämmelsen inte heller ska finnas enligt förvaltningslagen, bör det uttryckligen framgå av en bestämmelse i den nya lagen att ett för- bud mot att överklaga sådana beslut gäller.

664

19 Konsekvenser

19.1Det framtida lagstiftningsarbetet med utgångspunkt i en ny lag om myndigheters behandling av personuppgifter

19.1.1Allmänna konsekvenser

En gemensam rättslig ram

Den nya lagen innehåller en i princip generell reglering av myndig- heters behandling av personuppgifter. Därigenom ges regler som kan utgöra en ändamålsenlig reglering för flertalet av de frågor som är centrala för den personuppgiftsbehandling som sker i både stat- liga och kommunala myndigheters verksamhet. Genom den nya lagen ges myndigheterna således en gemensam rättslig ram för behandling- en av personuppgifter på samma sätt som exempelvis förvaltnings- lagen utgör en gemensam grund för de krav som ställs på myndig- heterna i förvaltningsrättslig bemärkelse.

Behovet av särreglering minskar avsevärt

Framväxten av särskilda registerförfattningar har bl.a. haft sin grund i synsättet att det är ändamålsenligt att viss sektorsvis personupp- giftsbehandling får sin egen reglering. Konsekvensen har emellertid blivit att registerförfattningarna, i synnerhet kategorin informa- tionshanteringsförfattningar, i hög grad kommit att innehålla lik- artade bestämmelser som rör frågor av generellt slag exempelvis om personuppgiftsansvarets placering, när personuppgifter kan behand- las och tillåtelse att behandla känsliga personuppgifter. De inne- håller också likartade lösningar för hur personuppgiftslagens bestämmelser om en registrerads rätt till information, om rättelse

665

Konsekvenser

SOU 2015:39

och korrigering, tillsynsmyndighetens befogenheter samt sanktio- ner vid en otillåten behandling ska bli tillämpliga även i fråga om regleringen i registerförfattningarna. Behovet av att reglera dessa frågor särskilt har i allmänhet inte haft sin grund i speciella om- ständigheter som rör just den aktuella myndigheten eller verksam- heten, utan har ofta motiverats utifrån principiella och generella resonemang som snarare rör myndighetsverksamhet rent allmänt. Genom den nya lagen får dessa frågor en reglering som i betydligt högre grad än vad som är fallet med personuppgiftslagen har utformats mot bakgrund av både principiella och sakliga resone- mang där utgångspunkten är myndigheters verksamhet och den rättsliga miljö som sådan verksamhet befinner sig i. Regleringen i den nya lagen är därför avsevärt mer ändamålsenlig än person- uppgiftslagen när det gäller myndigheters behov av att kunna be- handla personuppgifter i sin verksamhet. Därmed innebär den nya lagen att det i det framtida lagstiftningsarbetet inte kommer att finnas samma behov av att i en från lagen avvikande eller komplet- terande reglering särskilt reglera frågor av generell karaktär som rör myndigheters behandling av personuppgifter. Eftersom många registerförfattningar till stor del innehåller denna typ av bestäm- melser innebär det att framtida särreglering kan ges en avsevärt mer begränsad omfattning.

Den nya lagen medför att behovet av särreglering i princip enbart kommer att ta sikte på sådant som har sin grund i speciella omstän- digheter som rör just den aktuella myndigheten eller sektorsvisa verk- samheten. Enligt vår uppfattning kommer behovet därför i princip att vara begränsat till frågor som rör författningsstöd för direkt- åtkomst, sökbegränsningar, gallring för att skydda personuppgifter och, i rena undantagsfall, ytterligare möjligheter att behandla känsliga personuppgifter. Det kan inte heller uteslutas att det även framöver kommer att på något visst område eller för viss informationssamling anses behövas snävare förutsättningar än vad som följer av de gene- rella bestämmelserna i den nya lagen. Sådana frågor kan t.ex. avse vilka personuppgiftskategorier som får eller inte får behandlas eller särskilda krav på tekniska eller organisatoriska säkerhetsåtgärder som ska gälla på visst område.

Den nya lagen är tänkt att kunna kompletteras med en eller flera bilagor. I bilagor till lagen respektive i en till lagen anslutande förord- ning kan särreglering rörande t.ex. direktåtkomst, sökbegränsningar,

666

SOU 2015:39

Konsekvenser

gallring för att skydda personuppgifter och tillåtelse att behandla känsliga personuppgifter m.fl. frågor tas in beroende på vilken norm- nivå regleringen bör eller behöver ges. Behovet av att vid sidan av den nya lagen och den anslutande förordningen införa särskilda registerförfattningar kommer därmed att begränsas till de fall då så- dana författningar behöver innehålla andra bestämmelser som inte har anknytning till persondataskydd, exempelvis om uppgiftsskyl- dighet, registreringsförfarande eller om information eller annan ser- vice. Ett behov av en särskild författning kan också finnas när be- hovet av särregler är så omfattande att det inte är lämpligt att föra in dem i en bilaga till lagen eller i den anslutande förordningen.

Revidering av nu gällande registerförfattningar

Den nya lagen är utformad så att den är subsidiär i förhållande till avvikande bestämmelser i annan lag eller förordning. Det innebär att den reglering som i dag finns i registerförfattningar inte påverkas av att den nya lagen införs i så måtto att dessa författningar ändras eller upphävs och inte heller att en revidering behöver ske efter en viss tid. Det står alltså lagstiftaren fritt att helt avstå från att revidera gällande registerförfattningar för att anpassa dem efter den nya lagens bestämmelser och de utgångspunkter som den bygger på. I den mån lagstiftaren däremot vill anpassa gällande regler till den nya lagen, kan det ske i den utsträckning och form samt vid den tidpunkt som det befinns lämpligt.

Även om behovet av den nya lagen främst har sin grund i de problem som vi anser är förknippade med kategorin informations- hanteringsförfattningar, finns det inget som hindrar att lagstiftaren låter lagens utgångspunkter beträffande exempelvis elektroniskt upp- giftsutlämnande få genomslag också i fråga om s.k. renodlade re- gisterförfattningar. Detsamma kan även gälla frågeställningar som t.ex. tillsynsmyndighetens befogenheter. Inget hindrar t.ex. att data- skyddsreglering i en renodlad registerförfattning, som efter en över- syn fortfarande anses behövas, separeras från registerförfattningen och förs över till bilaga till den nya lagen eller anslutande förordning. Registerförfattningen blir därefter en mer renodlad verksamhetsreglering exempelvis rörande anmälnings- och registre- ringsförfarande m.m. Vi för vår del ser under alla förhållanden bety-

667

Konsekvenser

SOU 2015:39

dande fördelar med att sådana för alla myndigheter gemensamma frågor får en reglering som på så stora områden som möjligt bygger på samma utgångspunkter. Det leder till förbättrad överblick och ökade möjligheter till samordning.

19.1.2Vissa särskilda konsekvenser

Avreglering beträffande ändamålsbestämmelser

Den nya lagen innehåller en generell rättslig grund för när myndig- heters behandling av personuppgifter över huvud taget kan vara tillåten. Den rättsliga grunden, som avses ersätta 10 § PuL, är knuten till att behandlingen ska vara nödvändig för myndigheters verksam- het, dvs. för verksamhet som förutsätts bedrivas. Lagen innehåller inga bestämmelser om för vilka ändamål som myndigheter får be- handla personuppgifter. Enligt vårt förslag ska alltså huvudregeln vara att det är myndigheten själv som, inom ramarna för sina uppgifter och befogenheter, har att närmare specificera för vilka särskilda, ut- tryckliga och berättigade ändamål personuppgifter behandlas i verk- samheten (9 § första stycket c PuL).

Bakgrunden till huvudregeln är att vi från såväl systematiska som integritetsmässiga synpunkter ser nuvarande ändamålsbestämmelser i registerförfattningar som problematiska. Detta har vi närmare utvecklat i avsnitt 9.2.4. Som har framgått där är det vår bedömning att ändamålsbestämmelser i registerförfattningar ofta snarare utgör preciseringar av de rättsliga grunderna för personuppgiftsbehandling i den reglerade verksamheten än ändamålsbestämningar som lever upp till dataskyddsregleringens krav på att vara särskilda, dvs. inte för vida eller vaga. Vi har också sett lagstiftarens sammanblandning mellan rättsliga grunder och ändamålsbestämning som riskfylld från integritetssynpunkt då det kan leda till passivitet från den reglerade myndighetens sida när det gäller att själv för olika delar av sin totala informationshantering avgränsa personuppgiftsbehandlingarna med ändamålsbestämningar som lever upp till de grundläggande kraven på att vara tillräckligt specifika.

Enligt vår mening bör man i det framtida lagstiftningsarbetet ha som utgångspunkt att ändamålsbestämmelser ska införas bara då det finns ett verkligt behov av sådana bestämmelser för att i reell mening begränsa en myndighets ”behandlingsutrymme” i förhållande till vad

668

SOU 2015:39

Konsekvenser

som följer av de generella reglerna. Så kan exempelvis vara fallet i fråga om användningen av vissa särskilt känsliga uppgiftssamlingar, t.ex. för att snäva in för vilka syften en annan myndighet får använ- da sin direktåtkomst till uppgiftssamlingen. Vidare kan det – i det fortsatta arbetet med revidering av befintliga registerförfattningar – finnas anledning att se över befintliga ändamålsbestämmelser med samma utgångspunkt, dvs. att ändamålsbestämmelser bara bör finnas i de fall det finns ett verkligt behov av sådana bestämmelser.

Avreglering beträffande elektroniskt utlämnande

Direktåtkomst

Genom den nya lagen klargörs att direktåtkomst till sekretessregle- rade personuppgifter som huvudregel ska ha stöd i lag eller förord- ning. Bortsett från sådana registerförfattningar som innehåller ett förbud mot direktåtkomst utan stöd i lag eller förordning regleras inte frågan i någon annan lagstiftning. När lagen träder i kraft kom- mer detta krav därför att gälla för alla myndigheter oavsett vilken reglering som styr deras personuppgiftsbehandling.

I offentlighet- och sekretesslagen införs en ny bestämmelse som innebär att en bestämmelse i lag eller förordning som ger stöd för direktåtkomst till sekretessreglerade uppgifter är sekretessbrytande i sig. Den bestämmelsen innebär att den hittills tillämpade ordningen med särskilda sekretessbrytande regler vid sidan av bestämmelser om direktåtkomst inte länge behövs. Direktåtkomst till sekretessregle- rade uppgifter kan därför i det framtida lagstiftningsarbetet möjlig- göras genom en och samma bestämmelse.

I fråga om direktåtkomst till personuppgifter som inte är sekre- tessreglerade saknar lagen bestämmelser. Skälet till det är att någon motsvarande reglering som beträffande sekretessreglerade uppgifter enligt vår uppfattning inte i tillräckligt hög grad kan motiveras ut- ifrån ett integritetsskyddsperspektiv. Däremot har vi lämnat förslag om krav på föregående risk- och sårbarhetsanalys och överenskom- melser med mottagare i säkerhetsfrågor m.m. Generellt sett ser vi alltså inget som hindrar att en myndighet själv får avgöra om direkt- åtkomst till personuppgifter som inte är sekretessreglerade ska medges. Det kan dock förekomma att en reglering som begränsar en myndighets möjlighet att medge direktåtkomst till sådana person-

669

Konsekvenser

SOU 2015:39

uppgifter kan behövas inom en viss sektor. Vårt val att i den nya lagen inte införa regler som generellt begränsar myndigheternas möjlighet att göra egna bedömningar i denna fråga syftar emellertid till att man i det framtida lagstiftningsarbetet bör ha som utgångs- punkt att sådana begränsningar endast bör införas för de myndig- heter eller sektorer där det finns ett verkligt behov.

Om direktåtkomst har medgetts i en nu befintlig registerför- fattning finns det normalt sett dels en bestämmelse som medger direktåtkomst, dels en sekretessbrytande regel som ska möjliggöra det utlämnande som sker genom direktåtkomsten. En anpassning till den nya bestämmelsen i offentlighets- och sekretesslagen kan ske på så sätt att bestämmelsen om direktåtkomst ses över så att den får åsyftad sekretessbrytande effekt, vilket sker genom att bestäm- melsen ges tillräcklig konkretion i fråga om vad direktåtkomsten ska avse, varefter den särskilda sekretessbrytande regeln kan upp- hävas.

Annat elektroniskt utlämnande

Den nya lagen saknar – förutom rörande direktåtkomst – regler om elektroniskt utlämnande till andra myndigheter. Skälet till det är att myndigheter enligt vår uppfattning ska kunna utgå från att en annan myndighet som man samverkar med följer de regler och upp- fyller de krav som gäller för den verksamheten. Om personupp- gifter får lämnas ut till en annan myndighet saknas det därför skäl att från integritetsskyddssynpunkt begränsa i vilken utsträckning eller på vilket sätt det kan ske i elektronisk form. Det bör alltså stå myndigheter fritt att – bortsett från när det gäller direktåtkomst till sekretessreglerade personuppgifter – utifrån övriga regelverk avgöra på vilket sätt personuppgifter lämpligen bör utbytas mellan dem.

Såvitt avser utlämnande till enskilda innehåller den nya lagen en bestämmelse som erinrar om att personuppgifter kan lämnas ut i elektronisk form, om de får lämnas ut och det inte är olämpligt att det sker på detta sätt. Syftet med denna bestämmelse är dels att erinra om att frågan om personuppgifter får lämnas ut ska bedömas skild från frågan om på vilket sätt uppgifterna ska lämnas ut. När det gäller den sistnämnda frågan är syftet med bestämmelsen att understryka att utgångspunkten bör vara att personuppgifter som

670

SOU 2015:39

Konsekvenser

får lämnas ut, kan lämnas ut i elektronisk form. Endast om detta i det enskilda fallet är olämpligt bör ett annat sätt för utlämnande väljas.

I befintliga registerförfattningar är det vanligt med bestämmelser som begränsar en myndighets möjlighet att lämna ut personuppgifter i elektronisk form, i synnerhet såvitt avser utlämnande till enskilda. Som vi ser det bör bestämmelser i sådana författningar som begrän- sar elektroniskt utlämnande till andra myndigheter i princip genom- gående kunna upphävas. När det gäller utlämnande till enskilda bör begränsande bestämmelser endast behållas om det finns ett verkligt behov av detta för att personuppgifter i tillräckligt hög rad ska skyddas i den aktuella myndighetens verksamhet.

Större möjlighet till överblick och samordning

Den nya lagen ska ses mot den bakgrunden att användningen av it i dag genomsyrar myndigheternas hela verksamhet och således numera utgör basen för framställning av dokument, ärendehantering, lagring, kommunikation och samverkan. Den elektroniska informations- hanteringen utgör alltså inte längre någon särskild del av myndig- heternas förvaltning, utan utgör i själva verket förvaltningen. Frågor som rör behandling av personuppgifter och hur ett tillräckligt skydd för uppgifterna kan uppnås inom ramen för en myndighets verk- samhet kan således inte hanteras separat utan måste relateras till vad som gäller för verksamheten i övrigt och vilka krav som ställs där samt vilka samlade resurser som därmed behöver ställas till myndig- hetens förfogande. Dessa frågor är därför i hög grad en del av de förvaltningspolitiska frågorna i generell mening. Inte heller frågor som rör vilka krav på säkerhet som bör gälla vid behandling av per- sonuppgifter kan avgöras separerat från de krav som i övrigt gäller för informationssäkerhet hos myndigheter. Genom den nya lagen ges emellertid en förbättrad möjlighet till överblick och samord- ning av hur både frågor om behandling av personuppgifter bör hanteras inom ramen för det allmänna förvaltningsuppdraget och i förhållande till myndighetsgemensamma krav på informations- säkerhet.

En orsak till att registerförfattningarna i hög grad uppvisar en splittrad bild i fråga om vad som gäller för myndigheters person-

671

Konsekvenser

SOU 2015:39

uppgiftsbehandling kan vara att det i Regeringskansliet saknas till- räckliga möjligheter till samordning och överblick för dessa lagstift- ningsfrågor. Det kommer givetvis även framöver att vara så att det är behörigt fackdepartement som har bäst inblick i frågor som rör vilka behov som kan finnas av särreglering i vissa frågor för en sär- skild myndighet eller verksamhet som hör till departementet i fråga. Om den nya lagen införs kommer emellertid överblicken och samordningen av de centrala frågor som rör myndigheters behand- ling av personuppgifter att hanteras av en och samma enhet inom Regeringskansliet, rimligen den som har ansvarat för lagstiftnings- arbetet rörande den nya lagen. Detta kommer som vi ser det – förutom att lagen i sig leder till enhetlighet i fråga om begrepps- användning – att leda till förbättrade möjligheter för lagstiftaren att upprätthålla en enhetlig syn på vad som bör gälla beträffande myn- digheters behandling av personuppgifter.

19.2Den nya lagen och ett införande av en unionsrättslig uppgiftsskyddsförordning

19.2.1Allmänna iakttagelser

Innehållet i en blivande EU-förordning om behandling av person- uppgifter – en uppgiftsskyddsförordning – är i skrivande stund inte fastlagt. Vad som kan förväntas bli innehållet i en sådan förordning kan inte heller fullt ut överblickas, i synnerhet inte på myndighets- området.

När uppgiftsskyddsförordningen träder i kraft kommer den att gälla direkt i samtliga medlemsstater och förutsätter således inte att dess innehåll genomförs i nationell lagstiftning. I princip kan nationell lagstiftning som rör behandling av personuppgifter alltså enbart in- föras i den utsträckning förordningen lämnar utrymme för att den kompletteras på detta sätt.

När det gäller myndigheters behandling av personuppgifter kan det emellertid förväntas att förordningen i viss utsträckning kommer att lämna särskilt utrymme för medlemsstaterna att ha en särreglering där frågor då kan ges lösningar som utformas efter nationella regel- verk och andra speciella förutsättningar för de egna myndigheternas verksamhet. Förslaget till förordning är vidare i vissa frågor upp- byggt så att förordningen innehåller huvudregler med möjligheter

672

SOU 2015:39

Konsekvenser

till undantag som tar hänsyn till vissa behov, bl.a. den behandling som kan behöva ske med hänsyn till ett allmänt intresse. Även på så sätt kan förordningen förväntas ge utrymme för nationell särlag- stiftning där de egna myndigheternas behov kan beaktas.

Det kan också konstateras att en del av de bestämmelser som den nya lagen innehåller inte rör frågor som regleras vare sig i data- skyddsdirektivet eller förslaget till uppgiftsskyddsförordning. Det rör exempelvis frågorna om direktåtkomst och annat elektroniskt utlämnande samt sökbegränsningar.

19.2.2Särskilda iakttagelser

I det följande redovisar vi hur vi ser på i vilken utsträckning bestäm- melserna i den nya lagen kan fortsätta att gälla om uppgiftsskydds- förordningen införs. Dessa frågor har också delvis behandlats tidi- gare i de olika avsnitten rörande de enskilda sakfrågorna där vi i förekommande fall kommenterar hur dataskyddsdirektivets respektive förordningens bestämmelser förhåller sig till varandra. För en mer detaljerad beskrivning av de olika frågorna hänvisar vi därför till de kommentarerna.

Det ska observeras att bedömningarna i det följande i första hand förhåller sig till uppgiftsskyddsförordningen i dess ursprungliga version i kommissionens förslag från den 25 januari 2012.

Bestämmelser som kan komplettera en förordning

Den nya lagens bestämmelser om tillämpningsområde och syfte är enligt vår bedömning en självständig reglering som inte nödvändigt- vis måste ändras även om lagen som sådan delvis måste omformas till en lag med till uppgiftsskyddsförordningen anslutande komplet- terande reglering. Vi bedömer också att bestämmelsen om att lagen är subsidiär till annan nationell reglering i lag eller förordning kan behållas.

Bestämmelsen om att myndigheten ska vara personuppgifts- ansvarig för den behandling som myndigheter utför och klargöran- det av vad det innebär vid direktåtkomst bedömer vi vara en tillåten komplettering till förordningen.

673

Konsekvenser

SOU 2015:39

Bestämmelserna i den nya lagen som rör särskilda kategorier av personuppgifter, dvs. beträffande känsliga personuppgifter samt personnummer och samordningsnummer, bedöms kunna gälla även som en komplettering till förordningen. Detsamma gäller bestäm- melsen om sökförbud och samtliga bestämmelser om elektroniskt utlämnande, eftersom de frågorna över huvud taget inte regleras inom ramen för förordningen.

Undantagen i den nya lagen från förbudet mot överföring till tredjeland bedöms också vara en tillåten komplettering då de kom- mer att baseras på en särskild möjlighet att göra undantag för att gynna viktiga samhälleliga intressen (artikel 44.1 d och 44.5). Vi gör samma bedömning beträffande bestämmelsen om att anställdas tillgång ska begränsas. Bestämmelsen om undantag från informa- tionsskyldigheten på grund av sekretess kan vara kvar som en tillåten komplettering med stöd av möjligheten att göra undantag enligt artikel 21.

Även bestämmelsen om korrigering av en otillåten behandling bedöms kunna utgöra en komplettering till förordningen. I för- slaget till förordning förutsätts att var och en ska ha tillgång till ett rättsmedel mot beslut som tillsynsmyndigheten fattar mot veder- börande. Det innebär att den nya lagens bestämmelse om att sådana beslut får överklagas till allmän förvaltningsdomstol utgör en tillåten komplettering av förordningen och alltså kan behållas. Bestämmel- sen om överklaganden till allmän förvaltningsdomstol av beslut som en myndighet fattar i egenskap av personuppgiftsansvarig har sin grund i vår inhemska ordning om rätt att överklaga förvaltnings- beslut och är inte att anse som ett utflöde av förordningens be- stämmelse om den registrerades rätt att få föra talan i domstol. Den bestämmelsen kan alltså också behållas när förordningen träder i kraft. Detsamma gäller bestämmelsen som klargör att rätten att överklaga regleras uttömmande i den nya lagen.

Bestämmelser som bedöms inte kunna komplettera förordningen

De bestämmelser som reglerar förhållandet till personuppgiftslagen kommer av naturliga skäl inte att kunna kvarstå i lagen, i vart fall inte i oförändrad form.

674

SOU 2015:39

Konsekvenser

Den bestämmelse i den nya lagen som anger en generell rättslig grund för myndigheters personuppgiftsbehandling torde inte kunna behållas som ett komplement till förordningen. Bestämmelsen av- ses i samlad form omfatta de tillämpliga fall enligt artikel 7 i data- skyddsdirektivet när myndigheter får behandla personuppgifter. Artikel 6 i förordningen innehåller en motsvarande reglering och vi bedömer att det inte är möjligt att för alla myndigheter (inom lagens tillämpningsområde) ersätta förordningens rättsliga grunder med en heltäckande nationell reglering som inte anger några närmare speci- ficerade krav än att det ska vara fråga om en behandling som är nödvändig för att en myndighet ska kunna utföra sin verksamhet. Mycket talar således för att bestämmelsen får ersättas med en hän- visning till förordningen. Det är sedan en annan sak att mer specifi- cerade eller avvikande bestämmelser för vissa särskilda verksamheter eller liknande kan tas in som särreglering i förhållande till uppgifts- skyddsförordningen.

Förordningens bestämmelser om säkerhet vid behandling är mycket utförliga och överensstämmer i princip med motsvarande bestämmelser i den nya lagen. Lagens bestämmelser torde därför inte utgöra en tillåten komplettering, frånsett den bestämmelse som anger att myndigheter vid utformning av säkerhetsåtgärder även ska be- akta bestämmelser om informationssäkerhet i annan författning som gäller för myndigheten, vilken vi alltså bedömer kan behållas. Vad gäller bestämmelserna om personuppgiftsbiträde i den nya lagen är dessa i stort överensstämmande med förordningens krav och torde därför få upphävas. Med tanke på förordningens bestämmel- ser i artikel 28 om att registeransvariga ska dokumentera sin behand- ling bedömer vi att den nya lagens föreskrift om att en förteckning ska föras utgör en med förordningen oförenlig dubbelreglering då den i stor utsträckning torde ställa samma krav. Vad gäller undan- taget i den nya lagen från skyldigheten att lämna information på begäran såvitt avser personuppgifter i ostrukturerat material före- faller uppgiftsskyddsförordningen inte öppna för något undantag från informationsskyldigheten enligt artikel 15 annat än med stöd av artikel 21.

Bestämmelsen om rättelse och komplettering av felaktiga eller ofullständiga personuppgifter torde i alltför hög grad sakna själv- ständigt innehåll i förhållande till uppgiftsskyddsförordningen för att den ska kunna anses utgöra en komplettering till förordningen.

675

Konsekvenser

SOU 2015:39

I bestämmelsen om korrigering av en otillåten behandling kan i stället en hänvisning till bestämmelsen om rättelse i förordningen göras.

I förordningen regleras på ett uttömmande sätt vilka befogen- heter som tillsynsmyndigheten ska ha och vad som ska vara myn- dighetens uppgifter inom ramen för dess tillsyn. Något utrymme för sådana bestämmelser i nationell lagstiftning torde därför inte finnas.

19.2.3Konsekvenser för myndighetsverksamhet som inte omfattas av förordningen

Den brottsbekämpande verksamheten omfattas inte av kommis- sionens förslag till en allmän uppgiftsskyddsförordning utan av ett förslag till ett direktiv. Denna verksamhet, som inte omfattas av vårt uppdrag, föreslår vi ska helt undantas från den nya lagens tillämpningsområde.

Flera myndigheter bedriver emellertid verksamheter som kommer att falla delvis inom den ena, delvis den andra rättsakten. Skatte- verket och Tullverket är några exempel.

Givetvis kan man befara vissa problem, inte minst praktiska sådana, för myndigheter med blandade verksamheter som omfattas av olika rättsakter.

Några prognoser rörande den slutliga utformningen och inne- hållet i direktivet för den brottsbekämpande verksamheten är mycket svåra att göra. Vi ser det således inte som möjligt att föregripa detta genom att nu göra någon bedömning i fråga om möjlig anpassning av bestämmelser i den nya lagen som tar sikte på just myndigheter med ”blandade” personuppgiftsbehandlingar. Dock vill vi framhålla att de materiella bestämmelserna i den nya lagen torde vara så ut- formade att det inte ska behöva uppkomma någon konflikt i den praktiska informationshanteringen på grund av skillnader mellan bestämmelserna i den nya lagen och den speciella reglering som kan förmodas införas på grundval av direktivet för den brottsbekäm- pande verksamheten.

När dataskyddsdirektivet genomfördes i svensk rätt gjordes per- sonuppgiftslagen generellt tillämplig. Den gjordes därmed tillämplig också på sådan verksamhet som inte omfattades av den dåvarande EG-rätten, exempelvis statens verksamhet på straffrättens område eller som rör allmän säkerhet eller försvar. Även den nya lagen före-

676

SOU 2015:39

Konsekvenser

slås gälla generellt för myndigheters verksamhet med några särskilt utpekade undantag.

Eftersom en blivande uppgiftsskyddsförordning inte ska genom- föras i svensk rätt utan blir direkt tillämplig inom sitt område såsom en direkt gällande EU-rättsakt, saknar medlemsstaterna befogenhet att göra förordningen tillämplig på områden som ligger utanför EU-rätten. När förordningen träder i kraft kan den nya lagen därför inte längre gälla generellt för myndigheters behandling av personuppgifter i den del som lagen avser att utgöra en komplettering till förordningen. För att i så hög grad som möjligt bibehålla ett enhetligt regelverk när det gäller myndigheters be- handling av personuppgifter bör man i den nya lagen kunna föra in en bestämmelse som föreskriver att myndigheter vars verksamhet inte omfattas av uppgiftsskyddsförordningens tillämpningsområde ska behandla personuppgifter på ett sådant sätt att behandlingen uppfyller de materiella hanteringskrav som följer av förordningen och den nya lagen. I lagen bör också klargöras att registrerade vars personuppgifter behandlas i sådan verksamhet har motsvarande rättigheter i förhållande till svenska myndigheter som de registrerade vars personuppgifter behandlas enligt förordningen. Det kommer också att behövas särskilda bestämmelser om tillsynsmyndighetens befogenheter i förhållande till myndigheter av nu aktuellt slag. Genom en sådan lösning får utveckling av praxis och ändringar i regelverket i princip samma betydelse även för dessa myndigheters personuppgiftsbehandling.

19.3Enligt kommittéförordning och direktiv

Bedömning: Våra förslag innebär införandet av en samlad och enhetlig reglering av myndigheters behandling av personuppgifter som ger förutsättningar för en mer ändamålsenlig informations- hantering inom myndighetssfären. Detta gynnar registrerades integritet, allmänhetens insyn och effektiviteten i den offentliga förvaltningen. Några sådana ekonomiska kostnadsökningar eller övriga konsekvenser som avses i 14–15 a §§ kommittéförord- ningen finns inte.

677

Konsekvenser

SOU 2015:39

Vår uppgift

Enligt våra direktiv gäller att vi ska bedöma de ekonomiska kon- sekvenserna av förslagen för det allmänna och för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska vi föreslå hur dessa ska finansieras. För vårt arbete gäller dess- utom bestämmelserna i kommittéförordningen (1998:1474). I 14 § anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra en- skilda, ska en beräkning av dessa konsekvenser redovisas i betän- kandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, ska kom- mittén föreslå en finansiering. Vidare följer av 15 § att förslagens eventuella konsekvenser för den kommunala självstyrelsen ska anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsätt- ning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i för- hållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. Om ett betänkande innehåller förslag till nya eller ändrade regler, ska, enligt 15 a §, förslagens kostnadsmässiga och andra konsekven- ser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.

Våra överväganden

De föreslagna bestämmelserna i den nya lagen för myndigheters behandling av personuppgifter utgör inga egentliga materiella för- ändringar för myndigheterna vad gäller när och hur de får behandla personuppgifter i deras verksamheter. Syftet med förslagen är i stället att förenkla för i första hand lagstiftaren och myndigheterna genom att göra regleringen tydligare, enhetligare och bättre anpassad till övrig reglering som styr myndigheternas informationshantering. En långsiktig målsättning är vidare att minska den samlade regel-

678

SOU 2015:39

Konsekvenser

massan och underlätta den kommande anpassningen till uppgifts- skyddsförordningen.

Det är vår uppfattning att förslagen som helhet främjar myndig- heternas möjligheter att erbjuda bättre offentlig service. Vårt förslag till avreglering av begränsningar i fråga om elektroniskt utlämnande kommer t.ex. att underlätta såväl för allmänhetens insyn i myndig- heternas verksamhet som för företag som är s.k. vidareutnyttjare av offentlig information.

De egentliga materiella förändringarna är som redan sagts begrän- sade och utgör i hög grad tydliggöranden av vad gällande rätt som vi ser det redan kräver av myndigheter när de behandlar person- uppgifter sedda i ljuset av andra krav på myndigheters informa- tionshantering som också ska följas. Så är t.ex. fallet, menar vi, med de föreslagna kraven på att myndigheters säkerhetsarbete ska vara processorienterat och omfatta såväl förebyggande som uppföljande åtgärder samt att det ska ske med beaktande av parallella krav på informationssäkerhetsarbete som myndigheterna också måste följa. Andra exempel är kraven på risk- och sårbarhetsanalyser och över- enskommelser vid direktåtkomst samt att anställdas tillgång till personuppgifter ska vara behovsanpassad. Den nya regleringen av korrigering av felaktiga personuppgifter respektive annars otillåten behandling hör också till denna kategori.

I övrigt är de materiella förändringarna, tillsammans med att reg- leringen samlas i en generell lag, ägnade att skapa ett tydligare och mer enhetligt integritetsskydd inom den offentliga verksamheten. Det är alltså vår uppfattning att den samlade effekten bidrar till såväl ett förbättrat integritetsskydd hos myndigheterna som förut- sättningar för en bättre servicenivå gentemot medborgarna.

Det är vår bedömning att våra förslag inte medför några för- ändringar i förutsättningarna för myndigheternas verksamhet som får sådana kostnadsmässiga konsekvenser som avses i 14 § kom- mittéförordningen och som inte ryms inom myndigheternas ordinarie budgetramar. Inte heller har förslagen några sådana konsekvenser som avses i 15 § eller ska redovisas enligt 15 a § kommittéförord- ningen.

679

20Ikraftträdande och övergångsbestämmelser

Förslag: Den nya lagen liksom lagen om ändring i offentlighets- och sekretesslagen ska träda i kraft den 1 januari 2017.

Om ett avtal om uppdrag som personuppgiftsbiträde har in- gåtts före ikraftträdandet gäller 30 § PuL för uppdraget i stället för de nya bestämmelserna under en övergångsperiod om två år från ikraftträdandet.

I fråga om en begäran om korrigering av en felaktig person- uppgift eller en otillåten behandling ska 28 § PuL tillämpas i stället för de nya bestämmelserna om begäran har gjorts före ikraftträdandet.

20.1Myndighetsdatalagen

Tidpunkt för ikraftträdande

Den nya generella lagen för myndigheters behandling av person- uppgifter kommer från och med den tidpunkt då lagen träder i kraft att gälla fullt ut för de myndigheter som då behandlar personupp- gifter enbart med stöd av personuppgiftslagen. Dessa myndigheter kommer alltså härefter att behandla personuppgifter enbart med stöd av den nya lagen, utom i de fall lagen föreskriver att vissa bestäm- melser i personuppgiftslagen ska tillämpas på motsvarande sätt. De frågor som den nya lagen reglerar är väl bekanta för myndigheterna och har i flera avseenden motsvarigheter i personuppgiftslagen. Vad gäller vissa frågor behöver myndigheterna emellertid nödvändig tid för att förbereda sig för den nya lagen. För att möjliggöra nöd- vändig anpassning och därmed undvika omfattande och detaljerade

681

Ikraftträdande och övergångsbestämmelser

SOU 2015:39

övergångsbestämmelser föreslår vi att tidpunkten för ikraftträdandet läggs relativt långt fram i tiden. Vi bedömer därvid att ett halvår från lagens beslutande till dess ikraftträdande ger myndigheterna en rimlig förberedelseperiod. Med den förutsättningen att riksdagen beslutar lagen före sommaruppehållet 2016 bör lagen därför träda i kraft först den 1 januari 2017.

För de myndigheter som vid ikraftträdandet helt eller delvis be- handlar personuppgifter med stöd av en eller flera registerförfatt- ningar kommer den nya lagen inte att vara tillämplig i den register- författningsreglerade verksamheten. Det beror på att 4 § föreskriver att avvikande bestämmelser i annan lag än personuppgiftslagen eller förordning ska tillämpas i stället för den nya lagen. I den mån sådana registerförfattningar föreskriver att vissa bestämmelser i person- uppgiftslagen ska tillämpas vid behandling av personuppgifter enligt registerförfattningen i fråga, ska alltså personuppgiftslagen tillämpas också fortsättningsvis och inte den nya lagen. Detsamma gäller det mera vanliga fallet att registerförfattningen i fråga gäller utöver per- sonuppgiftslagen, vilket brukar anges i registerförfattningen. I vilken utsträckning sådana myndigheter som behandlar personuppgifter med stöd av en registerförfattning i framtiden ska behandla person- uppgifter med stöd av den nya lagen beror på om regelverket för respektive myndighet anpassas till den nya lagen och förutsätter att registerförfattningen i fråga i så fall upphävs eller i vart fall ändras.

Vissa registerförfattningar av den typ vi har kallat renodlade re- gisterförfattningar, som t.ex. reglerar ett visst specifikt register, inne- håller inte bestämmelser som hänvisar till personuppgiftslagen. I den mån en sådan författning inte reglerar frågor om exempelvis infor- mation till den registrerade, rättelse och tillsynsmyndighetens be- fogenheter, och inte heller bestämmelser i någon annan registerför- fattning är tillämpliga, gäller personuppgiftslagen. Sådana frågor kommer således efter den nya lagens ikraftträdande att omfattas av den nya lagens tillämpningsområde.

Behovet av övergångsbestämmelser

Det kan konstateras att den nya lagen i stor utsträckning innebär en mer ändamålsenlig reglering av myndigheters behandling av person- uppgifter och i allmänhet inte begränsar myndigheters möjlighet att

682

SOU 2015:39

Ikraftträdande och övergångsbestämmelser

behandla personuppgifter i förhållande till personuppgiftslagen. Något generellt behov av att anpassa myndigheternas tekniska system till de förutsättningar som kommer att gälla enligt den nya lagen finns inte. Lagen är genomgående teknikneutral. Även den föreslagna be- stämmelsen som förbjuder att känsliga personuppgifter används som sökbegrepp syftar till att sätta upp rättsliga gränser för personupp- giftsbehandlingen. De åtgärder som eventuellt kan behöva vidtas från myndigheternas sida med anledning av den bestämmelsen hand- lar om praktiska anpassningar genom exempelvis åtkomstbegräns- ningar, som alltså inte behöver vara av tekniskt slag utan kan bestå i någon form av rättsliga hinder, och att eventuellt rensa vissa in- formationssamlingar från överflödig information.

I några avseenden innehåller lagen bestämmelser som syftar till att förtydliga vad som ska gälla i jämförelse med reglerna i person- uppgiftslagen. Det gäller t.ex. bestämmelserna som rör direktåtkomst. I det sammanhanget föreslås en bestämmelse som klargör att direkt- åtkomst till sekretessreglerade personuppgifter som huvudregel kräver stöd i lag eller förordning. Det torde höra till undantagsfallen att en myndighet har medgett direktåtkomst till sekretessreglerade personuppgifter utan att det finns bestämmelser om sådan åtkomst i en tillämplig författning. I den mån sådan behandling genom oreg- lerad direktåtkomst förekommer, och som alltså i det enskilda fallet kan antas fylla ett angeläget verksamhetsbehov, torde det inte vara fråga om några mer omfattande sådana åtkomster och nödvändigt författningsstöd bör kunna ges i form av en bestämmelse i förord- ning. Behovet av anpassning kan därför tillgodoses inom förbere- delseperioden fram till lagens ikraftträdande.

Även i andra fall kan myndigheterna antas behöva viss tid för att anpassa sig till den nya regleringen. Det gäller bl.a. kravet på att per- sonalens tillgång till personuppgifter ska vara behovsanpassad samt de skärpta förutsättningarna för att återge personnummer i beslut. Också i dessa avseenden finns enligt vår bedömning emellertid till- räckligt utrymme för att förbereda sig fram till det föreslagna ikraft- trädandet. De föranleder alltså inte något behov av någon ytterligare övergångsperiod.

Den nya lagens uttryckliga krav på att det bl.a. ska göras en risk- och sårbarhetsanalys innan en myndighet medger direktåtkomst till personuppgifter eller ett integrerat informationssystem tas i bruk föranleder inte heller något behov av en ytterligare övergångsperiod.

683

Ikraftträdande och övergångsbestämmelser

SOU 2015:39

Detsamma kan sägas om skyldigheten att föra en förteckning över personuppgiftsbehandlingar.

Den nya lagen innebär att undantagsbestämmelsen i 5 a § PuL om att vissa bestämmelser i lagen inte behöver tillämpas på person- uppgifter som ingår i ostrukturerade uppgiftssamlingar inte gäller för myndigheter. Som vårt förslag har utformats gör vi bedömningen att bestämmelsen inte i något fall behövs för att tillåta en behand- ling av personuppgifter (se avsnitt 8.3.2.). Någon övergångsperiod på grund av att 5 a § PuL inte längre ska gälla för myndigheter be- hövs därför inte.

Enligt vår bedömning behövs särskilda övergångsbestämmelser endast för två fall. Det första fallet gäller de krav som enligt lagen ställs på en myndighet som anlitar ett personuppgiftsbiträde om vad ett skriftligt avtal om uppdrag som personuppgiftsbiträde ska innehålla. Den regleringen bör endast gälla för sådana avtal som ingås efter det att lagen har trätt i kraft. Det är dock enligt vår mening rimligt att omförhandling av långvariga uppdrag ska ha skett senast inom två år från lagens ikraftträdande. För ett avtal om uppdrag som personuppgiftsbiträde som redan har träffats vid lagens ikraftträdande bör alltså personuppgiftslagens bestämmelser gälla i stället fram till och med den 31 december 2018. Vidare bör i fråga om en begäran om korrigering av en felaktig eller otillåten behand- ling av personuppgifter som gjorts före ikraftträdandet 28 § PuL tillämpas i stället för 24 och 25 §§, eftersom bestämmelserna i den nya lagen innebär vissa begränsningar i den registrerades rätt i för- hållande till vad som gäller enligt personuppgiftslagen.

20.2Lagen om ändring i offentlighets- och sekretesslagen

Den nya bestämmelsen som föreslås införas i 10 kap. 28 § OSL, som innebär att bestämmelser om direktåtkomst i lag eller förordning i sig är sekretessbrytande, bör träda i kraft vid samma tidpunkt som den nya lagen, dvs. den 1 januari 2017. Ändringen påverkar inte sekretessbrytande bestämmelser som redan meddelats för att möjlig- göra en viss direktåtkomst. Däremot innebär ändringen att det för framtida bestämmelser om tillåten direktåtkomst ställs krav på att bestämmelserna har en sådan konkretion att det går att läsa ut vilka

684

SOU 2015:39

Ikraftträdande och övergångsbestämmelser

personuppgifter som kan lämnas ut genom åtkomsten utan hinder av sekretess.

685

21 Författningskommentar

21.1Förslaget till myndighetsdatalag

Lagens syfte och tillämpningsområde

1 § Syftet med denna lag är att ge myndigheter möjligheter att be- handla personuppgifter på ett ändamålsenligt sätt i deras verksamheter och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

I paragrafen anges lagens övergripande syfte. Frågan behandlas i av- snitt 8.1.2.

Syftet med lagen är tudelat. Lagen ska både ge myndigheter möjlig- heter att behandla personuppgifter på ett ändamålsenligt sätt och skydda människor mot att deras personliga integritet kränks vid så- dan behandling. Därmed tydliggörs bl.a. att personuppgiftsbehand- ling som kan anses utgöra intrång i enskildas personliga sfär alltid måste stå i rimlig proportion till samhällets behov. Paragrafen är en portalbestämmelse som i första hand har en informativ och pedago- gisk betydelse då den klargör den övergripande målsättningen med regleringen, vilken är att reglera informationshanteringen i förhål- lande till det behov av dataskydd som myndigheters personuppgifts- behandling påkallar. Paragrafen är även avsedd att kunna ge vägled- ning för hur materiella bestämmelser i lagen bör tolkas i tveksamma fall.

2 § Denna lag gäller vid myndigheters behandling av personuppgifter. Lagen gäller om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam-

manställning enligt särskilda kriterier.

687

Författningskommentar

SOU 2015:39

Paragrafen anger lagens tillämpningsområde. Frågan behandlas i av- snitt 8.2.1 (första stycket) och 8.2.4 (andra stycket).

I första stycket anges att lagen gäller myndigheters behandling av personuppgifter. Med myndigheter avses detsamma som i regerings- formen, dvs. alla statliga och kommunala organ utom riksdagen och de beslutande kommunala församlingarna. Det betyder att lagen som utgångspunkt omfattar regeringen, domstolarna och alla statliga eller kommunala förvaltningsmyndigheter (jfr 1 kap. 8 § RF). Kommu- nala bolag m.m. som avses i 2 kap. 3 § OSL omfattas inte. Tillämp- ningsområdet begränsas dock genom dels föreskrivna undantag för vissa verksamheter hos myndigheterna, dels det förhållandet att lagen är subsidiär till annan reglering. Begreppen behandling respektive personuppgift används med samma innebörd som i 3 § PuL. Med behandling avses således varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter. Insamling, registrering, organisering, lag- ring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhanda- hållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring är behandling. Sådana åtgärder beträffan- de personuppgifter som regleras i lagen, exempelvis avskiljande, är ytterligare exempel på behandling. Begreppet personuppgift omfattar all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Behandling av uppgifter om avlidna omfattas således inte av lagen. Detsamma gäller uppgifter om juridiska personer. Om bestämmelser om behandling av personuppgifter på något visst område bör vara tillämpliga även beträffande uppgifter om avlidna eller juridiska personer får detta föreskrivas särskilt.

Genom andra stycket klargörs att inte all slags behandling av personuppgifter omfattas av lagens tillämpningsområde. Det krävs att behandlingen är helt eller delvis automatiserad eller att person- uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Rekvisiten är desamma som i artikel 2 c och 3.1 i dataskyddsdirektivet respektive 5 § PuL och ska ha motsvarande innebörd. Helt manuell behandling av personupp- gifter som inte ingår i ett register eller annan samling som är till- gänglig för sökning faller därmed utanför lagens tillämpningsområde. I praktiken torde dock endast en ytterst liten del av personupp- giftsbehandlingen inom den offentliga sektorn vara helt manuell.

688

SOU 2015:39

Författningskommentar

3 § Lagen ska inte tillämpas vid behandling av personuppgifter i

1.en myndighets administrativa verksamhet,

2.en myndighets verksamhet som personuppgiftsbiträde, eller

3.den verksamhet som bedrivs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder.

I paragrafen anges tre uttryckliga undantag från lagens tillämpnings- område. Undantagen är knutna till vissa slags verksamheter hos myn- digheter. Frågan behandlas i avsnitt 8.2.2.

Punkten 1 kan sägas beröra alla myndigheter som i övrigt tilläm- par lagen. Det undantagna området enligt denna punkt avser myndig- heters administrativa verksamhet. Med den verksamheten förstås sådana från myndigheternas sakområden åtskilda aktiviteter som att anställa och avlöna personal, införskaffa kontorsmaterial, lokalfrågor, fakturahantering och liknande renodlade ekonomi- eller personal- administrativa göromål inom en myndighet. Den personuppgifts- behandling som sker i sådan administration av internt slag omfattas inte av lagens tillämpningsområde utan regleras av personuppgifts- lagen. Undantaget omfattar dock inte sådan mer övergripande plane- ring, uppföljning och kontroll och annan administration som är direkt kopplad till en myndighets sakverksamhet. Uppkommer be- hov av behandling av personuppgifter som samlats in i sakverksam- heten, exempelvis för att få fram viss statistik som behövs i den egna verksamhetsplaneringen eller kvalitetssäkringen, omfattas alltså även den behandlingen av lagen.

Enligt punkten 2 är lagen inte tillämplig vid behandling av person- uppgifter som en myndighet utför i egenskap av personuppgifts- biträde åt en annan myndighet eller en enskild som är personuppgifts- ansvarig. Med begreppen personuppgiftsbiträde och personupp- giftsansvarig avses detsamma som i personuppgiftslagen (3 § PuL). Lagen omfattar alltså bara myndigheter när de är personuppgifts- ansvariga. Vad som gäller för en behandling som en myndighet genomför som personuppgiftsbiträde beror alltså på vilken reglering som gäller för den personuppgiftsansvarige. Lagen kan således bli indirekt tillämplig hos en myndighet som är personuppgiftsbiträde, nämligen om den personuppgiftsansvarige uppdragsgivaren är en myndighet vars behandling regleras av lagen. I ett sådant fall är det dock alltid den personuppgiftsansvariga myndigheten som bär an-

689

Författningskommentar

SOU 2015:39

svaret för att behandlingen hos biträdesmyndigheten sker enligt lagen. Det ska observeras att undantaget inte omfattar myndigheter som utan att vara personuppgiftsbiträde behandlar personuppgifter för sådan teknisk lagring eller bearbetning som avses i 2 kap. 10 § första stycket TF. Det krävs alltså att det finns ett giltigt personuppgifts- biträdesavtal för att undantaget ska gälla.

I punkten 3 undantas den s.k. brottsbekämpande verksamheten från lagens tillämpningsområde. Med brottsbekämpande verksamhet avses verksamhet för att förebygga, förhindra eller upptäcka brotts- lig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder. Denna beskrivning överensstämmer i sak med motsvarande undantag i dataskyddsdirektivet och i kommissionens förslag till uppgiftsskyddsförordning. Undantaget omfattar enbart verksamhet hos myndigheter som har till särskild uppgift att bedriva verksamhet av nämnt slag. Vilka myndigheter som har sådana uppgifter framgår framför allt av myndighetsinstruktioner, verksamhetsreglering eller av särskilda regeringsuppdrag. Undantaget torde bara träffa statliga myndigheter, varav flertalet omfattas av gällande eller föreslagna informationshanteringsförfattningar. Polismyndigheten, Ekobrotts- myndigheten, Åklagarmyndigheten och Kriminalvården är uppenbara exempel på myndigheter med behörighet att bedriva verksamhet som omfattas av undantaget i punkten 3. De allmänna domstolarna, Skatteverket, Tullverket och Kustbevakningen har också uppgifter inom sådan verksamhet. För flertalet av de nämnda myndigheterna gäller att undantaget inte träffar alla delar av myndighetens verksam- het. Exempelvis har Polismyndigheten en rad ytterligare uppgifter vid sidan om brottsbekämpningen. Om dessa andra delar regleras av lagen eller inte beror på i vilken utsträckning det finns särreglering som i så fall gäller framför lagen eftersom den är subsidiär till annan reglering i lag eller förordning, se 4 §. Det finns ytterligare myn- digheter än de nämnda som har tämligen avgränsade uppgifter inom brottsbekämpningen vilken torde medföra viss personupp- giftsbehandling som omfattas av undantaget, exempelvis den verk- samhet hos Bolagsverket och Finansinspektionen som följer av lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism med anknytande förordning eller verksamhet hos Statens institutionsstyrelse enligt lagen (1998:603) om verkställighet av sluten ungdomsvård som är en straffrättslig påföljd. Däremot träffar undantaget inte sådan personuppgiftsbehandling som kan äga rum

690

SOU 2015:39

Författningskommentar

hos en stor mängd myndigheter på grund av en författningsreglerad skyldighet att anmäla brott till Polismyndigheten eller att annars lämna uppgifter till brottsbekämpande myndigheter. Sådana före- skrifter om uppgiftslämnande innebär inte en behörighet, dvs. en särskild uppgift, att bedriva brottsbekämpande verksamhet, vilket är en förutsättning för att undantaget ska vara tillämpligt.

Förhållandet till annan författning

4 § Om det i en annan lag eller förordning än som avses i 5 § finns bestämmelser som avviker från denna lag, ska de bestämmelserna gälla.

Paragrafen reglerar lagens förhållande till bestämmelser i annan för- fattning som avviker från innehållet i lagen. Frågan behandlas i avsnitt 8.2.3.

Av paragrafen följer att lagen är subsidiär till avvikande reglering i annan lag eller förordning som rör verksamheter som inte redan undantagits från lagens tillämpningsområde. Sådana avvikande be- stämmelser finns framför allt i s.k. registerförfattningar som reglerar inrättandet och förandet av viktigare register på det offentliga om- rådet eller annars innehåller bestämmelser om behandling av person- uppgifter som myndigheter ska eller får utföra. Även bestämmelser som föreskriver att myndigheter får eller ska lämna ut uppgifter avses i paragrafen. Frågan om en viss bestämmelse innefattar en avvikelse från vad som ska gälla enligt lagen får avgöras med tillämpning av sed- vanliga metoder för tolkning av författningar (jfr prop. 1997/98:44 s. 116). I den utsträckning en lag eller förordning med i övrigt avvikande bestämmelser inte innehåller bestämmelser i en fråga som regleras i denna lag, ska denna lags bestämmelser tillämpas, om det inte klart framgår av den särskilda lagen eller förordningen att det är personuppgiftslagens bestämmelser som ska tillämpas i ett sådant fall. Så kan vara fallet om det i den särskilda lagen anges att det är per- sonuppgiftslagen som ska tillämpas, om inte annat följer av register- författningen i fråga (se t.ex. 2 § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 114 kap. 6 § SFB). Lagens subsidiaritet gäller dock inte i förhållande till personuppgiftslagen eller personuppgiftsförordningen. Detta följer av hänvisningen till 5 §.

691

Författningskommentar

SOU 2015:39

5 § Om inte annat anges i 6 § gäller denna lag i stället för person- uppgiftslagen (1998:204) eller föreskrifter som meddelats i anslutning till den lagen.

I paragrafen regleras lagens förhållande till personuppgiftslagen. Frågan behandlas i avsnitt 8.3.2.

Av paragrafen följer att lagen ersätter personuppgiftslagen och föreskrifter som har meddelats i anslutning till personuppgiftslagen, dvs. personuppgiftsförordningen samt tillsynsmyndighetens före- skrifter som meddelats med stöd av den förordningen. Vid behandling av personuppgifter enligt lagen ska personuppgiftslagen och före- skrifter som meddelats i anslutning till personuppgiftslagen tillämpas endast i den utsträckning som det särskilt anges i lagen. I 6 § finns bestämmelser som hänvisar till bestämmelser i personuppgiftslagen som ska vara tillämpliga även vid personuppgiftsbehandling enligt lagen.

6 § Följande bestämmelser i personuppgiftslagen (1998:204) ska tilläm- pas på motsvarande sätt när personuppgifter behandlas enligt denna lag eller föreskrifter som meddelats med stöd av den:

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen m.m.,

3.9 § om grundläggande krav på behandlingen,

4.13, 15, 16, 18 och 19 §§ om känsliga personuppgifter,

5.23 och 25 §§ om information till den registrerade som ska läm- nas självmant,

6.26 § om information till den registrerade som ska lämnas efter ansökan,

7.33–35 §§ om överföring av personuppgifter till tredjeland,

8.38 och 40 §§ om personuppgiftsombud, och

9.48 § om skadestånd.

I 23 § finns bestämmelser om undantag från informationsskyldig- heten enligt första stycket 5 och 6.

I paragrafen hänvisas till bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt vid behandling av personuppgifter enligt lagen. Frågorna behandlas dels översiktligt i avsnitt 8.3.2, dels specifikt beträffande de särskilda hänvisningarna i det nämnda av- snittet (3 § och 8 § första stycket PuL), i avsnitt 9.2.4 (9 § PuL),

692

SOU 2015:39

Författningskommentar

avsnitt 9.3.1 (13, 15, 16, 18 och 19 §§ PuL), avsnitt 12.5 (33–35 §§ PuL), avsnitt 13.4 (23, 25 och 26 §§ PuL), avsnitt 14.4.2 (8 § andra stycket PuL), avsnitt 16.4.2 (38 och 40 §§ PuL) samt avsnitt 18.1.5 (48 § PuL).

I första stycket anges i nio punkter vilka bestämmelser i person- uppgiftslagen som ska tillämpas vid behandling enligt den nya lagen som, enligt vad som föreskrivs i 5 §, i övrigt ersätter personupp- giftslagen. Uppräkningen är uttömmande. I bestämmelsen anges att tillämpningen av hänvisade bestämmelser ska ske ”på motsvarande sätt”. Härmed tydliggörs att de uppräknade bestämmelserna i person- uppgiftslagen inte tillämpas direkt. Innebörden av hänvisningen är att vad som föreskrivs i de hänvisade bestämmelserna i personupp- giftslagen ska tillämpas som om motsvarande bestämmelser fanns i den nya lagen. Se nedan angående punkterna 2 och 9.

Enligt punkten 1 ska de definitioner som anges i 3 § PuL tilläm- pas även vid behandling av personuppgifter som omfattas av den nya lagen. Genom 3 § PuL definieras bl.a. följande begrepp: behand- ling (av personuppgifter), mottagare, personuppgifter, personupp- giftsansvarig, personuppgiftsbiträde, personuppgiftsombud, den regi- strerade, samtycke, tillsynsmyndighet och tredjeland.

Genom hänvisningen i punkten 2 till 8 § PuL klargörs till en början att bestämmelserna i förevarande lag eller föreskrifter som meddelats i anslutning till lagen, liksom de bestämmelser i personuppgiftslagen som lagen hänvisar till, inte ska tillämpas om de skulle inskränka en myndighets skyldighet enligt 2 kap. TF att lämna ut personupp- gifter i allmänna handlingar (8 § första stycket PuL). Det innebär t.ex. att bestämmelserna i personuppgiftslagen och i förevarande lag om under vilka begränsade förutsättningar känsliga personupp- gifter får behandlas inte kan åberopas för att vägra behandla upp- gifterna genom att lämna ut en allmän handling där känsliga person- uppgifter förekommer. Det ska dock observeras att hänvisningen till 8 § första stycket inte innebär någon inskränkt räckvidd av regler om absoluta sökbegränsningar som finns i 12 § eller kan komma att föreskrivas i anslutning till lagen. Sådana omfattas alltså av begräns- ningsregeln i 2 kap. 3 § tredje stycket TF. Av hänvisningen till 8 § andra stycket PuL följer att varken de särskilda bestämmelserna i den förevarande lagen eller bestämmelser i personuppgiftslagen som ska tillämpas på motsvarande sätt hindrar att allmänna hand- lingar som innehåller personuppgifter arkiveras och bevaras eller tas

693

Författningskommentar

SOU 2015:39

om hand av arkivmyndighet för fortsatt långtidsbevarande i enlighet med arkivlagstiftningens reglering. Vidare framgår att 9 § fjärde stycket PuL inte gäller för en myndighets användning av person- uppgifter i allmänna handlingar.

Enligt punkten 3 gäller de grundläggande kraven i 9 § PuL även vid behandling av personuppgifter enligt den nya lagen. De grund- läggande kraven i 9 § PuL behandlas tämligen ingående i av- snitt 9.2.1, 9.2.3 och 9.2.4. Det är den personuppgiftsansvariga myn- digheten som ska se till att personuppgifter behandlas enbart om det är lagligt och att de behandlas på ett korrekt sätt och i enlighet med god sed (9 § första stycket a och b PuL). Hänvisningen inne- bär vidare att den personuppgiftsansvariga myndigheten ansvarar för att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (9 § första stycket c PuL). Det är vidare den personuppgiftsansvariga myndigheten som – inom ramen för sitt författningsreglerade eller på annat sätt bestämda uppdrag – har att närmare specificera för vilket eller vilka ändamål personupp- gifter behandlas i verksamheten. Alltför vida ändamålsbestämningar är inte tillåtna eftersom de inte lever upp till kravet på att vara sär- skilda. Genom hänvisningen gäller dessutom att personuppgifter inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket de samlades in (9 § första stycket d PuL). Detta är ett uttryck för den s.k. finalitetsprincipen. Genom bestämmelsen upp- ställs en begränsning i fråga om huruvida uppgifter som redan finns i verksamheten får behandlas för nya ändamål. Behandling i form av utlämnanden till andra myndigheter eller enskilda ska anses förenliga med ursprungliga ändamål så länge utlämnandena som sådana sker i överensstämmelse med lag, t.ex. offentlighets- och sekretesslagen, eller förordning enligt vilken uppgifterna får eller ska lämnas ut. I praktiken innebär detta att tillämpningen av finalitetsprincipen, som den uttrycks i 9 § första stycket d PuL, för myndigheternas del fram- för allt torde handla om att göra bedömningar av om myndighetens önskemål om att själv använda uppgifter i de egna informations- samlingarna för ett nytt ändamål är eller inte är oförenligt med de angivna syften som fanns vid insamlingstidpunkten. Generellt gäller att behandling av personuppgifter för historiska, statistiska eller veten- skapliga ändamål inte ska anses som oförenliga med de ändamål för vilka uppgifterna samlades in (9 § andra stycket PuL). Hänvisningen till 9 § PuL innebär också att myndigheten ska se till att de be-

694

SOU 2015:39

Författningskommentar

handlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen, att inte fler personuppgifter behand- las än som är nödvändigt med hänsyn till ändamålen för behand- lingen, att de behandlade personuppgifterna är riktiga och, om det är nödvändigt, aktuella (9 § första stycket e–g). Härigenom sätts kvalitativa och kvantitativa gränser för vilka personuppgifter som får behandlas. Är det exempelvis tillräckligt för att en arbetsuppgift ska kunna utföras på ett tillfredsställande sätt att bara använda per- sonuppgifter som indirekt går att härleda till enskilda personer, är det i linje med de grundläggande kraven att så sker. Vidare är den personuppgiftsansvariga myndigheten skyldig att självmant vidta alla rimliga åtgärder för att t.ex. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med be- handlingen (9 § första stycket h PuL). Sådana åtgärder får dock inte strida mot annan reglering om dokumentationskrav eller liknande eller krav på bevarande av allmänna handlingar. Korrigering på be- gäran av den registrerade regleras i 24 och 25 §§ denna lag. Slutligen innebär hänvisningen att personuppgiftslagens bestämmelser rörande bevarande av uppgifter ska tillämpas på personuppgifter som inte finns i allmänna handlingar. Således gäller som huvudregel beträf- fande sådana personuppgifter att uppgifterna inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket i PuL). Personuppgifter får dock bevaras för historiska, statistiska eller vetenskapliga ändamål så länge som behövs för dessa ändamål (9 § tredje stycket PuL). Bevarande av personuppgifter som inte ingår i allmän handling för sådana ändamål torde emellertid innebära att de i och med den användningen får anses omhändertagna för arkivering och därmed kommer att utgöra allmän handling.

Genom punkten 4 blir personuppgiftslagens förbud mot behand- ling av känsliga personuppgifter tillämpligt även enligt förevarande lag. Det är också genom hänvisningen till 13 § PuL som det framgår vad som är känsliga personuppgifter. Genom punkten 4 görs vidare flertalet av personuppgiftslagens undantag från förbudet mot be- handling av känsliga personuppgifter tillämpliga vid myndigheters personuppgiftsbehandling enligt denna lag. Det ska emellertid obser- veras att även om ett undantag är tillämpligt, måste behandlingen dessutom vara tillåten enligt 8 § denna lag samt uppfylla de grund- läggande kraven enligt 9 § PuL. Undantaget enligt 15 § PuL avser

695

Författningskommentar

SOU 2015:39

det förhållandet att den registrerade uttryckligen samtycker till behandlingen eller på ett tydligt sätt offentliggjort uppgiften. Vad avser samtycket ska det, förutom att vara uttryckligt, också upp- fylla kriterierna på samtycke enligt 3 § PuL, dvs. vara en frivillig, särskild och otvetydig viljeyttring som föregåtts av information om behandlingen. Övriga tillämpliga undantag gäller vissa mer specifika verksamheter eller situationer och torde inte få någon omfattande eller generell tillämpning för myndigheterna vid behandling enligt denna lag. I 10 § finns bestämmelser om ytterligare undantag.

Punkten 5 hänvisar till 23 och 25 §§ PuL vari regleras den person- uppgiftsansvariga myndighetens skyldighet att självmant lämna in- formation om behandlingen till den registrerade i samband med att uppgifter samlas in från denne. Informationen ska innehålla de upp- gifter som anges i 25 § första stycket PuL. Ett viktigt undantag från informationsskyldigheten följer av 25 § andra stycket samma lag enligt vilket information inte behöver lämnas om sådant som den registrerade redan känner till. Så kan ofta förutsättas vara fallet, t.ex. då en registrerad själv gör en ansökan till en myndighet vilken leder till viss dokumentation m.m. i myndighetens handläggning av ären- det eller då en enskild kontaktar myndigheter via e-post. I andra fall kan det vara mindre troligt att den registrerade redan känner till informationen. Vad som kan antas i olika fall får dock bedömas utifrån vad som förefaller naturligt med tanke på förhållandena i den särskilda verksamheten i fråga m.m. Undantag från informa- tionsplikten gäller vidare vid sekretess som gäller gentemot den registrerade, se 23 § första stycket denna lag.

Enligt punkten 6 gäller 26 § PuL om information som på begäran ska ges till den registrerade. Av detta följer att det krävs en egen- händigt undertecknad ansökan av den registrerade och att rätten till information är begränsad till en gång per kalenderår. Även denna skyldighet för myndigheter, och den registrerades rätt i motsvarande mån, är begränsad om sekretess gäller gentemot den registrerade, se kommentaren till 23 § första stycket. Dessutom behöver det inte ges någon information om personuppgifter som finns i s.k. ostruk- turerat material, se kommentaren till 23 § andra stycket.

I punkten 7 hänvisas till personuppgiftslagens bestämmelser om överföring till tredjeland, 33–35 §§ PuL. Därmed gäller förbudet enligt 33 § PuL att överföra personuppgifter till tredjeland om landet inte har en adekvat nivå för skyddet av personuppgifter. Frågan om

696

SOU 2015:39

Författningskommentar

en skyddsnivå är adekvat ska bedömas med hänsyn till samtliga om- ständigheter som har samband med överföringen. Särskild vikt ska fästas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelse- landet och reglerna för behandlingen i tredjeland. Enligt 34 § PuL får uppgifter trots förbudet överföras dels om den registrerade har lämnat sitt samtycke till överföringen, dels om överföringen är nöd- vändig med hänsyn till vissa uppräknade omständigheter. Det är också enligt den paragrafen tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Genom 35 § PuL bemyndigas regeringen, eller i vissa fall den myndighet regeringen bestämmer, att meddela föreskrifter om ytterligare undantag. Sådana undantag finns för när- varande i 12–14 §§ PuF samt i anslutande bilagor. Genom hänvis- ningen till 35 § PuL framgår att dessa föreskrifter, samt i förekom- mande fall även tillsynsmyndighetens föreskrifter, gäller även vid behandling enligt denna lag. Vidare gäller att regeringen, eller efter vidarebemyndigande tillsynsmyndigheten, kan besluta om undantag i enskilda fall, 35 § tredje stycket PuL. Ytterligare undantag från förbudet mot överföring till tredjeland finns i 16 § denna lag.

Enligt punkten 8 gäller bestämmelserna i 38 och 40 §§ PuL om personuppgiftsombudets uppgifter. Ett personuppgiftsombud har dock inte motsvarande skyldighet som enligt 39 § PuL att föra en förteckning över den personuppgiftsansvariga myndighetens behand- lingar. Den skyldigheten åvilar enligt denna lag den personuppgifts- ansvariga myndigheten, se 22 §. Det är inte obligatoriskt för myn- digheter att utse personuppgiftsombud. Det finns inget som hindrar att en myndighet utser flera personuppgiftsombud eller att en person är personuppgiftsombud åt flera myndigheter som exempelvis sam- arbetar i ett avgränsat e-förvaltningssystem.

Genom hänvisningen i punkten 9 till 48 § PuL regleras den re- gistrerades rätt till skadestånd. Genom att 48 § PuL ska tillämpas på ”motsvarande sätt” klargörs att rätten till skadestånd är vidare än vad som föreskrivs i 48 § PuL. Rätt till skadestånd kan således upp- komma på grund av behandling i strid med både särskilda bestämmel- ser i denna lag och mot bestämmelser i personuppgiftslagen som denna lag hänvisar till. Den registrerades rätt till skadestånd omfattar ersättning för skada eller för kränkning av den personliga integriteten. Med skada kan avses personskada, sakskada eller ren

697

Författningskommentar

SOU 2015:39

förmögenhetsskada. Det krävs dock att den lagstridiga behandlingen orsakat skadan eller kränkningen. Eventuellt skadestånd beräknas utifrån de allmänna bestämmelserna i 5 kap. SkL. Det är den per- sonuppgiftsansvariga myndigheten som har det skadeståndssanktio- nerade ansvaret för att behandling av personuppgifter utförs i enlig- het med lagens krav. Talan om skadestånd måste emellertid riktas mot den juridiska person, dvs. staten, landstinget eller kommunen, i vilken den personuppgiftsansvariga myndigheten ingår. Hänvis- ningen innebär att jämkningsregeln i 48 § andra stycket PuL i prin- cip är tillämplig även på myndighetsområdet.

Andra stycket i paragrafen innehåller en upplysning om att det i 23 § finns bestämmelser om undantag från informationsskyldig- heten enligt 23, 25 och 26 §§ PuL, se kommentaren till 23 §.

Personuppgiftsansvar

7 § En myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även behand- ling som en myndighet utför genom direktåtkomst till personuppgifter hos en annan myndighet eller enskild.

Paragrafen innehåller bestämmelser om personuppgiftsansvar. Frågan behandlas i avsnitt 10.1.4.

Bestämmelsen i första stycket kompletterar definitionen i 3 § PuL av begreppet personuppgiftsansvarig, enligt vilken det är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för personuppgiftsbehandlingen som är personuppgifts- ansvarig. Innebörden av personuppgiftsansvaret framgår av lagens övriga bestämmelser och av de bestämmelser i personuppgiftslagen som denna lag hänvisar till. Genom bestämmelsen klargörs att per- sonuppgiftsansvaret ligger hos myndigheten, inte hos den juridiska person som myndigheten är en del av. Vidare anges att en myndig- het är personuppgiftsansvarig för den behandling som myndigheten utför. Med detta menas att en myndighet ansvarar för den person- uppgiftsbehandling som sker inom ramen för myndighetens verk- samhet. Personuppgiftsansvaret knyts därmed till utförandet av urskiljbara personuppgiftsbehandlingar. Hos vem personuppgifts-

698

SOU 2015:39

Författningskommentar

ansvaret ska förläggas och hur det ska avgränsas får bedömas utifrån de faktiska omständigheterna i det särskilda fallet, där en central fråga är vem som har faktisk möjlighet att påverka om en viss be- handling ska ske och hur den ska gå till. En personuppgiftsansvarig myndighet anses utföra en behandling även om den faktiska hante- ringen av personuppgifter överlämnats till ett personuppgiftsbiträde. Bestämmelsen utesluter inte att en myndighet kan ha ett med andra myndigheter eller enskilda gemensamt personuppgiftsansvar.

Genom bestämmelsen i andra stycket förtydligas att personupp- giftsansvaret enligt första stycket även omfattar sådan behandling som en mottagande myndighet utför när den vid direktåtkomst hos en annan myndighet eller enskild utnyttjar en möjlighet att via direktåtkomst genom faktisk överföring behandla en tillgänglig per- sonuppgift, t.ex. genom att göra en sökning för att läsa eller ladda ned uppgiften till det egna informationssystemet. Huvudregeln i första stycket gäller alltså även vid direktåtkomst. Detta innebär bl.a. att det är den utlämnande myndigheten som har personupp- giftsansvaret för den behandling som myndigheten utför genom det initiala utlämnandet av personuppgifterna då direktåtkomsten faktiskt etableras. Däremot ansvarar alltså denna myndighet inte för den behandling som därefter utförs av en mottagande myndighet.

När behandling kan tillåtas

8 § Personuppgifter får behandlas om det är nödvändigt för att en myn- dighet ska kunna utföra sin verksamhet.

I paragrafen regleras när behandling av personuppgifter är tillåten. Frågan behandlas i avsnitt 9.2.4.

I bestämmelsen anges en heltäckande rättslig grund för myndig- heters behandling av personuppgifter. Bestämmelsen motsvarar i sakligt hänseende de rättsliga grunderna för behandling utan den registrerades samtycke enligt 10 § a–f PuL. Enligt bestämmelsen krävs, för att en myndighet alls ska få behandla personuppgifter, dels att det sker i en verksamhet som myndigheten ska eller har befogenhet att bedriva, dels att personuppgiftsbehandlingen är nöd- vändig för att den verksamheten ska kunna bedrivas. Vad myndig- heter ska eller har befogenhet att göra styrs i allt väsentligt genom

699

Författningskommentar

SOU 2015:39

författningsreglering eller särskilda beslut. Inom den gräns som därvid sätts – dvs. om det är en verksamhet som myndigheten ska eller får bedriva – får myndigheter enligt bestämmelsen behandla personuppgifter oberoende av den registrerades samtycke. Dock krävs att personuppgiftsbehandlingen är nödvändig för verksam- heten. Myndigheten ska alltså inför en planerad behandling, t.ex. i ett utvecklingsprojekt, först ställa sig frågan om behandlingen kommer att ske som en del i en verksamhet som myndigheten ska eller har getts befogenhet att bedriva. Därefter uppkommer frågan om det är nödvändigt att behandla personuppgifter i projektet. Behövs inte personuppgifterna eller kan en arbetsuppgift utföras nästan lika bra eller billigt utan behandling av personuppgifter är nödvändighetskravet inte uppfyllt och behandlingen därmed inte tillåten (jfr SOU 1997:39 s. 359).

9 § Behandling som är tillåten enligt denna lag eller föreskrifter som meddelats med stöd av den får utföras även om den registrerade mot- sätter sig behandlingen.

I paragrafen regleras frågan om den enskilde har någon möjlighet att med rättslig verkan motsätta sig behandlingen. Frågan har be- handlats i avsnitt 9.2.4.

Enligt paragrafen får en personuppgiftsbehandling, som är tillåten enligt lagen, utföras även om den enskilde motsätter sig den. Bestäm- melsen ska ses mot bakgrund av artikel 14 a dataskyddsdirektivet, som föreskriver att den enskilde åtminstone i vissa fall ska garan- teras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning.

Särskilda kategorier av personuppgifter

10 § Utöver vad som följer av 15, 16, 18 och 19 §§ personuppgifts- lagen (1998:204) får känsliga personuppgifter behandlas om uppgifter- na har lämnats i ett ärende eller är nödvändiga för handläggningen av det eller om uppgifterna behandlas endast i löpande text.

700

SOU 2015:39

Författningskommentar

I paragrafen anges i vilken utsträckning känsliga personuppgifter får behandlas. Frågan behandlas i avsnitt 9.3.1.

Enligt första stycket får känsliga personuppgifter behandlas i viss utsträckning utöver de särskilda undantag från förbudet i 13 § PuL som regleras i 15, 16, 18 och 19 §§ samma lag. Att 13, 15, 16, 18 och 19 §§ PuL tillämpas på motsvarande sätt när personuppgifter behandlas enligt denna lag eller föreskrifter som meddelats med stöd av den framgår av 6 § första stycket 4. Med känsliga personupp- gifter avses således detsamma som enligt 13 § PuL. Utöver de nämnda särskilda undantagen som gäller enligt personuppgiftlagen får känsliga personuppgifter behandlas om uppgifterna har lämnats i ett ärende. Något krav på att det är nödvändigt att behandla upp- giften i ärendet uppställs inte i det fallet. Det är således tillåtet att även på automatiserad väg behandla känsliga personuppgifter som exempelvis en enskild har lämnat i en inlaga i ett ärende, även om uppgiften inte är nödvändig för att myndigheten ska kunna hand- lägga ärendet. Om myndigheten av något annat skäl behöver be- handla en känslig personuppgift, exempelvis för att den själv samlat in uppgiften, krävs emellertid att uppgiften är nödvändig för hand- läggningen av ett ärende. Det är tillåtet att behandla en känslig personuppgift så länge den är nödvändig för handläggningen av ett ärende, oavsett på vilket sätt behandlingen sker. Om den förut- sättningen är uppfylld, ger bestämmelsen således stöd för att exem- pelvis hantera känsliga personuppgifter inom ramen för ett ärende- hanteringssystem.

Känsliga personuppgifter kan vidare med stöd av paragrafen be- handlas i verksamhet som inte innebär handläggning av ett ärende om det sker i löpande text. Något krav på nödvändighet uppställs inte, eftersom en myndighet inte heller i en annan verksamhet än handläggning av ärenden kan ha full kontroll över vilka uppgifter som lämnas till myndigheten.

För att en viss behandling ska vara tillåten krävs också att behand- lingen sker i enlighet med lagens övriga bestämmelser, exempelvis att de grundläggande kraven i 9 § PuL är uppfyllda (jfr 6 § första stycket 3).

11 § Personnummer eller samordningsnummer får tas in i ett beslut endast om beslutet rör en enskilds identitet eller motsvarande person- liga förhållanden, det är nödvändigt för att beslutet ska kunna verk-

701

Författningskommentar

SOU 2015:39

ställas eller det krävs med hänsyn till beslutande myndighets behov av identifieringsuppgifter.

I paragrafen regleras under vilka förutsättningar personnummer eller samordningsnummer får återges i ett beslut. Frågan behandlas i av- snitt 9.3.3.

I paragrafen anges uttömmande för vilka ändamål personnum- mer eller samordningsnummer får tas in i ett beslut. Det kan för det första vara frågan om att beslutet rör frågan om den registrera- des identitet eller motsvarande personliga förhållanden – t.ex. namn eller civilstånd – exempelvis inom ramen för ett folkbokförings- ärende. Något särskilt krav på att det är nödvändigt att personnumret eller samordningsnumret tas in i beslutet uppställs inte i det fallet. Ett personnummer eller samordningsnummer kan också behöva tas in i ett beslut för att beslutet ska kunna verkställas. I det fallet upp- ställs emellertid ett krav på nödvändighet. Det kan exempelvis handla om beslut som rör lagöverträdelser eller tvångsåtgärder av olika slag, beslut som i sig utgör en exekutionstitel mot den registrerade eller att personnumret eller samordningsnumret behöver återges eftersom den registrerades personuppgifter i övrigt är skyddade av sekretess. Det är också tillåtet att ta in ett personnummer eller samordnings- nummer i ett beslut om det krävs med hänsyn till den beslutande myndighetens behov av identifieringsuppgifter. Så kan exempelvis vara fallet om en myndighet har byggt upp sin ärendehantering kring användning av personnummer eller samordningsnummer. Det kan då krävas att en sådan uppgift tas in i beslutet för att myn- digheten ska kunna knyta det till rätt ärende.

Sökförbud

12 § Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening lik- som uppgifter som rör hälsa eller sexualliv får användas som sökbegrepp endast om det är tillåtet enligt föreskrifter som tagits in i bilaga till denna lag eller i annan lag eller förordning.

Vad som sägs i första stycket gäller inte vid en sökning i en viss handling eller i ett visst ärende.

702

SOU 2015:39

Författningskommentar

I paragrafen anges under vilka förutsättningar sökbegrepp får an- vändas som avslöjar känsliga personuppgifter. Frågan behandlas i avsnitt 9.4.2.

Enligt första stycket får uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening liksom uppgifter som rör hälsa eller sexualliv användas som sökbegrepp endast om det har tillåtits enligt särskild föreskrift i lag eller förordning. Bestämmelsen är alltså tillämplig på sökbegrepp som avslöjar eller rör känsliga personupp- gifter i den mening som avses i 13 § PuL. Som huvudregel gäller därmed ett förbud för alla myndigheter som behandlar person- uppgifter enligt lagen mot att använda sökbegrepp som avslöjar eller rör sådana uppgifter. Förbudet är av ett sådant absolut slag som innebär att myndigheten som sådan saknar befogenhet att göra en sammanställning. Den s.k. begränsningsregeln i 2 kap. 3 § tredje stycket TF är därmed tillämplig. Det innebär att myndigheten saknar befogenhet att göra en sammanställning som innehåller per- sonuppgifter genom att använda ett sökbegrepp som avslöjar eller rör känsliga personuppgifter både för den egna verksamheten och för att uppfylla en begäran om en sådan sammanställning med stöd av 2 kap. 3 § andra stycket TF. Bestämmelsen är enbart tillämplig på en sökning som sker i syfte att göra en sammanställning som innehåller personuppgifter. Den tar alltså sikte på sammanställningar som görs av uppgifter som finns i en informationssamling där per- sonuppgifter behandlas, exempelvis i en myndighets ärendehante- ringssystem eller i ett visst register. Det sökbegrepp som används för att göra en sådan sammanställning behöver emellertid inte i sig utgöra en personuppgift. För att bestämmelsen ska vara tillämplig på ett visst sökbegrepp krävs dock att ett användande av begreppet leder till att känsliga personuppgifter sammanställs. Som exempel kan nämnas att ordet ”utmattningssyndrom” används som sök- begrepp för att sammanställa uppgifter om personer som har ansökt om sjukpenning.

Bestämmelsen är däremot inte tillämplig om motsvarande sökbe- grepp används för att sammanställa uppgifter om vetenskaplig littera- tur ur en referensdatabas. Den omständigheten att det i en sådan referensdatabas visserligen kan förekomma enstaka personuppgifter, exempelvis beträffande de författare som ingår där, innebär inte att det blir fråga om en sådan sökning som avses i bestämmelsen. En

703

Författningskommentar

SOU 2015:39

sådan sökning torde över huvud taget inte vara att anse som en behandling av personuppgifter, dvs. det är ingen åtgärd som vidtas i fråga om personuppgifter (jfr 3 § PuL). Om det visar sig att sam- manställningen innehåller personuppgifter när den väl är gjord kan det däremot bli aktuellt att beakta regler om personuppgiftsbehand- ling för sammanställningens fortsatta användning.

Genom andra stycket klargörs att bestämmelsen endast tar sikte på den situationen att en sökning görs för att sammanställa person- uppgifter ur myndighetens informationssamlingar och inte då en sökning görs i en viss handling eller i ett visst ärende.

Elektroniskt utlämnande

Direktåtkomst

13 § Direktåtkomst till personuppgifter som är sekretessreglerade är tillåten endast i den utsträckning som anges i bilaga till denna lag eller i annan lag eller förordning. Med sekretessreglerade uppgifter avses detsamma som i offentlighets- och sekretesslagen (2009:400).

Vad som sägs i första stycket gäller inte direktåtkomst som medges

1.den registrerade eller dennes ombud till uppgifter som hänför sig till den registrerade,

2.till personuppgifter som är sekretessreglerade enligt 21 kap. 7 § offentlighets- och sekretesslagen,

3.ett personuppgiftsbiträde eller

4.en myndighet endast för sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § första stycket tryckfrihetsförordningen för den utlämnande myndighetens räkning.

I paragrafen anges under vilka förutsättningar direktåtkomst till per- sonuppgifter som är sekretessreglerade får medges. Frågan behandlas i avsnitt 11.1.1 och 11.1.2.

Enligt första stycket gäller som huvudregel att en myndighet inte får medge direktåtkomst till sekretessreglerade personuppgifter om det inte finns stöd för det i lag eller förordning. Med sekretessregle- rad uppgift avses detsamma som i offentlighets- och sekretesslagen, dvs. en uppgift för vilken det finns en bestämmelse om sekretess (jfr 3 kap. 1 § OSL). Med direktåtkomst avses att en myndighet har medgetts en sådan teknisk tillgång till upptagningar hos en annan

704

SOU 2015:39

Författningskommentar

myndighet som avses i 2 kap. 3 § andra stycket TF, dvs. att upptag- ningen är tillgänglig med tekniska hjälpmedel som den mottagande myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (jfr prop. 2007/08:160 s. 164). Om de upptagningar som en myndighet på detta sätt får tillgång till innehåller sekretessreglerade personuppgifter är alltså be- stämmelsen tillämplig. Om en enskild aktör har medgetts en mot- svarande åtkomst till sekretessreglerade personuppgifter hos en myndighet är den också att anse som direktåtkomst i paragrafens mening. Frågan om en myndighet ska eller får medge en enskild eller en annan myndighet direktåtkomst avgörs av hur stödet för en sådan åtgärd har formulerats i den aktuella lagen eller förordningen. Om det föreskrivs att en direktåtkomst får medges, vilket hittills har varit den vanligaste formen av författningsstöd, är det den myn- dighet som avses lämna ut uppgifter genom direktåtkomst som avgör om direktåtkomsten ska medges också i praktiken. I ett sådant fall ankommer det alltså på den utlämnande myndigheten att avgöra om direktåtkomsten faktiskt ska komma till stånd. Den bedömningen får göras med utgångspunkt i tillämpligt författningsstöd för den aktuella direktåtkomsten samt med beaktande av vad som gäller för uppgiftsutbytet i bestämmelser om sekretess och i andra föreskrifter, exempelvis i denna lag om behandling av personuppgifter.

I andra stycket anges att vissa undantag gäller från kravet på stöd i lag eller förordning.

Enligt punkten 1 krävs inte stöd i lag eller förordning för att medge den registrerade eller dennes ombud direktåtkomst till sekre- tessreglerade uppgifter som hänför sig till den registrerade själv. Det ska alltså vara frågan om personuppgifter som kan knytas till den registrerade i den mening som avses i 3 § PuL. För att ett ombud ska kunna medges direktåtkomst utan stöd i lag eller förordning förutsätts att det är fråga om uppgifter för vilka den registrerade själv kan efterge sekretessen enligt 12 kap. 2 § OSL och att det finns ett behov av de uppgifter som kan lämnas ut genom direkt- åtkomsten för den angelägenhet som ombudets behörighet avser. Ett samtycke från den registrerade till att hans eller hennes ombud kan medges direktåtkomst till sekretessreglerade uppgifter kan en- bart ta sikte på frågan om uppgifterna kan lämnas ut utan hinder av sekretess. Frågan om på vilket sätt uppgifterna ska lämnas ut, dvs. genom direktåtkomst eller på annat sätt, ankommer på den utläm-

705

Författningskommentar

SOU 2015:39

nande myndigheten att avgöra. Den registrerade har ju exempelvis inte möjlighet att avgöra om direktåtkomst kan medges med hän- syn till de krav på informationssäkerhet som gäller för myndig- heten.

I punkten 2 anges att kravet på stöd i lag eller förordning inte heller gäller direktåtkomst till personuppgifter som är sekretess- reglerade enligt 21 kap. 7 § OSL, dvs. den s.k. PuL-sekretessen.

Genom punkten 3 klargörs att kravet på stöd i lag eller förord- ning för att få medge direktåtkomst till personuppgifter som är sek- retessreglerade inte heller gäller om en sådan åtkomst medges ett personuppgiftsbiträde. Med personuppgiftsbiträde avses detsamma som i personuppgiftslagen, dvs. den som behandlar personuppgifter för den personuppgiftsansvariges räkning (jfr 3 § PuL). Ett person- uppgiftsbiträde får bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvariga myndigheten. För att direktåtkomst ska kunna medges ett personuppgiftsbiträde utan stöd i lag eller förordning förutsätts därför att det finns ett sådant avtal om personuppgiftsbiträdets behandling som avses i 21 § denna lag som bl.a. innehåller sådana instruktioner.

Enligt punkten 4 behövs inte heller något stöd i lag eller förord- ning för att medge en annan myndighet direktåtkomst till sekre- tessreglerade uppgifter, om den myndigheten förvarar uppgifterna enbart som ett led i en sådan teknisk bearbetning eller en teknisk lagring som avses i 2 kap. 10 § första stycket TF för den utlämnande myndighetens räkning. Enligt det lagrummet anses inte heller de handlingar i vilka uppgifterna ingår som allmänna hos den mottag- ande myndigheten. Om den mottagande myndigheten emellertid avser att använda de personuppgifter som blir åtkomliga genom direktåtkomsten för något annat syfte än de som anges i 2 kap. 10 § TF, är undantaget från kravet på författningsstöd inte tillämpligt.

14 § Innan en myndighet medger direktåtkomst till personuppgifter ska myndigheten göra en risk- och sårbarhetsanalys och komma över- ens med mottagaren av personuppgifterna hur skyddet för personupp- gifterna ska säkerställas. Av överenskommelsen ska också framgå hur utövandet av de skyldigheter som personuppgiftsansvaret innefattar ska ske.

Vad som sägs i första stycket ska i tillämpliga delar även gälla då en myndighet på annat sätt än genom direktåtkomst samarbetar med andra

706

SOU 2015:39

Författningskommentar

myndigheter eller enskilda på sätt som innebär behandling av person- uppgifter i gemensamma eller annars integrerade informationssystem.

Paragrafen anger krav på att personuppgiftsansvarig myndighet vidtar vissa förberedande åtgärder i samband med direktåtkomst och liknande samverkan i integrerade informationssystem. Frågan behandlas i avsnitt 10.1.4 och 10.2.5.

Enligt första stycket gäller ett krav på en personuppgiftsansvarig myndighet att innan direktåtkomst medges till personuppgifter som myndigheten ansvarar för dels göra en risk- och sårbarhetsanalys, dels komma överens med mottagaren angående hur personuppgifter- na ska skyddas genom tekniska och organisatoriska säkerhetsåtgär- der och om hur inblandade aktörer avser fördela utövandet av de skyldigheter som personuppgiftsansvaret innefattar. Hur person- uppgiftsansvaret är fördelat vid direktåtkomst följer av 7 § andra stycket denna lag. Bestämmelsen omfattar direktåtkomst oavsett om den är författningsreglerad eller inte, dvs. den gäller även vid direkt- åtkomst till personuppgifter som inte är sekretessreglerade. Den särskilda risk- och sårbarhetsanalys som ska göras avseende den pla- nerade direktåtkomsten ska inriktas på att ge det underlag som behövs för att sedan kunna bedöma vilka tekniska och organisatoriska säker- hetsåtgärder som måste vidtas för att i enlighet med lagens krav åstadkomma en lämplig säkerhetsnivå till skydd för personuppgifter- na. Vidare måste en överenskommelse göras på förhand där den ut- lämnande myndigheten och mottagaren eller mottagarna reder ut och klargör mellan sig hur skyddet för personuppgifterna ska säker- ställas genom tekniska och organisatoriska säkerhetsåtgärder. I kravet på överenskommelse ligger också att de inblandade myndigheterna eller enskilda aktörerna reder ut hur personuppgiftsansvaret är tänkt att utövas, t.ex. om den praktiska hanteringen av ansvaret eventuellt ska fördelas mellan de ingående aktörerna. Personuppgiftsansvaret som sådant kan dock aldrig regleras genom överenskommelsen. Över- enskommelsens syfte är enbart att utövandet av personuppgifts- ansvarets olika moment ska klarläggas och arbetsuppgifter eventuellt fördelas mellan aktörerna. Överenskommelsen ska omfatta såväl säkerhetsåtgärder som andra skyldigheter som följer med personupp- giftsansvaret. Det förstnämnda kan t.ex. handla om frågor såsom vem som ska ansvara för olika funktioner, säkerhetslösningar, logg- ning och kontroller. Det sistnämnda kan t.ex. omfatta utarbetandet

707

Författningskommentar

SOU 2015:39

av gemensamma rutiner som underlättar för registrerade att utnyttja sina rättigheter i fråga om korrigering eller information. Rutiner för samarbete mellan involverade personuppgiftsombud eller utseende av ett gemensamt ombud då det är frågan om komplexa system för informationsutbyte m.m. kan vara en annan fråga som bör tas upp i överenskommelsen. Inget hindrar alltså att aktörerna genom överenskommelsen mellan sig fördelar det praktiska ombesörj- andet av olika uppgifter så länge som en heltäckande efterlevnad av skyldigheterna enligt lagen uppnås. Ansvaret för att överenskom- melser i dessa frågor träffas ligger på den utlämnande myndigheten. I personuppgiftsansvaret ingår att följa upp och kontrollera att överenskommelsen fungerar och följs i samarbetet.

Enligt andra stycket gäller motsvarande krav på risk- och sårbar- hetsanalyser och överenskommelser när en myndighet genom andra former än direktåtkomst samarbetar på sätt som innefattar behandling av personuppgifter i gemensamma eller annars integrerade informa- tionssystem, t.ex. genom förvaltningsgemensamma e-tjänster.

Annat utlämnande i elektronisk form

15 § Får en personuppgift lämnas ut till en enskild, kan det ske i elek- tronisk form om det inte är olämpligt med hänsyn till skyddet för per- sonuppgiften.

I paragrafen erinras om att personuppgifter som får lämnas ut, kan lämnas ut till enskilda i elektronisk form om det inte är olämpligt. Frågan behandlas i avsnitten 11.2.2–11.2.4.

Paragrafens utgångspunkt är att personuppgifter som en myn- dighet får lämna ut, kan lämnas ut inte bara till andra myndigheter utan även till enskilda i elektronisk form. Med utlämnande i elektro- nisk form avses ett annat elektroniskt utlämnande än genom direkt- åtkomst. Det kan alltså vara frågan om att personuppgifter exem- pelvis lämnas ut genom ett usb-minne eller en cd-skiva eller att uppgifterna sänds över via e-post eller genom någon annan form av elektroniskt kommunikationsmedel. Att personuppgifter får lämnas ut innebär att det inte finns något hinder med hänsyn till sekretess mot att lämna ut uppgifterna eller att bestämmelser om behandling av personuppgifter inte hindrar ett utlämnande. Den senare bedöm-

708

SOU 2015:39

Författningskommentar

ningen behöver göras om det är personuppgifter som lämnas ut utan att det har sin grund i att den enskilde begär ut handlingarna med stöd av rätten att ta del av allmänna handlingar enligt 2 kap. TF, exempelvis om myndigheten lämnar ut uppgifterna på eget initiativ eller som en serviceåtgärd. Enbart den omständigheten att den en- skilde önskar att i elektronisk form få en allmän handling eller en sammanställning av uppgifter enligt 2 kap. 3 § andra stycket TF inne- bär emellertid inte att det är frågan om ett utlämnande som sker på annan grund än 2 kap. TF (jfr SOU 2010:4 s. 307). I bestämmelsen erinras alltså om att bedömningen av om det är olämpligt att lämna ut en personuppgift i elektronisk form ska göras först efter att myndigheten har tagit ställning till om personuppgiften – eller den handling i vilken den ingår – alls kan lämnas ut.

Utgångspunkten enligt paragrafen är att elektroniskt utlämnande ska kunna ske. I paragrafen erinras dock om att myndigheten inte bör lämna ut personuppgifter i elektronisk form om det är olämp- ligt. De lämplighetsaspekter som bestämmelsen tar sikte på avser enbart sådant som har samband med skyddet av personuppgifterna vid en sådan utlämnandeform. Det ska alltså vara aspekter som rör persondataskydd i samband med ett utlämnande av personuppgifter och som inte fångas upp av vare sig sekretessbestämmelser eller på ett uttryckligt sätt av den nya lagens bestämmelser om behandling av personuppgifter. Det skulle exempelvis kunna handla om att myn- digheten inte förfogar över en teknik som innebär att uppgifterna kan förmedlas till mottagaren i elektronisk form på ett tillräckligt säkert sätt. Sådana aspekter som att myndigheten saknar resurser eller att elektroniskt utlämnande bedöms olämpligt med hänsyn till risk för minskade avgiftsintäkter utgör däremot inte sådana hinder mot att lämna ut personuppgifter i den mening som bestämmelsen avser att erinra om. Frågan om den typen av aspekter innebär att det är olämpligt att lämna ut uppgifter i elektronisk form får av- göras med utgångspunkt i exempelvis föreskrifter om myndigheters servicenivå. Som exempel på sådana föreskrifter kan nämnas för- ordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m. som gäller för domstolar och statliga förvaltnings- myndigheter.

709

Författningskommentar

SOU 2015:39

Överföring till tredjeland

16 § Utöver vad som följer av 34 § personuppgiftslagen (1998:204) eller av föreskrifter eller beslut som meddelats med stöd av 35 § samma lag får personuppgifter överföras till tredjeland som saknar adekvat skydds- nivå, om

1.överföringen krävs för handläggningen av ett visst ärende, eller

2.överföringen är nödvändig för att fullgöra en uppgiftsskyldighet som följer av lag eller förordning eller avtal med annan stat eller mellan- folklig organisation som Sverige har tillträtt eller annars är förpliktat att följa.

I paragrafen föreskrivs två undantag från förbudet att överföra personuppgifter till tredjeland som saknar adekvat skyddsnivå utöver de undantag som framgår genom hänvisningen i 6 § första stycket 7 till personuppgiftslagens överföringsbestämmelser. Frågan har be- handlats i avsnitt 12.5.

Enligt punkten 1 får personuppgifter överföras om det krävs för myndighetens handläggning av ett ärende. Så kan t.ex. vara fallet när en part i ärendet tillfälligt eller permanent befinner sig i tredjeland. Undantaget är bara tillämpligt om överföringen krävs i det särskilda fallet, dvs. för handläggningen av ett visst ärende. Det innebär att myndigheten vid kommunikation i samband med en viss ärendehandläggning inte behöver göra en bedömning av om skyddsnivån i mottagarlandet är adekvat eller inte (33 § PuL). Den bedömning som i stället ska göras är om överföringen krävs för handläggningen av ärendet eller inte. Det är dock viktigt att myn- digheten vid överföring även beaktar frågan om någon särskild säkerhetsåtgärd kan och bör vidtas för att skydda uppgifterna. Myn- digheten kan exempelvis behöva beakta om det förefaller olämpligt att översända uppgifterna i elektronisk form.

Enligt punkten 2 får personuppgifter översändas till tredjeland, om en överföring av personuppgifter är nödvändig för att fullgöra en uppgiftsskyldighet som följer av lag eller förordning eller ett för Sverige bindande internationellt avtal. Även vid överföring enligt denna punkt måste överföringen ske med godtagbar säkerhet till skydd för uppgifterna.

710

SOU 2015:39

Författningskommentar

Säkerhet vid behandlingen

17 § En myndighet ska vidta lämpliga tekniska och organisatoriska säker- hetsåtgärder för att skydda de personuppgifter som behandlas. Säkerhets- arbetet ska omfatta förebyggande, löpande och uppföljande åtgärder samt åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas. Vid utformningen av säkerhetsåtgärderna ska myndigheten även beakta bestämmelser om informationssäkerhet i annan författ- ning som gäller för myndigheten.

I paragrafen regleras personuppgiftsansvariga myndigheters skyldig- het att skydda personuppgifter med lämpliga säkerhetsåtgärder. Frågan behandlas i avsnitt 10.2.5.

Enligt paragrafen ska personuppgiftsansvariga myndigheter vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas samt åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas. Bestämmelsen motsvarar i princip 31 § första stycket PuL. En skillnad är emeller- tid tydliggörandet av att säkerhetsarbetet ska ske systematiskt och omfatta samtliga led i personuppgiftsbehandlingen, dvs. arbetet ska inbegripa förebyggande, löpande och uppföljande åtgärder. Vidare framgår av bestämmelsen att säkerhetsarbetet ska bedrivas så att det både inriktas på åtgärder som behövs för att skydda registrera- des integritet och så långt möjligt samordnas med övrigt informa- tionssäkerhetsarbete som sker i enlighet med t.ex. arkivlagstiftningen och andra föreskrifter om informationssäkerhet hos myndigheter.

18 § Tillgången till personuppgifter ska begränsas till vad varje anställd behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen reglerar den interna tillgången till personuppgifter för myndighetens personal eller andra som deltar i myndighetens arbete. Frågan behandlas i avsnitt 10.2.5.

Paragrafen innebär en skyldighet för varje myndighet att se till att anställda bara ges tillgång till personuppgifter utifrån vad som krävs för arbetsuppgifterna. Bestämmelsen får anses även omfatta krav på behovsanpassning i fråga om andra som deltar i arbetet hos

711

Författningskommentar

SOU 2015:39

myndigheten i egenskap av t.ex. praktikanter eller inhyrd beman- ningspersonal. Krav på säkerhetsåtgärder i form av exempelvis be- hörighetsstyrning till elektroniska informationssamlingar syftar till att minska den interna exponeringen för personuppgifterna. Hur detta ska ske får bedömas utifrån en analys av förutsättningarna och behoven inom varje myndighet. Faktorer som myndighetens och informationssystemens storlek samt huruvida personuppgifterna är sekretessreglerade eller annars integritetskänsliga är härvid centrala. Bestämmelsen omfattar inte bara tillgången till myndighetens egen information. Vid direktåtkomst är det den mottagande myndigheten som ansvarar för att se till att den egna personalen inte ges en vidare tillgång till åtkomliga uppgifter hos den utlämnande myndigheten än vad arbetsuppgifterna motiverar. Det är en annan sak att behörig- hetsbegränsningar rent tekniskt kan anordnas hos den av myndig- heterna där det är enklast. Frågor av dessa slag bör redas ut mellan involverade myndigheter innan en direktåtkomst faktiskt etableras, se 14 § om överenskommelse vid direktåtkomst.

Personuppgiftsbiträde

19 § Ett personuppgiftsbiträde eller den som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvariga myndigheten. Detta gäller även för biträden som anlitats av ett personuppgiftsbiträde.

Paragrafen reglerar vad som gäller för behandlingen av personupp- gifter hos personuppgiftsbiträdet. Frågan behandlas i avsnitt 10.1.4.

Bestämmelsen motsvarar 30 § första stycket PuL. Det klargörs dock att samma begränsningar även gäller för s.k. underbiträden och personal hos denne, dvs. sådana personuppgiftsbiträden som med den personuppgiftsansvariga myndighetens samtycke anlitas av ett personuppgiftsbiträde, se 20 § 4.

20 § När en myndighet anlitar ett personuppgiftsbiträde, ska myndig- heten förvissa sig om att biträdet

1. ser till att personuppgifter behandlas bara i enlighet med instruk- tioner från myndigheten,

712

SOU 2015:39

Författningskommentar

2.kan genomföra de säkerhetsåtgärder som avses i 17 § och som måste vidtas till skydd för de personuppgifter som biträdet behandlar,

3.fortlöpande vidtar säkerhetsåtgärderna, och

4.inte anlitar annat biträde utan godkännande från myndigheten.

I paragrafen ställs vissa minimikrav på vad den personuppgifts- ansvariga myndigheten måste förvissa sig om vid anlitande av ett personuppgiftsbiträde. Frågan behandlas i avsnitt 10.1.4.

Paragrafen motsvarar i princip vad som följer av 31 § andra stycket PuL men förskriver några ytterligare förutsättningar som den per- sonuppgiftsansvariga myndigheten måste förvissa sig om är upp- fyllda innan ett personuppgiftsbiträde anlitas. Myndigheten ska se till att personuppgifter behandlas hos personuppgiftsbiträdet bara i enlighet med instruktioner från myndigheten (punkten 1), att per- sonuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som avses i 17 § och som måste vidtas till skydd för de personuppgifter som biträdet behandlar (punkten 2) och att biträdet fortlöpande vidtar säkerhetsåtgärderna (punkten 3). Genom dessa punkter framgår bl.a. att myndighetens kontroll måste vara uppföljande. Vidare är myn- digheten skyldig att se till att personuppgiftsbiträdet inte i sin tur anlitar ett personuppgiftsbiträde, ett underbiträde, för att sköta viss del av personuppgiftsbehandlingen, utan att det har föregåtts av ett särskilt godkännande från den personuppgiftsansvariga myndigheten (punkten 4).

21 § Det ska finnas ett skriftligt avtal om personuppgiftsbiträdets be- handling av personuppgifter för myndighetens räkning. Avtalet ska inne- hålla instruktioner och villkor om personuppgiftsbiträdets skyldigheter i frågor som avses i 19 och 20 §§. Motsvarande avtal ska finnas med ett biträde som anlitats av ett personuppgiftsbiträde.

I paragrafen regleras personuppgiftsbiträdesavtalet till form och innehåll. Frågan behandlas i avsnitt 10.1.4.

Liksom motsvarande bestämmelse i 30 § andra stycket PuL upp- ställs i paragrafen ett krav på att avtal med ett personuppgifts- biträde ska ha skriftlig form. Vidare anges i paragrafen vad avtalet ska innehålla, nämligen instruktioner och föreskrivna villkor om personuppgiftsbiträdets skyldigheter i frågor som avses i 19 och 20 §§. Avtalet ska således innehålla villkor om att personuppgifts-

713

Författningskommentar

SOU 2015:39

biträdet eller den som arbetar under biträdets ledning får behandla personuppgifter bara i enlighet med instruktioner från den person- uppgiftsansvariga myndigheten. Vidare ska avtalet innehålla en dokumentation av dels myndighetens instruktioner till biträdet, dels villkor om säkerhetsåtgärder som biträdet måste vidta. In- struktionerna och villkoren kan avse en mängd olika slags frågor, exempelvis för vilket ändamål personuppgifter får behandlas, hur tillgången till uppgifterna ska begränsas eller andra säkerhetsåtgär- der, hur registrerades rättigheter till information m.m. ska tillgodo- ses, vad som ska hända med uppgifterna när uppdraget slutförts och rutiner för hur den personuppgiftsansvariga myndigheten ska kunna kontrollera behandlingen hos biträdet m.m. Avtalet ska också innehålla villkor om att biträdet inte anlitar ett underbiträde utan den personuppgiftsansvariga myndighetens godkännande. För det fall ett underbiträde anlitas, ska ett motsvarande avtal tecknas med denne.

Förteckning över behandlingar

22 § En myndighet ska föra en förteckning över de behandlingar som myndigheten utför med stöd av denna lag.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilka uppgifter en sådan förteckning ska innehålla.

I paragrafen regleras en skyldighet att föra en förteckning över per- sonuppgiftsbehandlingar. Frågan behandlas i avsnitt 16.4.1.

Enligt första stycket ska en personuppgiftsansvarig myndighet vara skyldig att föra en förteckning över de personuppgiftsbehandlingar som myndigheten utför med stöd av lagen. Syftet med förteckningen är att registrerade och allmänhet på ett enkelt sätt, genom att få del av den allmänna handling som förteckningen utgör, ska kunna få övergripande information om den behandling av personuppgifter som myndigheten utför, dvs. såväl sådan som faktiskt sker inom myndigheten som sådan som sker hos ett personuppgiftsbiträde. I uttrycket ”föra en förteckning” innefattas att förteckningen ska uppdateras regelbundet så att den avspeglar aktuella förhållanden. I praktiken torde arbetet med förteckningen kunna samordnas med

714

SOU 2015:39

Författningskommentar

arbetet att ta fram beskrivningar av myndighetens allmänna hand- lingar och arkiv.

I andra stycket upplyses om att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om förteck- ningens innehåll. Utgångspunkten är att innehållet i förteckningen i vart fall ska motsvara vad en anmälan till tillsynsmyndigheten skulle ha innehållit enligt artikel 19.1 a–e dataskyddsdirektivet (jfr 36 § PuL och anknytande föreskrifter).

Undantag från informationsskyldigheten

23 § Bestämmelserna i 23, 25 och 26 §§ personuppgiftslagen (1998:204) ska inte tillämpas i den utsträckning som en uppgift inte får lämnas ut till den registrerade på grund av sekretess enligt offentlighets- och sek- retesslagen (2009:400) eller föreskrifter som meddelats med stöd av den lagen.

Bestämmelserna i 26 § personuppgiftslagen behöver inte tillämpas vid behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtag- ligt underlätta sökning efter eller sammanställning av personuppgifter.

I paragrafen anges vissa undantag från skyldigheten att informera registrerade om behandlingar rörande denne. Frågorna har behand- lats i avsnitt 13.4.2 och 13.4.3.

Enligt första stycket gäller inte skyldigheten enligt 6 § första stycket 5 och 6 att lämna information som avses i 23, 25 och 26 §§ PuL i den mån sekretess för uppgifter gäller i förhållande till den registrerade. Så kan vara fallet för uppgift som omfattas av sekretess till skydd för ett allmänt intresse eller till skydd för någon annan enskilds intresse. Bestämmelsen motsvarar 27 § PuL.

I andra stycket undantas personuppgifter i s.k. ostrukturerat material från skyldigheten att lämna information efter ansökan en- ligt 26 § PuL. Bestämmelsen motsvarar i detta avseende missbruks- regeln i 5 a § första stycket PuL. För närmare ledning angående vad som avses med personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av person- uppgifter hänvisas till förarbetena till 5 a § PuL (prop. 2005/06:173

715

Författningskommentar

SOU 2015:39

s. 19 f. och s. 58, se även Öman/Lindblom, s. 131 f.). Undantaget har den praktiska betydelsen att myndigheter inte behöver använda tillgängliga sök- eller sammanställningsfunktioner i fråga om ostruk- turerat material, t.ex. i e-postsystem, anställdas hårddiskar m.m. när information begärs.

Korrigering av felaktiga personuppgifter eller annars otillåten behandling

24 § En personuppgift ska på begäran av den registrerade rättas eller kompletteras om uppgiften rör honom eller henne och den är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i myn- dighetens eller någon annans bedömning.

I paragrafen anges i vilken utsträckning myndigheten är skyldig att på begäran av den registrerade rätta eller komplettera en person- uppgift som är felaktig eller ofullständig till följd av en åtgärd som inte har sin grund i en bedömning som har gjorts av myndigheten eller av någon annan, som har försett myndigheten med personupp- giften. Frågan behandlas i avsnitt 15.4.1–15.4.3.

Genom bestämmelsen ges den registrerade en rätt att begära att en myndighet ska vidta åtgärder för att rätta eller komplettera en personuppgift som den registrerade anser bör rättas eller komplet- teras. Av bestämmelsen följer en skyldighet för en myndighet att rätta eller komplettera en personuppgift som är felaktig eller ofull- ständig. En sådan skyldighet finns om felaktigheten eller ofullstän- digheten har sin grund i en åtgärd som inte beror på myndighetens eller någon annans bedömning. Det kan exempelvis vara frågan om sådana förbiseendefel som avses i 26 § FL eller ett fel som uppstått p.g.a. något tekniskt förfarande. Den registrerade har däremot inte rätt att begära en rättelse enligt denna bestämmelse i det fall han eller hon anser att personuppgiften inte är relevant eller för gammal med hänsyn till det ändamål för vilket behandlingen äger rum. En begäran om korrigering i ett sådant fall får i stället bedömas med tillämpning av den bestämmelse som finns i 25 §, se kommentaren till den paragrafen. Den registrerades rätt att begära att en person- uppgift ska rättas eller kompletteras och myndighetens skyldighet att vidta åtgärder om uppgiften visar sig vara felaktig eller ofullstän- dig i objektiv mening gäller oavsett i vilket sammanhang person-

716

SOU 2015:39

Författningskommentar

uppgiften behandlas. Bestämmelsen är alltså tillämplig både på person- uppgifter som tagits in i en myndighets beslut och i andra dokument eller uppgiftssamlingar, exempelvis ett register.

25 § En personuppgift ska på begäran av den registrerade avskiljas från fortsatt behandling och inte lämnas ut till en enskild annat än med stöd av 2 kap. tryckfrihetsförordningen eller utplånas, om uppgiften rör honom eller henne och den inte får behandlas enligt denna lag.

Vad som sägs i första stycket gäller inte personuppgifter i ett beslut.

I paragrafen anges under vilka förutsättningar en myndighet på be- gäran av en registrerad ska korrigera en behandling som inte upp- fyller lagens krav. Frågan behandlas i avsnitten 15.4.1, 15.4.2 och 15.4.4.

Enligt första stycket är en myndighet skyldig att på begäran av den registrerade korrigera en behandling av personuppgifter som rör honom eller henne och som inte uppfyller lagens krav. Av de grund- läggande kraven i 9 § PuL följer en allmän skyldighet för den person- uppgiftsansvarige att se till att personuppgifter bara behandlas om det är lagligt och att det alltid sker på ett korrekt sätt. Genom para- grafen görs klart att en myndighet är skyldig att agera om en registre- rad påpekar att en behandling av personuppgifter som rör honom eller henne inte uppfyller lagens krav. För att det ska vara fråga om en skyldighet som följer av paragrafen ska det gälla påpekanden som tar sikte på att en behandling av personuppgifter brister i något annat avseende än de som avses i 24 §, dvs. i något annat avseende än att uppgifterna är i objektiv mening oriktiga eller ofullständiga. Det ska vara fråga om påpekanden som kan bekräftas överensstämma med de krav som gäller för den aktuella behandlingen först efter en bedömning från myndighetens sida och som inte kan åtgärdas genom att personuppgifterna rättas eller kompletteras. Det ska alltså vara fråga om påpekanden från den registrerade som rör att behand- lingen av de aktuella personuppgifterna i något avseende inte alls är tillåten. Som exempel kan nämnas att den registrerade gör gällande att uppgifterna har behandlats under för lång tid och därför inte får behandlas längre, att stöd saknas för att behandla uppgifter efter- som de utgör känsliga personuppgifter eller att uppgifterna inte kan anses relevanta för det ändamål för vilket behandlingen äger rum.

717

Författningskommentar

SOU 2015:39

Om det bedöms att behandlingen inte uppfyller de krav som gäller för den följer av bestämmelsen att myndigheten är skyldig att vidta åtgärder. De åtgärder som omnämns i paragrafen är avskiljan- de eller utplåning av personuppgifter. Begreppet avskiljande syftar till att ersätta termen blockering som används i personuppgiftslagen. Av paragrafen följer, i likhet med vad som är fallet enligt 28 § PuL, att det i princip står myndigheten fritt att välja vilken åtgärd som ska vidtas. För myndigheternas del är detta en princip som emellertid är förenad med betydande undantag när det gäller personuppgifter som ingår i handlingar som är allmänna enligt 2 kap. TF. Grundlags- bestämmelserna i 2 kap. TF gäller före den nya lagen. Detsamma gäller bestämmelser om arkivering av allmänna handlingar (jfr 8 § andra stycket PuL). Om en myndighet konstaterar att en person- uppgift som ingår i en allmän handling har behandlats längre än vad som är tillåtet enligt en gallringsföreskrift, ska den allmänna hand- lingen eller en del av den gallras enligt den föreskriften. Den nya lagen innehåller således inte några egna bestämmelser om gallring. Åtgärden gallring omfattas därför inte av den nu aktuella paragrafen.

En korrigeringsåtgärd som anvisas i paragrafen och som myndig- heten i normalfallet kan vidta för att korrigera en behandling som inte är tillåten är att avskilja de aktuella personuppgifterna från en fortsatt behandling. Att en uppgift avskiljs, exempelvis för att den inte är relevant för det aktuella ändamålet, innebär att den tas bort från den behandling där den inte längre ska förekomma. Som exem- pel kan nämnas att det bedömts att det inte är relevant att den aktuella myndigheten behandlar personuppgiften i fråga genom att offentliggöra den på myndighetens webbplats med hänsyn till det ändamål för vilket publiceringen sker. Om personuppgiften tas bort från informationen på webbplatsen genom att informationen som finns där anonymiseras, innebär det att personuppgiften har avskilts från den behandling som sker på webbplatsen. Personuppgiften kan därefter behandlas på något annat sätt och för något annat ändamål som då är berättigat, exempelvis att den allmänna handling där per- sonuppgiften ingår tillhandahålls på ett annat sätt eller att hand- lingen arkiveras. Om en registrerad anser att en personuppgift som rör honom eller henne har behandlats för länge med hänsyn till vad som sägs i en tillämplig gallringsföreskrift, har den registrerade alltså inte rätt att med stöd av den nu aktuella bestämmelsen begära att den allmänna handlingen där personuppgiften ingår helt eller delvis

718

SOU 2015:39

Författningskommentar

gallras. Däremot har den registrerade rätt att begära att uppgiften avskiljs. Det ankommer därefter på myndigheten att bedöma om så ska ske, och om uppgiften eventuellt också ska gallras. Den senare åtgärden sker emellertid då med stöd av en tillämplig gallringsföre- skrift och inte på grund av vad som sägs i denna lag.

Av paragrafen följer att en otillåten behandling också kan åt- gärdas genom att personuppgifter utplånas. Med utplåning avses samma slags åtgärd som i 28 § PuL. Att utplåna en personuppgift innebär att det automatiserade medium där de aktuella personupp- gifterna behandlas förstörs eller att uppgifterna i mediet förstörs så att informationen om personuppgifterna inte kan återskapas (jfr Öman/Lindblom, s. 418 f.). Med arkivlagstiftningens terminologi torde utplånande av en personuppgift i en allmän handling närmast avse gallring genom förstöring av handlingen i fråga eller att upp- gifterna i handlingen förstörs (se 2 kap. 1 § Riksarkivets föreskrifter RA-FS 2009:1). För att en allmän handling ska gallras genom att den förstörs eller uppgifter i den förstörs krävs att det finns stöd för det i en gallringsföreskrift. Stöd för att i andra fall förstöra en allmän handling eller uppgifter i en allmän handling finns endast i undantagsfall, exempelvis i fråga om patientjournaler som kan för- störas efter ansökan till Socialstyrelsen (jfr 8 kap. 4 § patientdata- lagen [2008:355]). Saknas ett sådant särskilt författningsstöd eller stöd i en gallringsföreskrift torde en myndighet alltså inte kunna utplåna personuppgifter i en allmän handling på begäran av den registrerade. Utrymmet för en myndighet att på begäran av en re- gistrerad utplåna personuppgifter enbart med stöd av den nu aktuella bestämmelsen torde därför vara begränsat och kan alltså endast avse personuppgifter i handlingar som inte är allmänna.

Tillsynsmyndighetens befogenheter

26 § Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få

1.tillgång till de personuppgifter som behandlas,

2.upplysningar om och dokumentation av behandlingen av person- uppgifter och säkerheten vid denna, och

3.tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

719

Författningskommentar

SOU 2015:39

I paragrafen, som motsvarar 43 § PuL, anges vilka befogenheter till- synsmyndigheter har för att undersöka om en myndighet behandlar personuppgifter på ett tillåtet sätt. Frågan behandlas i avsnitt 17.3.2.

27 § Om tillsynsmyndigheten konstaterar att en myndighet kan kom- ma att behandla personuppgifter på ett olagligt sätt, ska tillsynsmyndig- heten genom påpekanden eller andra åtgärder som inte är tvingande försöka åstadkomma att myndigheten uppfyller sina skyldigheter enligt denna lag eller föreskrifter som meddelats med stöd av den.

I paragrafen anges de åtgärder som tillsynsmyndigheten ska vidta för att förebygga att en myndighet behandlar personuppgifter på ett otillåtet sätt. Frågan behandlas i avsnitt 17.3.3.

Genom paragrafen tydliggörs att tillsynsmyndigheten ska använda sig av åtgärder som inte har en tvingande karaktär endast i de fall då åtgärderna syftar till att förebygga att en behandling ska bli otillåten. Det kan exempelvis ske genom att tillsynsmyndigheten uppmanar en myndighet att utforma sin personuppgiftsbehandling på ett visst sätt för att behandlingen inte ska riskera att bli otillåten. Om be- handlingen däremot konstateras vara otillåten ska åtgärder med stöd av denna bestämmelse inte användas.

28 § Tillsynsmyndigheten får förelägga en myndighet att uppfylla sina skyldigheter, om myndigheten inte uppfyller de krav som följer av denna lag eller föreskrifter som meddelats med stöd av den.

Av föreläggandet ska framgå vad tillsynsmyndigheten anser är nöd- vändigt för att avhjälpa de påtalade bristerna.

I paragrafen anges under vilka förutsättningar som tillsynsmyndig- heten får förelägga en myndighet att vidta åtgärder för att korrigera en behandling. Frågan behandlas i avsnitt 17.3.4.

I första stycket ges tillsynsmyndigheten befogenhet att förelägga en myndighet att fullgöra sina skyldigheter. Som förutsättning för att ett föreläggande ska få meddelas gäller att den myndighet som det riktar sig mot såsom personuppgiftsansvarig inte uppfyller de krav som följer av lagen eller anslutande föreskrifter. Därmed avses samtliga föreskrifter i lagen eller i förordning eller andra föreskrifter som meddelats med stöd av lagen.

720

SOU 2015:39

Författningskommentar

Av andra stycket framgår att föreläggandet ska innehålla uppgift om vad tillsynsmyndigheten anser är nödvändigt för att avhjälpa de brister som konstaterats finnas i fråga om en viss behandling. Till- synsmyndigheten ska alltså använda sig av ett föreläggande i de fall konstaterade brister kan korrigeras genom någon form av åtgärd som inte innebär att behandlingen som sådan behöver upphöra. Som exempel kan nämnas att det i ett register som förs för ett berättigat ändamål behandlas uppgifter rörande en viss eller några personer som inte kan anses relevanta för ändamålet. En korrigering kan då ske genom att just dessa personuppgifter avskiljs från den behand- ling som sker i registret.

29 § Om en myndighet allvarligt brister i sin skyldighet att uppfylla de krav som gäller för en behandling av personuppgifter som myndigheten utför, får tillsynsmyndigheten förbjuda myndigheten att fortsätta be- handlingen på något annat sätt än att personuppgifter lagras. Ett beslut om förbud mot fortsatt behandling gäller omedelbart.

I paragrafen anges under vilka förutsättningar som tillsynsmyndig- heten får förbjuda en behandling. Frågan behandlas i avsnitt 17.3.4.

Genom paragrafen ges tillsynsmyndigheten befogenhet att besluta att en myndighet inte får fortsätta med en viss behandling. För att ett sådant förbud ska få meddelas förutsätts att myndighet på ett allvarligt sätt brister i sina skyldigheter enligt de krav som gäller för behandlingen. Det ska alltså vara frågan om sådana brister i det skydd som ska finnas för personuppgifterna som omfattas av behandlingen som inte kan avhjälpas genom att vissa åtgärder vidtas utan att ett fullgott skydd endast kan uppnås genom att behandlingen som sådan upphör. Som exempel kan nämnas att en viss behandling av personuppgifter sker för ett ändamål som inte kan anses berättigat med hänsyn till det uppdrag som myndigheten har såsom det har kommit till uttryck i myndighetens instruktion och andra styrande dokument.

30 § Tillsynsmyndigheten får hos förvaltningsrätten inom vars domkrets tillsynsmyndigheten är belägen ansöka om att sådana personuppgifter som har behandlats på ett olagligt sätt ska utplånas.

721

Författningskommentar

SOU 2015:39

I paragrafen anges under vilka förutsättningar tillsynsmyndigheten får ansöka hos en förvaltningsrätt om utplåning av personuppgifter. Frågan behandlas i avsnitt 17.3.6.

Paragrafen motsvarar 47 § första stycket PuL.

Bemyndiganden

31 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.när behandling av personuppgifter är tillåten,

2.vilka krav som ställs på en personuppgiftsansvarig myndighet, och

3.att känsliga personuppgifter får behandlas om det behövs med hänsyn till ett viktigt allmänt intresse.

Regeringen får meddela föreskrifter om begränsningar av möjlig- heterna att använda andra sökbegrepp än de som avses i 12 §.

I paragrafen anges de bemyndiganden som behövs för att regeringen eller den myndighet som regeringen bestämmer ska kunna meddela bestämmelser som utgör en särreglering i förhållande till lagen. Frågan behandlas i avsnitt 18.2.2.

Överklaganden

32 § Tillsynsmyndighetens beslut enligt denna lag om annat än före- skrifter får överklagas till allmän förvaltningsdomstol.

Tillsynsmyndigheten får bestämma att dess beslut ska gälla även om det överklagas.

I paragrafen anges när tillsynsmyndighetens beslut får överklagas. Frågan behandlas i avsnitt 18.3.3.

33 § Beslut om rättelse eller komplettering enligt 24 §, om avskiljande eller utplåning enligt 25 § och om information enligt 26 § personupp- giftslagen (1998:204) får överklagas till allmän förvaltningsdomstol.

Första stycket gäller inte för beslut av regeringen, Högsta domstolen, Högsta förvaltningsdomstolen eller riksdagens ombudsmän.

722

SOU 2015:39

Författningskommentar

I paragrafen anges i vilken utsträckning den registrerade får över- klaga en personuppgiftsansvarig myndighets beslut som myndigheten har fattat med stöd av lagen. Frågan behandlas i avsnitt 18.3.3.

Bestämmelsen innebär att en rätt att överklaga finns i de fall myndigheten fattar beslut som direkt berör den enskilde. Sådana beslut kan överklagas till allmän förvaltningsdomstol. Någon rätt att överklaga beslut som fattats av de högsta statsorganen finns emellertid inte.

34

§ Andra beslut enligt denna lag än sådana som avses i 32 § och

33

§ första stycket får inte överklagas.

 

Prövningstillstånd krävs vid överklagande till kammarrätten.

Enligt paragrafen gäller att inte några andra beslut får överklagas än de som avses i övriga bestämmelser om överklagande. Någon rätt att med stöd av förvaltningslagen överklaga beslut som en myndig- het har fattats med stöd av lagen finns alltså inte. Frågan behandlas i avsnitt 18.3.3.

21.2Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)

10 kap.

28 §

Sekretess hindrar inte att en uppgift lämnas till en annan myndig- het, om uppgiftsskyldighet följer av lag eller förordning.

Sekretess hindrar inte heller att en uppgift lämnas till en annan myndighet genom direktåtkomst enligt vad som föreskrivs i lag eller förordning.

Ytterligare sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess finns i anslutning till berörda sekretess- bestämmelser i avdelning IV–VI.

I paragrafen har ett nytt andra stycke införts med en sekretess- brytande bestämmelse vid direktåtkomst. Frågan behandlas i av- snitt 11.1.3. och 11.1.4.

Den nya bestämmelsen i andra stycket innebär att en föreskrift i lag eller förordning genom vilken en myndighet får eller ska medges

723

Författningskommentar

SOU 2015:39

direktåtkomst blir i sig sekretessbrytande. Om en sådan bestäm- melse införs behöver det alltså inte därutöver införas en bestäm- melse som ska ha en sekretessbrytande effekt, exempelvis i form av en bestämmelse om uppgiftsskyldighet. Med direktåtkomst avses sådan teknisk tillgång till upptagningar hos en annan myndighet som avses i 2 kap. 3 § TF (jfr prop. 2007/08:160 s. 164). Det innebär att upptagningarna ska vara tillgängliga med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas, avlyssnas eller uppfattas på annat sätt.

För att en bestämmelse om direktåtkomst ska vara sekretess- brytande krävs att den anges i lag eller förordning. Därmed knyter denna bestämmelse an till 13 § i förslaget till en ny lag om myndig- heters personuppgiftsbehandling med krav på stöd i lag eller förord- ning för att direktåtkomst till sekretessreglerade personuppgifter ska få medges. Med lag avses, i likhet med 8 kap. 1 § OSL, också EU- förordning. Bestämmelsen tar emellertid endast sikte på att bryta sekretess då direktåtkomst medges svenska myndigheter, vilket stäm- mer överens med vad som gäller enligt första stycket. I fråga om direktåtkomst som medges utländska myndigheter gäller i stället vad som föreskrivs i 8 kap. 3 §. Bestämmelsen gäller inte heller i fråga om direktåtkomst som medges enskilda. Genom bestämmelsen bryts sekretess inte bara då en myndighet medges direktåtkomst till personuppgifter utan också då åtkomsten avser andra sekretess- belagda uppgifter.

För att en föreskrift i lag eller förordning om direktåtkomst ska ha en sekretessbrytande effekt enligt denna bestämmelse krävs att den har en sådan konkretion att det framgår i fråga om vilka upp- gifter som sekretessen bryts. Det krävs vidare att den medgivna direktåtkomsten omfattar samtliga uppgifter som åtkomsten avses gälla, eftersom alla dessa uppgifter lämnas ut till den mottagande myndigheten i den stund åtkomsten faktiskt etableras.

724

Särskilt yttrande

av experten Per Furberg

Jag delar utredningens bedömning att det bör införas en myndig- hetsdatalag. Det framstår vidare som angeläget att den föreslagna regleringen genomförs så snart det blir möjligt. Jag har emellertid en annan uppfattning än utredningen när det gäller frågan om direkt- åtkomst.

Utredningen har byggt sitt förslag på vad som ska anses vara förvarat och inkommet enligt 2 kap. TF hos myndighet. Denna gräns, som är delvis oklar, föreslås således vara avgörande för huru- vida s.k. direktåtkomst ska anses föreligga. Det hade enligt min mening varit önskvärt att närmare få belyst vari skillnaden mellan olika former av elektroniska utlämnanden består och vilka verk- ningarna kan antas bli från persondataskyddssynpunkt.

Till detta kommer det förbud som utredningen föreslår mot direktåtkomst, till personuppgifter som är sekretessreglerade, i annan utsträckning än som anges i lag eller förordning. En ny elektronisk tjänst där s.k. direktåtkomst aktualiseras, som avser sekretessregle- rade uppgifter, måste därmed föregås av ett lagstiftningsärende eller ett ärende om en förordningsändring. Att införa eller bibehålla tjänster som bygger på annat automatiserat elektroniskt utläm- nande än direktåtkomst kan bli en utmaning med beaktande av den otydlighet som kan komma att finnas. Sannolikt styrs utvecklingen istället mot en allt mer omfattande direktåtkomst, med de kon- sekvenser för upprätthållandet av gränser mellan myndigheter som det kan föra med sig.

Enligt min mening hade utredningens konsekvensanalys därför bort innefatta en bedömning av de risker och kostnader som detta kan antas föra med sig för bl.a. utvecklingen av elektronisk förvalt- ning och möjligheterna att ge enskilda den service som de förväntar sig i elektronisk miljö.

725

Bilaga 1

Kommittédirektiv 2011:86

Integritet, effektivitet och öppenhet i en modern e-förvaltning

Beslut vid regeringssammanträde den 6 oktober 2011

Sammanfattning av uppdraget

En särskild utredare ska se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor i syfte att skapa rättsliga förut- sättningar för en mer effektiv e-förvaltning, där såväl den enskildes rätt till personlig integritet som allmänhetens berättigade anspråk på insyn i den offentliga verksamheten tillgodoses. Utredaren ska bl.a.

överväga om definitionen av begreppet ”allmän handling” i tryckfrihetsförordningen (TF) är lämpligt utformad när det gäller sådana uppgifter som en myndighet har tillgång till genom s.k. direktåtkomst hos en annan myndighet eller genom liknande former av elektroniskt utlämnande och, om utredaren anser att definitionen bör ändras, lämna förslag till ändring av denna,

överväga om det finns skäl att i registerförfattningar bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande,

göra en översiktlig inventering av registerförfattningarna och närmare analysera hur dessa fungerar inom tre olika verksam- hetsområden,

med beaktande av utvecklingen inom EU och Europarådet ut- arbeta en generell modell för reglering av registerfrågor och,

727

Bilaga 1

SOU 2015:39

med modellen som mall, lämna konkreta förslag till register- författningar inom de tre verksamhetsområdena, och

överväga vilka typer av allmänna handlingar inom de tre verk- samhetsområdena som den eller de aktuella myndigheterna ska ha skyldighet att lämna ut elektroniskt och lämna de förslag som dessa överväganden föranleder.

Förslagen ska syfta till att regleringen i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400, OSL) samt register- regleringen tillsammans inom respektive område ska utgöra en tyd- ligare och mer lättillämpad helhet.

De delar av uppdraget som avser frågan om definitionen av ”all- män handling” bör ändras respektive om det finns skäl att i register- författningarna även fortsättningsvis bibehålla åtskillnaden mellan olika former av elektroniskt utlämnande, ska redovisas i ett del- betänkande senast den 1 december 2012. I den förstnämnda delen ska utredaren samråda med en parlamentarisk referensgrupp. Rege- ringen kommer, efter att ha inhämtat synpunkter från utredaren, att i tilläggsdirektiv precisera inom vilka tre verksamhetsområden som utredaren ska lämna förslag till registerförfattningar. Upp- draget ska slutredovisas senast den 1 december 2014.

Bakgrund

I princip all framställning av information hos myndigheterna sker numera på elektronisk väg. Myndigheterna tar dessutom i allt större utsträckning emot information genom elektronisk kommunika- tion. Härtill kommer att handlingar till stor del även lagras elek- troniskt. När myndigheter ska utbyta uppgifter är det därför i stor utsträckning önskvärt att uppgiftslämnandet sker med hjälp av modern informationsteknik. Utökad elektronisk informationsöver- föring mellan myndigheter effektiviserar beslutsprocesserna och medför fördelar för enskilda, eftersom insamlandet av korrekta och aktuella uppgifter underlättas och snabbare besked kan ges. Elek- tronisk informationsöverföring är också ekonomiskt effektiv i för- hållande till uppgiftslämnande på annat sätt, t.ex. per telefon eller fax. Samtidigt är det av central betydelse att integritetsaspekterna beaktas.

728

SOU 2015:39

Bilaga 1

Regeringen bedriver ett omfattande förvaltningspolitiskt reform- arbete som bl.a. syftar till att effektivisera förvaltningen och för- enkla mötet med medborgare och företag genom elektronisk för- valtning (prop. 2009/10:175 s. 25). I januari 2008 fastställde rege- ringen en handlingsplan för elektronisk förvaltning (Fi2008/491). I handlingsplanen anges som övergripande mål för e-förvaltningen att det ska vara så enkelt som möjligt för så många som möjligt att fullgöra sina skyldigheter samt att ta del av förvaltningens service. Detta övergripande mål ska uppnås med hjälp av insatser inom fyra olika områden. Ett av de insatsområden som identifieras i hand- lingsplanen är regelverk för myndighetsövergripande samverkan och informationshantering.

För att stärka utvecklingen av e-förvaltningen och skapa goda förutsättningar för myndighetsövergripande samordning inrättade regeringen i mars 2009 en delegation för e-förvaltning (dir. 2009:19). E-delegationen ska bl.a. koordinera de statliga myndigheternas it- baserade utvecklingsprojekt och följa upp deras effekter.

Nästan varje gång elektronisk informationsöverföring mellan myndigheter ska införas, ändras eller utökas måste ändringar göras i de aktuella registerförfattningarna. Vidare måste komplicerade överväganden göras enligt offentlighets- och sekretesslagen, och även den lagen kan behöva ändras. Om de grundläggande reglerna i tryckfrihetsförordningen och offentlighets- och sekretesslagen samt den principiella uppbyggnaden av registerförfattningarna inte är anpassade till varandra – utifrån de olika intressen dessa bestäm- melser avser att skydda – blir det svårt att i ett enskilt lagstift- ningsärende om elektronisk informationsöverföring mellan två eller flera myndigheter hitta en lösning som är tillfredsställande från integritets-, effektivitets- och öppenhetssynpunkt.

För att ytterligare kunna effektivisera förvaltningen med hjälp av modern informationsteknik är det därför viktigt dels att respek- tive regelverk är väl genomtänkt och så enkelt som möjligt att tillämpa, dels att dessa regelverk är förenliga med varandra. Mot denna bakgrund finns det behov av att göra en samlad översyn av dessa regelverk i relevanta delar. Med hänsyn till regelverkens komplexa natur och till att såväl Europarådet som EU ser över sina respektive dataskyddsregler lämnas inledningsvis en redogörelse för Sveriges internationella åtaganden och gällande svensk rätt på de aktuella områdena.

729

Bilaga 1

SOU 2015:39

Internationella åtaganden

Europarådets dataskyddskonvention

De dataskyddsregler som antagits inom ramen för Europarådet finns i första hand i den europeiska konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (CETS 108), den s.k. dataskyddskonventionen, och dess tilläggsprotokoll. Kon- ventionen kompletteras av ett antal av ministerkommittén antagna rekommendationer om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen. Under 2010 har Europa- rådet inlett en översyn av denna konvention.

EU:s dataskyddsreglering och det svenska genomförandet

Inom den f.d. första pelaren inom EU, som bl.a. innefattar den inre marknaden, preciseras och stärks Europarådets dataskyddskonven- tion genom Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av per- sonuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Syftet med dataskyddsdirektivet är dels att garantera en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels att denna skyddsnivå ska vara likvärdig i alla medlemsstater så att staterna inte ska kunna hindra det fria flödet av personuppgifter inom EU med hänvisning till sina respektive dataskyddsregleringar. Inom den f.d. tredje pelaren, som innefattar det polisiära och straffrättsliga samarbetet, gäller rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, det s.k. dataskyddsrambeslutet.

Dataskyddsdirektivet är införlivat i den nationella lagstiftningen genom personuppgiftslagen (1998:204). Denna lag innehåller gene- rella regler som, med vissa undantag, ska tillämpas i hela samhället av både myndigheter och enskilda. Den är dock subsidiär i för- hållande till annan lag eller förordning. Behov av undantag och pre- ciseringar på olika områden kan därmed tillgodoses genom sär- reglering i s.k. registerförfattningar. En sådan särreglering får dock inte stå i strid med dataskyddskonventionen, dataskyddsdirektivet

730

SOU 2015:39

Bilaga 1

eller dataskyddsrambeslutet. Möjligheten att i en registerförfatt- ning föreskriva särskilda bestämmelser för en viss typ av verksam- het har utnyttjats flitigt i den nationella lagstiftningen och det finns uppskattningsvis ca 200 registerförfattningar, t.ex. polisdatalagen (2010:361) och patientdatalagen (2008:355).

Frågan om hur dataskyddsrambeslutet ska genomföras i Sverige har utretts av en särskild utredare (dir. 2010:17). Denne har lämnat förslag till genomförande i delbetänkandet Dataskydd vid europeiskt polisiärt och straffrättsligt samarbete (SOU 2011:20). Betänkandet bereds inom Regeringskansliet.

En översyn av EU:s dataskyddsreglering

Genom Lissabonfördraget har det skett vissa förändringar av be- tydelse för dataskyddsregleringen inom EU. Den grundläggande rätten till skydd av personuppgifter regleras i artikel 8 i EU:s stadga om de grundläggande rättigheterna, vilken har gjorts rättsligt bind- ande. I artikel 16 i fördraget om EU:s funktionssätt anges vidare att Europaparlamentet och rådet – i enlighet med det ordinarie lag- stiftningsförfarandet – ska fastställa bestämmelser om skydd för enskilda personer vid behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpnings- område, samt om den fria rörligheten för sådana uppgifter. Denna bestämmelse ger således en rättslig grund för reglering av person- uppgiftsskydd i alla verksamheter som omfattas av EU-rätten.

EU-kommissionen har i ett meddelande, ”Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen” (KOM [2010] 609), aviserat en strategi för en översyn av EU:s dataskyddsreglering. I meddelandet konstateras att den teknologiska utvecklingen och globaliseringen har medfört att det finns skäl att se över EU:s data- skyddsregelverk för att se till att det fortfarande erbjuder ett tillräckligt skydd. Vidare konstaterar kommissionen att många intressenter har framfört att det – trots den EU-rättsliga regleringen – fortfarande finns skillnader på nationell nivå som utgör ett hinder mot den inre marknaden. Kommissionen betonar därför behovet av ytterligare harmonisering. Kommissionen fram- håller också behovet av ett heltäckande dataskyddsregelverk som,

731

Bilaga 1

SOU 2015:39

till skillnad från dataskyddsdirektivet, även omfattar den f.d. tredje pelaren. I meddelandet anges att kommissionen kommer att lägga fram förslag till lagstiftning rörande den övergripande rättsliga ramen för personuppgiftsskydd under 2011.

Gällande nationell rätt

Den svenska grundlagsregleringen avseende skydd för personuppgifter

Tidigare har det i 2 kap. 3 § andra stycket regeringsformen (RF) föreskrivits att varje medborgare, i den utsträckning som närmare anges i lag, ska skyddas mot att hans eller hennes personliga integritet kränks genom att uppgifter om honom eller henne regi- streras med hjälp av automatisk databehandling. Bestämmelsen utgjorde inte något individuellt rättighetsskydd för enskilda, utan innebar endast att lagstiftaren var skyldig att i lag upprätthålla någon form av integritetsskydd i fråga om automatiserad behandling av personuppgifter.

Den 1 januari 2011 ersattes nämnda bestämmelse av en ny bestämmelse i 2 kap. 6 § andra stycket RF, enligt vilken var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhåll- anden. Begränsningar av denna fri- och rättighet får dock enligt 2 kap. 20 § första stycket 2 RF under vissa förutsättningar göras i lag. I en övergångsbestämmelse anges att äldre föreskrifter som innebär betydande intrång i den personliga integriteten behåller sin giltighet, dock längst t.o.m. den 31 december 2015. Grundlagsänd- ringen medför bl.a. att viss personuppgiftsbehandling som för när- varande regleras i förordning i framtiden måste regleras i lag.

Offentlighetsprincipen

Allmänhetens möjlighet till insyn i den offentliga förvaltningen är av avgörande betydelse för en väl fungerande demokrati. Sedan 1766 har denna grundläggande rättighet – offentlighetsprincipen – varit reglerad i den svenska grundlagen. Offentlighetsprincipen inne- bär att allmänheten och massmedierna ska ha möjlighet till insyn i

732

SOU 2015:39

Bilaga 1

statens och kommunernas verksamhet. Offentlighetsprincipen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänstemän, genom domstolsoffentlighet och genom offentlighet vid beslutande församlingars sammanträden. När det mer allmänt talas om offentlighetsprincipen åsyftas emeller- tid ofta i första hand reglerna om allmänna handlingars offentlighet i 2 kap. TF.

Med handling förstås enligt 2 kap. 3 § första stycket TF fram- ställningar i skrift eller bild som kan uppfattas utan tekniskt hjälp- medel, dvs. handlingar i traditionell form. Med handling förstås därutöver upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. För att det ska finnas en rätt att ta del av en handling hos en myndighet krävs för det första att handlingen förvaras hos myndigheten. För det andra krävs att handlingen har nått ett sådant stadium i handläggningen att den är att betrakta som allmän. En handling måste därför antingen vara inkommen till eller upprättad hos myndigheten för att en rätt till insyn ska föreligga (2 kap. 6 och 7 §§ TF).

Den som önskar ta del av en allmän handling har rätt att göra detta på två olika sätt. Personen i fråga kan antingen avgiftsfritt ta del av handlingen genom att myndigheten tillhandahåller den på stället (2 kap. 12 § TF) eller mot avgift få den utlämnad till sig i avskrift eller kopia (2 kap. 13 § TF). En upptagning för automati- serad behandling behöver dock aldrig lämnas ut i annan form än utskrift i större utsträckning än vad som följer av lag. Syftet med detta s.k. utskriftsundantag är att förhindra att utlämnade uppgifter behandlas automatiserat på ett sätt som kan medföra otillbörliga integritetsintrång (prop. 1973:33 s. 85 f.).

Potentiella handlingar och färdiga elektroniska handlingar

Som nämns ovan kan endast de handlingar som förvaras hos myn- digheten omfattas av handlingsoffentlighet. En upptagning anses enligt 2 kap. 3 § andra stycket TF förvarad hos myndigheten om upptagningen är tillgänglig för myndigheten med tekniskt hjälp- medel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. För att när- mare kunna avgöra om en upptagning för automatiserad behandling

733

Bilaga 1

SOU 2015:39

är tillgänglig för myndigheten brukar en uppdelning göras mellan potentiella (elektroniska) handlingar och färdiga elektroniska hand- lingar.

En potentiell handling, dvs. en sammanställning av uppgifter som en myndighet har tekniska möjligheter att göra, är enligt 2 kap. 3 § andra stycket sista meningen TF förvarad hos myndigheten om denna kan göra sammanställningen tillgänglig med ”rutinbetonade åtgärder” (prop. 1975/76:160 s. 90). En sådan sammanställning an- ses dock inte vara förvarad hos myndigheten i tryckfrihetsförord- ningens mening om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Detta framgår av den s.k. be- gränsningsregeln i 2 kap. 3 § tredje stycket TF. Med person- uppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Om myndigheten så- lunda saknar befogenhet att ta fram vissa upplysningar ur t.ex. ett personregister är dessa upplysningar inte allmänna handlingar hos myndigheten. Syftet med begränsningsregeln är att hindra allmän- heten från att kunna göra anspråk på att få ta del av information hos myndigheten som myndigheten själv, av hänsyn till enskildas personliga integritet, är förhindrad att använda sig av. Begränsnings- regeln gäller alltså även om sammanställningen kan tas fram med rutinbetonade åtgärder.

En färdig elektronisk handling, vilken är tillgänglig för myndig- heten i uppfattbar form med tekniskt hjälpmedel som myndigheten själv utnyttjar, t.ex. en PDF-fil eller ett e-postmeddelande, anses förvarad hos myndigheten trots att det kan krävas mer än rutin- betonade åtgärder för att göra handlingen tillgänglig (prop. 2001/02:70 s. 20 f.). Färdiga elektroniska handlingar omfattas inte heller av begränsningsregeln.

En upptagning anses inkommen till en myndighet när den gjorts tillgänglig för myndigheten på det sätt som anges i 2 kap. 3 § andra stycket TF, dvs. med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas (2 kap. 6 § första stycket TF).

734

SOU 2015:39

Bilaga 1

Begränsningsregelns närmare innebörd

Begränsningsregeln i 2 kap. 3 § tredje stycket TF innebär att data- skyddsbestämmelser i lag eller förordning får betydelse för hur om- fattande begreppet ”allmän handling” är i praktiken.

Enligt dataskyddsdirektivet och personuppgiftslagen får person- uppgifter bara samlas in för särskilda, uttryckligt angivna och be- rättigade ändamål (9 § första stycket c personuppgiftslagen). Enligt den s.k. finalitetsprincipen får en personuppgift inte behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in (9 § första stycket d). I förarbetena till personuppgifts- lagen har dock uttalats att en myndighets utlämnande av person- uppgifter med stöd av offentlighetsprincipen inte kan anses ofören- ligt med de ändamål för vilket uppgifterna ursprungligen samlades in (prop. 1997/98:44 s. 44). Regler om s.k. ändamålsbegränsningar, dvs. bestämmelser i registerförfattningar om för vilka ändamål myndigheten får behandla uppgifterna, anses inte heller inskränka myndighetens skyldighet enligt offentlighetsprincipen att samman- ställa personuppgifter (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Sistnämnda ställningstagande harmonierar väl med det s.k. efterfrågeförbudet i 2 kap. 14 § tredje stycket TF, av vilket det följer att en myndighet inte får fråga någon som begär ut en allmän handling vem han eller hon är eller vilket syfte han eller hon har med sin begäran, i större utsträckning än vad som behövs för att myndigheten ska kunna göra en sekretessprövning.

Så kallade sökbegränsningar, dvs. förbud i lag eller förordning mot att söka fram uppgifter eller göra sammanställningar med hjälp av vissa sökord, är dock i vissa fall avgörande för vilka samman- ställningar som utgör allmänna handlingar. Det står nämligen klart att om den myndighet som förvarar en upptagning för automati- serad behandling under inga omständigheter får göra sammanställ- ningar av uppgifter ur upptagningen med hjälp av vissa sökord har inte heller allmänheten rätt att ta del av en sådan sammanställning. Vissa sökbegränsningar som inte är absoluta utan tillåter sökning under särskilt angivna förutsättningar har dock ansetts sakna be- tydelse för frågan om sammanställningen utgör en allmän handling (se 3 kap. 6–7 §§ polisdatalagen [2010:361] och prop. 2009/10:85 s. 154 f., jfr prop. 2001/02:70 s. 23).

735

Bilaga 1

SOU 2015:39

Sekretess

Rätten att ta del av en allmän handling gäller inte utan undantag. Denna rätt får dock begränsas endast om det är påkallat med hän- syn till vissa i 2 kap. 2 § TF uppräknade intressen. Sådan begräns- ning ska anges i en särskild lag. Den lag som avses är offentlighets- och sekretesslagen. I denna lag finns bestämmelser om sekretess som syftar till att skydda såväl allmänna som enskilda intressen.

Enligt 8 kap. 1 och 2 §§ OSL gäller sekretess inte bara i för- hållande till allmänheten, utan också mellan myndigheter samt mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Offentlighets- och sekretesslagen innehåller dock även sekretessbrytande regler. Som exempel kan nämnas 10 kap. 28 § första stycket OSL, som anger att sekretess inte hindrar att uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.

Förhållandet mellan bestämmelser om direktåtkomst och sekretessbrytande regler

Bestämmelser om direktåtkomst i registerförfattningar brukar for- muleras så att en myndighet har rätt att få ha direktåtkomst till vissa uppgifter hos en annan myndighet. Sådana bestämmelser innebär dock bara att lagstiftaren eller regeringen ger den utläm- nande myndigheten rätt att bevilja den mottagande myndigheten direktåtkomst till de nämnda uppgifterna, om den utlämnande myndigheten bedömer att säkerhetsfrågor m.m. kan lösas på ett tillfredsställande sätt.

Bestämmelser om direktåtkomst anses inte ha en sekretess- brytande effekt enligt offentlighets- och sekretesslagen (se t.ex. prop. 2004/05:164 s. 83). Det beror på att bestämmelser om direkt- åtkomst har en annan funktion än de sekretessbrytande reglerna. Sekretessbrytande regler anger i vilken mån sekretessbelagda upp- gifter överhuvudtaget får lämnas från en myndighet till en annan. Bestämmelser om direktåtkomst tar sikte på formen för utläm- nandet. På grund av de sammanställningsmöjligheter och möjlig- heter till spridning av uppgifter som en automatiserad behandling erbjuder anses det vara mer känsligt från integritetssynpunkt att lämna ut uppgifter elektroniskt än på papper. En myndighet kan

736

SOU 2015:39

Bilaga 1

således enligt en bestämmelse om uppgiftsskyldighet ha skyldighet att lämna ut vissa uppgifter till en annan myndighet, men den mottagande myndigheten kanske bara har rätt att ha direktåtkomst till vissa av dessa uppgifter. Om tanken är att en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelsen om direktåtkomst komplet- teras med en sekretessbrytande bestämmelse.

Det är vanligt att registerförfattningar stadgar att en myndighet får ha direktåtkomst till vissa angivna typer av uppgifter hos en annan myndighet beträffande personer som är aktuella i ärenden hos den mottagande myndigheten. Detta innebär att myndigheten bara får söka efter uppgifter om en person efter det att personen har blivit aktuell i ett ärende hos myndigheten. Rent tekniskt måste dock myndigheten ha möjlighet att ta del av sådana uppgifter beträffande alla personer som är registrerade hos den utlämnande myndigheten, eftersom den mottagande myndigheten inte i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden hos myndigheten. Med hänsyn härtill har tolkningen av begräns- ningsregeln i 2 kap. 3 § tredje stycket TF behandlats i flera lagstift- ningsärenden rörande elektroniskt informationsutbyte mellan myndigheter. Det har då konstaterats att som huvudregel blir sådan överskottsinformation som en myndighet rent tekniskt har tillgång till hos en annan myndighet i samband med direktåtkomst att betrakta som en allmän handling hos den mottagande myndig- heten, även om den mottagande myndigheten enligt den tillämpliga registerförfattningen vid ett givet tillfälle inte har rätt att behandla uppgifterna för egen del. Det sagda gäller dock inte uppgifter som omfattas av ett absolut s.k. sökförbud enligt den aktuella register- författningen (prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). De sekretessbrytande regler som ska möjliggöra uppgifts- utbytet måste bl.a. av detta skäl normalt omfatta även sådan över- skottsinformation som den utlämnande myndigheten rent tekniskt gör tillgänglig för den mottagande myndigheten i samband med direktåtkomst (prop. 2007/08:160 s. 70 f.). Sådana sekretessbryt- ande bestämmelser har således ett relativt omfattande tillämpnings- område.

De sekretessbrytande bestämmelserna kan kompletteras av andra bestämmelser som innebär ett integritetsskydd för den enskilde. Bestämmelser om direktåtkomst som anger att handläggarna hos

737

Bilaga 1

SOU 2015:39

den mottagande myndigheten bara får ta del av uppgifter som avses i de sekretessbrytande bestämmelserna beträffande personer som är aktuella i ärenden hos den mottagande myndigheten utgör ett sådant skydd. Den tekniska utvecklingen har även lett till att det numera är möjligt att inom den mottagande myndigheten införa tekniska spärrar mellan teknikavdelningen och handläggarna som t.ex. medför att en handläggare inte bara är rättsligt utan även tek- niskt förhindrad att söka på andra personer än sådana som är aktu- ella hos myndigheten. Integritetsskyddande bestämmelser i den mottagande myndighetens registerförfattning och i personuppgifts- lagen om säkerhet m.m. samt bestämmelsen om överföring av sekretess i 11 kap. 4 § OSL (se närmare nedan) utgör också ett integritetsskydd.

På grund av att sekretessbrytande regler som införs med anled- ning av direktåtkomst har en så vid utformning har regeringen anfört att en mottagande myndighet i sin arbetsordning bör ange vilka personer som för vilka syften har behörighet att för myndig- hetens räkning ta del av de uppgifter som anges i de sekretess- brytande bestämmelserna. Sådana föreskrifter fyller beträffande ut- lämnande via telefon eller brev samma integritetsskyddande funk- tion som ovan beskrivna bestämmelser om direktåtkomst gör när det gäller elektroniskt inhämtande av information (prop. 2007/08:160 s. 72). I ett senare lagstiftningsärende har regeringen anfört att integritetsskyddet blir ännu starkare om det på lag- eller förord- ningsnivå i stället tas in två olika typer av sekretessbrytande bestäm- melser, dels en sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande i enskilda fall och som kan användas vid utläm- nande av uppgifter t.ex. via telefon eller mejl, dels en vidare sekre- tessbrytande bestämmelse som bara gäller vid direktåtkomst. Den förra typen av sekretessbrytande regel kan behövas t.ex. om det på grund av tekniska problem tillfälligt inte går att använda sig av direktåtkomst (prop. 2010/11:78 s. 21).

Förhållandet mellan direktåtkomst, begreppet allmän handling och sekretessbestämmelser

Eftersom huvudregeln är att s.k. överskottsinformation som blir tekniskt tillgänglig för den mottagande myndigheten i samband med direktåtkomst blir allmän handling hos den mottagande myn-

738

SOU 2015:39

Bilaga 1

digheten, kan allmänheten begära att få ta del av uppgifter hos den mottagande myndigheten även i situationer när den mottagande myndigheten av integritetsskäl bör vara förhindrad att ens titta på uppgifterna i fråga. En sådan situation förutsågs i samband med antagandet av patientdatalagen. Vid sammanhållen journalföring mellan flera olika vårdgivare får en vårdgivare enligt patientdata- lagen inte ta del av uppgifter som andra vårdgivare lagt in i sys- temet om inte patienten samtycker till det. Eftersom uppgifter som är tekniskt tillgängliga hos en vårdgivare som huvudregel är en allmän handling där kan dock enskilda begära att få ut dem där, oaktat att vårdgivaren inte har rätt att titta på uppgifterna enligt patientdatalagen. Med anledning av att en sekretessprövning nor- malt kräver att befattningshavare granskar den handling som begärs ut föreslogs i lagstiftningsärendet en ny sekretessbestämmelse av innebörd att det gäller absolut sekretess för uppgifter som en vård- givare har teknisk tillgång till, men som vårdgivaren inte har rätt att titta på enligt patientdatalagen. Denna konstruktion innebär att hälso- och sjukvårdspersonalen vid begäran om utfående av sådana uppgifter inte behöver ta del av de begärda uppgifterna för att kunna avgöra sekretessfrågan (25 kap. 2 § OSL och prop. 2007/08:126 s. 126 f.).

Eftersom det inte alltid finns sekretessbestämmelser som hos en mottagande myndighet är tillämpliga på sådan överskottsinforma- tion som myndigheten får teknisk tillgång till vid direktåtkomst har det, för det fall uppgifterna omfattas av sekretess hos den ut- lämnande myndigheten, införts en bestämmelse om överföring av sekretess vid direktåtkomst (11 kap. 4 § OSL, prop. 2007/08:160 s. 72 f.). Sistnämnda bestämmelse kompletteras av en undantags- bestämmelse i 11 kap. 8 § OSL. Undantagsbestämmelsen stadgar att sekretess som är direkt tillämplig hos den mottagande myndig- heten, s.k. primär sekretess, har företräde framför överförd sekre- tess och det oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen. Med hänsyn till denna undantagsbestämmelse gjordes i propositionen bedömningen att bestämmelsen om överföring av sekretess vid direktåtkomst inte rubbade den grundläggande principen i sekretesslagstiftningen att sekretessbehovet alltid ska vägas mot insynsintresset samt att denna

739

Bilaga 1

SOU 2015:39

avvägning kan utfalla på skilda sätt hos olika myndigheter och inom olika områden (prop. 2007/08:160 s. 34 och 75 f.). Denna princip innebär således att en och samma uppgift kan vara hemlig hos den utlämnande myndigheten och offentlig hos den mottagande myn- digheten.

Om uppgifterna har ett svagare sekretesskydd hos den mottag- ande myndigheten än hos den utlämnande myndigheten kan dock undantagsregeln i 11 kap. 8 § OSL, beroende på hur sekretesskyddet hos den mottagande myndigheten är konstruerat, i vissa fall med- föra att stora delar av den utlämnande myndighetens databas får ett mycket svagare sekretesskydd hos den mottagande myndigheten, trots att detta svagare skydd är motiverat bara beträffande de upp- gifter som faktiskt används i den mottagande myndighetens verk- samhet. Detta är inte lämpligt från integritetssynpunkt. I en sådan situation måste ytterligare överväganden göras för att åstadkomma ett skydd för sådan överskottsinformation som i och för sig är tekniskt tillgänglig för den mottagande myndigheten men som denna inte använder i sin verksamhet (prop. 2007/08:160 s. 95).

Elektroniskt utlämnande av allmänna handlingar till allmänheten

Som nämns tidigare följer av det s.k. utskriftsundantaget i tryck- frihetsförordningen att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (2 kap. 13 § TF). Bestämmelsen syftar till att minimera riskerna för otillbörliga inte- gritetsintrång. Av förordningen (2003:234) om tiden för tillhanda- hållande av domar och beslut, m.m. framgår att en handling får skickas med telefax eller elektronisk post eller på annat sätt till- handahållas i elektronisk form, om det är lämpligt (10 §).

E-offentlighetskommittén fick i uppdrag att överväga om det i dåvarande sekretesslagen (1980:100) eller i annan lag bör införas en bestämmelse som medför en generell skyldighet för myndigheter att lämna ut elektroniskt lagrade allmänna handlingar i elektronisk form. I betänkandet Allmänna handlingar i elektronisk form (SOU 2010:4) anförde kommittén att en utgångspunkt för kommitténs överväganden är att det långsiktiga målet bör vara att myndig- heterna bör ha en i lag reglerad skyldighet att – i den mån det inte

740

SOU 2015:39

Bilaga 1

finns särskilda förbud mot det i lag eller förordning – lämna ut all- männa handlingar i elektronisk form om sökanden så önskar. Kom- mittén ansåg dock att en sådan skyldighet inte kan införas förrän en grundlig genomgång och bearbetning har genomförts av samt- liga registerförfattningar (s. 306 f.).

Uppdraget

Bör definitionen av begreppet ”allmän handling” ändras?

Som framgår ovan innebär den nuvarande regleringen i tryckfri- hetsförordningen att s.k. överskottsinformation som blir tekniskt tillgänglig för den mottagande myndigheten i samband med direkt- åtkomst som huvudregel blir allmän handling hos den myndig- heten. Frågan är om de skillnader som finns mellan den utlämnande myndighetens och den mottagande myndighetens hantering av de berörda uppgifterna gör att det finns skäl att ändra denna ordning.

Skälet till att enskilda har rätt att ta del av potentiella allmänna handlingar är att det anses följa av den s.k. likställighetsprincipen att enskilda bör ha samma möjligheter som aktuell myndighet att ta del av sammanställningar av uppgifter ur upptagningar för auto- matiserad behandling (prop. 1975/76:160 s. 90). Begränsningsregeln i 2 kap. 3 § tredje stycket TF utgör således ett uttryck för likställig- hetsprincipen.

När en myndighet har samlat in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål enligt personuppgifts- lagen och tillämplig registerförfattning, saknar frågan om för vilka ändamål myndigheten sedan får behandla uppgifterna relevans för enskildas rätt att begära ut sammanställningar av uppgifterna. När en annan myndighet därefter ges direktåtkomst till vissa av dessa uppgifter, måste den mottagande myndigheten, på det sätt som har beskrivits ovan, ofta rent tekniskt få tillgång till fler uppgifter än vad rätten till direktåtkomst avser. Uppgifter som genom direkt- åtkomst har överförts till den mottagande myndigheten i ett enskilt fall, t.ex. i ett ärende, anses insamlade hos den mottagande myn- digheten enligt personuppgiftslagen och tillämplig registerförfatt- ning. Överskottsinformation som den mottagande myndigheten rent tekniskt har tillgång till i samband med direktåtkomst, dvs. sådana uppgifter som den mottagande myndigheten vid det aktuella

741

Bilaga 1

SOU 2015:39

tillfället inte har rätt att behandla enligt den tillämpliga register- författningen eftersom myndigheten inte har några ärenden rörande dessa personer, anses däremot inte insamlad i personuppgiftslagens mening hos den mottagande myndigheten. Detsamma gäller upp- gifter som visserligen avser personer som är aktuella i ärenden hos myndigheten, men där uppgifterna ännu inte faktiskt har överförts till verksamheten.

Eftersom likställighetsprincipen utgör skälet för enskildas rätt att ta del av potentiella allmänna handlingar, kan det ifrågasättas om uppgifter som den mottagande myndigheten vid ett givet tillfälle inte har rätt att ta del av och som inte heller kan anses insamlade hos den myndigheten enligt personuppgiftslagen och tillämplig registerförfattning ska anses förvarade hos den myndig- heten och därmed utgöra inkomna allmänna handlingar hos den myndigheten. Vidare medför i regel inte det faktum att s.k. över- skottsinformation utgör allmän handling hos den mottagande myn- digheten någon utökad insyn för allmänheten, eftersom överskotts- informationen enligt en komplicerad reglering i offentlighets- och sekretesslagen ofta omfattas av en minst lika stark sekretess hos den mottagande myndigheten som hos den utlämnande myndigheten.

Mot den angivna bakgrunden bör utredaren överväga om över- skottsinformation i form av färdiga eller potentiella elektroniska handlingar som i samband med elektroniskt informationsutbyte enbart av tekniska skäl görs tillgänglig för den mottagande myndig- heten, även i fortsättningen bör anses utgöra allmänna handlingar hos den mottagande myndigheten eller om det finns skäl att ändra definitionen av begreppet allmän handling i detta avseende.

För det fall utredaren finner att tryckfrihetsförordningen bör ändras ska utredaren lämna författningsförslag samt förslag till konse- kvensändringar i offentlighets- och sekretesslagen. Förhållandet mellan tystnadsplikten (3 kap. 1 § OSL) och de möjligheter som finns att införa tekniska spärrar, kryptering m.m. beträffande både personalen hos den mottagande myndighetens teknikavdelning och handläggarna hos den myndigheten ska särskilt beaktas.

Om utredaren finner att grundlagen inte bör ändras ska utred- aren utvärdera om de bestämmelser som förts in i offentlighets- och sekretesslagen med anledning av den nuvarande ordningen (11 kap. 4 § och 25 kap. 2 § OSL) har en lämplig utformning eller

742

SOU 2015:39

Bilaga 1

om de bör justeras samt, om så anses vara fallet, lämna författnings- förslag.

Bör åtskillnaden mellan olika former av elektroniskt utlämnande bibehållas?

Uppgifter kan lämnas ut elektroniskt även på andra sätt än genom direktåtkomst. I registerförfattningarna brukar begreppet ”utläm- nande på medium för automatiserad behandling” användas.

Med direktåtkomst menas vanligtvis att någon har direkt till- gång till någons databaser eller register och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i data- basen eller registret. Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (prop. 2004/05:164 s. 83). Från integritetssynpunkt har det därför ansetts angeläget att frågor om tillgång till uppgifter genom direkt- åtkomst särskilt regleras i registerlagstiftningen (prop. 2000/01:129 s. 74, prop. 2001/02:144 s. 35 f. och prop. 2005/06:52 s. 8).

Med begreppet utlämnande på medium för automatiserad behand- ling avses i nuvarande författningar utlämnande av uppgifter i elek- tronisk form på en rad olika sätt, t.ex. genom användning av e-post, genom utlämnande på USB-minne eller genom automatiserad över- föring med tidsfördröjning från ett datorsystem till ett annat (prop. 2007/08:160 s. 58). Att utlämnande sker på medium för automati- serad behandling innebär i regel att informationen lämnas ut i elek- tronisk form på ett sådant sätt att mottagaren kan bearbeta infor- mationen (prop. 2002/03:135 s. 97 och prop. 2004/05:164 s. 82).

Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illu- streras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika

743

Bilaga 1

SOU 2015:39

registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.).

Mot den angivna bakgrunden ska utredaren analysera vilka effektivitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utred- aren anser att en åtskillnad mellan olika former av elektroniskt ut- lämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.

En mall för registerförfattningar samt modellregleringar

Flera utredningar, bl.a. 2005 års informationsutbytesutredning, Integritetsskyddskommittén, E-delegationen och E-offentlighets- kommittén, har påtalat att registerförfattningarna behöver ses över. Den förstnämnda utredningen gjorde i betänkandet Utökat elek- troniskt informationsutbyte (SOU 2007:45) den övergripande be- dömningen att de befintliga registerförfattningarna bör ses över för att skapa förutsättningar för ett samordnat och enhetligt regelverk som främjar utvecklingen av elektronisk förvaltning och minskar riskerna för oacceptabla intrång i den personliga integriteten. Integritetsskyddskommittén redovisade i sitt betänkande Skyddet för den personliga integriteten (SOU 2007:22) den sammanfatt- ande analysen att skyddet för den personliga integriteten väsentligt skulle förbättras om registerförfattningarna utformades enhetligare, tydligare och mer i överensstämmelse med sekretesslagstiftningen. E-delegationen har anfört att de för närvarande ca 200 register- författningarna saknar en sinsemellan enhetlig struktur och att olika begrepp används för att beskriva samma företeelse (t.ex. data- bas och register), samtidigt som samma begrepp förekommer i olika betydelser (t.ex. direktåtkomst och gallring). För att möjliggöra en utveckling i riktning mot en flexibel e-förvaltning anser E-delega- tionen att det krävs att registerförfattningarna är samordnade, enhetliga och tydliga samt att regelkonflikter mellan registerför- fattningarna och offentlighets- och sekretesslagen undanröjs

744

SOU 2015:39

Bilaga 1

(SOU 2009:86 s. 65 och SOU 2010:20 s. 17). Vidare har Data- inspektionen sedan 2005 i sina årsredovisningar pekat på ett allt starkare behov av en översyn och ett samlat grepp när det gäller registerlagstiftningen inom statsförvaltningen. Även Riksrevisionen anser att registerförfattningarna bör ses över (RiR 2010:18 s. 64).

Regeringen anser, i likhet med nämnda utredningar samt Data- inspektionen och Riksrevisionen, att registerförfattningarna bör ses över. Med hänsyn till det stora antalet författningar bör dock över- synen ske etappvis.

Utredaren ska göra en översiktlig inventering av gällande registerförfattningar och inom tre olika verksamhetsområden närmare analysera hur dessa är uppbyggda och tillämpas. Vilka tre verksamhetsområden som särskilt ska analyseras kommer att anges av regeringen i tilläggsdirektiv, efter inhämtande av synpunkter från utredaren. Utredaren ska därefter utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas samt hur dessa begrepp bör definieras. Slutligen ska utredaren, med nämnda modell som mall, lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena (s.k. modellregleringar).

Inom dessa tre områden ska utredaren även överväga vilka typer av allmänna handlingar som den eller de aktuella myndigheterna ska ha skyldighet att lämna ut elektroniskt samt lämna förslag till hur denna skyldighet bör regleras. Utredaren ska särskilt överväga om skyldigheten bör regleras i offentlighets- och sekretesslagen och specificeras i en ny bilaga till lagen, eventuellt i form av hän- visningar till de berörda registerförfattningarna. I denna del ska utredaren beakta de begränsningar som kan finnas med anledning av internationella åtaganden, jfr SOU 2011:20 s. 286.

Journalistförbundet har i en framställan till regeringen (Ju2006/4517/L6) anfört att den omfattande registerregleringen medför att undersökningar av stora material försvåras eller omöjlig- görs, vilket hotar medias möjligheter att granska hur makten utövas och förvaltas. Journalistförbundet anser bl.a. att bestämmelser om sökförbud och utlämnande på medium för automatiserad behand- ling begränsar möjligheterna till sådan granskning. Utredaren ska under arbetet belysa denna problematik och utforma sina förslag efter en avvägning mellan intresset av skydd för den personliga integriteten och intresset av insyn i myndigheternas verksamhet.

745

Bilaga 1

SOU 2015:39

Gäller sökbegränsningar som tar sikte på den utlämnande myndigheten även för den mottagande myndigheten?

Som nämns tidigare innebär ett absolut sökförbud i en register- författning även en begränsning av vad som utgör allmän handling (2 kap. 3 § tredje stycket TF). Det står klart att ett sådant sök- förbud i en registerförfattning har relevans för bedömningen av vilka sammanställningar av personuppgifter som anses utgöra all- männa handlingar hos den myndighet som registerförfattningen tar sikte på. Det är dock omdiskuterat vilken betydelse sökförbud i den utlämnande myndighetens registerförfattning har för bedöm- ningen av frågan vilka sammanställningar av personuppgifter som utgör allmänna handlingar hos den mottagande myndigheten. I uppdraget ingår att ta ställning till vad som bör gälla i detta av- seende.

Regelkonflikter

Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra ärendets behöriga gång. Denna skyldighet anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheterna enligt 6 § för- valtningslagen (1986:223). Det har ifrågasatts om denna skyldighet står i strid med den s.k. finalitetsprincipen i dataskyddsdirektivet. Som nämns tidigare innebär denna princip att en personuppgift inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgiften samlades in. Offentlighets- och sekretess- kommittén anförde emellertid i sitt huvudbetänkande (SOU 2003:99 s. 231 f.) att regering och riksdag redan vid personuppgiftslagens tillkomst tagit ställning till att bestämmelsen i dåvarande 15 kap. 5 § sekretesslagen (nuvarande 6 kap. 5 § OSL) inte strider mot dataskyddsdirektivet. Enligt kommittén ska således ett utlämnande av uppgifter till en annan myndighet anses vara förenligt med finalitetsprincipen om utlämnandet är tillåtet enligt sekretesslagen. Kommittén ansåg dock att det skulle kunna uppstå en normkolli- sion mellan 15 kap. 5 § sekretesslagen och en registerförfattning, om ändamålsregleringen i den senare författningen är utformad så att den utesluter en tillämpning av finalitetsprincipen. I en sådan

746

SOU 2015:39

Bilaga 1

situation får enligt kommittén ändamålsregleringen i registerför- fattningen anses utgöra lex specialis i förhållande till 15 kap. 5 § sekretesslagen och ett utlämnande av uppgifter i strid med ända- målsregleringen skulle därmed utgöra en otillåten behandling av uppgifterna. Enligt utredningen var det dock oklart om det fanns några registerförfattningar som på detta sätt uteslöt en tillämpning av finalitetsprincipen (s. 236 f.).

Såsom bl.a. Integritetsskyddskommittén har uppmärksammat förekommer det emellertid numera sådana uttömmande ändamåls- regleringar som leder till att ett utlämnande av uppgifter mellan myndigheter som är tillåtet enligt offentlighets- och sekretesslagen är förbjudet enligt registerförfattningen (SOU 2007:22 s. 464 f.). Regeringen anser att utgångspunkten bör vara att ändamålsregle- ringar som utesluter en tillämpning av finalitetsprincipen inte ska förekomma. De förslag till registerförfattningar som utredaren lämnar ska även i övrigt harmoniera med tryckfrihetsförordningen, offentlighets- och sekretesslagen samt Sveriges internationella åtaganden.

En närliggande fråga har sin grund i det faktum att internatio- nella avtal och sektorsspecifika EU-rättsakter ibland innehåller artiklar om att en myndighet bara får använda uppgifter som erhålls enligt avtalet respektive rättsakten för vissa angivna ändamål eller i viss verksamhet. Sådana bestämmelser kan avse även andra upp- gifter än personuppgifter. I Sverige anses en sådan bestämmelse inte utgöra ett hinder mot utlämnande av uppgifter med stöd av offentlighetsprincipen. Däremot kan en sådan användningsbegräns- ning anses stå i konflikt med myndighetens skyldighet att över- lämna uppgifter till andra myndigheter i enlighet med 6 kap. 5 § OSL. Någon generellt tillämplig eller konsekvent genomförd lös- ning på sistnämnda typ av regelkonflikt finns för närvarande inte i lagstiftningen. I 9 kap. 2 § OSL ges visserligen en upplysning om att användningsbegränsningar genomförts i vissa andra författ- ningar. Uppräkningen är dock inte heltäckande och det finns dess- utom inte någon formell koppling mellan denna bestämmelse och 6 kap. 5 § OSL (jfr prop. 1990/91:131 s. 25). De författningar som avses i 9 kap. 2 § OSL utgör visserligen inte registerförfattningar. Den beskrivna frågeställningen har dock en sådan betydelse för uppgiftsutbytet mellan myndigheter att den ändå bör utredas i detta sammanhang. Utredaren ska därför överväga om 6 kap. 5 § OSL

747

Bilaga 1

SOU 2015:39

bör justeras så att den står i bättre överensstämmelse med före- komsten av nu nämnda användningsbegränsningar. Om utredaren finner att en sådan justering bör ske, ska författningsförslag läm- nas.

Övrigt

Utredaren är oförhindrad att ta upp andra frågor än de som nämns i direktiven, om utredaren anser att dessa behöver regleras för att utredaren ska kunna fullgöra sitt uppdrag på ett tillfredsställande sätt.

Genomförande av uppdraget

Utredaren ska i ett delbetänkande redovisa sina ställningstaganden och eventuella förslag rörande dels tryckfrihetsförordningens defini- tion av begreppet ”allmän handling”, dels frågan om det finns skäl att i registerförfattningar även i fortsättningen upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Regeringen kommer i tilläggsdirektiv, efter att ha in- hämtat synpunkter från utredaren, att ange inom vilka tre verksam- hetsområden som utredaren ska lämna konkreta förslag till register- författningar.

Under sitt arbete ska utredaren beakta den pågående översynen av såväl Europarådets som EU:s dataskyddsreglering. Utredaren ska hålla sig informerad om hur detta arbete fortskrider och hur det påverkar handlingsutrymmet när det gäller utformningen av den nationella lagstiftningen.

När det gäller frågan om definitionen av ”allmän handling” bör ändras ska utredaren samråda med en parlamentarisk referensgrupp.

Utredaren ska i uppdragets samtliga delar samråda med E-dele- gationen samt, i den utsträckning som utredaren finner det behöv- ligt, med andra kommittéer och utredare som arbetar med närligg- ande frågeställningar. Utredaren ska också samråda med de fyra myndigheter som fått regeringens uppdrag att samordna och främja myndigheternas arbete med e-förvaltning, nämligen Skatteverket, Lantmäteriet, Transportstyrelsen och Bolagsverket (N2011/1368/ITP).

748

SOU 2015:39

Bilaga 1

Utredaren ska bedöma de ekonomiska konsekvenserna av för- slagen för det allmänna och för enskilda. Om förslagen kan för- väntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.

Delbetänkandet ska redovisas senast den 1 december 2012. Upp- draget ska slutredovisas senast den 1 december 2014.

(Justitiedepartementet)

749

Bilaga 2

Kommittédirektiv 2014:31

Tilläggsdirektiv till

Informationshanteringsutredningen

Beslut vid regeringssammanträde den 6 mars 2014

Ändring av och förlängd tid för uppdraget

Utredningens uppdrag ändras. Uppdraget att analysera register- författningar inom tre olika verksamhetsområden och lämna för- slag på registerförfattningar för dessa verksamheter samt att över- väga vilka typer av allmänna handlingar som myndigheterna inom dessa verksamhetsområden ska vara skyldiga att lämna ut i elek- tronisk form utgår. Utredningen ska i stället koncentrera arbetet på att utreda förutsättningarna för att skapa en generell, enhetlig och samlad reglering för myndigheternas personuppgiftsbehandling och lämna författningsförslag till en sådan, med beaktande bl.a. av den pågående översynen inom Europeiska unionen av regleringen om skyddet för personuppgifter. Personuppgiftsbehandling inom den brottsbekämpande verksamheten omfattas inte av det uppdrag för utredningen som nu preciseras.

Uppdraget skulle ursprungligen redovisas den 1 december 2014. Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 30 januari 2015.

Utredningens nuvarande uppdrag

Med stöd av regeringens beslut den 6 oktober 2011 gav chefen för Justitiedepartementet en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor i

751

Bilaga 2

SOU 2015:39

syfte att skapa rättsliga förutsättningar för en effektivare e-förvalt- ning där såväl den enskildes rätt till personlig integritet som all- mänhetens berättigade anspråk på insyn i den offentliga verksam- heten tillgodoses (dir. 2011:86). Utredningen tog namnet Informa- tionshanteringsutredningen (Ju 2011:11).

Den 11 januari 2013 lämnade utredningen delbetänkandet Över- skottsinformation vid direktåtkomst (SOU 2012:90). I betänkan- det redovisas bl.a. utredningens arbete med frågan om begreppet allmän handling i tryckfrihetsförordningen i förhållande till s.k. överskottsinformation vid myndigheters direktåtkomst till andra myndigheters elektroniskt lagrade personuppgifter.

I utredningens uppdrag att se över registerlagstiftningen ingår bl.a. att göra en översiktlig inventering av gällande registerförfatt- ningar och närmare analysera hur dessa fungerar inom tre olika verksamhetsområden. Det anges i direktiven att regeringen i tilläggs- direktiv kommer att precisera vilka tre verksamhetsområden som närmare ska analyseras, efter att synpunkter inhämtats från utred- aren. I uppdraget ingår även att utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör an- vändas och hur begreppen bör definieras. Med modellen som mall ska utredningen lämna konkreta förslag till registerförfattningar inom de tre verksamhetsområdena. För dessa områden ska utred- aren även överväga vilka typer av allmänna handlingar som berörda myndigheter ska ha skyldighet att lämna ut i elektronisk form och föreslå författningsreglering. Av direktiven framgår vidare att ut- redningen ska överväga ett antal särskilt angivna frågor, bl.a. om åtskillnaden mellan olika former av elektroniskt utlämnande bör behållas och om s.k. sökbegränsningar som tar sikte på en utläm- nande myndighet gäller även för en mottagande myndighet.

Översynen av EU:s dataskyddsreglering

Europaparlamentets och rådets direktiv 95/46/EG av den 24 okto- ber 1995 om skydd för enskilda personer med avseende på behand- ling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31), förkortat dataskyddsdirektivet, har genomförts i Sverige genom bl.a. personuppgiftslagen (1998:204). Personuppgiftslagen är generellt tillämplig för all helt eller delvis

752

SOU 2015:39

Bilaga 2

automatiserad behandling av personuppgifter och behandling av personuppgifter i manuella register. Den tillämpas dock inte om något annat följer av avvikande bestämmelser som finns i en annan lag eller i en förordning.

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polis- samarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60), förkortat dataskyddsrambeslutet, har genomförts genom lagen (2013:329) med vissa bestämmelser om skydd för person- uppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen. Lagen gäller, med vissa begränsningar, för be- handling av personuppgifter i verksamhet som har till syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller verkställa straffrättsliga påföljder, bl.a. om uppgifterna överförts mellan en svensk myndighet och myndighet i en annan medlemsstat i EU eller ett EU-organ.

Sedan Lissabonfördraget trädde i kraft den 1 december 2009 finns i artikel 16 i fördraget om Europeiska unionens funktionssätt en ny rättslig grund för unionslagstiftning om skydd för person- uppgifter. Den omfattar både EU:s inre marknad och det polisiära och straffrättsliga samarbetet mellan EU:s medlemsstater. I och med Lissabonfördragets ikraftträdande gäller vidare Europeiska unionens stadga för de grundläggande rättigheterna med bindande verkan för medlemsstaterna när dessa tillämpar unionsrätten (EUT C 326, 26.10.2012, s. 391). Av EU-domstolens praxis framgår att detta innebär att de rättigheter som garanteras i stadgan måste iakttas när en nationell lagstiftning omfattas av unionsrättens tillämpningsområde (C-617/10 Åkerberg Fransson, dom den 26 feb- ruari 2013). Av artikel 8 i stadgan följer att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Den 25 januari 2012, dvs. efter att direktiven till utredningen beslutades, presenterade EU-kommissionen ett förslag till en genom- gripande reform av EU:s regler om skydd för personuppgifter. Kommissionen har lämnat förslag till dels en förordning med en generell reglering av uppgiftsskyddet som ska ersätta dataskydds- direktivet, dels ett direktiv om uppgiftsskydd i den brottsbekämp- ande verksamheten som ska ersätta dataskyddsrambeslutet. För- slaget till direktiv har dock ett bredare tillämpningsområde än ram- beslutet och omfattar, utöver gränsöverskridande personuppgifts-

753

Bilaga 2

SOU 2015:39

behandling, även rent nationell behandling av personuppgifter i så- dan verksamhet (KOM [2012]10 och [2012]11).

Förhandlingarna om de båda förslagen pågår inom EU. Det är i nuläget oklart hur lång tid det kan ta innan de båda rättsakterna antas slutligt av Europaparlamentet och rådet. Förhandlingarna om direktivet har inte kommit lika långt som förhandlingarna om för- ordningen. Det är också oklart vilka effekter de nya reglerna kommer att få i Sverige. I förhandlingarna om direktivet vänder sig t.ex. flera medlemsstater mot att i unionsrätten reglera förutsätt- ningarna för rent nationell behandling av personuppgifter på om- rådet. Om dataskyddsdirektivet ersätts av en EU-förordning kom- mer under alla förhållanden i vart fall personuppgiftslagen att behöva upphävas eller lagens tillämpningsområde snävas in avse- värt. I vilken utsträckning det kommer att finnas utrymme att behålla en sektorspecifik registerlagstiftning och i vilken mån det blir möjligt att komplettera EU-förordningen med generella natio- nella normer är för närvarande svårt att förutse. I förhandlingarna om dataskyddsförordningen förespråkar Sverige att regleringen ges formen av ett direktiv i stället för en förordning, men stödet för detta har visat sig vara svagt bland övriga medlemsstater. Mot den bakgrunden arbetar regeringen för att förordningen utformas på ett sätt som ger medlemsstaterna stor flexibilitet att precisera villkoren för behandlingen av personuppgifter främst inom den offentliga sektorn. För en sådan inriktning finns det ett brett stöd också bland övriga medlemsstater.

Ändring av uppdraget

Det är viktigt att översynen av registerlagstiftningen sker på ett sätt som är anpassat till det pågående arbetet inom EU med att refor- mera dataskyddsregleringen. Med beaktande av kommissionens förslag och det stöd som förefaller finnas inom EU för en data- skyddsreglering som ges formen av en förordning, kan utredningen i sitt fortsatta arbete inte längre utgå från att det kommer att vara möjligt att behålla en heltäckande och allmängiltig nationell författ- ningsreglering om behandling av personuppgifter som på ett eller annat sätt kompletteras av sektorsvisa registerförfattningar. Mot den bakgrunden är det inte ändamålsenligt att utredningen ana-

754

SOU 2015:39

Bilaga 2

lyserar registerförfattningarna inom tre olika verksamhetsområden och lämnar konkreta författningsförslag för dessa områden. I stället bör utredningen koncentrera sitt fortsatta arbete på att utreda förutsättningarna för att skapa en generell, enhetlig och – helt eller i vart fall delvis – samlad reglering för myndigheternas person- uppgiftsbehandling som kan fungera som komplement till – eller, vid behov, genomföra delar av – den unionsrättsliga regleringen på området. Utredaren behöver i det sammanhanget också bedöma vilket utrymme förordningen ger för att i nationell rätt göra undan- tag från förordningens bestämmelser för myndigheternas person- uppgiftsbehandling. Om utredaren bedömer att det finns förutsätt- ningar att skapa en sådan samlad reglering bör utredaren lämna de författningsförslag som han anser vara motiverade.

Utredningens uppdrag ändras därför på så sätt att uppdraget att analysera registerförfattningar inom tre olika verksamhetsområden och lämna förslag på registerförfattningar för dessa verksamheter utgår.

Mot bakgrund av att utredningens uppdrag att överväga vilka typer av allmänna handlingar som myndigheterna bör vara skyldiga att lämna ut i elektronisk form är knutet till de tre verksam- hetsområden som skulle analyseras närmare, är det med den ändrade inriktningen av uppdraget inte längre ändamålsenligt att inom ramen för denna utredning utreda utlämnandefrågan vidare. Utred- ningens uppdrag ändras därför på så sätt att även uppdraget att överväga frågan om skyldigheten att lämna ut allmänna handlingar i elektronisk form utgår.

Utredningen ska överväga hur en generell reglering bör utfor- mas utifrån vad som är lämpligt från bl.a. normgivningstekniska och systematiska utgångspunkter.

Som framgår ovan omfattas personuppgiftsbehandling inom den brottsbekämpande verksamheten inte av kommissionens förslag till en allmän uppgiftsskyddsförordning utan av ett förslag till ett direk- tiv. Personuppgiftsbehandling inom den sektorn ska mot bakgrund av detta undantas från utredningens arbete och omfattas inte av det nu preciserade uppdraget. Vid utformningen av en ny reglering behöver utredaren dock ta hänsyn till hur regleringen på såväl detta som andra områden är utformad för att regelverken inte ska komma i konflikt med varandra. Den generella regleringen bör om möjligt vara utformad så att den kan tillämpas på ett enhetligt sätt av

755

Bilaga 2

SOU 2015:39

myndigheter vars verksamhet i vissa delar kommer att omfattas av tillämpningsområdet för EU-förordningen och i andra delar om- fattas av tillämpningsområdet för EU-direktivet.

Utredningen ska i sitt arbete noga följa den fortsatta behand- lingen inom EU av förslaget till reformerad dataskyddsreglering. De förslag till författningsreglering som utredningen lämnar ska vara väl anpassade till denna översyn och dess resultat.

I övrigt gäller uppdraget oförändrat såsom det har redovisats i de ursprungliga direktiven.

Förlängd tid för uppdraget

Utredningstiden förlängs. Uppdraget ska redovisas senast den 30 januari 2015.

(Justitiedepartementet)

756

Bilaga 3

Kommittédirektiv 2014:147

Tilläggsdirektiv till informationshanteringsutredningen (Ju 2011:11)

Beslut vid regeringssammanträde den 20 november 2014

Förlängd tid för uppdraget

Regeringen beslutade den 6 oktober 2011 kommittédirektiv om integritet, effektivitet och öppenhet i en modern e-förvaltning (dir. 2011:86). Enligt utredningens direktiv skulle uppdraget redovisas senast den 1 december 2014. I tilläggsdirektiv beslutade regeringen den 6 mars 2014 bl.a. att förlänga utredningstiden till den 30 januari 2015 (dir. 2014:31).

Utredningstiden förlängs på nytt. Uppdraget ska i stället redo- visas senast den 31 mars 2015.

(Justitiedepartementet)

757

Statens offentliga utredningar 2015

Kronologisk förteckning

1.Deltagande med väpnad styrka

iutbildning utomlands. En utökad beslutsbefogenhet för regeringen. Fö.

2.Värdepappersmarknaden

MiFID II och MiFIR. + Bilagor. Fi.

3.Med fokus på kärnuppgifterna. En angelägen anpassning av Polismyndig- hetens uppgifter på djurområdet. Ju.

4.Ett svenskt tonnageskattesystem. Fi.

5.En ny svensk tullagstiftning. Fi.

6.Mer gemensamma tobaksregler.

Ett genomförande av tobaksprodukt- direktivet. S.

7.Krav på privata aktörer i välfärden. Fi.

8.En översyn av årsredovisningslagarna. Ju.

9.En modern reglering

av järnvägstransporter. Ju.

10.Gränser i havet. UD.

11.Kunskapsläget på kärnavfallsområdet 2015. Kontroll, dokumentation och finansiering för ökad säkerhet. M.

12.Överprövning av upphandlingsmål

m.m.Fi.

13.Tillämpningsdirektivet till utstationeringsdirektivet – Del I. A.

14.Sedd, hörd och respekterad. Ett ändamålsenligt klagomålssystem

ihälso- och sjukvården. S.

15.Attraktiv, innovativ och hållbar – strategi för en konkurrenskraftig jordbruks- och trädgårdsnäring. N L.

16.Ökat värdeskapande ur immateriella tillgångar. N.

17.För kvalitet – Med gemensamt ansvar. S.

18.Lösöreköp och registerpant. Ju.

19.En ny ordning för redovisningstillsyn. Fi.

20.Trygg och effektiv utskrivning från sluten vård. S.

21.Mer trygghet och bättre försäkring. Del 1 + 2. S.

22. Rektorn och styrkedjan. U.

23.Informations- och cybersäkerhet

iSverige. Strategi och åtgärder för säker information i staten. Ju Fö.

24.En kommunallag för framtiden. Del A + B . Fi.

25.En ny säkerhetsskyddslag. Ju.

26.Begravningsclearing. Ku.

27.Skatt på dubbdäcksanvändning i tätort? Fi.

28.Gör Sverige i framtiden – digital kompetens. N.

29.En yrkesinriktning inom teknik­ programmet. U.

30.Kemikalieskatt. Skatt på vissa konsu- mentvaror som innehåller kemikalier. Fi.

31.Datalagring och integritet. Ju.

32.Nästa fas i e-hälsoarbetet. S.

33.Uppgiftslämnarservice för företagen. N.

34.Ett effektivare främjandeförbud i lotterilagen. Fi.

35.Service i glesbygd. N.

36.Systematiska jämförelser. För lärande

istaten. S.

37.Översyn av lagen om skiljeförfarande. Ju.

38.Tillämpningsdirektivet till utstationeringsdirektivet – Del II. A.

39.Myndighetsdatalag. Ju.

Statens offentliga utredningar 2015

Systematisk förteckning

Arbetsmarknadsdepartementet

Tillämpningsdirektivet till utstationeringsdirektivet – Del I. [13]

Tillämpningsdirektivet till utstationeringsdirektivet – Del II. [38]

Finansdepartementet

Värdepappersmarknaden

MiFID II och MiFIR. + Bilagor [2] Ett svenskt tonnageskattesystem. [4] En ny svensk tullagstiftning. [5]

Krav på privata aktörer i välfärden. [7]

Överprövning av upphandlingsmål m.m. [12]

En ny ordning för redovisningstillsyn. [19]

En kommunallag för framtiden. Del A + B. [24]

Skatt på dubbdäcksanvändning i tätort? [27]

Kemikalieskatt. Skatt på vissa konsu- mentvaror som innehåller kemikalier. [30]

Ett effektivare främjandeförbud i lotterilagen. [34]

Försvarsdepartementet

Deltagande med väpnad styrka

i utbildning utomlands. En utökad beslutsbefogenhet för regeringen. [1]

Justitiedepartementet

Med fokus på kärnuppgifterna. En ange- lägen anpassning av Polismyndig- hetens uppgifter på djurområdet. [3]

En översyn av årsredovisningslagarna. [8]

En modern reglering

av järnvägstransporter. [9] Lösöreköp och registerpant. [18]

Informations- och cybersäkerhet

i Sverige. Strategi och åtgärder för säker information i staten. [23]

En ny säkerhetsskyddslag. [25]

Datalagring och integritet. [31]

Översyn av lagen om skiljeförfarande. [37] Myndighetsdatalag. [39]

Kulturdepartementet

Begravningsclearing. [26]

Miljö- och energidepartementet

Kunskapsläget på kärnavfallsområdet 2015. Kontroll, dokumentation och finansie- ring för ökad säkerhet. [11]

Näringsdepartementet

Attraktiv, innovativ och hållbar – strategi för en konkurrenskraftig jordbruks- och trädgårdsnäring. [15]

Ökat värdeskapande ur immateriella tillgångar. [16]

Gör Sverige i framtiden – digital kompetens. [28]

Uppgiftslämnarservice för företagen. [33] Service i glesbygd. [35]

Socialdepartementet

Mer gemensamma tobaksregler. Ett genomförande av tobaks- produktdirektivet. [6]

Sedd, hörd och respekterad. Ett ändamålsenligt klagomålssystem i hälso- och sjukvården. [14]

För kvalitet – Med gemensamt ansvar. [17]

Trygg och effektiv utskrivning från sluten vård. [20]

Mer trygghet och bättre försäkring. Del 1 + 2. [21]

Nästa fas i e-hälsoarbetet. [32] Systematiska jämförelser. För lärande i

staten. [36]

Utbildningsdepartementet

Rektorn och styrkedjan. [22]

En yrkesinriktning inom teknik­ programmet. [29]

Utrikesdepartementet

Gränser i havet. [10]