2421247 GQB32 2002 2 sou sou Statens offentliga utredningar 2002:2 Statens offentliga utredningar Statens offentliga utredningar 2 0 2002-02-04 00:00:00 2024-08-12 16:22:00 2002-02-04 00:00:00 Datainspektionen hämtad html-ec https://data.riksdagen.se/dokument/GQB32/text https://data.riksdagen.se/dokument/GQB32 https://data.riksdagen.se/dokumentstatus/GQB32 <div style="margin:3px;"> <STYLE type="text/css"> body {margin-top: 0px;margin-left: 0px;} #page_1 {position:relative; overflow: hidden;z:b;margin:11px 0px 65px 10px ;padding: 0px;border: none;width: 902px;} #page_1 #id_1 {border:none;z:b;margin:0px 0px 0px 10px ;padding: 0px;border:none;width: 856px;overflow: hidden;} #page_1 #id_2 {border:none;z:b;margin:19px 0px 0px 10px ;padding: 0px;border:none;width: 811px;overflow: hidden;} #page_1 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_1 #dimg1 #img1 {width:514px;height:1px;} #page_2 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_3 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_4 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_4 #dimg1z{position:absolute;top:32px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_4 #dimg1 #img1 {width:514px;height:1px;} #page_5 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_5 #dimg1z{position:absolute;top:32px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_5 #dimg1 #img1 {width:514px;height:1px;} #page_6 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_7 {position:relative; overflow: hidden;z:b;margin:10px 0px 57px 10px ;padding: 0px;border: none;width: 631px;} #page_8 {position:relative; overflow: hidden;z:b;margin:10px 0px 110px 10px ;padding: 0px;border: none;width: 631px;} #page_8 #dimg1z{position:absolute;top:32px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_8 #dimg1 #img1 {width:514px;height:1px;} #page_9 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_10 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_11 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_12 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_13 {position:relative; overflow: hidden;z:b;margin:10px 0px 66px 10px ;padding: 0px;border: none;width: 902px;} #page_14 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_15 {position:relative; overflow: hidden;z:b;margin:10px 0px 60px 10px ;padding: 0px;border: none;width: 902px;} #page_16 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_17 {position:relative; overflow: hidden;z:b;margin:10px 0px 95px 10px ;padding: 0px;border: none;width: 631px;} #page_18 {position:relative; overflow: hidden;z:b;margin:67px 0px 91px 10px ;padding: 0px;border: none;width: 451px;} #page_19 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_20 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_21 {position:relative; overflow: hidden;z:b;margin:11px 0px 84px 10px ;padding: 0px;border: none;width: 902px;} #page_21 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_21 #dimg1 #img1 {width:514px;height:1px;} #page_22 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_23 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_24 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_25 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_26 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_26 #dimg1z{position:absolute;top:221px;left:42px;z-index:-1;width:319px;height:309px;} #page_26 #dimg1 #img1 {width:319px;height:309px;} #page_27 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_28 {position:relative; overflow: hidden;z:b;margin:10px 0px 62px 10px ;padding: 0px;border: none;width: 902px;} #page_29 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_30 {position:relative; overflow: hidden;z:b;margin:10px 0px 114px 10px ;padding: 0px;border: none;width: 902px;} #page_31 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_32 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_33 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 631px;} #page_34 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_35 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_36 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_37 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 631px;} #page_38 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_39 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_40 {position:relative; overflow: hidden;z:b;margin:10px 0px 64px 10px ;padding: 0px;border: none;width: 902px;} #page_41 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_42 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_43 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 631px;} #page_44 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_45 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_46 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_47 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 631px;} #page_48 {position:relative; overflow: hidden;z:b;margin:10px 0px 68px 10px ;padding: 0px;border: none;width: 902px;} #page_49 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_50 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_51 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_52 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_53 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_54 {position:relative; overflow: hidden;z:b;margin:11px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_54 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_54 #dimg1 #img1 {width:514px;height:1px;} #page_55 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_56 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 631px;} #page_57 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_58 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_59 {position:relative; overflow: hidden;z:b;margin:10px 0px 67px 10px ;padding: 0px;border: none;width: 902px;} #page_60 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_61 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_62 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_63 {position:relative; overflow: hidden;z:b;margin:10px 0px 68px 10px ;padding: 0px;border: none;width: 902px;} #page_64 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_65 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_66 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_67 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_68 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_69 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_70 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_71 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_72 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_73 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_74 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_75 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_76 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_77 {position:relative; overflow: hidden;z:b;margin:10px 0px 68px 10px ;padding: 0px;border: none;width: 631px;} #page_78 {position:relative; overflow: hidden;z:b;margin:10px 0px 65px 10px ;padding: 0px;border: none;width: 902px;} #page_79 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_80 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_81 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_82 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 631px;} #page_83 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_84 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_85 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 631px;} #page_86 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_87 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_88 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_89 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_90 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_91 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_92 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_93 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_94 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_95 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 631px;} #page_96 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_97 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_98 {position:relative; overflow: hidden;z:b;margin:10px 0px 69px 10px ;padding: 0px;border: none;width: 902px;} #page_99 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_100 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_101 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_102 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_103 {position:relative; overflow: hidden;z:b;margin:10px 0px 68px 10px ;padding: 0px;border: none;width: 902px;} #page_104 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_105 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_106 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_107 {position:relative; overflow: hidden;z:b;margin:10px 0px 119px 10px ;padding: 0px;border: none;width: 631px;} #page_108 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_109 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_110 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 631px;} #page_111 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_112 {position:relative; overflow: hidden;z:b;margin:10px 0px 60px 10px ;padding: 0px;border: none;width: 631px;} #page_113 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_114 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_115 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_116 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 631px;} #page_117 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_117 #dimg1z{position:absolute;top:130px;left:273px;z-index:-1;width:21px;height:270px;} #page_117 #dimg1 #img1 {width:21px;height:270px;} #page_118 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_119 {position:relative; overflow: hidden;z:b;margin:10px 0px 64px 10px ;padding: 0px;border: none;width: 902px;} #page_120 {position:relative; overflow: hidden;z:b;margin:10px 0px 63px 10px ;padding: 0px;border: none;width: 902px;} #page_121 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_122 {position:relative; overflow: hidden;z:b;margin:10px 0px 100px 10px ;padding: 0px;border: none;width: 631px;} #page_123 {position:relative; overflow: hidden;z:b;margin:67px 0px 96px 10px ;padding: 0px;border: none;width: 811px;} #page_124 {position:relative; overflow: hidden;z:b;margin:10px 0px 64px 10px ;padding: 0px;border: none;width: 902px;} #page_124 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:85px;} #page_124 #dimg1 #img1 {width:425px;height:85px;} #page_125 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_126 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_127 {position:relative; overflow: hidden;z:b;margin:10px 0px 58px 10px ;padding: 0px;border: none;width: 902px;} #page_128 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_129 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_130 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 631px;} #page_131 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_132 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_133 {position:relative; overflow: hidden;z:b;margin:11px 0px 59px 10px ;padding: 0px;border: none;width: 902px;} #page_133 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_133 #dimg1 #img1 {width:514px;height:1px;} #page_134 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_135 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 631px;} #page_136 {position:relative; overflow: hidden;z:b;margin:10px 0px 59px 10px ;padding: 0px;border: none;width: 902px;} #page_137 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_138 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_139 {position:relative; overflow: hidden;z:b;margin:10px 0px 78px 10px ;padding: 0px;border: none;width: 902px;} #page_140 {position:relative; overflow: hidden;z:b;margin:10px 0px 57px 10px ;padding: 0px;border: none;width: 902px;} #page_140 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:223px;} #page_140 #dimg1 #img1 {width:425px;height:223px;} #page_141 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_142 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_143 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 631px;} #page_144 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_145 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_146 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_147 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_148 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_149 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_150 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_151 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_152 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_153 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_154 {position:relative; overflow: hidden;z:b;margin:10px 0px 67px 10px ;padding: 0px;border: none;width: 631px;} #page_155 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 631px;} #page_155 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:361px;} #page_155 #dimg1 #img1 {width:425px;height:361px;} #page_156 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_157 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_158 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_159 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_160 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_161 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_162 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_163 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_164 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_165 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_166 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_167 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_168 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_169 {position:relative; overflow: hidden;z:b;margin:10px 0px 105px 10px ;padding: 0px;border: none;width: 902px;} #page_170 {position:relative; overflow: hidden;z:b;margin:11px 0px 59px 10px ;padding: 0px;border: none;width: 902px;} #page_170 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:326px;} #page_170 #dimg1 #img1 {width:514px;height:326px;} #page_171 {position:relative; overflow: hidden;z:b;margin:11px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_171 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_171 #dimg1 #img1 {width:514px;height:1px;} #page_172 {position:relative; overflow: hidden;z:b;margin:11px 0px 64px 10px ;padding: 0px;border: none;width: 902px;} #page_172 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_172 #dimg1 #img1 {width:514px;height:1px;} #page_173 {position:relative; overflow: hidden;z:b;margin:11px 0px 78px 10px ;padding: 0px;border: none;width: 902px;} #page_173 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_173 #dimg1 #img1 {width:514px;height:1px;} #page_174 {position:relative; overflow: hidden;z:b;margin:11px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_174 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:457px;} #page_174 #dimg1 #img1 {width:514px;height:457px;} #page_175 {position:relative; overflow: hidden;z:b;margin:11px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_175 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_175 #dimg1 #img1 {width:514px;height:1px;} #page_176 {position:relative; overflow: hidden;z:b;margin:11px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_176 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_176 #dimg1 #img1 {width:514px;height:1px;} #page_177 {position:relative; overflow: hidden;z:b;margin:11px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_177 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_177 #dimg1 #img1 {width:514px;height:1px;} #page_178 {position:relative; overflow: hidden;z:b;margin:11px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_178 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_178 #dimg1 #img1 {width:514px;height:1px;} #page_179 {position:relative; overflow: hidden;z:b;margin:11px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_179 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_179 #dimg1 #img1 {width:514px;height:1px;} #page_180 {position:relative; overflow: hidden;z:b;margin:11px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_180 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_180 #dimg1 #img1 {width:514px;height:1px;} #page_181 {position:relative; overflow: hidden;z:b;margin:11px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_181 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_181 #dimg1 #img1 {width:514px;height:1px;} #page_182 {position:relative; overflow: hidden;z:b;margin:11px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_182 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_182 #dimg1 #img1 {width:514px;height:1px;} #page_183 {position:relative; overflow: hidden;z:b;margin:11px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_183 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_183 #dimg1 #img1 {width:514px;height:1px;} #page_184 {position:relative; overflow: hidden;z:b;margin:11px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_184 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_184 #dimg1 #img1 {width:514px;height:1px;} #page_185 {position:relative; overflow: hidden;z:b;margin:11px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_185 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_185 #dimg1 #img1 {width:514px;height:1px;} #page_186 {position:relative; overflow: hidden;z:b;margin:11px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_186 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_186 #dimg1 #img1 {width:514px;height:1px;} #page_187 {position:relative; overflow: hidden;z:b;margin:11px 0px 68px 10px ;padding: 0px;border: none;width: 902px;} #page_187 #dimg1z{position:absolute;top:27px;left:0px;z-index:-1;width:514px;height:1px;font-size: 1px !important;l-h:nHeight;} #page_187 #dimg1 #img1 {width:514px;height:1px;} #page_188 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 631px;} #page_188 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:361px;} #page_188 #dimg1 #img1 {width:425px;height:361px;} #page_189 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 631px;} #page_190 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_191 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_192 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_193 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 902px;} #page_194 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_195 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_196 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_197 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_198 {position:relative; overflow: hidden;z:b;margin:10px 0px 57px 10px ;padding: 0px;border: none;width: 631px;} #page_199 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_200 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_201 {position:relative; overflow: hidden;z:b;margin:10px 0px 121px 10px ;padding: 0px;border: none;width: 631px;} #page_202 {position:relative; overflow: hidden;z:b;margin:10px 0px 57px 10px ;padding: 0px;border: none;width: 631px;} #page_202 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:361px;} #page_202 #dimg1 #img1 {width:425px;height:361px;} #page_203 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_204 {position:relative; overflow: hidden;z:b;margin:10px 0px 57px 10px ;padding: 0px;border: none;width: 631px;} #page_205 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_206 {position:relative; overflow: hidden;z:b;margin:10px 0px 110px 10px ;padding: 0px;border: none;width: 631px;} #page_207 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_207 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:361px;} #page_207 #dimg1 #img1 {width:425px;height:361px;} #page_208 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_209 {position:relative; overflow: hidden;z:b;margin:10px 0px 64px 10px ;padding: 0px;border: none;width: 631px;} #page_210 {position:relative; overflow: hidden;z:b;margin:10px 0px 58px 10px ;padding: 0px;border: none;width: 902px;} #page_211 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_212 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_213 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_214 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_215 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_216 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_217 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_218 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_219 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_220 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_221 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_222 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_223 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 631px;} #page_224 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_225 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 631px;} #page_226 {position:relative; overflow: hidden;z:b;margin:10px 0px 95px 10px ;padding: 0px;border: none;width: 631px;} #page_227 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_227 #dimg1z{position:absolute;top:222px;left:42px;z-index:-1;width:425px;height:240px;} #page_227 #dimg1 #img1 {width:425px;height:240px;} #page_228 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_229 {position:relative; overflow: hidden;z:b;margin:10px 0px 77px 10px ;padding: 0px;border: none;width: 631px;} #page_230 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_231 {position:relative; overflow: hidden;z:b;margin:10px 0px 119px 10px ;padding: 0px;border: none;width: 631px;} #page_232 {position:relative; overflow: hidden;z:b;margin:10px 0px 87px 10px ;padding: 0px;border: none;width: 902px;} #page_233 {position:relative; overflow: hidden;z:b;margin:10px 0px 107px 10px ;padding: 0px;border: none;width: 902px;} #page_234 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_234 #id_1 {border:none;z:b;margin:0px 0px 0px 10px ;padding: 0px;border:none;width: 856px;overflow: hidden;} #page_234 #id_2 {border:none;z:b;margin:15px 0px 0px 10px ;padding: 0px;border:none;width: 811px;overflow: hidden;} #page_234 #id_2 #id_2_1 {float:left;border:none;z:b;margin:0px 0px 0px 10px ;padding: 0px;border:none;width: 451px;overflow: hidden;} #page_234 #id_2 #id_2_2 {float:left;border:none;z:b;margin:9px 0px 0px 10px ;padding: 0px;border:none;width: 405px;overflow: hidden;} #page_234 #id_3 {border:none;z:b;margin:16px 0px 0px 10px ;padding: 0px;border:none;width: 811px;overflow: hidden;} #page_234 #dimg1z{position:absolute;top:93px;left:42px;z-index:-1;width:438px;height:185px;} #page_234 #dimg1 #img1 {width:438px;height:185px;} #page_235 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_236 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_237 {position:relative; overflow: hidden;z:b;margin:10px 0px 54px 10px ;padding: 0px;border: none;width: 902px;} #page_238 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 631px;} #page_239 {position:relative; overflow: hidden;z:b;margin:10px 0px 56px 10px ;padding: 0px;border: none;width: 902px;} #page_240 {position:relative; overflow: hidden;z:b;margin:10px 0px 55px 10px ;padding: 0px;border: none;width: 631px;} #page_241 {position:relative; overflow: hidden;z:b;margin:10px 0px 114px 10px ;padding: 0px;border: none;width: 902px;} #page_242 {position:relative; overflow: hidden;z:b;margin:10px 0px 53px 10px ;padding: 0px;border: none;width: 902px;} #page_243 {position:relative; overflow: hidden;z:b;margin:10px 0px 65px 10px ;padding: 0px;border: none;width: 902px;} #page_244 {position:relative; overflow: hidden;z:b;margin:10px 0px 62px 10px ;padding: 0px;border: none;width: 902px;} #page_245 {position:relative; overflow: hidden;z:b;margin:10px 0px 52px 10px ;padding: 0px;border: none;width: 902px;} #page_245 #dimg1z{position:absolute;top:366px;left:63px;z-index:-1;width:356px;height:356px;} #page_245 #dimg1 #img1 {width:356px;height:356px;} #page_246 {position:relative; overflow: hidden;z:b;margin:10px 0px 66px 10px ;padding: 0px;border: none;width: 902px;} #page_246 #dimg1z{position:absolute;top:324px;left:105px;z-index:-1;width:324px;height:346px;} #page_246 #dimg1 #img1 {width:324px;height:346px;} .ft0{font: 14px 'Verdana' !important;l-h: 17px;} .ft1{font: 16px 'Verdana' !important;l-h: 23px;} .ft2{font: 14px 'Verdana' !important;l-h: 18px;} .ft3{font: italic 14px 'Verdana' !important;l-h: 17px;} .ft4{font: 10px 'Verdana' !important;l-h: 6px;} .ft5{font: 16px 'Verdana' !important;l-h: 27px;} .ft6{font: bold 12px 'Verdana' !important;l-h: 15px;} .ft7{font: bold 14px 'Verdana' !important;l-h: 17px;} .ft8{font: bold 12px 'Verdana' !important;l-h: 17px;} .ft9{font: 10px 'Verdana' !important;l-h: 1px;} .ft10{font: 12px 'Verdana' !important;l-h: 16px;} .ft11{font: 12px 'Verdana' !important;l-h: 15px;} .ft12{font: 14px 'Verdana' !important;margin-left: 27px;l-h: 17px;} .ft13{font: 14px 'Verdana' !important;l-h: 16px;} .ft14{font: 14px 'Verdana' !important;margin-left: 16px;l-h: 17px;} .ft15{font: 14px 'Verdana' !important;margin-left: 20px;l-h: 17px;} .ft16{font: 12px 'Verdana' !important;l-h: 15px;} .ft17{font: italic 12px 'Verdana' !important;l-h: 15px;} .ft18{font: bold 10px 'Verdana' !important;l-h: 5px;} .ft19{font: 12px 'Verdana' !important;l-h: 14px;} .ft20{font: 10px 'Verdana' !important;l-h: 5px;} .ft21{font: bold 10px 'Verdana' !important;l-h: 5px;} .ft22{font: bold 12px 'Verdana' !important;l-h: 13px;} .ft23{font: 10px 'Verdana' !important;l-h: 2px;} .ft24{font: 14px 'Verdana' !important;l-h: 21px;} .ft25{font: 14px 'Verdana' !important;l-h: 19px;} .ft26{font: italic 14px 'Verdana' !important;l-h: 18px;} .ft27{font: 10px 'Verdana' !important;l-h: 12px;position: relative; bottom: 6px;} .ft28{font: 14px 'Verdana' !important;l-h: 24px;} .ft29{font: bold 20px 'Verdana' !important;l-h: 38px;} .ft30{font: 16px 'Verdana' !important;margin-left: 49px;l-h: 23px;} .ft31{font: italic 12px 'Verdana' !important;l-h: 16px;} .ft32{font: 16px 'Verdana' !important;margin-left: 64px;l-h: 30px;} .ft33{font: 16px 'Verdana' !important;l-h: 30px;} .ft34{font: 16px 'Verdana' !important;margin-left: 49px;l-h: 27px;} .ft35{font: 16px 'Verdana' !important;l-h: 27px;} .ft36{font: 14px 'Verdana' !important;l-h: 17px;} .ft37{font: 14px 'Verdana' !important;l-h: 18px;} .ft38{font: 10px 'Verdana' !important;l-h: 10px;} .ft39{font: 12px 'Verdana' !important;margin-left: 4px;l-h: 15px;} .ft40{font: 10px 'Verdana' !important;l-h: 13px;position: relative; bottom: 6px;} .ft41{font: 14px 'Verdana' !important;margin-left: 39px;l-h: 21px;} .ft42{font: 10px 'Verdana' !important;l-h: 12px;} .ft43{font: 10px 'Verdana' !important;l-h: 13px;} .ft44{font: bold 12px 'Verdana' !important;l-h: 18px;} .ft45{font: italic 14px 'Verdana' !important;l-h: 19px;} .ft46{font: 14px 'Verdana' !important;margin-left: 39px;l-h: 24px;} .ft47{font: 14px 'Verdana' !important;margin-left: 39px;l-h: 23px;} .ft48{font: 14px 'Verdana' !important;l-h: 23px;} .ft49{font: 14px 'Verdana' !important;margin-left: 29px;l-h: 21px;} .ft50{font: 10px 'Verdana' !important;l-h: 14px;position: relative; bottom: 6px;} .ft51{font: 12px 'Verdana' !important;margin-left: 3px;l-h: 15px;} .ft52{font: 14px 'Verdana' !important;l-h: 22px;} .ft53{font: 16px 'Verdana' !important;margin-left: 39px;l-h: 23px;} .ft54{font: 14px 'Verdana' !important;margin-left: 38px;l-h: 21px;} .ft55{font: 16px 'Verdana' !important;margin-left: 49px;l-h: 26px;} .ft56{font: 16px 'Verdana' !important;l-h: 26px;} .ft57{font: 14px 'Verdana' !important;l-h: 19px;} .ft58{font: 14px 'Verdana' !important;margin-left: 29px;l-h: 23px;} .ft59{font: bold 16px 'Verdana' !important;l-h: 26px;} .ft60{font: 14px 'Verdana' !important;margin-left: 4px;l-h: 17px;} .ft61{font: 12px 'Verdana' !important;margin-left: 3px;l-h: 17px;} .ft62{font: 12px 'Verdana' !important;l-h: 17px;} .ft63{font: 12px 'Verdana' !important;margin-left: 5px;l-h: 17px;} .ft64{font: 16px 'Verdana' !important;margin-left: 52px;l-h: 29px;} .ft65{font: 16px 'Verdana' !important;l-h: 29px;} .ft66{font: 16px 'Verdana' !important;margin-left: 39px;l-h: 27px;} .ft67{font: 16px 'Verdana' !important;margin-left: 52px;l-h: 30px;} .ft68{font: 16px 'Verdana' !important;margin-left: 39px;l-h: 26px;} .ft69{font: 12px 'Verdana' !important;margin-left: 6px;l-h: 17px;} .ft70{font: 12px 'Verdana' !important;l-h: 16px;} .ft71{font: 14px 'Verdana' !important;margin-left: 29px;l-h: 24px;} .ft72{font: bold 16px 'Verdana' !important;l-h: 24px;} .ft73{font: 14px 'Verdana' !important;margin-left: 12px;l-h: 18px;} .ft74{font: 10px 'Verdana' !important;l-h: 7px;} .ft75{font: italic bold 12px 'Verdana' !important;l-h: 15px;} .ft76{font: italic 12px 'Verdana' !important;l-h: 15px;} .ft77{font: italic 12px 'Verdana' !important;l-h: 16px;} .ft78{font: 14px 'Verdana' !important;l-h: 24px;} .ft79{font: 14px 'Verdana' !important;l-h: 24px;} .ft80{font: 14px 'Verdana' !important;text-decoration: underline;l-h: 17px;} .ft81{font: 10px 'Verdana' !important;text-decoration: underline;l-h: 12px;position: relative; bottom: 6px;} .ft82{font: bold 14px 'Verdana' !important;text-decoration: underline;l-h: 17px;} .ft83{font: bold 14px 'Verdana' !important;l-h: 22px;} .ft84{font: bold 14px 'Verdana' !important;l-h: 20px;} .ft85{font: 12px 'Verdana' !important;margin-left: 4px;l-h: 15px;} .ft86{font: 12px 'Verdana' !important;margin-left: 3px;l-h: 15px;} .ft87{font: 12px 'Verdana' !important;margin-left: 6px;l-h: 16px;} .ft88{font: 12px 'Verdana' !important;l-h: 16px;} .ft89{font: bold 10px 'Verdana' !important;text-decoration: underline;l-h: 11px;position: relative; bottom: 6px;} .ft90{font: bold 12px 'Verdana' !important;text-decoration: underline;l-h: 17px;} .ft91{font: 14px 'Verdana' !important;l-h: 19px;} .ft92{font: bold 12px 'Verdana' !important;l-h: 14px;} .ft93{font: 12px 'Verdana' !important;l-h: 14px;} .ft94{font: italic 14px 'Verdana' !important;margin-left: 8px;l-h: 19px;} .ft95{font: italic 14px 'Verdana' !important;margin-left: 8px;l-h: 17px;} .ft96{font: 10px 'Verdana' !important;l-h: 8px;} .ft97{font: 10px 'Verdana' !important;l-h: 13px;} .ft98{font: 12px 'Verdana' !important;l-h: 16px;} .p0{text-align: left;margin-top: 0px;margin-bottom: 0px !important;} .p1{text-align: left;padding-right: 357px;margin-top: 30px;margin-bottom: 0px !important;} .p2{text-align: left;padding-right: 357px;margin-top: 4px;margin-bottom: 0px !important;text-indent: 19px;} .p3{text-align: left;padding-right: 357px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p4{text-align: left;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p5{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p6{text-align: left;padding-left: 0px;margin-top: 34px;margin-bottom: 0px !important;} .p7{text-align: left;padding-left: 0px;margin-top: 35px;margin-bottom: 0px !important;} .p8{text-align: left;padding-left: 260px;margin-top: 17px;margin-bottom: 0px !important;} .p9{text-align: left;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p10{text-align: left;padding-left: 0px;margin-top: 51px;margin-bottom: 0px !important;} .p11{text-align: right;padding-right: 1px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p12{text-align: right;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p13{text-align: right;padding-right: 84px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p14{text-align: right;padding-right: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p15{text-align: left;padding-left: 0px;margin-top: 23px;margin-bottom: 0px !important;} .p16{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p17{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p18{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p19{text-align: right;padding-right: 63px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p20{text-align: center;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p21{text-align: center;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p22{text-align: right;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p23{text-align: center;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p24{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p25{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p26{text-align: left;padding-left: 0px;margin-top: 14px;margin-bottom: 0px !important;} .p27{text-align: right;padding-right: 63px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p28{text-align: center;padding-right: 3px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p29{text-align: right;padding-right: 168px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p30{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p31{text-align: right;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p32{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p33{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p34{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p35{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p36{text-align: right;padding-right: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p37{text-align: right;padding-right: 7px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p38{text-align: right;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p39{text-align: center;padding-left: 300px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p40{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p41{text-align: center;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p42{text-align: left;padding-left: 0px;margin-top: 33px;margin-bottom: 0px !important;} .p43{text-align: left;padding-left: 0px;margin-top: 136px;margin-bottom: 0px !important;} .p44{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 11px;margin-bottom: 0px !important;} .p45{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p46{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 19px;} .p47{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;} .p48{text-align: left;padding-left: 0px;margin-top: 31px;margin-bottom: 0px !important;} .p49{text-align: left;padding-left: 0px;margin-top: 11px;margin-bottom: 0px !important;} .p50{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 13px;margin-bottom: 0px !important;} .p51{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p52{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 4px;margin-bottom: 0px !important;text-indent: 19px;} .p53{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;} .p54{text-align: left;padding-left: 0px;margin-top: 32px;margin-bottom: 0px !important;} .p55{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 19px;margin-bottom: 0px !important;text-indent: 19px;} .p56{text-align: left;padding-left: 0px;margin-top: 24px;margin-bottom: 0px !important;} .p57{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 12px;margin-bottom: 0px !important;} .p58{text-align: left;padding-left: 0px;padding-right: 357px;padding-top: 1px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 19px;} .p59{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p60{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 20px;margin-bottom: 0px !important;text-indent: 19px;} .p61{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p62{text-align: left;padding-left: 0px;margin-top: 44px;margin-bottom: 0px !important;} .p63{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 4px;margin-bottom: 0px !important;text-indent: 19px;} .p64{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 37px;margin-bottom: 0px !important;} .p65{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 6px;margin-bottom: 0px !important;} .p66{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p67{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 10px;margin-bottom: 0px !important;} .p68{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 24px;margin-bottom: 0px !important;} .p69{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p70{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p71{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p72{text-align: left;padding-left: 0px;margin-top: 135px;margin-bottom: 0px !important;} .p73{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 15px;margin-bottom: 0px !important;} .p74{text-align: left;padding-left: 0px;margin-top: 2px;margin-bottom: 0px !important;} .p75{text-align: left;padding-left: 0px;margin-top: 34px;margin-bottom: 0px !important;} .p76{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 14px;margin-bottom: 0px !important;} .p77{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 34px;margin-bottom: 0px !important;} .p78{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 5px;margin-bottom: 0px !important;text-indent: 19px;} .p79{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p80{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p81{text-align: left;padding-left: 0px;padding-right: 441px;margin-top: 129px;margin-bottom: 0px !important;text-indent: 0.76px;} .p82{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 7px;margin-bottom: 0px !important;} .p83{text-align: left;padding-left: 0px;margin-top: 26px;margin-bottom: 0px !important;} .p84{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 19px;} .p85{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 19px;} .p86{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 17px;margin-bottom: 0px !important;text-indent: 19px;} .p87{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 6px;margin-bottom: 0px !important;text-indent: 0.18px;} .p88{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 0.18px;} .p89{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 0.18px;} .p90{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;} .p91{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;} .p92{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 0.18px;} .p93{text-align: left;padding-left: 0px;margin-top: 33px;margin-bottom: 0px !important;} .p94{text-align: left;padding-left: 0px;margin-top: 1px;margin-bottom: 0px !important;} .p95{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 0.18px;} .p96{text-align: left;padding-left: 0px;margin-top: 39px;margin-bottom: 0px !important;} .p97{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 14px;margin-bottom: 0px !important;} .p98{text-align: left;padding-left: 0px;padding-right: 357px;padding-top: 1px;margin-top: 24px;margin-bottom: 0px !important;} .p99{text-align: left;padding-left: 0px;margin-top: 31px;margin-bottom: 0px !important;} .p100{text-align: left;padding-left: 0px;margin-top: 49px;margin-bottom: 0px !important;} .p101{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p102{text-align: left;padding-left: 0px;margin-top: 47px;margin-bottom: 0px !important;} .p103{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p104{text-align: left;padding-left: 0px;padding-right: 777px;margin-top: 20px;margin-bottom: 0px !important;} .p105{text-align: left;padding-left: 0px;margin-top: 33px;margin-bottom: 0px !important;} .p106{text-align: left;padding-left: 0px;margin-top: 35px;margin-bottom: 0px !important;} .p107{text-align: left;padding-left: 0px;margin-top: 34px;margin-bottom: 0px !important;} .p108{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 35px;margin-bottom: 0px !important;} .p109{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 23px;margin-bottom: 0px !important;} .p110{text-align: left;padding-left: 0px;margin-top: 32px;margin-bottom: 0px !important;} .p111{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 12px;margin-bottom: 0px !important;} .p112{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 5px;margin-bottom: 0px !important;text-indent: 0.18px;} .p113{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 15px;margin-bottom: 0px !important;} .p114{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 13px;margin-bottom: 0px !important;} .p115{text-align: left;padding-left: 0px;margin-top: 1px;margin-bottom: 0px !important;} .p116{text-align: left;padding-left: 0px;padding-right: 399px;margin-top: 34px;margin-bottom: 0px !important;} .p117{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 9px;margin-bottom: 0px !important;} .p118{text-align: left;padding-left: 0px;margin-top: 36px;margin-bottom: 0px !important;} .p119{text-align: left;padding-left: 0px;margin-top: 30px;margin-bottom: 0px !important;} .p120{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 13px;margin-bottom: 0px !important;} .p121{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 102px;margin-bottom: 0px !important;} .p122{text-align: left;padding-left: 0px;margin-top: 13px;margin-bottom: 0px !important;} .p123{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p124{text-align: left;padding-left: 0px;padding-right: 189px;margin-top: 36px;margin-bottom: 0px !important;text-indent: 0.76px;} .p125{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 6px;margin-bottom: 0px !important;} .p126{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 19px;} .p127{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 23px;margin-bottom: 0px !important;} .p128{text-align: left;padding-left: 0px;margin-top: 28px;margin-bottom: 0px !important;} .p129{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 19px;} .p130{text-align: left;padding-left: 0px;margin-top: 27px;margin-bottom: 0px !important;} .p131{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p132{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 19px;} .p133{text-align: left;padding-left: 0px;margin-top: 93px;margin-bottom: 0px !important;} .p134{text-align: left;padding-left: 0px;margin-top: 23px;margin-bottom: 0px !important;} .p135{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;} .p136{text-align: left;padding-left: 0px;margin-top: 37px;margin-bottom: 0px !important;} .p137{text-align: left;padding-left: 0px;margin-top: 37px;margin-bottom: 0px !important;} .p138{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 24px;margin-bottom: 0px !important;} .p139{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 15px;margin-bottom: 0px !important;text-indent: 19px;} .p140{text-align: left;padding-left: 0px;padding-right: 546px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p141{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 7px;margin-bottom: 0px !important;} .p142{text-align: left;padding-left: 0px;margin-top: 42px;margin-bottom: 0px !important;} .p143{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 11px;margin-bottom: 0px !important;} .p144{text-align: left;padding-left: 0px;padding-right: 483px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p145{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 5px;margin-bottom: 0px !important;text-indent: 19px;} .p146{text-align: left;padding-left: 0px;margin-top: 24px;margin-bottom: 0px !important;} .p147{text-align: left;padding-left: 0px;padding-right: 441px;margin-top: 36px;margin-bottom: 0px !important;text-indent: 0.76px;} .p148{text-align: left;padding-left: 0px;margin-top: 36px;margin-bottom: 0px !important;} .p149{text-align: left;padding-left: 0px;margin-top: 35px;margin-bottom: 0px !important;} .p150{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 45px;margin-bottom: 0px !important;} .p151{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;} .p152{text-align: left;padding-left: 0px;margin-top: 54px;margin-bottom: 0px !important;} .p153{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p154{text-align: left;padding-left: 0px;margin-top: 30px;margin-bottom: 0px !important;} .p155{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p156{text-align: left;padding-left: 0px;padding-right: 462px;margin-top: 0px;margin-bottom: 0px !important;} .p157{text-align: left;padding-left: 0px;margin-top: 47px;margin-bottom: 0px !important;} .p158{text-align: left;padding-left: 0px;padding-right: 42px;padding-top: 1px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p159{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 19px;} .p160{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 23px;margin-bottom: 0px !important;} .p161{text-align: left;padding-left: 0px;margin-top: 35px;margin-bottom: 0px !important;} .p162{text-align: left;padding-left: 0px;margin-top: 118px;margin-bottom: 0px !important;} .p163{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 10px;margin-bottom: 0px !important;} .p164{text-align: left;padding-left: 0px;padding-right: 399px;margin-top: 53px;margin-bottom: 0px !important;text-indent: 0.76px;} .p165{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p166{text-align: left;padding-left: 0px;margin-top: 55px;margin-bottom: 0px !important;} .p167{text-align: left;padding-left: 0px;margin-top: 27px;margin-bottom: 0px !important;} .p168{text-align: left;padding-left: 0px;margin-top: 28px;margin-bottom: 0px !important;} .p169{text-align: left;padding-left: 0px;margin-top: 53px;margin-bottom: 0px !important;} .p170{text-align: left;padding-left: 0px;padding-right: 357px;padding-top: 1px;margin-top: 11px;margin-bottom: 0px !important;} .p171{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 19px;margin-bottom: 0px !important;text-indent: 19px;} .p172{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 23px;} .p173{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 23px;margin-bottom: 0px !important;} .p174{text-align: left;padding-left: 0px;padding-right: 588px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p175{text-align: left;padding-left: 0px;margin-top: 129px;margin-bottom: 0px !important;} .p176{text-align: left;padding-left: 0px;padding-right: 525px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p177{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p178{text-align: left;padding-left: 0px;margin-top: 150px;margin-bottom: 0px !important;} .p179{text-align: left;padding-left: 0px;padding-right: 84px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 0.76px;} .p180{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 8px;margin-bottom: 0px !important;} .p181{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 4px;margin-bottom: 0px !important;text-indent: 19px;} .p182{text-align: left;padding-left: 0px;padding-right: 84px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 0.76px;} .p183{text-align: left;padding-left: 0px;padding-right: 105px;margin-top: 7px;margin-bottom: 0px !important;text-indent: 0.76px;} .p184{text-align: left;padding-left: 0px;padding-right: 105px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p185{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 8px;margin-bottom: 0px !important;} .p186{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 19px;margin-bottom: 0px !important;text-indent: 19px;} .p187{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 35px;margin-bottom: 0px !important;text-indent: 0.76px;} .p188{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 6px;margin-bottom: 0px !important;} .p189{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 16px;margin-bottom: 0px !important;text-indent: 19px;} .p190{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p191{text-align: left;padding-left: 0px;padding-right: 567px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p192{text-align: left;padding-left: 0px;margin-top: 6px;margin-bottom: 0px !important;} .p193{text-align: left;padding-left: 0px;margin-top: 53px;margin-bottom: 0px !important;} .p194{text-align: left;padding-left: 0px;padding-right: 63px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p195{text-align: left;padding-left: 0px;padding-right: 525px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 0.76px;} .p196{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p197{text-align: left;padding-left: 0px;margin-top: 2px;margin-bottom: 0px !important;} .p198{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 17px;margin-bottom: 0px !important;text-indent: 19px;} .p199{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p200{text-align: left;padding-left: 0px;padding-right: 441px;margin-top: 135px;margin-bottom: 0px !important;text-indent: 0.76px;} .p201{text-align: left;padding-left: 0px;padding-right: 42px;padding-top: 3px;margin-top: 79px;margin-bottom: 0px !important;} .p202{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 13px;margin-bottom: 0px !important;text-indent: 0.18px;} .p203{text-align: left;padding-left: 0px;padding-right: 567px;margin-top: 0px;margin-bottom: 0px !important;} .p204{text-align: left;padding-left: 0px;margin-top: 34px;margin-bottom: 0px !important;} .p205{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 16px;margin-bottom: 0px !important;text-indent: 19px;} .p206{text-align: left;padding-left: 0px;padding-right: 441px;margin-top: 32px;margin-bottom: 0px !important;text-indent: 0.76px;} .p207{text-align: left;padding-left: 0px;padding-right: 84px;margin-top: 36px;margin-bottom: 0px !important;text-indent: 0.76px;} .p208{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 5px;margin-bottom: 0px !important;} .p209{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 4px;margin-bottom: 0px !important;text-indent: 19px;} .p210{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p211{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p212{text-align: left;padding-left: 200px;margin-top: 15px;margin-bottom: 0px !important;} .p213{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p214{text-align: left;padding-left: 0px;padding-right: 504px;margin-top: 7px;margin-bottom: 0px !important;text-indent: 0.76px;} .p215{text-align: left;padding-left: 0px;margin-top: 117px;margin-bottom: 0px !important;} .p216{text-align: left;padding-left: 0px;padding-right: 378px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 0.76px;} .p217{text-align: left;padding-left: 0px;margin-top: 12px;margin-bottom: 0px !important;} .p218{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p219{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p220{text-align: center;padding-right: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p221{text-align: center;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p222{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p223{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 17px;margin-bottom: 0px !important;} .p224{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 34px;margin-bottom: 0px !important;text-indent: 0.76px;} .p225{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 8px;margin-bottom: 0px !important;} .p226{text-align: left;padding-left: 0px;padding-right: 378px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p227{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 103px;margin-bottom: 0px !important;} .p228{text-align: left;padding-left: 0px;margin-top: 38px;margin-bottom: 0px !important;} .p229{text-align: left;padding-left: 0px;padding-right: 504px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 0.76px;} .p230{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 5px;margin-bottom: 0px !important;} .p231{text-align: left;padding-left: 0px;margin-top: 20px;margin-bottom: 0px !important;} .p232{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 9px;margin-bottom: 0px !important;} .p233{text-align: left;padding-left: 0px;margin-top: 14px;margin-bottom: 0px !important;} .p234{text-align: left;padding-left: 0px;margin-top: 29px;margin-bottom: 0px !important;} .p235{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p236{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p237{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p238{text-align: left;padding-left: 0px;margin-top: 1px;margin-bottom: 0px !important;} .p239{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;} .p240{text-align: left;padding-left: 0px;margin-top: 25px;margin-bottom: 0px !important;} .p241{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;} .p242{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p243{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p244{text-align: left;padding-left: 0px;margin-top: 46px;margin-bottom: 0px !important;} .p245{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 27px;margin-bottom: 0px !important;text-indent: 0.76px;} .p246{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 4px;margin-bottom: 0px !important;} .p247{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 23px;} .p248{text-align: left;padding-left: 0px;padding-right: 462px;margin-top: 1px;margin-bottom: 0px !important;} .p249{text-align: left;padding-left: 0px;padding-right: 63px;margin-top: 26px;margin-bottom: 0px !important;text-indent: 0.76px;} .p250{text-align: left;padding-left: 0px;padding-right: 462px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p251{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p252{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p253{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 23px;margin-bottom: 0px !important;text-indent: 19px;} .p254{text-align: left;padding-left: 0px;padding-right: 105px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p255{text-align: left;padding-left: 0px;padding-right: 756px;margin-top: 10px;margin-bottom: 0px !important;} .p256{text-align: left;padding-left: 0px;padding-right: 672px;margin-top: 0px;margin-bottom: 0px !important;} .p257{text-align: left;padding-left: 0px;padding-right: 588px;margin-top: 0px;margin-bottom: 0px !important;} .p258{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 17px;margin-bottom: 0px !important;} .p259{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 3px;margin-bottom: 0px !important;text-indent: 23px;} .p260{text-align: left;padding-left: 0px;margin-top: 18px;margin-bottom: 0px !important;} .p261{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 29px;margin-bottom: 0px !important;} .p262{text-align: left;padding-left: 0px;margin-top: 29px;margin-bottom: 0px !important;} .p263{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 22px;margin-bottom: 0px !important;text-indent: 19px;} .p264{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 18px;margin-bottom: 0px !important;text-indent: 19px;} .p265{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 7px;margin-bottom: 0px !important;text-indent: 19px;} .p266{text-align: left;padding-left: 0px;padding-right: 105px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p267{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 103px;margin-bottom: 0px !important;} .p268{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;text-indent: 19px;} .p269{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 19px;} .p270{text-align: left;padding-left: 0px;padding-right: 63px;margin-top: 39px;margin-bottom: 0px !important;text-indent: 0.76px;} .p271{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 7px;margin-bottom: 0px !important;} .p272{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p273{text-align: left;padding-left: 0px;margin-top: 47px;margin-bottom: 0px !important;} .p274{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 21px;margin-bottom: 0px !important;text-indent: 19px;} .p275{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 2px;margin-bottom: 0px !important;} .p276{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 44px;margin-bottom: 0px !important;text-indent: 0.76px;} .p277{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 102px;margin-bottom: 0px !important;} .p278{text-align: left;padding-left: 0px;padding-right: 483px;margin-top: 42px;margin-bottom: 0px !important;text-indent: 0.76px;} .p279{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 35px;margin-bottom: 0px !important;} .p280{text-align: left;padding-left: 0px;padding-right: 399px;margin-top: 34px;margin-bottom: 0px !important;text-indent: 0.76px;} .p281{text-align: left;padding-left: 0px;padding-right: 483px;margin-top: 44px;margin-bottom: 0px !important;text-indent: 0.76px;} .p282{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p283{text-align: left;padding-left: 0px;padding-right: 546px;margin-top: 58px;margin-bottom: 0px !important;text-indent: 0.76px;} .p284{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 18px;margin-bottom: 0px !important;text-indent: 19px;} .p285{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 35px;margin-bottom: 0px !important;text-indent: 19px;} .p286{text-align: left;padding-left: 0px;margin-top: 95px;margin-bottom: 0px !important;} .p287{text-align: left;padding-left: 0px;padding-right: 336px;margin-top: 14px;margin-bottom: 0px !important;} .p288{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 35px;margin-bottom: 0px !important;text-indent: 19px;} .p289{text-align: left;padding-left: 0px;padding-right: 441px;margin-top: 35px;margin-bottom: 0px !important;text-indent: 0.76px;} .p290{text-align: left;padding-left: 0px;margin-top: 16px;margin-bottom: 0px !important;} .p291{text-align: left;padding-left: 0px;margin-top: 22px;margin-bottom: 0px !important;} .p292{text-align: left;padding-left: 0px;margin-top: 43px;margin-bottom: 0px !important;} .p293{text-align: left;padding-left: 0px;margin-top: 50px;margin-bottom: 0px !important;} .p294{text-align: left;padding-left: 0px;padding-right: 105px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p295{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 19px;} .p296{text-align: left;padding-left: 0px;padding-right: 147px;margin-top: 37px;margin-bottom: 0px !important;text-indent: 0.76px;} .p297{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 9px;margin-bottom: 0px !important;} .p298{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 1px;margin-bottom: 0px !important;} .p299{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p300{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 24px;margin-bottom: 0px !important;} .p301{text-align: left;padding-left: 0px;padding-right: 357px;padding-top: 3px;margin-top: 39px;margin-bottom: 0px !important;} .p302{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 18px;margin-bottom: 0px !important;text-indent: 19px;} .p303{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 1px;margin-bottom: 0px !important;text-indent: 23px;} .p304{text-align: left;padding-left: 0px;padding-right: 357px;padding-top: 3px;margin-top: 49px;margin-bottom: 0px !important;} .p305{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 20px;margin-bottom: 0px !important;text-indent: 19px;} .p306{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 19px;margin-bottom: 0px !important;text-indent: 19px;} .p307{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 20px;margin-bottom: 0px !important;text-indent: 19px;} .p308{text-align: left;padding-left: 0px;padding-right: 63px;margin-top: 34px;margin-bottom: 0px !important;text-indent: 0.76px;} .p309{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p310{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 102px;margin-bottom: 0px !important;} .p311{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 22px;margin-bottom: 0px !important;} .p312{text-align: left;padding-left: 0px;padding-right: 84px;margin-top: 30px;margin-bottom: 0px !important;text-indent: 0.76px;} .p313{text-align: left;padding-left: 0px;padding-right: 462px;margin-top: 34px;margin-bottom: 0px !important;text-indent: 0.76px;} .p314{text-align: left;padding-left: 0px;margin-top: 17px;margin-bottom: 0px !important;} .p315{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 17px;margin-bottom: 0px !important;} .p316{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 5px;margin-bottom: 0px !important;text-indent: 19px;} .p317{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 37px;margin-bottom: 0px !important;} .p318{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 16px;margin-bottom: 0px !important;} .p319{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 5px;margin-bottom: 0px !important;text-indent: 19px;} .p320{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 6px;margin-bottom: 0px !important;text-indent: 19px;} .p321{text-align: left;padding-left: 0px;padding-right: 378px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p322{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 36px;margin-bottom: 0px !important;text-indent: 0.76px;} .p323{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;} .p324{text-align: left;padding-left: 0px;padding-right: 420px;margin-top: 31px;margin-bottom: 0px !important;text-indent: 0.76px;} .p325{text-align: left;padding-left: 0px;padding-right: 399px;margin-top: 32px;margin-bottom: 0px !important;text-indent: 0.76px;} .p326{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 16px;margin-bottom: 0px !important;} .p327{text-align: left;padding-left: 0px;padding-right: 63px;margin-top: 37px;margin-bottom: 0px !important;text-indent: 0.76px;} .p328{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 21px;margin-bottom: 0px !important;text-indent: 19px;} .p329{text-align: left;padding-left: 0px;margin-top: 25px;margin-bottom: 0px !important;} .p330{text-align: left;padding-left: 0px;padding-right: 105px;margin-top: 36px;margin-bottom: 0px !important;text-indent: 0.76px;} .p331{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 7px;margin-bottom: 0px !important;} .p332{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 24px;margin-bottom: 0px !important;text-indent: 19px;} .p333{text-align: left;padding-left: 0px;padding-right: 84px;margin-top: 33px;margin-bottom: 0px !important;text-indent: 0.76px;} .p334{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 22px;margin-bottom: 0px !important;} .p335{text-align: left;padding-left: 0px;margin-top: 58px;margin-bottom: 0px !important;} .p336{text-align: left;padding-left: 0px;margin-top: 87px;margin-bottom: 0px !important;} .p337{text-align: left;margin-top: 1px;margin-bottom: 0px !important;} .p338{text-align: left;margin-top: 35px;margin-bottom: 0px !important;} .p339{text-align: left;padding-right: 357px;margin-top: 12px;margin-bottom: 0px !important;} .p340{text-align: left;margin-top: 32px;margin-bottom: 0px !important;} .p341{text-align: left;padding-right: 357px;margin-top: 12px;margin-bottom: 0px !important;} .p342{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 0.19px;} .p343{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 15px;margin-bottom: 0px !important;text-indent: 0.19px;} .p344{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 14px;margin-bottom: 0px !important;text-indent: 0.19px;} .p345{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 24px;margin-bottom: 0px !important;} .p346{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 35px;margin-bottom: 0px !important;text-indent: 0.19px;} .p347{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 14px;margin-bottom: 0px !important;text-indent: 0.19px;} .p348{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 15px;margin-bottom: 0px !important;text-indent: 0.19px;} .p349{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 14px;margin-bottom: 0px !important;text-indent: 0.19px;} .p350{text-align: left;padding-left: 0px;padding-right: 42px;margin-top: 15px;margin-bottom: 0px !important;} .p351{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 13px;margin-bottom: 0px !important;} .p352{text-align: left;padding-left: 280px;margin-top: 16px;margin-bottom: 0px !important;} .p353{text-align: left;padding-left: 340px;margin-top: 89px;margin-bottom: 0px !important;} .p354{text-align: left;padding-left: 0px;margin-top: 22px;margin-bottom: 0px !important;} .p355{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;} .p356{text-align: left;padding-left: 0px;margin-top: 3px;margin-bottom: 0px !important;} .p357{text-align: left;padding-left: 0px;padding-right: 777px;margin-top: 2px;margin-bottom: 0px !important;} .p358{text-align: left;padding-left: 0px;margin-top: 2px;margin-bottom: 0px !important;} .p359{text-align: left;padding-left: 0px;padding-right: 714px;margin-top: 3px;margin-bottom: 0px !important;} .p360{text-align: left;padding-left: 0px;margin-top: 4px;margin-bottom: 0px !important;} .p361{text-align: left;padding-left: 0px;padding-right: 336px;margin-top: 14px;margin-bottom: 0px !important;} .p362{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 4px;margin-bottom: 0px !important;text-indent: 0.18px;} .p363{text-align: left;padding-left: 0px;padding-right: 378px;margin-top: 5px;margin-bottom: 0px !important;} .p364{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 2px;margin-bottom: 0px !important;text-indent: 0.18px;} .p365{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 5px;margin-bottom: 0px !important;text-indent: 0.18px;} .p366{text-align: left;padding-left: 0px;margin-top: 16px;margin-bottom: 0px !important;} .p367{text-align: left;padding-left: 0px;padding-right: 609px;margin-top: 0px;margin-bottom: 0px !important;} .p368{text-align: left;padding-left: 300px;margin-top: 1px;margin-bottom: 0px !important;} .p369{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p370{text-align: right;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p371{text-align: left;padding-left: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p372{text-align: right;padding-right: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p373{text-align: right;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p374{text-align: right;padding-right: 0px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p375{text-align: right;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p376{text-align: center;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p377{text-align: center;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p378{text-align: left;padding-left: 0px;margin-top: 19px;margin-bottom: 0px !important;} .p379{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 0px;margin-bottom: 0px !important;} .p380{text-align: right;padding-right: 63px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p381{text-align: right;padding-right: 3px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p382{text-align: right;padding-right: 63px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p383{text-align: right;padding-right: 42px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p384{text-align: left;padding-left: 200px;margin-top: 21px;margin-bottom: 0px !important;} .p385{text-align: left;padding-left: 140px;margin-top: 0px;margin-bottom: 0px !important;} .p386{text-align: left;padding-left: 360px;margin-top: 19px;margin-bottom: 0px !important;} .p387{text-align: left;padding-left: 0px;margin-top: 1px;margin-bottom: 0px !important;} .p388{text-align: left;padding-left: 0px;margin-top: 121px;margin-bottom: 0px !important;} .p389{text-align: left;padding-left: 0px;padding-right: 378px;margin-top: 35px;margin-bottom: 0px !important;text-indent: 0.19px;} .p390{text-align: left;padding-left: 0px;padding-right: 357px;margin-top: 17px;margin-bottom: 0px !important;text-indent: 0.19px;} .p391{text-align: right;padding-right: 21px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p392{text-align: right;padding-right: 147px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p393{text-align: right;padding-right: 8px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p394{text-align: right;padding-right: 105px;margin-top: 0px;margin-bottom: 0px !important;white-space: nowrap;} .p395{text-align: left;padding-left: 240px;margin-top: 115px;margin-bottom: 0px !important;} .p396{text-align: left;padding-left: 300px;margin-top: 71px;margin-bottom: 0px !important;} .p397{text-align: left;padding-left: 300px;margin-top: 0px;margin-bottom: 0px !important;} .td0{padding: 0px;margin: 0px;width: 466px;vertical-align: bottom;} .td1{padding: 0px;margin: 0px;width: 73px;vertical-align: bottom;} .td2{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 466px;vertical-align: bottom;} .td3{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 73px;vertical-align: bottom;} .td4{padding: 0px;margin: 0px;width: 447px;vertical-align: bottom;} .td5{padding: 0px;margin: 0px;width: 16px;vertical-align: bottom;} .td6{padding: 0px;margin: 0px;width: 18px;vertical-align: bottom;} .td7{padding: 0px;margin: 0px;width: 428px;vertical-align: bottom;} .td8{padding: 0px;margin: 0px;width: 61px;vertical-align: bottom;} .td9{padding: 0px;margin: 0px;width: 366px;vertical-align: bottom;} .td10{padding: 0px;margin: 0px;width: 463px;vertical-align: bottom;} .td11{padding: 0px;margin: 0px;width: 76px;vertical-align: bottom;} .td12{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 463px;vertical-align: bottom;} .td13{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 76px;vertical-align: bottom;} .td14{padding: 0px;margin: 0px;width: 66px;vertical-align: bottom;} .td15{padding: 0px;margin: 0px;width: 362px;vertical-align: bottom;} .td16{padding: 0px;margin: 0px;width: 27px;vertical-align: bottom;} .td17{padding: 0px;margin: 0px;width: 353px;vertical-align: bottom;} .td18{padding: 0px;margin: 0px;width: 420px;vertical-align: bottom;} .td19{padding: 0px;margin: 0px;width: 142px;vertical-align: bottom;} .td20{padding: 0px;margin: 0px;width: 323px;vertical-align: bottom;} .td21{padding: 0px;margin: 0px;width: 411px;vertical-align: bottom;} .td22{padding: 0px;margin: 0px;width: 45px;vertical-align: bottom;} .td23{padding: 0px;margin: 0px;width: 351px;vertical-align: bottom;} .td24{padding: 0px;margin: 0px;width: 360px;vertical-align: bottom;} .td25{padding: 0px;margin: 0px;width: 23px;vertical-align: bottom;} .td26{padding: 0px;margin: 0px;width: 422px;vertical-align: bottom;} .td27{padding: 0px;margin: 0px;width: 404px;vertical-align: bottom;} .td28{padding: 0px;margin: 0px;width: 24px;vertical-align: bottom;} .td29{padding: 0px;margin: 0px;width: 359px;vertical-align: bottom;} .td30{padding: 0px;margin: 0px;width: 320px;vertical-align: bottom;} .td31{padding: 0px;margin: 0px;width: 439px;vertical-align: bottom;} .td32{padding: 0px;margin: 0px;width: 421px;vertical-align: bottom;} .td33{padding: 0px;margin: 0px;width: 344px;vertical-align: bottom;} .td34{padding: 0px;margin: 0px;width: 79px;vertical-align: bottom;} .td35{padding: 0px;margin: 0px;width: 48px;vertical-align: bottom;} .td36{padding: 0px;margin: 0px;width: 358px;vertical-align: bottom;} .td37{padding: 0px;margin: 0px;width: 53px;vertical-align: bottom;} .td38{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 79px;vertical-align: bottom;} .td39{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 406px;vertical-align: bottom;} .td40{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 53px;vertical-align: bottom;} .td41{padding: 0px;margin: 0px;width: 406px;vertical-align: bottom;} .td42{padding: 0px;margin: 0px;width: 445px;vertical-align: bottom;} .td43{padding: 0px;margin: 0px;width: 412px;vertical-align: bottom;} .td44{padding: 0px;margin: 0px;width: 436px;vertical-align: bottom;} .td45{padding: 0px;margin: 0px;width: 57px;vertical-align: bottom;} .td46{padding: 0px;margin: 0px;width: 354px;vertical-align: bottom;} .td47{padding: 0px;margin: 0px;width: 81px;vertical-align: bottom;} .td48{padding: 0px;margin: 0px;width: 50px;vertical-align: bottom;} .td49{padding: 0px;margin: 0px;width: 75px;vertical-align: bottom;} .td50{padding: 0px;margin: 0px;width: 30px;vertical-align: bottom;} .td51{padding: 0px;margin: 0px;width: 179px;vertical-align: bottom;} .td52{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 81px;vertical-align: bottom;} .td53{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 336px;vertical-align: bottom;} .td54{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 45px;vertical-align: bottom;} .td55{padding: 0px;margin: 0px;width: 336px;vertical-align: bottom;} .td56{padding: 0px;margin: 0px;width: 285px;vertical-align: bottom;} .td57{padding: 0px;margin: 0px;width: 381px;vertical-align: bottom;} .td58{padding: 0px;margin: 0px;width: 156px;vertical-align: bottom;} .td59{padding: 0px;margin: 0px;width: 126px;vertical-align: bottom;} .td60{padding: 0px;margin: 0px;width: 457px;vertical-align: bottom;} .td61{padding: 0px;margin: 0px;width: 121px;vertical-align: bottom;} .td62{padding: 0px;margin: 0px;width: 116px;vertical-align: bottom;} .td63{padding: 0px;margin: 0px;width: 423px;vertical-align: bottom;} .td64{padding: 0px;margin: 0px;width: 487px;vertical-align: bottom;} .td65{padding: 0px;margin: 0px;width: 52px;vertical-align: bottom;} .td66{padding: 0px;margin: 0px;width: 370px;vertical-align: bottom;} .td67{padding: 0px;margin: 0px;width: 410px;vertical-align: bottom;} .td68{padding: 0px;margin: 0px;width: 129px;vertical-align: bottom;} .td69{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 410px;vertical-align: bottom;} .td70{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 129px;vertical-align: bottom;} .td71{padding: 0px;margin: 0px;width: 444px;vertical-align: bottom;} .td72{padding: 0px;margin: 0px;width: 95px;vertical-align: bottom;} .td73{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 444px;vertical-align: bottom;} .td74{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 95px;vertical-align: bottom;} .td75{padding: 0px;margin: 0px;width: 217px;vertical-align: bottom;} .td76{padding: 0px;margin: 0px;width: 322px;vertical-align: bottom;} .td77{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 217px;vertical-align: bottom;} .td78{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 322px;vertical-align: bottom;} .td79{border-left: #000000 1px solid;border-right: #000000 1px solid;border-top: #000000 1px solid;padding: 0px;margin: 0px;width: 139px;vertical-align: bottom;} .td80{border-right: #000000 1px solid;padding: 0px;margin: 0px;width: 110px;vertical-align: bottom;} .td81{border-right: #000000 1px solid;border-top: #000000 1px solid;padding: 0px;margin: 0px;width: 110px;vertical-align: bottom;} .td82{border-left: #000000 1px solid;border-right: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 139px;vertical-align: bottom;} .td83{border-right: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 110px;vertical-align: bottom;} .td84{padding: 0px;margin: 0px;width: 291px;vertical-align: bottom;} .td85{padding: 0px;margin: 0px;width: 247px;vertical-align: bottom;} .td86{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 291px;vertical-align: bottom;} .td87{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 247px;vertical-align: bottom;} .td88{padding: 0px;margin: 0px;width: 281px;vertical-align: bottom;} .td89{padding: 0px;margin: 0px;width: 258px;vertical-align: bottom;} .td90{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 281px;vertical-align: bottom;} .td91{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 258px;vertical-align: bottom;} .td92{padding: 0px;margin: 0px;width: 274px;vertical-align: bottom;} .td93{padding: 0px;margin: 0px;width: 265px;vertical-align: bottom;} .td94{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 274px;vertical-align: bottom;} .td95{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 265px;vertical-align: bottom;} .td96{padding: 0px;margin: 0px;width: 312px;vertical-align: bottom;} .td97{padding: 0px;margin: 0px;width: 226px;vertical-align: bottom;} .td98{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 312px;vertical-align: bottom;} .td99{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 226px;vertical-align: bottom;} .td100{padding: 0px;margin: 0px;width: 364px;vertical-align: bottom;} .td101{padding: 0px;margin: 0px;width: 175px;vertical-align: bottom;} .td102{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 205px;vertical-align: bottom;} .td103{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 158px;vertical-align: bottom;} .td104{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 175px;vertical-align: bottom;} .td105{padding: 0px;margin: 0px;width: 205px;vertical-align: bottom;} .td106{padding: 0px;margin: 0px;width: 158px;vertical-align: bottom;} .td107{border-left: #000000 1px solid;border-right: #000000 1px solid;border-top: #000000 1px solid;padding: 0px;margin: 0px;width: 102px;vertical-align: bottom;} .td108{border-right: #000000 1px solid;border-top: #000000 1px solid;padding: 0px;margin: 0px;width: 89px;vertical-align: bottom;} .td109{border-right: #000000 1px solid;border-top: #000000 1px solid;padding: 0px;margin: 0px;width: 154px;vertical-align: bottom;} .td110{border-left: #000000 1px solid;border-right: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 102px;vertical-align: bottom;} .td111{border-right: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 89px;vertical-align: bottom;} .td112{border-right: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 154px;vertical-align: bottom;} .td113{border-left: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 28px;vertical-align: bottom;} .td114{border-right: #000000 1px solid;border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 74px;vertical-align: bottom;} .td115{padding: 0px;margin: 0px;width: 132px;vertical-align: bottom;} .td116{padding: 0px;margin: 0px;width: 407px;vertical-align: bottom;} .td117{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 132px;vertical-align: bottom;} .td118{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 407px;vertical-align: bottom;} .td119{padding: 0px;margin: 0px;width: 195px;vertical-align: bottom;} .td120{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 195px;vertical-align: bottom;} .td121{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 344px;vertical-align: bottom;} .td122{padding: 0px;margin: 0px;width: 203px;vertical-align: bottom;} .td123{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 203px;vertical-align: bottom;} .td124{padding: 0px;margin: 0px;width: 176px;vertical-align: bottom;} .td125{padding: 0px;margin: 0px;width: 363px;vertical-align: bottom;} .td126{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 176px;vertical-align: bottom;} .td127{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 363px;vertical-align: bottom;} .td128{padding: 0px;margin: 0px;width: 128px;vertical-align: bottom;} .td129{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 128px;vertical-align: bottom;} .td130{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 411px;vertical-align: bottom;} .td131{padding: 0px;margin: 0px;width: 256px;vertical-align: bottom;} .td132{padding: 0px;margin: 0px;width: 283px;vertical-align: bottom;} .td133{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 256px;vertical-align: bottom;} .td134{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 283px;vertical-align: bottom;} .td135{padding: 0px;margin: 0px;width: 270px;vertical-align: bottom;} .td136{padding: 0px;margin: 0px;width: 268px;vertical-align: bottom;} .td137{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 270px;vertical-align: bottom;} .td138{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 268px;vertical-align: bottom;} .td139{padding: 0px;margin: 0px;width: 383px;vertical-align: bottom;} .td140{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 383px;vertical-align: bottom;} .td141{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 156px;vertical-align: bottom;} .td142{padding: 0px;margin: 0px;width: 450px;vertical-align: bottom;} .td143{padding: 0px;margin: 0px;width: 89px;vertical-align: bottom;} .td144{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 450px;vertical-align: bottom;} .td145{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 89px;vertical-align: bottom;} .td146{padding: 0px;margin: 0px;width: 455px;vertical-align: bottom;} .td147{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 455px;vertical-align: bottom;} .td148{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 84px;vertical-align: bottom;} .td149{padding: 0px;margin: 0px;width: 5px;vertical-align: bottom;} .td150{padding: 0px;margin: 0px;width: 101px;vertical-align: bottom;} .td151{padding: 0px;margin: 0px;width: 147px;vertical-align: bottom;} .td152{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 539px;vertical-align: bottom;} .td153{padding: 0px;margin: 0px;width: 539px;vertical-align: bottom;} .td154{padding: 0px;margin: 0px;width: 214px;vertical-align: bottom;} .td155{padding: 0px;margin: 0px;width: 178px;vertical-align: bottom;} .td156{padding: 0px;margin: 0px;width: 290px;vertical-align: bottom;} .td157{padding: 0px;margin: 0px;width: 287px;vertical-align: bottom;} .td158{padding: 0px;margin: 0px;width: 109px;vertical-align: bottom;} .td159{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 430px;vertical-align: bottom;} .td160{border-bottom: #000000 1px solid;padding: 0px;margin: 0px;width: 109px;vertical-align: bottom;} .td161{padding: 0px;margin: 0px;width: 430px;vertical-align: bottom;} .td162{padding: 0px;margin: 0px;width: 63px;vertical-align: bottom;} .td163{padding: 0px;margin: 0px;width: 224px;vertical-align: bottom;} .td164{padding: 0px;margin: 0px;width: 34px;vertical-align: bottom;} .td165{padding: 0px;margin: 0px;width: 22px;vertical-align: bottom;} .td166{padding: 0px;margin: 0px;width: 151px;vertical-align: bottom;} .tr0{heightzzz: 26px;} .tr1{heightzzz: 6px;} .tr2{heightzzz: 49px;} .tr3{heightzzz: 34px;} .tr4{heightzzz: 32px;} .tr5{heightzzz: 19px;} .tr6{heightzzz: 42px;} .tr7{heightzzz: 18px;} .tr8{heightzzz: 17px;} .tr9{heightzzz: 20px;} .tr10{heightzzz: 16px;} .tr11{heightzzz: 41px;} .tr12{heightzzz: 50px;} .tr13{heightzzz: 48px;} .tr14{heightzzz: 33px;} .tr15{heightzzz: 31px;} .tr16{heightzzz: 44px;} .tr17{heightzzz: 40px;} .tr18{heightzzz: 43px;} .tr19{heightzzz: 51px;} .tr20{heightzzz: 25px;} .tr21{heightzzz: 12px;} .tr22{heightzzz: 13px;} .tr23{heightzzz: 35px;} .tr24{heightzzz: 21px;} .tr25{heightzzz: 7px;} .tr26{heightzzz: 47px;} .tr27{heightzzz: 30px;} .tr28{heightzzz: 28px;} .tr29{heightzzz: 29px;} .tr30{heightzzz: 24px;} .tr31{heightzzz: 36px;} .tr32{heightzzz: 39px;} .tr33{heightzzz: 38px;} .tr34{heightzzz: 15px;} .tr35{heightzzz: 8px;} .t0{width: 565px;f:15px 'Verdana' !important;} .t1{width: 486px;margin-leftZ: 45px;margin-top: 104px;f:15px 'Verdana' !important;} .t2{width: 486px;margin-leftZ: 45px;f:15px 'Verdana' !important;} .t3{width: 486px;margin-leftZ: 45px;f:15px 'Verdana' !important;} .t4{width: 448px;margin-leftZ: 79px;f:15px 'Verdana' !important;} .t5{width: 386px;margin-leftZ: 136px;f:13px 'Verdana' !important;} .t6{width: 565px;f:italic 14px 'Verdana' !important;} .t7{width: 380px;margin-leftZ: 131px;margin-top: 28px;f:bold 15px 'Verdana' !important;} .t8{width: 460px;margin-leftZ: 44px;margin-top: 16px;f:15px 'Verdana' !important;} .t9{width: 570px;f:15px 'Verdana' !important;} .t10{width: 397px;margin-leftZ: 78px;margin-top: 228px;f:11px 'Verdana' !important;} .t11{width: 369px;margin-leftZ: 94px;margin-top: 113px;f:11px 'Verdana' !important;} </STYLE> <DIV id="page_1"> <DIV id="dimg1"> <INGENBILD zsrc="GQB321x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <P class="p0 ft0">SOU 2002:2</P> </DIV> <DIV id="id_2"> <P class="p0 ft1">Till statsrådet Britta Lejon</P> <P class="p1 ft0">Regeringen beslutade den 21 december 2000 att tillkalla en särskild utredare för att göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen (1998:204) och den snabba utvecklingen inom informationsteknikens område. Utredaren skulle också analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.</P> <P class="p2 ft0">Den 21 december 2000 förordnade statsrådet Britta Lejon kammarrättslagmannen Sten Wahlqvist att från och med den 1 januari 2001 vara särskild utredare.</P> <P class="p3 ft0">Som experter har från och med den 9 mars 2001 medverkat byråchefen Ursula Cronsten, finansinspektören Britt Ericsson, enhetschefen <NOBR>Eva-Lotta</NOBR> Hedin, departementsrådet Henrik Jermsten, direktören Anna Karlgren, chefsjuristen Leif Lindgren, kammarrättsassessorn Peder Liljeqvist, professorn Peter Seipel, departementssekreteraren Lars Söderström och kriminalkommissarien Benny Wahlbäck.</P> <P class="p4 ft2">Sekreterare åt utredningen har varit kammarrättsassessorn Lars Dahlström.</P> <P class="p4 ft2">Utredningen har tagit namnet Utredningen om Datainspektionens framtida verksamhetsinriktning (Ju 2000:16).</P> <P class="p4 ft0">Härmed överlämnar utredningen sitt betänkande (SOU 2002:2) DATAINSPEKTIONEN Kompetens – Effektivitet – Service.</P> <P class="p5 ft0">Utredningens arbete är härigenom avslutat.</P> <P class="p6 ft0">Jönköping i december 2001</P> <P class="p7 ft0">Sten Wahlqvist</P> <P class="p8 ft0">/Lars Dahlström</P> </DIV> </DIV> <DIV id="page_2"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td0"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td1"><SPAN class="p9 ft3">Innehåll <SPAN class="ft0">5</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td2"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td3"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p10 ft5">Innehåll</P> <TABLE cellpadding=0 cellspacing=0 class="t1"> <TR> <TD colspan=3 class="tr0 td4"><SPAN class="p11 ft6">Sammanfattning ......................................................................................</SPAN> </TD> <TD class="tr0 td5"><SPAN class="p12 ft7">13</SPAN> </TD> </TR> <TR> <TD colspan=3 class="tr2 td4"><SPAN class="p13 ft8">BAKGRUNDEN TILL UTREDNINGENS FÖRSLAG</SPAN> </TD> <TD class="tr2 td5"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr3 td6"><SPAN class="p9 ft7">1</SPAN> </TD> <TD colspan=2 class="tr3 td7"><SPAN class="p11 ft6">Uppdraget .......................................................................................</SPAN> </TD> <TD class="tr3 td5"><SPAN class="p12 ft7">25</SPAN> </TD> </TR> <TR> <TD class="tr4 td6"><SPAN class="p9 ft0">1.1</SPAN> </TD> <TD colspan=2 class="tr4 td7"><SPAN class="p11 ft10">Utredningens direktiv.......................................................................</SPAN> </TD> <TD class="tr4 td5"><SPAN class="p12 ft0">25</SPAN> </TD> </TR> <TR> <TD class="tr5 td6"><SPAN class="p9 ft0">1.2</SPAN> </TD> <TD colspan=2 class="tr5 td7"><SPAN class="p11 ft11">Utredningsarbetet .............................................................................</SPAN> </TD> <TD class="tr5 td5"><SPAN class="p12 ft0">26</SPAN> </TD> </TR> <TR> <TD class="tr6 td6"><SPAN class="p9 ft7">2</SPAN> </TD> <TD colspan=2 class="tr6 td7"><SPAN class="p11 ft8">Datainspektionens verksamhet och organisation........................</SPAN> </TD> <TD class="tr6 td5"><SPAN class="p12 ft7">29</SPAN> </TD> </TR> <TR> <TD class="tr4 td6"><SPAN class="p9 ft0">2.1</SPAN> </TD> <TD colspan=2 class="tr4 td7"><SPAN class="p11 ft0">Översikt över Datainspektionens uppgifter......................................</SPAN> </TD> <TD class="tr4 td5"><SPAN class="p12 ft0">29</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft0">2.2</SPAN> </TD> <TD colspan=2 class="tr7 td7"><SPAN class="p11 ft0">Datainspektionens organisation .......................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">31</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">2.2.1</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft0">Datainspektionens organisation år 2001...........................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">32</SPAN> </TD> </TR> <TR> <TD class="tr5 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td8"><SPAN class="p14 ft0">2.2.2</SPAN> </TD> <TD class="tr5 td9"><SPAN class="p11 ft0">Datainspektionens verksamhetsgrenar m.m......................</SPAN> </TD> <TD class="tr5 td5"><SPAN class="p12 ft0">34</SPAN> </TD> </TR> <TR> <TD class="tr6 td6"><SPAN class="p9 ft7">3</SPAN> </TD> <TD colspan=2 class="tr6 td7"><SPAN class="p11 ft8">Datainspektionens ansvarsområden.............................................</SPAN> </TD> <TD class="tr6 td5"><SPAN class="p12 ft7">39</SPAN> </TD> </TR> <TR> <TD class="tr4 td6"><SPAN class="p9 ft0">3.1</SPAN> </TD> <TD colspan=2 class="tr4 td7"><SPAN class="p11 ft11">Datalagen..........................................................................................</SPAN> </TD> <TD class="tr4 td5"><SPAN class="p12 ft0">40</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.1.1</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft0">Bakgrunden till datalagstiftningen....................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">40</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.1.2</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft0">Allmänt om lagen och dess tillämpningsområde ..............</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">41</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft0">3.2</SPAN> </TD> <TD colspan=2 class="tr7 td7"><SPAN class="p11 ft0">Internationella konventioner ............................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">47</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.2.1</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft10">Dataskyddskonventionen ..................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">47</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.2.2</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft10">Riktlinjer från OECD........................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">48</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td8"><SPAN class="p14 ft0">3.2.3</SPAN> </TD> <TD class="tr7 td9"><SPAN class="p11 ft10">Dataskyddsdirektivet ........................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">48</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">3.3</SPAN> </TD> <TD colspan=2 class="tr8 td7"><SPAN class="p11 ft11">Personuppgiftslagen .........................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">52</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.3.1</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft0">Allmänt om lagen och dess tillämpningsområde ..............</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">53</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.3.2</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft11">Definitioner.......................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">54</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td8"><SPAN class="p14 ft0">3.3.3</SPAN> </TD> <TD class="tr7 td9"><SPAN class="p11 ft0">Förutsättningar för behandling av personuppgifter ..........</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">54</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.3.4</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft0">Information och rättelse....................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">56</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p14 ft0">3.3.5</SPAN> </TD> <TD class="tr8 td9"><SPAN class="p11 ft0">Säkerhet vid behandlingen................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">56</SPAN> </TD> </TR> <TR> <TD class="tr5 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td8"><SPAN class="p14 ft0">3.3.6</SPAN> </TD> <TD class="tr5 td9"><SPAN class="p11 ft0">Överföring av personuppgifter till tredje land..................</SPAN> </TD> <TD class="tr5 td5"><SPAN class="p12 ft0">57</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_3"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">6 </SPAN>Innehåll</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p15 ft0"><SPAN class="ft0">3.3.7</SPAN><SPAN class="ft12">Datainspektionens befogenheter som tillsynsmyndighet.. 57</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr9 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td14"><SPAN class="p16 ft0">3.3.8</SPAN> </TD> <TD class="tr9 td15"><SPAN class="p11 ft0">Anmälan till Datainspektionen .........................................</SPAN> </TD> <TD class="tr9 td5"><SPAN class="p12 ft0">58</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p16 ft0">3.3.9</SPAN> </TD> <TD class="tr8 td15"><SPAN class="p11 ft11">Sanktioner .........................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">60</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p16 ft0">3.3.10</SPAN> </TD> <TD class="tr8 td15"><SPAN class="p11 ft0">Ikraftträdande- och övergångsbestämmelser ....................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">60</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p12 ft0">3.4</SPAN> </TD> <TD colspan=2 class="tr7 td7"><SPAN class="p11 ft0">Särskilda registerförfattningar..........................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">61</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p12 ft0">3.5</SPAN> </TD> <TD colspan=2 class="tr8 td7"><SPAN class="p11 ft0">Kreditupplysningslagen....................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">63</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p16 ft0">3.5.1</SPAN> </TD> <TD class="tr8 td15"><SPAN class="p11 ft11">Allmänt .............................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">63</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p16 ft0">3.5.2</SPAN> </TD> <TD class="tr7 td15"><SPAN class="p11 ft0">Lagens tillämpningsområde <NOBR>(1–3</NOBR> §§) ...............................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">65</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p16 ft0">3.5.3</SPAN> </TD> <TD class="tr7 td15"><SPAN class="p11 ft11">Tillstånd (3 och 4 §§)........................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">66</SPAN> </TD> </TR> </TABLE> <P class="p17 ft0"><SPAN class="ft0">3.5.4</SPAN><SPAN class="ft12">Grundläggande krav på kreditupplysningsverksamhet</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t3"> <TR> <TD class="tr10 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr10 td14"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr10 td17"><SPAN class="p11 ft11">(5 och 6 §§).......................................................................</SPAN> </TD> <TD class="tr10 td5"><SPAN class="p12 ft13">66</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p18 ft0">3.5.5</SPAN> </TD> <TD class="tr7 td17"><SPAN class="p11 ft11">Tillsynsmyndigheten <NOBR>(15–18</NOBR> §§) ......................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">66</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.5.6</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Sanktioner <NOBR>(19–21</NOBR> §§) ......................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">67</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.5.7</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Överklagande (23 §) .........................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">68</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft0">3.6</SPAN> </TD> <TD colspan=2 class="tr7 td18"><SPAN class="p18 ft11">Inkassolagen .....................................................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">68</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.6.1</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Allmänt .............................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">68</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.6.2</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Lagens tillämpningsområde (1 §) .....................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">68</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.6.3</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Tillstånd (2 och 3 §§)........................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">69</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p18 ft0">3.6.4</SPAN> </TD> <TD class="tr7 td17"><SPAN class="p11 ft10">Grundläggande krav på inkassoverksamhet......................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">70</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.6.5</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Tillsynsmyndigheten.........................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">71</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.6.6</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Sanktioner (17 och 18 §§).................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">71</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p18 ft0">3.6.7</SPAN> </TD> <TD class="tr7 td17"><SPAN class="p11 ft11">Överklagande (19 §) .........................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">71</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft0">3.7</SPAN> </TD> <TD colspan=2 class="tr8 td18"><SPAN class="p18 ft11">Europolkonventionen .......................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">72</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.7.1</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Grundtanken bakom Europol............................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">72</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.7.2</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Europols uppgifter ............................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">72</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p18 ft0">3.7.3</SPAN> </TD> <TD class="tr7 td17"><SPAN class="p11 ft11">Europols organisation .......................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">73</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.7.4</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Europols datasystem .........................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">73</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.7.5</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Regler om integritetsskydd ...............................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">74</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft0">3.8</SPAN> </TD> <TD colspan=2 class="tr8 td18"><SPAN class="p18 ft11">Schengenkonventionen.....................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">75</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p18 ft0">3.8.1</SPAN> </TD> <TD class="tr7 td17"><SPAN class="p11 ft11">Allmänt .............................................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">75</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.8.2</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Schengens informationssystem – SIS ...............................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">76</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.8.3</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft10">Lagen om Schengens informationssystem........................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">77</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft0">3.9</SPAN> </TD> <TD colspan=2 class="tr7 td18"><SPAN class="p18 ft11">Det internationella tullsamarbetet ....................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">79</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.9.1</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11">Allmänt .............................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">79</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.9.2</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft10">Tullinformationssystemet i huvuddrag .............................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">80</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td14"><SPAN class="p18 ft0">3.9.3</SPAN> </TD> <TD class="tr8 td17"><SPAN class="p11 ft11"><NOBR>TIS-konventionen .............................................................</NOBR></SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">81</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td14"><SPAN class="p18 ft0">3.9.4</SPAN> </TD> <TD class="tr7 td17"><SPAN class="p11 ft11">Rådets förordning (515/97)...............................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">82</SPAN> </TD> </TR> <TR> <TD class="tr5 td16"><SPAN class="p9 ft0">3.10</SPAN> </TD> <TD class="tr5 td14"><SPAN class="p18 ft0">Eurodac</SPAN> </TD> <TD class="tr5 td17"><SPAN class="p11 ft11">..........................................................................................</SPAN> </TD> <TD class="tr5 td5"><SPAN class="p12 ft0">83</SPAN> </TD> </TR> <TR> <TD class="tr11 td16"><SPAN class="p9 ft7">4</SPAN> </TD> <TD colspan=2 class="tr11 td18"><SPAN class="p18 ft6">Datainspektionens tillsynsverksamhet .........................................</SPAN> </TD> <TD class="tr11 td5"><SPAN class="p12 ft7">87</SPAN> </TD> </TR> <TR> <TD class="tr3 td16"><SPAN class="p9 ft0">4.1</SPAN> </TD> <TD class="tr3 td14"><SPAN class="p18 ft0">Allmänt</SPAN> </TD> <TD class="tr3 td17"><SPAN class="p11 ft11">..........................................................................................</SPAN> </TD> <TD class="tr3 td5"><SPAN class="p12 ft0">87</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_4"> <DIV id="dimg1"> <INGENBILD zsrc="GQB324x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td19"><SPAN class="p19 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td20"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td1"><SPAN class="p20 ft3">Innehåll <SPAN class="ft0">7</SPAN></SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr12 td0"><SPAN class="p12 ft0">4.2 Från tillstånd till tillsyn....................................................................</SPAN> </TD> <TD class="tr12 td1"><SPAN class="p21 ft0">87</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">4.2.1</SPAN> </TD> <TD class="tr8 td20"><SPAN class="p12 ft11">Tillståndsprövningen enligt datalagen..............................</SPAN> </TD> <TD class="tr8 td1"><SPAN class="p21 ft0">88</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">4.2.2</SPAN> </TD> <TD class="tr8 td20"><SPAN class="p12 ft11">Ett förenklat ansöknings- och tillståndsförfarande...........</SPAN> </TD> <TD class="tr8 td1"><SPAN class="p23 ft0">88</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">4.2.3</SPAN> </TD> <TD class="tr8 td20"><SPAN class="p12 ft11">Integritetsskyddet enligt datalagen ...................................</SPAN> </TD> <TD class="tr8 td1"><SPAN class="p21 ft0">89</SPAN> </TD> </TR> <TR> <TD class="tr7 td19"><SPAN class="p22 ft0">4.2.4</SPAN> </TD> <TD class="tr7 td20"><SPAN class="p12 ft11">Licenssystemet..................................................................</SPAN> </TD> <TD class="tr7 td1"><SPAN class="p21 ft0">90</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">4.2.5</SPAN> </TD> <TD class="tr8 td20"><SPAN class="p12 ft11">Datainspektionens förslag till ändringar i datalagen ........</SPAN> </TD> <TD class="tr8 td1"><SPAN class="p23 ft0">91</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">4.2.6</SPAN> </TD> <TD class="tr8 td20"><SPAN class="p12 ft11">Förslag till ny datalag .......................................................</SPAN> </TD> <TD class="tr8 td1"><SPAN class="p21 ft0">92</SPAN> </TD> </TR> <TR> <TD class="tr7 td19"><SPAN class="p22 ft0">4.2.7</SPAN> </TD> <TD class="tr7 td20"><SPAN class="p12 ft11">Personuppgiftslagen..........................................................</SPAN> </TD> <TD class="tr7 td1"><SPAN class="p23 ft0">93</SPAN> </TD> </TR> </TABLE> <P class="p24 ft0"><SPAN class="ft0">4.3</SPAN><SPAN class="ft14">Datainspektionens uppgifter och befogenheter som tillsyns-</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD colspan=2 class="tr8 td21"><SPAN class="p11 ft11">myndighet........................................................................................</SPAN> </TD> <TD class="tr8 td5"><SPAN class="p12 ft0">94</SPAN> </TD> </TR> <TR> <TD class="tr7 td22"><SPAN class="p14 ft0">4.3.1</SPAN> </TD> <TD class="tr7 td9"><SPAN class="p11 ft0">Datainspektionens befogenheter enligt datalagen ............</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">94</SPAN> </TD> </TR> </TABLE> <P class="p17 ft0"><SPAN class="ft0">4.3.2</SPAN><SPAN class="ft12">Datainspektionens befogenheter enligt personuppgifts-</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t5"> <TR> <TD class="tr7 td23"><SPAN class="p9 ft11">lagen..................................................................................</SPAN> </TD> <TD class="tr7 td5"><SPAN class="p12 ft0">94</SPAN> </TD> </TR> </TABLE> <P class="p17 ft0"><SPAN class="ft0">4.3.3</SPAN><SPAN class="ft12">Datainspektionens befogenheter enligt kreditupplys-</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">ningslagen .........................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">98</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.3.4</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft10">Datainspektionens befogenheter enligt inkassolagen .......</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">99</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">4.4</SPAN> </TD> <TD colspan=2 class="tr8 td26"><SPAN class="p16 ft10">Datainspektionens inspektionsverksamhet.....................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">100</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.4.1</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Skrivbords- och fältinspektioner.....................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">100</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td8"><SPAN class="p16 ft0">4.4.2</SPAN> </TD> <TD class="tr7 td24"><SPAN class="p25 ft11">Temainspektioner............................................................</SPAN> </TD> <TD class="tr7 td25"><SPAN class="p12 ft0">101</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.4.3</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Inspektion av <NOBR>IT-säkerhet................................................</NOBR></SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">102</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.4.4</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft0">Inspektioner enligt personuppgiftslagen.........................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">102</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td8"><SPAN class="p16 ft0">4.4.5</SPAN> </TD> <TD class="tr7 td24"><SPAN class="p25 ft0">Inspektionsverksamhetens omfattning och inriktning ....</SPAN> </TD> <TD class="tr7 td25"><SPAN class="p12 ft0">103</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">4.5</SPAN> </TD> <TD colspan=2 class="tr8 td26"><SPAN class="p16 ft10">Datainspektionens övriga tillsynsverksamhet ................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">108</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.5.1</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Informationsverksamheten i siffror ................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">108</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.5.2</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft10">Remisser i siffror och internationellt arbete ...................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">109</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft0">4.6</SPAN> </TD> <TD colspan=2 class="tr7 td26"><SPAN class="p16 ft11">Tillsynsverksamheten inom EU .....................................................</SPAN> </TD> <TD class="tr7 td25"><SPAN class="p12 ft0">110</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.6.1</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Danmark..........................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">111</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.6.2</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Finland ............................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">111</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.6.3</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Irland...............................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">112</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td8"><SPAN class="p16 ft0">4.6.4</SPAN> </TD> <TD class="tr7 td24"><SPAN class="p25 ft11">Island...............................................................................</SPAN> </TD> <TD class="tr7 td25"><SPAN class="p12 ft0">113</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.6.5</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Nederländerna.................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">113</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.6.6</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Norge ..............................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">113</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td8"><SPAN class="p16 ft0">4.6.7</SPAN> </TD> <TD class="tr7 td24"><SPAN class="p25 ft11">Portugal...........................................................................</SPAN> </TD> <TD class="tr7 td25"><SPAN class="p12 ft0">114</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">4.6.8</SPAN> </TD> <TD class="tr8 td24"><SPAN class="p25 ft11">Spanien............................................................................</SPAN> </TD> <TD class="tr8 td25"><SPAN class="p12 ft0">114</SPAN> </TD> </TR> <TR> <TD class="tr5 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td8"><SPAN class="p16 ft0">4.6.9</SPAN> </TD> <TD class="tr5 td24"><SPAN class="p25 ft11">Tyskland..........................................................................</SPAN> </TD> <TD class="tr5 td25"><SPAN class="p12 ft0">115</SPAN> </TD> </TR> <TR> <TD class="tr6 td6"><SPAN class="p9 ft7">5</SPAN> </TD> <TD colspan=2 class="tr6 td26"><SPAN class="p16 ft6">Datainspektionens finansiering...................................................</SPAN> </TD> <TD class="tr6 td25"><SPAN class="p12 ft8">117</SPAN> </TD> </TR> </TABLE> <P class="p26 ft0"><SPAN class="ft0">5.1</SPAN><SPAN class="ft15">Principer för fördelning mellan skattefinansierad verksamhet och</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD colspan=2 class="tr7 td27"><SPAN class="p11 ft11">avgiftsfinansierad verksamhet.......................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">117</SPAN> </TD> </TR> <TR> <TD class="tr7 td22"><SPAN class="p14 ft0">5.1.1</SPAN> </TD> <TD class="tr7 td29"><SPAN class="p11 ft10">Skatt eller avgift..............................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">117</SPAN> </TD> </TR> <TR> <TD class="tr5 td22"><SPAN class="p14 ft0">5.1.2</SPAN> </TD> <TD class="tr5 td29"><SPAN class="p11 ft0">Vem beslutar om skatter och avgifter? ...........................</SPAN> </TD> <TD class="tr5 td28"><SPAN class="p12 ft0">118</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_5"> <DIV id="dimg1"> <INGENBILD zsrc="GQB325x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td19"><SPAN class="p27 ft3"><SPAN class="ft0">8 </SPAN>Innehåll</SPAN> </TD> <TD class="tr0 td30"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p20 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr12 td19"><SPAN class="p22 ft0">5.1.3</SPAN> </TD> <TD class="tr12 td30"><SPAN class="p9 ft11">Avgift för tillsynsverksamhet .........................................</SPAN> </TD> <TD class="tr12 td11"><SPAN class="p28 ft0">118</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">5.1.4</SPAN> </TD> <TD class="tr8 td30"><SPAN class="p9 ft11">För och emot avgiftsfinansiering ....................................</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">120</SPAN> </TD> </TR> <TR> <TD class="tr8 td19"><SPAN class="p22 ft0">5.1.5</SPAN> </TD> <TD class="tr8 td30"><SPAN class="p9 ft11">Vilka kostnader skall ingå i avgiften?.............................</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">120</SPAN> </TD> </TR> <TR> <TD class="tr7 td19"><SPAN class="p22 ft0">5.1.6</SPAN> </TD> <TD class="tr7 td30"><SPAN class="p9 ft11">Avgiftsbelagd verksamhet i konkurrens .........................</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p28 ft0">122</SPAN> </TD> </TR> </TABLE> <P class="p17 ft0"><SPAN class="ft0">5.1.7</SPAN><SPAN class="ft12">Inomstatlig avgiftsbelagd verksamhet (beställar/utförar-</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">modellen) ........................................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">122</SPAN> </TD> </TR> <TR> <TD class="tr8 td22"><SPAN class="p14 ft0">5.1.8</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">Olika avgiftskonstruktioner ............................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">123</SPAN> </TD> </TR> <TR> <TD class="tr7 td22"><SPAN class="p14 ft0">5.1.9</SPAN> </TD> <TD class="tr7 td29"><SPAN class="p25 ft10">Redovisning av avgiftsbelagd verksamhet......................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">124</SPAN> </TD> </TR> </TABLE> <P class="p17 ft0"><SPAN class="ft0">5.1.10</SPAN><SPAN class="ft15">Förhållandet mellan avgift och skatt med avseende på</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr8 td31"><SPAN class="p11 ft0">finansiering av Datainspektionens verksamhet...............</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">125</SPAN> </TD> </TR> <TR> <TD class="tr7 td31"><SPAN class="p11 ft0">5.2 Datainspektionens resursbehov och finansiering...........................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">126</SPAN> </TD> </TR> </TABLE> <P class="p17 ft0"><SPAN class="ft0">5.2.1</SPAN><SPAN class="ft12">Tidigare avgiftsfinansiering av Datainspektionens</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">verksamhet ......................................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">126</SPAN> </TD> </TR> <TR> <TD class="tr7 td22"><SPAN class="p14 ft0">5.2.2</SPAN> </TD> <TD class="tr7 td29"><SPAN class="p25 ft11">Nuvarande kostnader och intäkter ..................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">127</SPAN> </TD> </TR> </TABLE> <P class="p24 ft0"><SPAN class="ft0">5.3</SPAN><SPAN class="ft14">Datainspektionens förslag </SPAN><NOBR>1998-02-26</NOBR> till finansiering av</P> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD colspan=2 class="tr8 td27"><SPAN class="p11 ft10">Datainspektionens tillsynsverksamhet...........................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">128</SPAN> </TD> </TR> <TR> <TD class="tr8 td22"><SPAN class="p14 ft0">5.3.1</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p11 ft0">Datainspektionens förslag...............................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">128</SPAN> </TD> </TR> <TR> <TD class="tr8 td22"><SPAN class="p14 ft0">5.3.2</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p11 ft0">Riksrevisionsverkets yttrande .........................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">130</SPAN> </TD> </TR> <TR> <TD class="tr7 td22"><SPAN class="p14 ft0">5.3.3</SPAN> </TD> <TD class="tr7 td29"><SPAN class="p11 ft0">Regeringens behandling..................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">130</SPAN> </TD> </TR> </TABLE> <P class="p24 ft0"><SPAN class="ft0">5.4</SPAN><SPAN class="ft14">Datalagskommitténs överväganden avseende Datainspektionens</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr9 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr9 td32"><SPAN class="p16 ft11">finansiering.....................................................................................</SPAN> </TD> <TD class="tr9 td28"><SPAN class="p12 ft0">130</SPAN> </TD> </TR> <TR> <TD colspan=3 class="tr13 td31"><SPAN class="p29 ft8">UTREDNINGENS ÖVERVÄGANDEN</SPAN> </TD> <TD class="tr13 td28"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr14 td6"><SPAN class="p9 ft7">6</SPAN> </TD> <TD colspan=2 class="tr14 td32"><SPAN class="p16 ft7">Datainspektionen och skyddet för den personliga</SPAN> </TD> <TD class="tr14 td28"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr9 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr9 td32"><SPAN class="p16 ft6">integriteten....................................................................................</SPAN> </TD> <TD class="tr9 td28"><SPAN class="p12 ft8">135</SPAN> </TD> </TR> <TR> <TD class="tr15 td6"><SPAN class="p9 ft0">6.1</SPAN> </TD> <TD class="tr15 td11"><SPAN class="p16 ft0">Inledning</SPAN> </TD> <TD class="tr15 td33"><SPAN class="p11 ft11">........................................................................................</SPAN> </TD> <TD class="tr15 td28"><SPAN class="p12 ft0">135</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">6.2</SPAN> </TD> <TD colspan=2 class="tr8 td32"><SPAN class="p16 ft0">Datainspektionens uppgift i informationssamhället.......................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">136</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p16 ft0">6.2.1</SPAN> </TD> <TD class="tr8 td33"><SPAN class="p11 ft10">Syftet med Datainspektionens verksamhet .....................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">137</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft0">6.3</SPAN> </TD> <TD colspan=2 class="tr7 td32"><SPAN class="p16 ft11">Den personliga integriteten ............................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">138</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">6.4</SPAN> </TD> <TD colspan=2 class="tr8 td32"><SPAN class="p16 ft10">Varför skall den personliga integriteten skyddas? .........................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">142</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p16 ft0">6.4.1</SPAN> </TD> <TD class="tr8 td33"><SPAN class="p11 ft10">En grundläggande mänsklig rättighet .............................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">142</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p16 ft0">6.4.2</SPAN> </TD> <TD class="tr8 td33"><SPAN class="p11 ft10">Lagar och internationella konventioner ..........................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">143</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p16 ft0">6.4.3</SPAN> </TD> <TD class="tr7 td33"><SPAN class="p11 ft10">Underlätta användningen av ny teknik ...........................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">144</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p16 ft0">6.4.4</SPAN> </TD> <TD class="tr7 td33"><SPAN class="p11 ft11">En ekonomisk nödvändighet...........................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">145</SPAN> </TD> </TR> </TABLE> <P class="p24 ft0"><SPAN class="ft0">6.5</SPAN><SPAN class="ft14">Hur kan den personliga integriteten skyddas i samband med</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t4"> <TR> <TD colspan=2 class="tr8 td27"><SPAN class="p30 ft11">behandling av personuppgifter?.....................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">146</SPAN> </TD> </TR> <TR> <TD class="tr8 td22"><SPAN class="p9 ft0">6.5.1</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">Information .....................................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">147</SPAN> </TD> </TR> <TR> <TD class="tr8 td22"><SPAN class="p9 ft0">6.5.2</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">Inspektioner ....................................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">148</SPAN> </TD> </TR> <TR> <TD class="tr8 td22"><SPAN class="p9 ft0">6.5.3</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">Självreglering/Egentillsyn ..............................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">149</SPAN> </TD> </TR> <TR> <TD class="tr9 td22"><SPAN class="p9 ft0">6.5.4</SPAN> </TD> <TD class="tr9 td29"><SPAN class="p25 ft11">Teknikutvecklingen.........................................................</SPAN> </TD> <TD class="tr9 td28"><SPAN class="p12 ft0">150</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_6"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td34"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td35"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td36"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td37"><SPAN class="p9 ft17">Innehåll <SPAN class="ft16">9</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td38"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr1 td39"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td40"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr16 td34"><SPAN class="p31 ft7">7</SPAN> </TD> <TD colspan=2 class="tr16 td41"><SPAN class="p32 ft7">Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr16 td37"><SPAN class="p22 ft18">................ 151</SPAN> </TD> </TR> <TR> <TD class="tr4 td34"><SPAN class="p14 ft0">7.1</SPAN> </TD> <TD colspan=2 class="tr4 td41"><SPAN class="p32 ft11">Utredningens uppdrag ....................................................................</SPAN> </TD> <TD class="tr4 td37"><SPAN class="p22 ft0">151</SPAN> </TD> </TR> <TR> <TD class="tr8 td34"><SPAN class="p14 ft0">7.2</SPAN> </TD> <TD colspan=2 class="tr8 td41"><SPAN class="p32 ft11">Från tillstånd till tillsyn..................................................................</SPAN> </TD> <TD class="tr8 td37"><SPAN class="p22 ft0">153</SPAN> </TD> </TR> <TR> <TD class="tr8 td34"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td35"><SPAN class="p32 ft0">7.2.1</SPAN> </TD> <TD class="tr8 td36"><SPAN class="p25 ft0">Begreppet tillsyn i Datainspektionens</SPAN> </TD> <TD class="tr8 td37"><SPAN class="p9 ft0">framtida</SPAN> </TD> </TR> <TR> <TD class="tr7 td34"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td35"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td36"><SPAN class="p25 ft11">verksamhet ......................................................................</SPAN> </TD> <TD class="tr7 td37"><SPAN class="p22 ft0">154</SPAN> </TD> </TR> <TR> <TD class="tr8 td34"><SPAN class="p14 ft0">7.3</SPAN> </TD> <TD colspan=2 class="tr8 td41"><SPAN class="p32 ft11">Information och inspektion ............................................................</SPAN> </TD> <TD class="tr8 td37"><SPAN class="p22 ft0">157</SPAN> </TD> </TR> <TR> <TD class="tr8 td34"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td35"><SPAN class="p32 ft0">7.3.1</SPAN> </TD> <TD class="tr8 td36"><SPAN class="p25 ft11">Information .....................................................................</SPAN> </TD> <TD class="tr8 td37"><SPAN class="p22 ft0">158</SPAN> </TD> </TR> <TR> <TD class="tr7 td34"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td35"><SPAN class="p32 ft0">7.3.2</SPAN> </TD> <TD class="tr7 td36"><SPAN class="p25 ft11">Regelgivning...................................................................</SPAN> </TD> <TD class="tr7 td37"><SPAN class="p22 ft0">161</SPAN> </TD> </TR> <TR> <TD class="tr5 td34"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td35"><SPAN class="p32 ft0">7.3.3</SPAN> </TD> <TD class="tr5 td36"><SPAN class="p25 ft11">Inspektion........................................................................</SPAN> </TD> <TD class="tr5 td37"><SPAN class="p22 ft0">164</SPAN> </TD> </TR> <TR> <TD class="tr11 td34"><SPAN class="p31 ft7">8</SPAN> </TD> <TD colspan=2 class="tr11 td41"><SPAN class="p32 ft6">En effektiv och ändamålsenlig tillsynsverksamhet ...................</SPAN> </TD> <TD class="tr11 td37"><SPAN class="p22 ft7">167</SPAN> </TD> </TR> </TABLE> <P class="p26 ft0"><SPAN class="ft0">8.1</SPAN><SPAN class="ft14">Samverkan mellan Datainspektionens två huvudområden –</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr5 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr5 td32"><SPAN class="p33 ft11">Information och Inspektion............................................................</SPAN> </TD> <TD class="tr5 td28"><SPAN class="p12 ft0">167</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">8.2</SPAN> </TD> <TD colspan=2 class="tr8 td32"><SPAN class="p16 ft11">Datainspektionens ansvarsområde .................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">168</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft0">8.3</SPAN> </TD> <TD colspan=2 class="tr7 td32"><SPAN class="p16 ft11">Personal med hög kompetens.........................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">169</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">8.4</SPAN> </TD> <TD colspan=2 class="tr8 td32"><SPAN class="p16 ft11">Verksamhetsstrategi .......................................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">172</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">8.4.1</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">Mål för verksamheten .....................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">173</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td8"><SPAN class="p16 ft0">8.4.2</SPAN> </TD> <TD class="tr8 td29"><SPAN class="p25 ft11">Uppföljning och utvärdering...........................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">175</SPAN> </TD> </TR> <TR> <TD class="tr7 td6"><SPAN class="p9 ft0">8.5</SPAN> </TD> <TD colspan=2 class="tr7 td32"><SPAN class="p16 ft11">Informationsverksamheten .............................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">176</SPAN> </TD> </TR> <TR> <TD class="tr8 td6"><SPAN class="p9 ft0">8.6</SPAN> </TD> <TD colspan=2 class="tr8 td32"><SPAN class="p16 ft11">Inspektionsverksamheten ...............................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">177</SPAN> </TD> </TR> <TR> <TD class="tr5 td6"><SPAN class="p9 ft0">8.7</SPAN> </TD> <TD colspan=2 class="tr5 td32"><SPAN class="p16 ft10">Personuppgiftsombud och självreglering.......................................</SPAN> </TD> <TD class="tr5 td28"><SPAN class="p12 ft0">178</SPAN> </TD> </TR> <TR> <TD class="tr11 td6"><SPAN class="p9 ft7">9</SPAN> </TD> <TD colspan=3 class="tr11 td42"><SPAN class="p16 ft7">Datainspektionens tillsyn inom ramen för polis- och</SPAN> </TD> </TR> <TR> <TD class="tr5 td6"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr5 td32"><SPAN class="p16 ft6">tullsamarbetet...............................................................................</SPAN> </TD> <TD class="tr5 td28"><SPAN class="p12 ft8">183</SPAN> </TD> </TR> <TR> <TD class="tr4 td6"><SPAN class="p9 ft0">9.1</SPAN> </TD> <TD colspan=2 class="tr4 td32"><SPAN class="p16 ft11"><NOBR>Europol-,</NOBR> Schengen och <NOBR>TIS-konventionerna ................................</NOBR></SPAN> </TD> <TD class="tr4 td28"><SPAN class="p12 ft0">183</SPAN> </TD> </TR> </TABLE> <P class="p24 ft0"><SPAN class="ft0">9.2</SPAN><SPAN class="ft14">Vilken myndighet skall utöva tillsyn över polis- och</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t2"> <TR> <TD class="tr5 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr5 td43"><SPAN class="p34 ft11">tullsamarbetet?...............................................................................</SPAN> </TD> <TD class="tr5 td28"><SPAN class="p12 ft0">186</SPAN> </TD> </TR> <TR> <TD class="tr17 td16"><SPAN class="p9 ft7">10</SPAN> </TD> <TD colspan=3 class="tr17 td44"><SPAN class="p18 ft7">Tillstånd och tillsyn inom kreditupplysnings- och inkasso-</SPAN> </TD> </TR> <TR> <TD class="tr9 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr9 td43"><SPAN class="p11 ft6">verksamhet...................................................................................</SPAN> </TD> <TD class="tr9 td28"><SPAN class="p12 ft8">187</SPAN> </TD> </TR> <TR> <TD class="tr15 td16"><SPAN class="p9 ft0">10.1</SPAN> </TD> <TD colspan=2 class="tr15 td43"><SPAN class="p18 ft10">Kreditupplysnings- och inkassoverksamhet...................................</SPAN> </TD> <TD class="tr15 td28"><SPAN class="p12 ft0">187</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td45"><SPAN class="p18 ft0">10.1.1</SPAN> </TD> <TD class="tr8 td46"><SPAN class="p11 ft0">Kreditupplysningsverksamhet ........................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">188</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td45"><SPAN class="p18 ft0">10.1.2</SPAN> </TD> <TD class="tr7 td46"><SPAN class="p11 ft11">Inkassoverksamhet..........................................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">190</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft0">10.2</SPAN> </TD> <TD colspan=2 class="tr8 td43"><SPAN class="p18 ft11">Tillstånd och tillsyn........................................................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">190</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft0">10.3</SPAN> </TD> <TD colspan=2 class="tr8 td43"><SPAN class="p18 ft0">Vilken myndighet skall meddela tillstånd och utöva tillsyn? ........</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">192</SPAN> </TD> </TR> <TR> <TD class="tr8 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr8 td43"><SPAN class="p18 ft0">10.3.1 För och emot Datainspektionen ......................................</SPAN> </TD> <TD class="tr8 td28"><SPAN class="p12 ft0">194</SPAN> </TD> </TR> <TR> <TD class="tr7 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr7 td43"><SPAN class="p18 ft0">10.3.2 För och emot Finansinspektionen...................................</SPAN> </TD> <TD class="tr7 td28"><SPAN class="p12 ft0">195</SPAN> </TD> </TR> <TR> <TD class="tr5 td16"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr5 td43"><SPAN class="p18 ft0">10.3.3 För och emot Konsumentverket......................................</SPAN> </TD> <TD class="tr5 td28"><SPAN class="p12 ft0">198</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_7"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td47"><SPAN class="p9 ft3"><SPAN class="ft0">10 </SPAN>Innehåll</SPAN> </TD> <TD class="tr0 td48"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td49"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td50"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p20 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td52"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD colspan=4 class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td54"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr18 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=4 class="tr18 td55"><SPAN class="p35 ft11">10.3.4 För och emot Riksskatteverket........................................</SPAN> </TD> <TD class="tr18 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr18 td11"><SPAN class="p28 ft0">198</SPAN> </TD> </TR> <TR> <TD class="tr5 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td48"><SPAN class="p35 ft0">10.3.5</SPAN> </TD> <TD colspan=3 class="tr5 td56"><SPAN class="p34 ft19">Utredningens bedömning................................................</SPAN> </TD> <TD class="tr5 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td11"><SPAN class="p28 ft0">199</SPAN> </TD> </TR> <TR> <TD class="tr11 td47"><SPAN class="p36 ft7">11</SPAN> </TD> <TD colspan=5 class="tr11 td57"><SPAN class="p35 ft6">Integritetsskydd genom olika former av självreglering ...........</SPAN> </TD> <TD class="tr11 td11"><SPAN class="p28 ft8">201</SPAN> </TD> </TR> <TR> <TD class="tr14 td47"><SPAN class="p37 ft0">11.1</SPAN> </TD> <TD colspan=4 class="tr14 td55"><SPAN class="p35 ft16">Datainspektionens ansvar för självreglering i dag .........................</SPAN> </TD> <TD class="tr14 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td11"><SPAN class="p28 ft0">201</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p37 ft0">11.2</SPAN> </TD> <TD colspan=4 class="tr8 td55"><SPAN class="p35 ft16">Definition av självreglering............................................................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">203</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p37 ft0">11.3</SPAN> </TD> <TD colspan=4 class="tr8 td55"><SPAN class="p35 ft16">Ändamålet med självreglering .......................................................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">203</SPAN> </TD> </TR> <TR> <TD class="tr7 td47"><SPAN class="p37 ft0">11.4</SPAN> </TD> <TD colspan=3 class="tr7 td58"><SPAN class="p35 ft20">Självreglering i USA ......................................................................</SPAN> </TD> <TD class="tr7 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p28 ft0">205</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p37 ft0">11.5</SPAN> </TD> <TD colspan=4 class="tr8 td55"><SPAN class="p35 ft16">Självreglering i Nederländerna ......................................................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">206</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td48"><SPAN class="p35 ft0">11.5.1</SPAN> </TD> <TD colspan=3 class="tr8 td56"><SPAN class="p34 ft19">Privacy Audit Framework...............................................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">207</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p37 ft0">11.6</SPAN> </TD> <TD colspan=3 class="tr8 td58"><SPAN class="p35 ft20">Personuppgiftsombud.....................................................................</SPAN> </TD> <TD class="tr8 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">210</SPAN> </TD> </TR> <TR> <TD class="tr7 td47"><SPAN class="p37 ft0">11.7</SPAN> </TD> <TD colspan=5 class="tr7 td57"><SPAN class="p35 ft0">Behovet av självreglering och annan decentralisering av</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr5 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr5 td59"><SPAN class="p32 ft20">integritetsskyddet...........................................................................</SPAN> </TD> <TD class="tr5 td50"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td11"><SPAN class="p28 ft0">211</SPAN> </TD> </TR> <TR> <TD class="tr17 td47"><SPAN class="p36 ft7">12</SPAN> </TD> <TD colspan=6 class="tr17 td60"><SPAN class="p35 ft7">Ansvar att följa teknikutvecklingen ur ett integritets-</SPAN> </TD> </TR> <TR> <TD class="tr9 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr9 td59"><SPAN class="p35 ft21">perspektiv......................................................................................</SPAN> </TD> <TD class="tr9 td50"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td11"><SPAN class="p28 ft8">215</SPAN> </TD> </TR> <TR> <TD class="tr15 td47"><SPAN class="p37 ft0">12.1</SPAN> </TD> <TD colspan=4 class="tr15 td55"><SPAN class="p35 ft16">Datainspektionens uppgift..............................................................</SPAN> </TD> <TD class="tr15 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr15 td11"><SPAN class="p28 ft0">216</SPAN> </TD> </TR> <TR> <TD class="tr5 td47"><SPAN class="p37 ft0">12.2</SPAN> </TD> <TD colspan=6 class="tr5 td60"><SPAN class="p35 ft0">Datainspektionens behov av teknisk kompetens inom <NOBR>IT-området</NOBR> 217</SPAN> </TD> </TR> <TR> <TD class="tr6 td47"><SPAN class="p36 ft7">13</SPAN> </TD> <TD colspan=4 class="tr6 td55"><SPAN class="p35 ft22">Datainspektionens framtida finansiering ..................................</SPAN> </TD> <TD class="tr6 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr6 td11"><SPAN class="p28 ft8">221</SPAN> </TD> </TR> <TR> <TD class="tr4 td47"><SPAN class="p37 ft0">13.1</SPAN> </TD> <TD colspan=4 class="tr4 td55"><SPAN class="p35 ft16">Inledande utgångspunkter ..............................................................</SPAN> </TD> <TD class="tr4 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr4 td11"><SPAN class="p28 ft0">221</SPAN> </TD> </TR> <TR> <TD class="tr7 td47"><SPAN class="p37 ft0">13.2</SPAN> </TD> <TD colspan=4 class="tr7 td55"><SPAN class="p35 ft0">Allmänna förutsättningar för avgiftsfinansiering av</SPAN> </TD> <TD class="tr7 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=4 class="tr8 td55"><SPAN class="p32 ft16">Datainspektionens verksamhet ......................................................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">222</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=4 class="tr8 td55"><SPAN class="p35 ft16">13.2.1 Av vem och för vad kan avgifter tas ut? .........................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">222</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=4 class="tr8 td55"><SPAN class="p35 ft16">13.2.2 Allmänna synpunkter om avgiftsuttag ............................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">226</SPAN> </TD> </TR> <TR> <TD class="tr7 td47"><SPAN class="p37 ft0">13.3</SPAN> </TD> <TD colspan=4 class="tr7 td55"><SPAN class="p35 ft0">En möjlig avgiftsfinansiering av verksamheten enligt</SPAN> </TD> <TD class="tr7 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=3 class="tr8 td58"><SPAN class="p32 ft20">personuppgiftslagen.......................................................................</SPAN> </TD> <TD class="tr8 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">229</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td48"><SPAN class="p35 ft0">13.3.1</SPAN> </TD> <TD colspan=3 class="tr8 td56"><SPAN class="p34 ft19">Avgifter för inspektionsverksamheten............................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">229</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr8 td59"><SPAN class="p35 ft0">13.3.2 Avgifter</SPAN> </TD> <TD class="tr8 td50"><SPAN class="p9 ft0">för</SPAN> </TD> <TD class="tr8 td51"><SPAN class="p9 ft0">anmälan om behandling</SPAN> </TD> <TD colspan=2 class="tr8 td61"><SPAN class="p38 ft0">av person-</SPAN> </TD> </TR> <TR> <TD class="tr7 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td48"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td49"><SPAN class="p34 ft23">uppgifter..........................................................................</SPAN> </TD> <TD class="tr7 td50"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td11"><SPAN class="p28 ft0">233</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr8 td59"><SPAN class="p35 ft0">13.3.3 Avgifter</SPAN> </TD> <TD class="tr8 td50"><SPAN class="p35 ft0">för</SPAN> </TD> <TD class="tr8 td51"><SPAN class="p30 ft0">Datainspektionens övriga</SPAN> </TD> <TD colspan=2 class="tr8 td61"><SPAN class="p38 ft0">verksamhet</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td48"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=3 class="tr8 td56"><SPAN class="p34 ft19">enligt personuppgiftslagen..............................................</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">235</SPAN> </TD> </TR> <TR> <TD class="tr7 td47"><SPAN class="p37 ft0">13.4</SPAN> </TD> <TD colspan=6 class="tr7 td60"><SPAN class="p35 ft0">Finansiering av Datainspektionens tillsyn inom det internationella</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=3 class="tr8 td58"><SPAN class="p32 ft20">polis- och tullsamarbetet................................................................</SPAN> </TD> <TD class="tr8 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">235</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p37 ft0">13.5</SPAN> </TD> <TD colspan=5 class="tr8 td57"><SPAN class="p35 ft0">Avgift för tillstånd och tillsyn enligt kreditupplysnings- och</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr8 td47"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD colspan=2 class="tr8 td59"><SPAN class="p32 ft20">inkassolagarna................................................................................</SPAN> </TD> <TD class="tr8 td50"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p28 ft0">237</SPAN> </TD> </TR> <TR> <TD class="tr9 td47"><SPAN class="p37 ft0">13.6</SPAN> </TD> <TD colspan=4 class="tr9 td55"><SPAN class="p35 ft16">Det statliga personadressregistret (SPAR).....................................</SPAN> </TD> <TD class="tr9 td22"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td11"><SPAN class="p28 ft0">239</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_8"> <DIV id="dimg1"> <INGENBILD zsrc="GQB328x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td62"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD colspan=2 class="tr0 td63"><SPAN class="p39 ft3">Innehåll <SPAN class="ft0">11</SPAN></SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr19 td64"><SPAN class="p40 ft8">14 Konsekvenser av utredningens förslag ......................................</SPAN> </TD> <TD class="tr19 td65"><SPAN class="p41 ft8">241</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr11 td64"><SPAN class="p40 ft6">Särskilda yttranden...............................................................................</SPAN> </TD> <TD class="tr11 td65"><SPAN class="p41 ft8">245</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr11 td64"><SPAN class="p40 ft7">BILAGOR</SPAN> </TD> <TD class="tr11 td65"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr4 td62"><SPAN class="p40 ft0">Bilaga 1</SPAN> </TD> <TD class="tr4 td66"><SPAN class="p9 ft11">Kommittédirektiv 2000:52 ....................................................</SPAN> </TD> <TD class="tr4 td65"><SPAN class="p41 ft0">251</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr7 td64"><SPAN class="p40 ft0">Bilaga 2 Enkät till dataskyddsmyndigheterna inom EU med flera......</SPAN> </TD> <TD class="tr7 td65"><SPAN class="p41 ft0">259</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr8 td64"><SPAN class="p40 ft0">Bilaga 3 Inspektionsverksamheten i timmar........................................</SPAN> </TD> <TD class="tr8 td65"><SPAN class="p41 ft0">261</SPAN> </TD> </TR> <TR> <TD class="tr8 td62"><SPAN class="p40 ft0">Bilaga 4</SPAN> </TD> <TD class="tr8 td66"><SPAN class="p9 ft0">Datainspektionens verksamhet <NOBR>2000-07-01–2001-06-30 ......</NOBR></SPAN> </TD> <TD class="tr8 td65"><SPAN class="p41 ft0">263</SPAN> </TD> </TR> <TR> <TD class="tr5 td62"><SPAN class="p40 ft0">Bilaga 5</SPAN> </TD> <TD class="tr5 td66"><SPAN class="p9 ft10">Målsättning för Datainspektionens verksamhet ....................</SPAN> </TD> <TD class="tr5 td65"><SPAN class="p41 ft0">265</SPAN> </TD> </TR> </TABLE> </DIV> <DIV id="page_9"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td67"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td68"><SPAN class="p9 ft3">Sammanfattning <SPAN class="ft0">13</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td69"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td70"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p42 ft5">Sammanfattning</P> <P class="p43 ft24">Några allmänna utgångspunkter för uppdraget</P> <P class="p44 ft0">Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Samtidigt upphörde datalagen (1973:289) att gälla, med undantag för vid den tidpunkten pågående behandlingar av personuppgifter, för vilka lagen gällde till och med den 30 september 2001. Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).</P> <P class="p45 ft0">Dataskyddsdirektivet föreskriver bl.a. att det skall finnas en oberoende tillsynsmyndighet som övervakar tillämpningen av den nationella lagstiftningen till följd av direktivet. I Sverige har Datainspektionen utsetts till sådan myndighet. Datainspektionen är således den tillsynsmyndighet som skall se till att personuppgiftslagens regler efterlevs och att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter.</P> <P class="p45 ft0">Utredningen har i uppdrag att göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen och den snabba utvecklingen inom informationsteknikens område. Utredningen skall analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.</P> <P class="p46 ft0">Utredningen skall därutöver särskilt överväga vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för polis- och tullsamarbetet och om inspektionen fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet och i så fall till vilken. Utredningen skall vidare undersöka möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering. En annan särskild uppgift för utredningen är att analysera</P> </DIV> <DIV id="page_10"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">14 </SPAN>Sammanfattning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft25">formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.</P> <P class="p48 ft24">Datainspektionens framtida verksamhetsinriktning</P> <P class="p49 ft3">Skyddet för den personliga integriteten</P> <P class="p50 ft0">Datainspektionen är, och bör enligt utredningens mening även fortsättningsvis vara, central förvaltningsmyndighet med uppgift att verka för att människor i Sverige skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Avsikten med integritetsskyddslagstiftningen, och därmed Datainspektionens verksamhet, har alltid varit och är alltjämt att undanröja den ökade risk för intrång i den personliga integriteten som automatiserad behandling av personuppgifter kan leda till.</P> <P class="p45 ft0">Skyddet för den personliga integriteten är en grundläggande mänsklig rättighet som upprätthålls av internationella konventioner, nationell lagstiftning samt kultur och tradition. Ett pålitligt skydd för den personliga integriteten underlättar användningen av ny teknik och det är i många sammanhang av stor ekonomisk betydelse att personuppgifter behandlas korrekt och i enlighet med god sed.</P> <P class="p51 ft0">Personuppgiftslagen utgör på många sätt ett nytt regelverk i jämförelse med datalagen. Den för Datainspektionen kanske mest väsentliga förändring som skett genom personuppgiftslagen är att det tillståndskrav för behandling av personuppgifter som gällde enligt datalagen har tagits bort. Enligt personuppgiftslagen skall inspektionen i stället värna om skyddet för den personliga integriteten genom sina befogenheter som en mer eller mindre renodlad tillsynsmyndighet. Förhandsprövningen har i princip ersatts av en efterhandskontroll. En sådan förändring av myndighetens uppgifter måste naturligtvis få konsekvenser för verksamhetens inriktning.</P> <P class="p52 ft0">För att säkerställa en hög skyddsnivå för den personliga integriteten i samband med behandling av personuppgifter är det enligt utredningens mening flera åtgärder som är viktiga och som måste samspela. Av grundläggande betydelse är att <SPAN class="ft3">information </SPAN>om integritetsfrågor sprids för att åstadkomma en allmän medvetenhet om frågorna och kunskap om de rättigheter och skyldigheter som registrerade respektive personuppgiftsansvariga har. Det är vidare av mycket stor vikt att det genom omfattande och effektiva <SPAN class="ft3">inspektioner </SPAN>kontrolleras att gällande regler efterlevs. Inte minst viktigt är givetvis att de som behandlar personuppgifter tar ett självständigt ansvar för att lagstiftningen följs och integritetsfrågor beaktas, t.ex. genom att utse <SPAN class="ft3">personuppgiftsombud</SPAN></P> </DIV> <DIV id="page_11"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td67"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td68"><SPAN class="p9 ft3">Sammanfattning <SPAN class="ft0">15</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td69"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td70"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">och utarbeta olika former av <SPAN class="ft26">självreglering </SPAN>för sin verksamhet. Även de möjligheter som <SPAN class="ft26">teknikutvecklingen </SPAN>erbjuder bör utnyttjas för att motverka intrång i den personliga integriteten vid behandling av personuppgifter.</P> <P class="p54 ft3">Information och inspektion</P> <P class="p50 ft0">Att värna om skyddet för den personliga integriteten är ett ansvar för var och en som behandlar personuppgifter. Datainspektionen har som tillsynsmyndighet ett särskilt ansvar att verka för att människor i Sverige skyddas mot att deras personliga integritet kränks. För att inspektionen på bästa sätt skall uppnå målsättningen med sin verksamhet skall myndigheten enligt utredningens uppfattning koncentrera sina resurser på två huvudområden: <SPAN class="ft3">Information </SPAN>och <SPAN class="ft3">Inspektion</SPAN>. Datainspektionen skall informera om personuppgiftslagen och ge råd i integritetsfrågor samt utföra inspektioner för att kontrollera att personuppgiftslagen och annan integritetsskyddslagstiftning efterlevs i praktiken.</P> <P class="p55 ft0">Förebyggande åtgärder i form av information för att höja det allmänna medvetandet och kunskaperna om alla frågor som rör integritetsskydd i samband med behandling av personuppgifter utgör grunden för framgång i Datainspektionens verksamhet. De som berörs av behandlingar av personuppgifter, såväl personuppgiftsansvariga som registrerade, måste göras uppmärksamma på relevanta frågeställningar och hur de skall uppfylla sina skyldigheter och tillvarata sina rättigheter. Sådana informationsinsatser skall sedan kompletteras med en effektiv och ändamålsenlig inspektionsverksamhet i vilken myndigheten kontrollerar att gällande regler och god sed efterlevs av dem som behandlar personuppgifter i samhället.</P> <P class="p52 ft0">Datainspektionen har även andra uppgifter än information och inspektion, som är av betydelse för integritetsskyddet i samhället. Myndigheten är bl.a. remissinstans vid lagstiftningsförslag som rör integritetsfrågor och har ett omfattande internationellt åtagande, t.ex. inom EU. Det är emellertid viktigt att detta arbete inte tillåts inskränka Datainspektionens möjligheter att bedriva en effektiv och ändamålsenlig informations- och inspektionsverksamhet. Det är av mycket stor betydelse för integritetsskyddet i samhället att en övervägande del av Datainspektionens resurser fortlöpande ägnas åt information och inspektion (jfr bilaga 5). Det är vidare viktigt att myndigheten upprätthåller en stor omfattning av och en hög kvalitet i dessa verksamheter även om myndighetens ansvarsområden utökas och nya uppgifter tillkommer i framtiden.</P> </DIV> <DIV id="page_12"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">16 </SPAN>Sammanfattning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">Kompetens – Effektivitet – Service</P> <P class="p57 ft0">Uppgiften att som tillsynsmyndighet enligt personuppgiftslagen, genom information och inspektion, värna om människors personliga integritet i samband med behandling av personuppgifter ställer höga krav på Datainspektionen. En sådan verksamhet förutsätter personal med en hög kompetens inom myndighetens hela ansvarsområde, en ändamålsenlig organisation samt en utvecklad strategi för arbetets genomförande.</P> <P class="p58 ft0">Datainspektionen skall kännetecknas av kompetens, effektivitet och service.<SPAN class="ft27">1 </SPAN>Myndigheten skall vara aktiv, utåtriktad och delta i samhällsdebatten i frågor som rör behandling av personuppgifter och personlig integritet. Datainspektionen skall vara en myndighet som är välkänd för allmänheten och som inom området behandling av personuppgifter och personlig integritet uppfattas som en kraftfull resurs för alla människor i Sverige.</P> <P class="p59 ft0">Personal med hög kompetens är en förutsättning för att Datainspektionen skall lyckas vara en effektiv och serviceinriktad myndighet. För att på ett ändamålsenligt sätt utföra uppgifterna som tillsynsmyndighet krävs goda kunskaper vad gäller integritetslagstiftning och informationsteknik.</P> <P class="p59 ft0">Särskilt framstår god kännedom om informationsteknik och informationssystem, med tonvikt på informationssäkerhet, som viktigt för den framtida verksamheten. Datainspektionens personal består i dag av ett stort antal jurister och myndigheten är väl tillgodosedd när det gäller kunskap om personuppgiftslagen och anknytande integritetslagstiftning. Den informationstekniska utvecklingen medför såväl hot som möjligheter för den personliga integriteten. Goda tekniska kunskaper är därför en förutsättning för att myndigheten skall kunna genomföra inspektionsinsatser på ett ändamålsenligt och fullgott sätt och informera om de integritetssrisker som utvecklingen av ny teknik för med sig. Enligt utredningens uppfattning bör därför andelen anställda med teknisk kompetens öka. En idealsituation är naturligtvis att personalen besitter kunskap inom såväl integritetslagstiftning som informationsteknik.</P> <P class="p60 ft2">I den mån myndighetens egen kompetens är otillräcklig måste externa resurser anlitas. Viktigt är också att Datainspektionen samråder med andra myndigheter i frågor som rör <NOBR>IT-säkerhet</NOBR> och integritet.</P> <P class="p61 ft2">Med nuvarande arbetsuppgifter bör Datainspektionens resurser vad gäller antalet anställda initialt vara oförändrade. Med ett fullt utbyggt</P> <P class="p62 ft11"><SPAN class="ft27">1 </SPAN>Jämför betänkandets titel.</P> </DIV> <DIV id="page_13"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td67"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td68"><SPAN class="p9 ft3">Sammanfattning <SPAN class="ft0">17</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td69"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td70"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft25">system med personuppgiftsombud bör emellertid Datainspektionens personalresurser på sikt kunna minska.</P> <P class="p48 ft3">Personuppgiftsombud</P> <P class="p50 ft0">Systemet med personuppgiftsombud bör i enlighet med personuppgiftslagens intentioner utnyttjas kraftfullt för att decentralisera ansvaret för skyddet för den personliga integriteten. Personuppgiftslagens regler bygger på att ansvaret för behandlingen av personuppgifter ligger hos den för vars verksamhet behandlingen sker. Den personuppgiftsansvarige kan utse ett personuppgiftsombud som har till uppgift att självständigt granska om behandlingen av personuppgifter sker korrekt och i enlighet med god sed. Personuppgiftsombud fungerar på så sätt som Datainspektionens förlängda arm.</P> <P class="p46 ft0">Med hänsyn till ombudens ansvar innebär införandet av personuppgiftsombud en rejäl ambitionshöjning när det gäller nivån på integritetsskyddet i samhället. Om alla myndigheter, företag och andra organisationer av någon storlek utser personuppgiftsombud för att övervaka behandlingen av personuppgifter, innebär det en enorm resursförstärkning vad gäller skyddet för den personliga integriteten. Ett ändamålsenligt utnyttjande av systemet med personuppgiftsombud betyder att ombuden tar över en del av det ansvar som i dag vilar på Datainspektionen. Enligt utredningens uppfattning bör en sådan förskjutning av ansvaret möjliggöra för Datainspektionen att effektivisera sin tillsynsverksamhet vad gäller inriktning och omfattning. Inspektionen kan härigenom koncentrera sina insatser till de områden där särskilt känsliga personuppgifter behandlas och där störst risk för intrång i den personliga integriteten föreligger. Datainspektionen bör därför verka för att så många personuppgiftsansvariga som möjligt utser personuppgiftsombud.</P> <P class="p63 ft2">I takt med att personuppgiftsombudens ansvar för integritetsskyddet utvecklas bör enligt utredningens mening förutsättningar skapas för att på sikt minska Datainspektionens resurser. Ett utbyggt system med personuppgiftsombud bör medföra att ett fullgott skydd för den personliga integriteten kan uppnås i samhället även om omfattningen av Datainspektionens verksamhet minskar.</P> </DIV> <DIV id="page_14"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">18 </SPAN>Sammanfattning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft24">Tillsyn inom polis- och tullsamarbetet</P> <P class="p44 ft0">Utredningen har som särskild uppgift att överväga om Datainspektionen även fortsättningsvis bör vara tillsynsmyndighet vad gäller <NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna</NOBR> om polis- och tullsamarbete. Enligt utredningens uppfattning bör dessa uppgifter alltjämt ligga på Datainspektionen. De tre konventionerna reglerar stora datorbaserade informationssystem, som innehåller ansenliga mängder personuppgifter för ett snabbt och effektivt informationsutbyte konventionsstaterna emellan. En oberoende myndighet skall vara tillsynsmyndighet enligt konventionerna. Ingen myndighet är lämpligare än Datainspektionen i detta avseende.</P> <P class="p64 ft28">Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet</P> <P class="p65 ft0">Datainspektionen bör i fortsättningen vara en renodlad tillsynsmyndighet vad gäller skyddet för den personliga integriteten i samband med behandling av personuppgifter. Utredningen anser därför att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna bör tas över av en annan myndighet.</P> <P class="p45 ft0">Övervägande skäl talar enligt utredningens uppfattning för att uppgifterna skall flyttas över till Finansinspektionen. Såväl kreditupplysnings- som inkassoverksamhet har ett påtagligt samband med keditbedömning och annan finansiell verksamhet. Finansinspektionens kunskaper om kreditinstitutens speciella problem och om kreditmarknaden i sin helhet kan här vara av stort värde. Samtidigt har området också samband med konsumentskyddsfrågor där Finansinspektionen med sitt särskilda ansvar för konsumentskydd kan fylla en viktig uppgift.</P> <P class="p59 ft2">Datainspektionen skall givetvis behålla tillsynen enligt personuppgiftslagen inom kreditupplysnings- och inkassoområdena.</P> <P class="p66 ft0">En överflyttning av de aktuella uppgifterna till Finansinspektionen ger Datainspektionen ökade resurser för information och inspektion enligt personuppgiftslagen samt möjlighet att koncentrera sin verksamhet till dessa huvuduppgifter och på så sätt förbättra skyddet för den personliga integriteten vid behandling av personuppgifter.</P> <P class="p59 ft0">Utredningen anser att Datainspektionens resurser initialt skall vara oförändrade även om de aktuella uppgifterna flyttas över till Finansinspektionen. Detta medför en resursförstärkning totalt sett med omkring 2,5 årsarbetskrafter. Utredningen föreslår att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna i</P> </DIV> <DIV id="page_15"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td67"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td68"><SPAN class="p9 ft3">Sammanfattning <SPAN class="ft0">19</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td69"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td70"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">framtiden skall finansieras med avgifter. Om en sådan avgiftsfinansiering genomförs behöver resursförstärkningen inte finansieras med skattemedel.</P> <P class="p54 ft24">Självreglering</P> <P class="p57 ft0">Datainspektionen har ett mycket omfattande ansvarsområde. Det är inte möjligt för inspektionen att kontrollera allt och alla. Personuppgiftslagen bygger också på ett från Datainspektionen decentraliserat ansvar för integritetsskyddet i samband med behandling av personuppgifter. Därutöver medför den snabba tekniska utvecklingen att statsmakterna inte i alla delar hinner anpassa lagstiftningen till den faktiska verkligheten.</P> <P class="p45 ft0">Mot bakgrund härav är det utredningens uppfattning att Datainspektionen mer aktivt bör stimulera alla slag av organisationer i samhället att ta ett självständigt ansvar för sin behandling av personuppgifter genom att utveckla olika former av självreglering. Med självreglering avses här rekommendationer eller regler för behandling av personuppgifter, som t.ex. ett företag eller en bransch skapar för att stärka integritetsskyddet och förebygga eller lösa problem i förhållande till konsumenter eller andra kunder.</P> <P class="p45 ft0">Datainspektionen har enligt personuppgiftsförordningen som särskild uppgift att avge yttrande över förslag till branschöverenskommelser vad avser behandling av personuppgifter inom en viss bransch eller ett visst område. Detta är en viktig uppgift för integritetsskyddet och rutinmässigt bör enligt utredningens mening frågor om branschöverenskommelser och annan form av självreglering väckas i samband med myndighetens inspektionsverksamhet.</P> <P class="p59 ft0">Att de personuppgiftsansvariga i samarbete med Datainspektionen lägger fast principer för sin behandling av personuppgifter kan skapa ett värdefullt förtroende hos allmänheten och ett förstärkt integritetsskydd i samhället i stort. Samtidigt innebär sådana initiativ att det allmänna medvetandet om integritetsskydd i samband med behandling av personuppgifter höjs.</P> <P class="p46 ft0">När det gäller att motivera olika organisationer i samhället att ta ett självständigt ansvar för integritetsskyddet i samband med behandling av personuppgifter pekar utredningen särskilt på att det arbete som dataskyddsmyndigheten i Nederländerna utför kan tjäna som förebild för Datainspektionen.</P> </DIV> <DIV id="page_16"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">20 </SPAN>Sammanfattning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft24">Datainspektionens finansiering</P> <P class="p67 ft0">Utredningen har mycket noggrant övervägt möjligheterna att finansiera Datainspektionens verksamhet med avgifter. Utredningen har härvid kommit till den slutsatsen att det inte är lämpligt att finansiera hela Datainspektionens verksamhet med avgifter, utan denna måste till största delen finansieras genom skattemedel.</P> <P class="p46 ft0">De främsta skälen till att Datainspektionens verksamhet inte lämpar sig för en finansiering via avgifter är att det är svårt att peka ut såväl de uppgifter som myndigheten kan ta betalt för som vem som skall betala avgifterna. Dessutom kan den principiella frågan om vem som egentligen har nytta av Datainspektionens verksamhet tas upp som ett argument mot att avgifter skall tas ut. Datainspektionen har till uppgift att värna om skyddet för den personliga integriteten. Det kan alltså hävdas att det är alla människor i Sverige, och inte de företag och myndigheter som kan bli föremål för avgifter, som har den egentliga nyttan av Datainspektionens verksamhet.</P> <P class="p46 ft0">I vissa avseenden är sambandet mellan Datainspektionens verksamhet och nyttan för dem som skall betala dessutom så svagt att det enligt utredningens mening är uteslutet med en avgiftsfinansiering. Det gäller myndighetens internationella arbete inom t.ex. EU samt arbetet med remisser, föreskrifter och allmänna råd.</P> <P class="p59 ft0">Utredningen anser att frågan om en eventuell avgiftsfinansiering i första hand bör bedömas utifrån den utgångspunkten att avgifterna skall ha en styrande effekt. Avgifter bör användas för att åstadkomma en önskvärd effektivisering och prioritering av Datainspektionens verksamhet. Ett avgiftssystem bör också ha till syfte att påverka personuppgiftsansvariga att utse personuppgiftsombud och i övrigt behandla personuppgifter korrekt och i enlighet med god sed. Det är enligt utredningens mening i första hand verksamhet som efterfrågas frivilligt, t.ex. genom anmälningar och ansökningar om tillstånd, samt myndighetens renodlade inspektionsarbete som bör komma i fråga för avgiftsbeläggning. Övriga verksamheter bör även fortsättningsvis finansieras helt med skattemedel. Anslagsfinansiering bör också utgöra basen för myndighetens verksamhet i dess helhet, med eventuella avgiftsintäkter som komplement.</P> <P class="p52 ft0">Utredningen lämnar inga konkreta förslag om avgiftsfinansiering utan redovisar endast i grova drag tänkbara modeller. Enligt utredningens mening skulle Datainspektionens verksamhet delvis kunna finansieras genom avgifter som tas ut av dem som drar nytta av myndighetens verksamhet och av dem som föranleder inspektionen arbete. Det kan därför finnas skäl att debitera en avgift per timma för den renodlade inspektionsverksamheten och att ta ut en avgift för anmälningar enligt</P> </DIV> <DIV id="page_17"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td67"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td68"><SPAN class="p9 ft3">Sammanfattning <SPAN class="ft0">21</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td69"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td70"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">personuppgiftslagen om behandling av personuppgifter. Även i fortsättningen bör avgifter tas ut för myndighetens informationsmaterial, konferenser och föreläsningar.</P> <P class="p69 ft0">Om en avgiftsfinansiering enligt utredningens modeller skulle genomföras – dvs. avgifter tas ut för informationsmaterial och för anmälningar och inspektioner enligt personuppgiftslagen – borde den enligt utredningens bedömning kunna bidra med upp till tjugo procent av Datainspektionens totala budget.</P> <P class="p70 ft0">Tillstånds- och tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna lämpar sig enligt utredningens mening väl för avgiftsfinansiering, oberoende av om verksamheten enligt utredningens förslag flyttas över till Finansinspektionen eller inte.</P> <P class="p71 ft0">Utredningen anser inte att en generell avgiftsfinansiering skall införas vad gäller Datainspektionens tillsyn inom det internationella polis- och tullsamarbetet. Polis- och tullmyndigheter bör dock kunna betala för Datainspektionens renodlade inspektionsverksamhet som sker på plats hos den personuppgiftsansvarige enligt den avgiftsmodell utredningen presenterar, oavsett om den sker enligt personuppgiftslagen eller som ett led i arbetet med tillsyn över polis- och tullmyndigheternas behandling av personuppgifter enligt konventionerna om internationellt polis- och tullsamarbete.</P> </DIV> <DIV id="page_18"> <P class="p0 ft29">BAKGRUNDEN TILL UTREDNINGENS FÖRSLAG</P> </DIV> <DIV id="page_19"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td71"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td72"><SPAN class="p9 ft3">Uppdraget <SPAN class="ft0">25</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td73"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td74"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p42 ft5">1 Uppdraget</P> <P class="p72 ft1"><SPAN class="ft1">1.1</SPAN><SPAN class="ft30">Utredningens direktiv</SPAN></P> <P class="p73 ft0">Utredningen har i uppdrag att göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av personuppgiftslagen och den snabba tekniska utvecklingen. Syftet med uppdraget är att analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.</P> <P class="p59 ft0">Den främsta anledningen till att översynen skall göras är den nya personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998 och som i fråga om automatiserad behandling av personuppgifter gäller fullt ut fr.o.m. den 1 oktober 2001. Genom lagen genomförde Sverige Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Utredningen skall analysera vilka krav som den nya personuppgiftslagen ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer.</P> <P class="p46 ft0">Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Datainspektionen är tillsynsmyndighet i Sverige med uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av dataskyddsdirektivet. Utredningen skall utvärdera den hittillsvarande tillsynsverksamheten samt se över i vilka former och med vilken inriktning en framtida effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen.</P> <P class="p46 ft0">Bland de frågor som utredningen enligt direktiven särskilt skall undersöka är de nya tillsynsuppgifter som successivt har tillförts Datainspektionen inom ramen för polis- och tullsamarbetet. Utredningen skall pröva vilken roll Datainspektionen i fortsättningen bör ha när det gäller denna form av tillsyn och hur den bör finansieras. Som utgångspunkt för utredningens överväganden i denna del gäller att tillsyns-</P> </DIV> <DIV id="page_20"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">26 </SPAN>Uppdraget</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">verksamheten skall säkerställa de tillsynsfunktioner som Sverige enligt de internationella konventioner som gäller på området är skyldigt att upprätthålla.</P> <P class="p66 ft0">Datainspektionen är vidare tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Utredningen skall särskilt överväga om Datainspektionen även i fortsättningen skall ha dessa uppgifter eller om ansvaret kan överföras till någon annan myndighet, och i så fall föreslå vilken myndighet som bör ta över uppgifterna.</P> <P class="p66 ft0">En annan fråga som utredningen skall analysera är den utveckling som pågår mot olika former av självreglering för att skydda den personliga integriteten framför allt i anslutning till den kraftigt ökande användningen av Internet. Det förutsätts i direktiven att en sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd. Utredningen skall överväga möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av olika former av självreglering.</P> <P class="p45 ft0">Utredningen skall också överväga om Datainspektionen bör ges ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och om ett sådant ansvar kräver förändringar i inspektionens kompetensprofil.</P> <P class="p59 ft0">Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licensavgifter som tillämpades i anslutning till datalagen. I och med att datalagen upphävts och licenssystemet därmed upphört finns inte längre denna finansieringskälla. För att lösa den fortsatta finansieringen har utredningen därför fått i uppdrag att analysera möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.</P> <P class="p74 ft0">Direktiven i sin helhet framgår av <SPAN class="ft3">bilaga 1</SPAN>.</P> <P class="p75 ft1"><SPAN class="ft1">1.2</SPAN><SPAN class="ft30">Utredningsarbetet</SPAN></P> <P class="p76 ft0">Utredningens arbete har bedrivits med målsättningen att ta reda på vilken inriktning, omfattning och finansiering Datainspektionen skall ha i framtiden. Mot bakgrund av den begränsade utredningstiden har utredningen valt att i första hand skapa sig en bild av inspektionens verksamhet genom befintligt material i form av inspektionens egen dokumentation och beskrivningar av verksamheten i den mån sådana varit tillgängliga. Utredningen har också haft personliga kontakter med myndigheten och dess företrädare.</P> <P class="p46 ft2">Som ett viktigt led i arbetet har utredningen vid olika tillfällen besökt Datainspektionen. Utredningens sekreterare har besökt Data-</P> </DIV> <DIV id="page_21"> <DIV id="dimg1"> <INGENBILD zsrc="GQB3221x1.jpg/" id="img1"> </DIV> <P class="p0 ft0">SOU 2002:2 <SPAN class="ft3">Uppdraget </SPAN>27</P> <P class="p77 ft0">inspektionen för att samla in grundläggande information om myndighetens hittillsvarande verksamhet. Härvid har bl.a. myndighetens verksamhetsberättelser, årsredovisningar, anslagsframställningar och budgetunderlag gåtts igenom. Utredaren och sekreteraren har vidare i möte med generaldirektören fått information om hur Datainspektionens verksamhet bedrivs, särskilt med inriktning på inspektionsverksamheten. Därutöver har ett av utredningens sammanträden med experter varit förlagt till Datainspektionen, där ett ömsesidigt utbyte av information och synpunkter mellan utredningen och Datainspektionens ledning, enhetschefer och företrädare för arbetstagarorganisationer ägde rum. Utredningen har också haft kontakter under hand med anställda på Datainspektionens olika sakenheter.</P> <P class="p78 ft0">Enligt direktiven har det ålegat utredningen att ta kontakt med de myndigheter som på olika sätt berörs av de frågeställningar som uppdraget omfattar. Utredningen har därvid besökt Finansinspektionen, varvid särskilt frågor om avgiftsfinansiering samt tillstånd och tillsyn vad gäller kreditupplysnings- och inkassoverksamhet berördes.</P> <P class="p66 ft0">Utredningen har genom en enkät ställd till Datainspektionens motsvarigheter i samtliga <NOBR>EU-länder</NOBR> samt Norge och Island, informerat sig om hur tillsynsverksamheten i anknytning till dataskyddsdirektivet bedrivs i övriga Europa. Även underhandskontakter med vissa av länderna har ägt rum. Dataskyddsmyndigheten i Nederländerna har särskilt bidragit med information som rör självreglering.</P> <P class="p79 ft2">När det gäller frågor som rör finansieringen av Datainspektionens verksamhet har samråd skett under hand med en tjänsteman på Ekonomistyrningsverket.</P> <P class="p61 ft0">Utredningen har även samrått med Tillsynsutredningen (Ju 2000:06).</P> </DIV> <DIV id="page_22"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td75"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td76"><SPAN class="p9 ft31">Datainspektionens verksamhet och organisation <SPAN class="ft10">29</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td77"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td78"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p80 ft33"><SPAN class="ft5">2</SPAN><SPAN class="ft32">Datainspektionens verksamhet och organisation</SPAN></P> <P class="p81 ft35"><SPAN class="ft1">2.1</SPAN><SPAN class="ft34">Översikt över Datainspektionens uppgifter</SPAN></P> <P class="p82 ft0">Enligt den ursprungliga regleringen av Datainspektionens verksamhet, förordning (1973:292) med instruktion för Datainspektionen, är inspektionen central förvaltningsmyndighet med uppgift att pröva frågor om tillstånd och utöva tillsyn enligt datalagen (1973:289).</P> <P class="p59 ft2">Genom en ändring av instruktionen tillkom redan 1974 även ansvaret för tillstånd och tillsyn enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182).</P> <P class="p66 ft0">Därutöver har det sedan starten också ålegat Datainspektionen att särskilt följa utvecklingen i fråga om automatisk databehandling av personuppgifter och användningen av sådana uppgifter i kreditupplysnings- och inkassoverksamhet, att hos regeringen lägga fram förslag till åtgärder som är påkallade för att främja de syften inspektionen skall befordra och att inom sitt verksamhetsområde lämna myndigheter, organisationer och enskilda råd och upplysningar.</P> <P class="p61 ft2">I samband med ändring av datalagen 1982 tillkom uppgiften att utfärda licens enligt datalagen.</P> <P class="p66 ft0">Genom en ändring i instruktionen 1985 ålades Datainspektionen att fullgöra de skyldigheter som avses i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter och som rör lämnande av uppgifter till den berörda myndigheten i en stat som är ansluten till konventionen.<SPAN class="ft27">1 </SPAN>Enligt artikeln skall varje konventionsstat utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje myndighets behörighet. De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande inom dataskyddsområdet m.m.</P> <P class="p83 ft11"><SPAN class="ft27">1 </SPAN>SFS 1985:731.</P> </DIV> <DIV id="page_23"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">30 </SPAN>Datainspektionens verksamhet och organisation</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p84 ft0">Genom en ny ändring av instruktionen i februari 1987 preciserades Datainspektionens uppgifter med bestämmelsen att inspektionen skall verka för att automatisk databehandling av personuppgifter inte leder till otillbörligt intrång i enskildas personliga integritet och att god sed iakttas i kreditupplysnings- och inkassoverksamhet.<SPAN class="ft27">2</SPAN></P> <P class="p85 ft0">Under 1988 tillkom också uppgiften för Datainspektionen att utöva tillsyn enligt lagen (1987:1231) om automatisk databehandling vid taxeringsrevision m.m. Sistnämnda lag upphävdes den 4 mars 1999 i samband med tillkomsten av den nya personuppgiftslagen.<SPAN class="ft27">3</SPAN></P> <P class="p61 ft2">Mellan åren 1988 och 1998 har instruktionen ändrats i samband med organisationsförändringar inom Datainspektionen, se vidare avsnitt 2.2.</P> <P class="p86 ft2">Enligt den nu gällande förordningen (1998:1192) med instruktion för Datainspektionen har inspektionen följande uppgifter.</P> <P class="p87 ft0"><SPAN class="ft36">N </SPAN>Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet.</P> <P class="p88 ft2"><SPAN class="ft37">N </SPAN>Inspektionen skall särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen.</P> <P class="p89 ft0"><SPAN class="ft36">N </SPAN>Datainspektionen skall följa och beskriva utvecklingen på IT- området när det gäller frågor som rör integritet och ny teknik.</P> <P class="p90 ft0"><SPAN class="ft36">N </SPAN>Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen. <SPAN class="ft36">N </SPAN>Datainspektionen är tillstånds- och tillsynsmyndighet enligt</P> <P class="p66 ft2">kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). <SPAN class="ft37">N </SPAN>Datainspektionen är tillsynsmyndighet enligt artikel 28 i Europa-</P> <P class="p91 ft0">parlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>Datainspektionen fullgör de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen.</P> <P class="p89 ft2"><SPAN class="ft37">N </SPAN>Inspektionen är nationell tillsynsmyndighet enligt artikel 23 i konventionen om upprättande av europeisk polisbyrå (Europolkonventionen), och enligt artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen).</P> <P class="p93 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">SFS 1987:17.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">3</SPAN><SPAN class="ft39">Prop. 1998/99:34 s. 67 ff.</SPAN></P> </DIV> <DIV id="page_24"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td75"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td76"><SPAN class="p9 ft31">Datainspektionens verksamhet och organisation <SPAN class="ft10">31</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td77"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td78"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p95 ft0"><SPAN class="ft36">N </SPAN>Inom det internationella tullsamarbetet finns ett tullinformationssystem bestående av två deldatabaser. Tullinformationssystemet regleras av EG:s konvention om användning av informationsteknologi för tulländamål, den s.k. <NOBR>TIS-konventionen,</NOBR> respektive Rådets förordning (EG) 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbetet mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen. Det skall i varje medlemsstat utses en nationell tillsynsmyndighet som har ansvaret för dataskydd avseende personuppgifter som förs in i tullinformationssystemet. Enligt förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem är Datainspektionen svensk tillsynsmyndighet i anslutning till förordningen (EG) 515/97. Datainspektionen kommer att utses till nationell tillsynsmyndighet även enligt <NOBR>TIS-konventionen</NOBR> genom att denna uppgift förs in i myndighetens instruktion. Frågan handläggs för närvarande inom regeringskansliet.</P> <P class="p96 ft1"><SPAN class="ft1">2.2</SPAN><SPAN class="ft30">Datainspektionens organisation</SPAN></P> <P class="p97 ft0">Datainspektionen leds av en generaldirektör som är chef för inspektionen och ansvarar för myndighetens verksamhet. Därutöver finns en styrelse med uppgifter enligt verksförordningen (1995:1322) och instruktionen för Datainspektionen.</P> <P class="p61 ft0">Ledamöter av styrelsen är chefen för inspektionen, som också är styrelsens ordföranden, och åtta andra ledamöter. Styrelsen har bl.a. till uppgift att pröva om myndighetens verksamhet bedrivs effektivt och i överensstämmelse med syftet med verksamheten. Styrelsen skall biträda myndighetens chef och föreslå denne de åtgärder som styrelsen finner motiverade.</P> <P class="p46 ft0">Antalet ledamöter i styrelsen har varierat under åren men har hela tiden uppgått till ca tio. Regeringen uttalade vid inrättandet av Datainspektionen att det var angeläget att styrelsemedlemmarna har nära kontakt med den allmänna opinionen genom arbete i riksdagen eller i någon större organisation. Vidare ansågs det lämpligt att ha en ledamot med särskild kunskap i datateknik och informationsbehandling samt att även personer med erfarenhet av offentlig förvaltning resp. enskild näringsverksamhet var företrädda i styrelsen. I dag finns åtta ledamöter som utses på förslag av riksdagspartierna. Samtliga riksdagspartier är representerade i Datainspektionens styrelse.</P> <P class="p46 ft2">Enligt den första instruktionen för Datainspektionen skulle det inom myndigheten finnas två enheter, enheten för tillståndsärenden och</P> </DIV> <DIV id="page_25"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">32 </SPAN>Datainspektionens verksamhet och organisation</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p98 ft0">enheten för tillsynsärenden, samt ett sekretariat.<SPAN class="ft27">4 </SPAN>För vardera enheten och för sekretariatet skulle det finnas en chef. På en av enhetscheferna låg uppgiften att vara ställföreträdare för chefen för inspektionen.</P> <P class="p66 ft0">Under 1987 skedde den första förändringen av Datainspektionens ursprungliga organisation. I den ändrade instruktionen föreskrevs vad gäller de två sakenheterna att den ena skulle svara för inspektionens uppgifter ifråga om offentlig verksamhet och den andra för inspektionens uppgifter i fråga om enskild verksamhet.<SPAN class="ft27">5 </SPAN>Dessutom skulle det finnas en administrativ enhet. Varje sakenhet skulle förestås av en byråchef, varav den ena även skulle vara generaldirektörens ställföreträdare.</P> <P class="p46 ft0">Under 1990 tillkom genom en ändring av instruktionen en ny enhet inom Datainspektionen.<SPAN class="ft27">6 </SPAN>De två sakenheterna och den administrativa enheten kompletterades med en teknisk enhet. Enheten fick bl.a. till uppgift att utgöra Datainspektionens tekniska stöd för den egna inspektionsverksamheten och att utföra tekniska analyser för att påverka leverantörer och andra att utveckla datorsystem där integritetsfrågor beaktades.</P> <P class="p59 ft0">Nästa förändring av Datainspektionens organisation ägde rum den 1 juli 1994. I instruktionen för Datainspektionen föreskrevs härmed att inspektionen själv fick besluta om sin organisation.<SPAN class="ft27">7 </SPAN>De enda krav som uppställdes var att det inom inspektionen skulle finnas en chef för tillstånds- och tillsynsverksamheten, som också skulle vara generaldirektörens ställföreträdare, och att det inom inspektionen skulle finnas en chefsjurist.</P> <P class="p79 ft2">Enligt den nu gällande instruktionen för Datainspektionen gäller beträffande organisationen endast att det inom Datainspektionen skall finnas en chefsjurist.<SPAN class="ft40">8 </SPAN>I övrigt beslutar inspektionen själv om sin organisation.</P> <P class="p99 ft24"><SPAN class="ft24">2.2.1</SPAN><SPAN class="ft41">Datainspektionens organisation år 2001</SPAN></P> <P class="p57 ft2">Antalet anställda på Datainspektionen har under år 2001 varit i genomsnitt 39 personer. Flera anställningar är under tillsättning och i slutet av år 2001 kommer Datainspektionen att ha 43 personer anställda.</P> <P class="p100 ft11"><SPAN class="ft38">4</SPAN><SPAN class="ft39">SFS 1973:292.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">5</SPAN><SPAN class="ft39">SFS 1987:17.</SPAN></P> <P class="p24 ft11"><SPAN class="ft38">6</SPAN><SPAN class="ft39">SFS 1989:1067.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">7</SPAN><SPAN class="ft39">SFS 1994:540.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">8</SPAN><SPAN class="ft39">SFS 1998:1192.</SPAN></P> </DIV> <DIV id="page_26"> <DIV id="dimg1"> <INGENBILD zsrc="GQB3226x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td75"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td76"><SPAN class="p9 ft31">Datainspektionens verksamhet och organisation <SPAN class="ft10">33</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td77"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td78"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft2">På generaldirektörens kansli arbetar åtta personer, på den juridiska avdelningen fem och på ekonomienheten fyra. Till tillstånds- och tillsynsenheten är för närvarande 16 personer knutna. Informationsenheten har fem personer anställda.</P> <P class="p54 ft3">Datainspektionens organisationsstruktur</P> <P class="p102 ft7">Styrelse</P> <TABLE cellpadding=0 cellspacing=0 class="t7"> <TR> <TD class="tr20 td79"><SPAN class="p34 ft7">Generaldirektör</SPAN> </TD> <TD class="tr0 td80"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr20 td81"><SPAN class="p103 ft7">GD:s Kansli</SPAN> </TD> </TR> <TR> <TD class="tr21 td82"><SPAN class="p9 ft42">&nbsp;</SPAN> </TD> <TD class="tr22 td80"><SPAN class="p9 ft43">&nbsp;</SPAN> </TD> <TD class="tr21 td83"><SPAN class="p9 ft42">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p104 ft44">Tillstånds- och tillsynsenheten</P> <P class="p105 ft7">Informationsenheten</P> <P class="p106 ft7">Juridiska enheten</P> <P class="p107 ft7">Ekonomienheten</P> <P class="p108 ft0"><SPAN class="ft3">Generaldirektörens kansli </SPAN>svarar för registratur, arkiv, vaktmästeri, personalfrågor, internt <NOBR>IT-stöd</NOBR> samt övrig allmän administration. Kansliet består av en kanslichef och fem medarbetare samt två dataråd som arbetar med särskilda utredningsuppdrag och remisser.</P> <P class="p66 ft3">Tillstånds- och tillsynsenheten <SPAN class="ft0">handlägger ärenden enligt </SPAN><NOBR><SPAN class="ft0">personuppgifts-,</SPAN></NOBR><SPAN class="ft0"> </SPAN><NOBR><SPAN class="ft0">data-,</SPAN></NOBR><SPAN class="ft0"> inkasso- och kreditupplysningslagarna. Enheten handlägger inkomna klagomål, genomför inspektioner och följer upp tillsynsaktiviteter. Dessutom utarbetas förslag till föreskrifter och allmänna råd. Enheten består av en tillsynsdirektör som är chef för enheten, två dataråd varav en är ställföreträdande chef, fem avdelningsdirektörer, två </SPAN><NOBR><SPAN class="ft0">IT-direktörer</SPAN></NOBR><SPAN class="ft0"> och en </SPAN><NOBR><SPAN class="ft0">IT-inspektör</SPAN></NOBR><SPAN class="ft0"> samt sju handläggare/inspektörer.</SPAN></P> <P class="p52 ft2"><SPAN class="ft26">Informationsenheten </SPAN>informerar myndigheter, företag, organisationer, personuppgiftsombud, media och allmänheten om integritets-</P> </DIV> <DIV id="page_27"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">34 </SPAN>Datainspektionens verksamhet och organisation</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p109 ft0">skyddsreglerna och Datainspektionens verksamhet. Informationsenheten arrangerar konferenser, föredrag, studiebesök, producerar en periodisk skrift samt ansvarar för inspektionens webbplats. Enheten består av en informationschef, en pressekreterare, en informatör och tre handläggare.</P> <P class="p46 ft0"><SPAN class="ft3">Juridiska enheten </SPAN>ansvarar för arbetet med inspektionens regelgivning och remissverksamhet. Enheten biträder inom myndigheten i juridiska frågor som är av principiell betydelse eller av särskilt komplicerad natur. Juridiska enheten svarar för bevakning och samordning av inspektionens internationella arbete. Enheten består av en chefsjurist, som också är generaldirektörens ställföreträdare, två dataråd, ett internationellt dataråd och en avdelningsdirektör med internationella uppgifter.</P> <P class="p45 ft2"><SPAN class="ft26">Ekonomienheten </SPAN>svarar för Datainspektionens budget- och ekonomiarbete, löneadministration samt inspektionens reception och telefonväxel. Enheten består av en ekonomichef och tre medarbetare.</P> <P class="p110 ft24"><SPAN class="ft24">2.2.2</SPAN><SPAN class="ft41">Datainspektionens verksamhetsgrenar m.m.</SPAN></P> <P class="p111 ft2">Datainspektionens verksamhet har tidigare varit indelad i fem olika verksamhetsområden, tillsyn, information, regelgivning, tillstånd och internationell verksamhet. I enlighet med regleringsbrevet för år 2001 delas verksamheten numera in i tre verksamhetsgrenar:</P> <P class="p112 ft2"><SPAN class="ft37">N </SPAN>tillsyn över behandlingen av personuppgifter (datalagen och personuppgiftslagen)</P> <P class="p89 ft0"><SPAN class="ft36">N </SPAN>tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamheten (kreditupplysnings- och inkassolagen)</P> <P class="p92 ft2"><SPAN class="ft37">N </SPAN>tillsyn över personregister inom polis- och tullsamarbetet <NOBR>(Europol-,</NOBR> Schengen- och tullinformationssystemet).</P> <P class="p113 ft2">Vid sidan härav föreligger särskilda återrapporteringskrav för bl.a. regelgivningen, informationsverksamheten och den internationella verksamheten.</P> <P class="p54 ft3">Tillsynen över behandlingen av personuppgifter</P> <P class="p114 ft2">Datainspektionens tillsyn över behandling av personuppgifter sker genom <SPAN class="ft26">fältinspektioner </SPAN>och <SPAN class="ft26">skrivbordsinspektioner</SPAN>.</P> <P class="p66 ft2">Tillsynsverksamheten i form av fältinspektioner är koncentrerad till att avse s.k. <SPAN class="ft26">temainspektioner </SPAN>inom områden och branscher där det förekommer behandlingar av personuppgifter som från integritets-</P> </DIV> <DIV id="page_28"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td75"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td76"><SPAN class="p9 ft31">Datainspektionens verksamhet och organisation <SPAN class="ft10">35</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td77"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td78"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">synpunkt är känsliga. En temainspektion omfattar en bred och djup granskning av en särskild bransch eller sektor.</P> <P class="p66 ft0">Därutöver sker tillsyn i särskilda fall efter t.ex. klagomål från enskilda eller uppgifter i massmedia. Vid några tillfällen per år koncentreras inspektionsverksamheten till en viss stad eller kommun utan att inspektionerna har något särskilt tema. Syftet härmed är att ge bredd åt inspektionsverksamheten och att se till att inspektionerna sprids över landet.</P> <P class="p115 ft0">Mer om Datainspektionens inspektionsverksamhet i kapitel 4.</P> <P class="p116 ft45">Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamheten</P> <P class="p117 ft0">Datainspektionen prövar frågor om tillstånd och utövar tillsyn enligt kreditupplysningslagen och inkassolagen. Under år 2000 inspekterades bl.a. samtliga företag som bedriver tillståndspliktig kreditupplysning. Därutöver har Datainspektionen utfärdat föreskrifter om tillstånd enligt 2 § inkassolagen och allmänna råd om tillämpningen av inkassolagen.</P> <P class="p118 ft3">Tillsyn över personregister inom polis- och tullsamarbetet</P> <P class="p50 ft2">Datainspektionen är nationell tillsynsmyndighet och ingår i en gemensam tillsynsmyndighet enligt Europolkonventionen.</P> <P class="p61 ft0">Datainspektionen skall kontrollera att utbyte av personuppgifter till och från Europol sker i enlighet med nationell lag och att enskildas rätt inte kränks.</P> <P class="p66 ft0">Från och med mars 2001 är Sverige operativ medlem enligt Schengenkonventionen. Datainspektionen skall utöva tillsyn över det nationella registret i Schengens informationssystem (SIS) och ingår också i den gemensamma tillsynsmyndigheten, vars uppgift är att övervaka den för Schengenstaterna gemensamma tekniska funktionen. Inspektionen skall kontrollera att behandling och utnyttjande av uppgifter som upptagits i SIS inte skadar den enskildes rättigheter.</P> <P class="p59 ft2">Datainspektionen har vidare medverkat i det förberedelsearbete som pågått för att inrätta en gemensam tillsynsmyndighet för ett informationssystem för tullsamarbete (TIS) och förväntas bli nationell tillsynsmyndighet inom systemet.</P> </DIV> <DIV id="page_29"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">36 </SPAN>Datainspektionens verksamhet och organisation</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">Regelgivning</P> <P class="p50 ft0">Datainspektionen utarbetar egna författningar med generella föreskrifter och allmänna råd. Datainspektionens föreskrifter ges ut i Datainspektionens författningssamling (DIFS). Dessutom ger inspektionen som remissinstans synpunkter på utredningsbetänkanden och förslag från regeringen.</P> <P class="p59 ft2">Vanligt förekommande är även s.k. delningar av t.ex. utkast till lagrådsremisser, propositioner och förordningar för synpunkter under hand. Datainspektionen deltar också i kommittéer, arbetsgrupper och annat utredningsarbete. I inspektionens uppgifter ingår vidare att bedöma s.k. branschöverenskommelser enligt 15 § personuppgiftsförordningen (1998:1191).</P> <P class="p119 ft3">Information</P> <P class="p50 ft0">Informationsverksamheten syftar till att sprida kunskap om integritetsskyddsreglerna till allmänheten, företag, myndigheter, organisationer och massmedia. Sedan tillkomsten av personuppgiftslagen har som särskild målgrupp för Datainspektionens informationsverksamhet tillkommit de s.k. personuppgiftsombuden.</P> <P class="p59 ft2">Datainspektionens informationsspridning sker genom t.ex. föreläsningar och konferenser, hos olika myndigheter och företag eller genom egen försorg.</P> <P class="p61 ft0">Datainspektionen har en egen webbplats där nyhetsnotiser läggs ut och frågor besvaras. Inspektionens <NOBR>call-center</NOBR> är bemannat med två jurister som besvarar frågor via telefon och <NOBR>e-post.</NOBR></P> <P class="p66 ft2">Datainspektionen lanserade under år 2000 även en egen periodisk skrift, <SPAN class="ft26">magazin DIrekt</SPAN>, med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområden.</P> <P class="p48 ft3">Internationellt</P> <P class="p50 ft0">Utöver det internationella arbetet inom ramen för <NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna</NOBR> ingår Datainspektionen i den s.k. <NOBR>29-gruppen.</NOBR> Detta är en arbetsgrupp som har inrättats med stöd av dataskyddsdirektivet och vari företrädare för <NOBR>EU-staternas</NOBR> nationella tillsynsmyndigheter ingår. Gruppen skall bl.a. se till att direktivet tillämpas enhetligt i de olika medlemsstaterna, avge yttranden till kommissionen om skyddsnivån i olika länder utanför EU samt ge råd till kommissionen i fråga om förslag till ändringar i direktivet.</P> </DIV> <DIV id="page_30"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td75"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td76"><SPAN class="p9 ft31">Datainspektionens verksamhet och organisation <SPAN class="ft10">37</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td77"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td78"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft2">Vidare sker samarbete genom att cheferna för de olika dataskyddsmyndigheterna runt om i världen träffas för att diskutera dataskyddsfrågor. Detta sker varje år vid ett internationellt datachefsmöte, ett EU- datachefsmöte samt ett nordiskt datachefsmöte.</P> <P class="p54 ft3">Verksamheten i siffror</P> <P class="p120 ft2">I bilaga 4 redovisas Datainspektionens verksamhet <NOBR>2000-07-01–</NOBR> <NOBR>2001-06-30</NOBR> i timmar och procent fördelade på olika områden.</P> </DIV> <DIV id="page_31"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">39</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p42 ft5">3 Datainspektionens ansvarsområden</P> <P class="p121 ft0">I kapitel 2 beskriver utredningen de uppgifter Datainspektionen har enligt sin instruktion och inom vilka verksamhetsområden myndigheten arbetar. I kapitel 3 är det utredningens avsikt att närmare belysa Datainspektionens uppgifter genom att beskriva myndighetens ansvarsområden utifrån de författningar inspektionen har att tillämpa i sin verksamhet. Dessa regelområden utgör grunden för Datainspektionens ansvar, uppgifter och befogenheter. Syftet med kapitel 3 är således att beskriva den miljö Datainspektionen verkar i.</P> <P class="p59 ft0">Datainspektionens verksamhet kännetecknas av att myndigheten har ett omfattande och i flera avseenden komplext regelverk att tillämpa. Härtill kommer att myndigheten skall värna om skyddet för den personliga integriteten vilket är ett diffust och i många sammanhang svårdefinierat begrepp. Utredningen återkommer till begreppet personlig integritet i kapitel 6.</P> <P class="p46 ft0">Datainspektionens ansvarsområden regleras av många olika författningar, från den generella lagstiftningen om behandling av personuppgifter i personuppgiftslagen till de olika särskilda registerförfattningar som reglerar viktigare register inom det offentliga området. Datainspektionen har i anslutning till sin uppgift att värna om skyddet för den personliga integriteten även särskilda uppgifter enligt kreditupplysnings- och inkassolagarna. Myndigheten har emellertid inte bara det nationella regelsystemet att beakta utan har också uppgifter till följd av Sveriges åtaganden enligt internationella konventioner och inom ramen för EU. Här märks särskilt Datainspektionens uppgift som tillsynsmyndighet inom det internationella polis- och tullsamarbetet. Dessa Datainspektionens ansvarsområden beskrivs alla i förevarande kapitel.</P> <P class="p46 ft0">Även om datalagen numera har upphört att gälla inleds kapitel 3 med en översiktlig beskrivning av denna lag. Avsikten härmed är att teckna en bakgrund till dataskyddslagstiftningen och varför det har ansetts angeläget att ha en särskild reglering till skydd för den personliga integriteten i samband med automatiserad behandling av personuppgifter. Datalagens utveckling och övergången till personuppgiftslagen är också av väsentlig betydelse för de förändringar som skett i Datainspektionens verksamhet.</P> </DIV> <DIV id="page_32"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">40 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Det bör vidare betonas att det finns lagstiftning som inte kommer att beröras närmare i detta sammanhang men som ändå är av stor betydelse för Datainspektionen, eftersom inspektionen har att tillämpa denna i sin verksamhet. Detta gäller i första hand lagar och andra författningar som direkt eller indirekt reglerar myndigheters hantering av personuppgifter. Gemensamt för dessa är att de skall tillgodose viktiga samhällsintressen av olika slag, t.ex. den enskildes insynsrätt enligt tryckfrihetsförordningen och skyddet för ömtåliga uppgifter om enskilda enligt sekretesslagen. Sekretesslagstiftningen och regler om tystnadsplikt har stor betydelse för skyddet för den personliga integriteten. Denna lagstiftning ger även viss uppfattning om vilken information som i olika situationer skall betraktas som känslig. I 8 § personuppgiftslagen finns en bestämmelse som klargör att reglerna i 2 kap. tryckfrihetsförordningen om utlämnande av allmänna handlingar tar över bestämmelserna i lagen, och i 7 § finns motsvarande erinran beträffande bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.</P> <P class="p96 ft1"><SPAN class="ft1">3.1</SPAN><SPAN class="ft30">Datalagen</SPAN></P> <P class="p122 ft24"><SPAN class="ft24">3.1.1</SPAN><SPAN class="ft41">Bakgrunden till datalagstiftningen</SPAN></P> <P class="p57 ft0">När den nya datorteknikens inverkan på samhället började diskuteras under slutet av <NOBR>1960-talet</NOBR> var det i första hand dess inverkan på offentlighetsprincipen och de allmänna handlingarnas offentlighet som kom att ställas i fokus. Debatten gällde då om de maskinläsbara medierna skulle jämställas med handlingar i vanlig bemärkelse och således även de omfattas av reglerna i tryckfrihetsförordningen. Frågan löstes dock med tiden genom rättstillämpning och lagstiftning på sådant sätt att offentlighetsprincipen nu omfattar inte bara handlingar av traditionellt slag utan även tekniska upptagningar.</P> <P class="p45 ft0">Först något senare började frågor med direkt anknytning till skyddet för den personliga integriteten att bli aktuella. Mot bakgrund av de möjligheter att hantera information som den nya tekniken erbjöd medförde bland annat farhågorna inför 1970 års folk- och bostadsräkning att diskussionen även kom att omfatta vilken uppgiftsinsamling från medborgarna som myndigheterna skulle tillåtas att göra och vad de insamlade uppgifterna skulle få användas till. De nya möjligheterna ansågs påtagligt öka myndigheternas makt över de enskilda och därmed även risken för intrång i den personliga integriteten.</P> <P class="p85 ft2">Debatten ledde så småningom fram till en ganska enhetlig syn på integritetsfrågorna och nödvändigheten av en särskild lagstiftning till</P> </DIV> <DIV id="page_33"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">41</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">skydd för den personliga integriteten vid automatisk databehandling (ADB) av personuppgifter.</P> <P class="p70 ft0">Således tillsattes i april 1969 Offentlighets- och sekretesslagstiftningskommittén (OSK), med uppgift att utreda frågor om offentlighet och sekretess beträffande allmänna handlingar m.m. Särskild uppmärksamhet skulle ägnas åt hur offentlighetsprincipen skulle tillämpas på information som tagits upp i annan form än som text eller bild. I första hand avsågs härvid upptagningar för (ADB).</P> <P class="p69 ft0">Genom tilläggsdirektiv år 1971 utökades OSK:s uppdrag till att även avse de effekter på enskildas integritet som den nya tekniken kunde medföra. Härigenom kom utredningens uppdrag att omfatta hela frågan om lagstiftning rörande personorienterad <NOBR>ADB-information.</NOBR></P> <P class="p123 ft0">I delbetänkandet Data och integritet (SOU 1972:47) redovisade OSK i juni 1972 bl.a. ett förslag till datalag. Utgångspunkten för kommitténs förslag var att den enskilde – med de begränsningar som följer av samhällsgemenskapens krav – bör ha tillgång till en fredad sektor, inom vilken han eller hon skall kunna avvisa otillbörlig inblandning från det allmänna eller andra. Utredningen föreslog att ett tillståndstvång för automatisk databehandling av personuppgifter skulle införas, att personregistren skulle underkastas en fortlöpande tillsyn och att dessa uppgifter skulle anförtros en självständig myndighet kallad Datainspektionen.</P> <P class="p124 ft28"><SPAN class="ft24">3.1.2</SPAN><SPAN class="ft46">Allmänt om lagen och dess tillämpningsområde</SPAN></P> <P class="p125 ft0">Datalagen antogs av riksdagen under våren 1973 och trädde i kraft den 1 juli samma år. Ett år senare trädde systemet med tillstånd för personregister som förs med hjälp av ADB i kraft. Lagens regelsystem innebar i huvudsak att alla typer av personregister som fördes med hjälp av ADB i princip inte fick inrättas eller föras utan tillstånd av Datainspektionen. Bestämmelserna gällde även redan befintliga register. För register som inrättats genom beslut av riksdagen eller regeringen krävdes dock inte tillstånd.</P> <P class="p126 ft0">I enlighet med föreskrifter i lagen inrättades Datainspektionen den 1 juli 1973. Inspektionen fick som central förvaltningsmyndighet till uppgift att pröva frågor om tillstånd och utöva tillsyn enligt datalagen, och sedermera även kreditupplysningslagen och inkassolagen.</P> <P class="p71 ft2">Sverige var ett av de länder där frågan om skyddet för privatlivet vid <NOBR>ADB-registrering</NOBR> allra tidigast uppmärksammades. När datalagen antogs 1973 var den inte bara en nyhet på sitt område för svenskt vidkommande utan också en internationell nymodighet. I flera europe-</P> </DIV> <DIV id="page_34"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">42 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p127 ft0">iska länder antogs under åren därefter datalagstiftning som i varierande grad liknade den svenska. I samband härmed inleddes också ett internationellt samarbete, inom bl.a. Europarådet och OECD, i avsikt att skydda den personliga integriteten från otillbörligt intrång vid automatisk databehandling av personuppgifter.</P> <P class="p46 ft0">Redan vid tillkomsten av datalagen gjordes flera uttalanden om att lagen inom en ganska snar framtid kunde behöva ändras och kompletteras. Under <NOBR>1970-talet</NOBR> började man också diskutera införandet av en generell personregisterlagstiftning. Man insåg redan då att det med den snabba tekniska utvecklingen skulle bli allt svårare att tillämpa datalagen som var begränsad till användningen av ADB- teknik. Det fanns också skäl att räkna med nya tillämpningsområden för datateknik vilka inte nödvändigtvis skulle vara farliga från integritetssynpunkt.</P> <P class="p55 ft0">Redan i mars 1976 tillsattes en kommitté, Datalagstiftningskommittén (DALK), för att göra en allmän översyn av datalagen. I uppdraget ingick också att överväga den rättsliga regleringen av skyddet för den personliga integriteten i samband med registrering i personregister och att utreda dels datoriseringens sätt att påverka offentlighetsprincipen, dels utnyttjandet av datorer inom administration och näringsliv som en internationell företeelse.</P> <P class="p45 ft0">Kommitténs arbete resulterade i betänkandet Personregister – Datorer – Integritet (SOU 1978:54). DALK föreslog bl.a. att i vissa fall ersätta kravet på tillstånd med ett anmälningsförfarande. Som en följd av kommitténs översyn av datalagen gjordes vissa smärre ändringar som trädde i kraft den 1 juli 1979.<SPAN class="ft27">1 </SPAN>Bland annat undantogs från tillståndskravet personregister som fördes med viss bestämd utrustning om det med hänsyn till utrustningens art och till utförandet av den automatiska databehandlingen framstod som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skulle uppkomma. En annan nyhet var att reglerna om den registeransvariges underrättelseskyldighet till enskild preciserades. Någon mera genomgripande förändring av de grundläggande principerna för tillståndsförfarandet blev det emellertid inte, och något anmälningssystem kom inte heller att införas.</P> <P class="p52 ft0">I februari 1980 avlämnade DALK promemorian Författningsreglering av Statens adress- och personregister (SPAR) m.m. (Ds Ju 1979:19). Förslagen i promemorian ledde till att grundläggande regler om SPAR togs in i datalagen, vilka kompletterades med en särskild registerförordning om SPAR.<SPAN class="ft27">2 </SPAN>Lagstiftningen innebar att alla som</P> <P class="p128 ft11"><SPAN class="ft38">1</SPAN><SPAN class="ft39">Prop. 1978/79:109, SFS 1979:334.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">Prop. 1980/81:62, SFS 1980:1074.</SPAN></P> </DIV> <DIV id="page_35"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">43</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft0">begärde att få uppgifter ur en myndighets personregister för ett sådant ändamål som kunde tillgodoses genom SPAR skulle hänvisas till detta register. År 1981 ändrades också reglerna om registrerads rätt till insyn i personregister enligt 10 § datalagen.<SPAN class="ft27">3</SPAN></P> <P class="p45 ft0">De grundläggande principerna för tillståndsförfarandet kvarstod oförändrade under hela <NOBR>1970-talet.</NOBR> DALK hade i betänkandet kommit till slutsatsen att man borde överväga att på sikt införa en generell personregisterlagstiftning, vilken uppfattning regeringen delade. I mars 1980 fick också DALK genom tilläggsdirektiv i uppdrag att utreda om en generell personregisterlagstiftning, som inte i första hand var inriktad på registertekniken, borde ersätta datalagen på längre sikt.</P> <P class="p79 ft0">Det visade sig dock snart att det fanns behov av att vidta vissa åtgärder för att reformera Datainspektionens verksamhet redan på kort sikt, vilket bl.a. Datainspektionen själv påpekade. Genom ytterligare tilläggsdirektiv i december 1980 fick DALK därför i uppdrag att med förtur undersöka möjligheterna att bl.a. begränsa tillståndsplikten.</P> <P class="p59 ft0">I augusti 1980 lämnade DALK promemorian Tillstånd och tillsyn enligt datalagen – förslag och åtgärder på kort sikt m.m. (Ds Ju 1981:15 och 16). I promemorian lämnades förslag på åtgärder som skulle göra att Datainspektionens resurser kunde användas mer effektivt och därmed skapa möjlighet till en omprioritering av verksamheten. Avsikten var att Datainspektionen skulle kunna koncentrera sina resurser på sådant som verkligen var betydelsefullt från integritetsskyddssynpunkt, och att man skulle förenkla förfarandet för de registeransvariga. DALK förordade en ordning som byggde på att tillståndsplikten begränsades till särskilt integritetskänsliga register och att det för övriga register skulle vara tillräckligt med en anmälan.</P> <P class="p45 ft0">DALK:s förslag ledde till betydande ändringar i datalagen, vilka trädde i kraft den 1 juli 1982.<SPAN class="ft27">4 </SPAN>Ändringarna innebar att kravet på tillstånd för att föra personregister begränsades till register som innehåller särskilt integritetskänsliga uppgifter, t.ex. uppgifter om sjukdomar, brott, politisk uppfattning och religiös tro eller uppgifter som innehåller omdömen om den registrerade.</P> <P class="p46 ft0">För de personregister som inte var tillståndspliktiga kom i stället att gälla att dessa inte fick föras utan att en anmälan gjorts till Datainspektionen och att inspektionen på grund av anmälan utfärdat en licens. En sådan licens berättigade den registeransvarige att föra ett eller flera personregister som inte omfattades av tillståndsplikten. Ansökan om licens var av enkel beskaffenhet och blev inte föremål för någon materiell prövning hos Datainspektionen.</P> <P class="p128 ft11"><SPAN class="ft38">3</SPAN><SPAN class="ft39">Prop. 1980/81:20 bil. 1, SFS 1980:1025.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">4</SPAN><SPAN class="ft39">Prop. 1981/82:189, SFS 1982:446.</SPAN></P> </DIV> <DIV id="page_36"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">44 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p129 ft0">Vissa nya regler om vad alla registeransvariga, oavsett tillståndsplikt, måste iaktta infördes. De registeransvariga ålades också att föra en förteckning över sina personregister. Personregister som fördes av enskilda och uteslutande för privat bruk undantogs från anmälningsskyldigheten och tillståndsplikten.</P> <P class="p45 ft0">Eftersom någon enighet inom kommittén inte kunde uppnås i frågan om en generell personregisterlag, beslutade regeringen sedermera att DALK:s arbete skulle upphöra i maj 1984 och en ny kommitté tillsättas, Data- och offentlighetskommittén (DOK). Denna fick i uppdrag att utreda användningen av personnummer inom den offentliga sektorn och de problem som är förknippade med offentlighetsprincipens tillämpning på <NOBR>ADB-upptagningar.</NOBR></P> <P class="p46 ft0">DOK lämnade sammanlagt fyra betänkanden och en promemoria om integritetsskyddet i informationssamhället.<SPAN class="ft27">5 </SPAN>Förslagen i betänkandena ledde dock endast till vissa mindre ändringar i datalagen, bl.a. om ökat ansvar för den registeransvarige att rätta felaktiga uppgifter i ett personregister.<SPAN class="ft27">6 </SPAN>DOK avslutade sitt arbete och lämnade sitt slutbetänkande i januari 1989.</P> <P class="p59 ft0">I maj 1989 tillsattes en ny utredning med uppdrag att göra en översyn av datalagen från såväl saklig som lagteknisk synpunkt. Utredningen, som påbörjade sitt arbete i november 1989, antog namnet Datalagsutredningen. I delbetänkandet Skärpt tillsyn – huvuddrag i en reformerad datalag (SOU 1990:61) redovisade utredningen överväganden och förslag om principiella utgångspunkter för en framtida datalag.</P> <P class="p45 ft0">I en andra etapp behandlade utredningen vissa frågor som rörde integritetsskyddet i samband med personregistrering och automatisk databehandling inom områdena för forskning och statistik samt för massmediernas och arbetslivets del. Övervägandena i denna del redovisades i april 1991 i betänkandet Personregistrering inom <NOBR>arbetslivs-,</NOBR> forsknings- och massmediaområdena m.m. (SOU 1991:21).</P> <P class="p45 ft0">I ett tredje delbetänkande, Vissa särskilda frågor beträffande integritetsskyddet på <NOBR>ADB-området</NOBR> (SOU 1991:62), behandlade utredningen framför allt begreppen personregister och registeransvarig, liksom frågor om straff och skadestånd samt fullföljd mot Datainspektionens beslut.</P> <P class="p55 ft0">I sitt slutbetänkandet En ny datalag (SOU 1993:10) redovisade Datalagsutredningen ett förslag till ny datalag. Innehållet i Datalagsutredningens förslag var sammanfattningsvis följande. Utredningen föreslog att datalagens tillämpningsområde skulle ändras från att knyta</P> <P class="p130 ft11"><SPAN class="ft38">5</SPAN><SPAN class="ft39">SOU 1986:24, SOU 1986:46, Ds Ju 1987:8, SOU 1987:31 och SOU 1988:64.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">6</SPAN><SPAN class="ft39">Prop. 1986/87:116, SFS 1987:990.</SPAN></P> </DIV> <DIV id="page_37"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">45</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">an till begreppet personregister till att omfatta varje behandling av personuppgifter med hjälp av automatisk databehandling. Lagen skulle i princip enbart gälla behandling som sker med hjälp av automatisk databehandling men i vissa fall även omfatta manuella hanteringar, eftersom det föreslogs att begreppet behandling skulle innefatta även insamling av personuppgifter som avses bli föremål för automatisk databehandling.</P> <P class="p131 ft0">Tillståndsförfarandet enligt datalagen borde enligt utredningen avskaffas och förutsättningarna för att få behandla personuppgifter skulle framgå direkt av lagen. Enligt utredningen skulle det i stället för tillstånd krävas en anmälan till Datainspektionen för behandling av känsliga personuppgifter. Anmälningarna skulle sedan ligga till grund för inspektionens tillsynsverksamhet. Anmälningsavgifterna skulle dessutom finansiera inspektionens verksamhet. Detta medförde i sin tur enligt utredningen att man direkt i lagen måste ta in tydliga och utförliga bestämmelser som reglerar behandlingen av personuppgifter för att det skulle bli möjligt för en enskild att avgöra om den behandling som planeras eller utförs uppfyller lagens krav eller ej.</P> <P class="p132 ft0">Definitionen av begreppet personuppgift skulle enligt förslaget anpassas bättre till internationella regler. Bestämmelserna om vem som är persondataansvarig borde enligt utredningen utformas på ett sådant sätt att det blev lättare att avgöra hos vem ansvaret låg.</P> <P class="p131 ft0">All behandling av personuppgifter skulle, liksom tidigare, ha anknytning till ett visst ändamål för att vara tillåten. Särskilda regler skulle gälla för känsliga personuppgifter. Eftersom tillståndsförfarandet skulle slopas, föreslog utredningen att det i stället skulle tas in en bestämmelse i datalagen, som gav regeringen möjlighet att delegera till Datainspektionen att meddela närmare föreskrifter om tillämpningen av datalagen inom olika branscher eller sektorer.</P> <P class="p123 ft0">Vid denna tidpunkt pågick inom EG ett arbete med att ta fram ett direktiv om dataskydd. Strävan var att komma fram till en enhetlig nivå på integritetsskyddet inom hela EG. Det första förslaget som lades fram i september 1990 hade dock mötts av mycket hård kritik. EG- kommissionen lade därför i oktober 1992 fram ett nytt förslag till direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet för sådana uppgifter. Förslaget var fortfarande under beredning inom en arbetsgrupp under ministerrådet när Datalagsutredningen lade fram sitt slutbetänkande med förslag till ny datalag. Osäkerheten var fortfarande mycket stor om hur direktivet slutligen skulle utformas och det fanns hos medlemsländerna olika uppfattningar om behovet av att anta ett direktiv på området. För Sveriges del gällde att redan ett deltagande i Europeiska ekonomiska samarbetsområdet</P> </DIV> <DIV id="page_38"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">46 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">(EES) medförde en skyldighet att ha motsvarande reglering som ett eventuellt <NOBR>EG-direktiv</NOBR> på området.</P> <P class="p66 ft0">Det rådde stor enighet bland remissinstanserna om att det behövdes en ny datalag och att tillståndssystemet borde avskaffas till förmån för ett renodlat tillsynsförfarande. Huvuddelen av remissinstanserna ansåg dock att en ny lag borde avvakta det kommande <NOBR>EG-direktivet,</NOBR> och så blev också fallet. Datalagsutredningens förslag kom aldrig att leda till någon ny datalag.</P> <P class="p59 ft0">Regeringen konstaterade att om förslaget genomfördes fanns det en risk för att Sverige skulle besluta om en ny datalag ganska kort tid innan man visste hur EG skulle agera på området, vilket i sin tur kunde leda till behov av ändrade regler inom en relativt nära framtid. Att kort tid efter införandet av en ny datalag på nytt genomföra stora ändringar ansågs inte försvarbart. Regeringen ansåg därför att frågan om att stifta en ny datalag borde anstå till dess ett slutligt ställningstagande av EG var för handen.</P> <P class="p45 ft0">Regeringen stannade i stället för att i anledning av Datalagsutredningens slutbetänkande föreslå att Datainspektionens tillståndsprövning skulle minskas genom att inspektionen gavs möjlighet att utfärda generella bransch- och sektorsföreskrifter. Genom en ändring i regeringsformen öppnades en möjlighet för regeringen att efter bemyndigande i lag delegera normgivningskompetensen i fråga om <NOBR>ADB-behandling</NOBR> av personuppgifter till Datainspektionen.<SPAN class="ft27">7 </SPAN>En bestämmelse härom togs också in i datalagen.</P> <P class="p59 ft0">I övrigt genomfördes endast vissa mindre ändringar i datalagen som byggde på Datalagsutredningens arbete i avvaktan på att frågan om en ny datalag kunde beredas vidare. Register som fördes i enlighet med Datainspektionens föreskrifter om personregister inom bestämda verksamheter undantogs från tillståndsplikt. Skyldigheten att begära Datainspektionens yttrande inför inrättandet av personregister som beslutas av riksdag eller regering avskaffades, men förutses ändå fortsätta med hänsyn till kravet på beredning av regeringsärenden. Datainspektionen gavs möjlighet att förena föreskrifter och förbud med vite.</P> <P class="p52 ft2">Vidare skulle i fortsättningen Datainspektionens beslut enligt datalagen inte överklagas till regeringen utan till allmän förvaltningsdomstol. Reglerna trädde i kraft den 1 januari 1995.<SPAN class="ft40">8</SPAN></P> <P class="p133 ft11"><SPAN class="ft38">7</SPAN><SPAN class="ft39">Prop. 1994/94:116, SFS 1994:1480 och 1994:1485.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">8</SPAN><SPAN class="ft39">Prop. 1993/94:217, SFS 1994:1485.</SPAN></P> </DIV> <DIV id="page_39"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">47</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p134 ft1"><SPAN class="ft1">3.2</SPAN><SPAN class="ft30">Internationella konventioner</SPAN></P> <P class="p26 ft24"><SPAN class="ft24">3.2.1</SPAN><SPAN class="ft41">Dataskyddskonventionen</SPAN></P> <P class="p44 ft0">Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen).</P> <P class="p45 ft0">Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.</P> <P class="p59 ft0">Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling skall hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för och förenliga med ändamålen. Vidare måste uppgifterna vara riktiga och aktuella och uppgifterna får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter om enskildas ras, politiska tillhörighet, religiösa tro eller övertygelse i övrigt, hälsa eller sexualliv eller uppgifter som hänför sig till misstanke om brott och dom för brott.</P> <P class="p52 ft0">För att skydda personuppgifter mot avsiktlig eller otillåten förstörelse m.m. föreskriver konventionen att lämpliga skyddsåtgärder skall vidtas. Vidare skall den registrerade ha möjligheter till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa ändamål, t.ex. statens penningintressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter.</P> <P class="p79 ft0">Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter övertas i princip av dataskyddsdirektivet i och med att detta införlivas i <NOBR>EU-ländernas</NOBR> nationella lagstiftningar. Direktivet behandlas närmare i avsnitt 3.2.3.</P> <P class="p79 ft2">Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Tilläggsprotokollet har</P> </DIV> <DIV id="page_40"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">48 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p135 ft25">öppnats för undertecknande. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder.</P> <P class="p99 ft24"><SPAN class="ft24">3.2.2</SPAN><SPAN class="ft41">Riktlinjer från OECD</SPAN></P> <P class="p57 ft0">Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen och redovisas inte närmare här. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebär att man slår fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.</P> <P class="p136 ft24"><SPAN class="ft24">3.2.3</SPAN><SPAN class="ft41">Dataskyddsdirektivet</SPAN></P> <P class="p57 ft0">Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.</P> <P class="p45 ft0">Dataskyddsdirektivet är bindande för medlemsstaterna i fråga om det resultat som skall uppnås. Direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt direktivet skall införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna får inte föreskriva ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som är tillåtet enligt dataskyddsdirektivet.</P> </DIV> <DIV id="page_41"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">49</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">Tillämpningsområde</P> <P class="p114 ft0">Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.</P> <P class="p59 ft0">Dataskyddsdirektivet omfattar inte bara helt eller delvis automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.</P> <P class="p137 ft3">Bestämmelser om när personuppgifter får behandlas</P> <P class="p114 ft0">Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligen angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.</P> <P class="p55 ft0">Personuppgifter får enligt direktivet behandlas bara i vissa fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.</P> <P class="p85 ft2">Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i</P> </DIV> <DIV id="page_42"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">50 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft0">fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.</P> <P class="p137 ft3">Information och rättelse</P> <P class="p57 ft0">Dataskyddsdirektivet föreskriver att den registeransvarige skall informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas skall den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.</P> <P class="p46 ft0">Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.</P> <P class="p46 ft0">Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.</P> <P class="p118 ft3">Tillsynsmyndighet</P> <P class="p57 ft2">Enligt dataskyddsdirektivet skall varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter skall fullständigt oberoende</P> </DIV> <DIV id="page_43"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">51</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft2">utöva de uppgifter som åläggs dem. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige.</P> <P class="p70 ft0">Tillsynsmyndigheten skall höras när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter. Varje tillsynsmyndighet skall ha undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa och befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.</P> <P class="p123 ft2">Var och en skall, på egen hand eller företrädd av en organisation, kunna vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter.</P> <P class="p139 ft0">De övervakande myndigheterna i de olika medlemsstaterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information. Med stöd av artikel 29 i direktivet har en rådgivande och oberoende arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter inrättats. Arbetsgruppen är sammansatt av en företrädare för den eller de tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner och organ samt av en företrädare för kommissionen.</P> <P class="p123 ft0">Arbetsgruppen skall utreda varje fråga som rör tillämpningen av de nationella bestämmelser som antagits för genomförandet av direktivet för att bidra till en enhetlig tillämpning av bestämmelserna, yttra sig till kommissionen om skyddsnivån inom gemenskapen och i tredje land, ge kommissionen råd om varje föreslagen ändring av direktivet, om vilka ytterligare eller särskilda åtgärder som bör vidtas för att skydda fysiska personers fri- och rättigheter med avseende på behandling av personuppgifter och om alla andra föreslagna gemenskapsåtgärder som rör sådana fri- och rättigheter, och avge yttranden om de uppförandekodexar som utarbetas på gemenskapsnivå.</P> <P class="p132 ft0">I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. För <NOBR>icke-automatiserade</NOBR> behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den</P> </DIV> <DIV id="page_44"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">52 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft25">registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett uppgiftsskyddsombud.</P> <P class="p48 ft3">Överföring av personuppgifter till tredje land</P> <P class="p50 ft0">Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför unionen (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som skall behandlas och ändamålet med behandlingen.</P> <P class="p45 ft0">I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.</P> <P class="p137 ft3">Medlemsländernas nationella lagstiftning</P> <P class="p57 ft0">Dataskyddsdirektivet skall vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skall denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen skall dock äldre lagstiftning, datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter (se avsnitt 3.3.10).</P> <P class="p136 ft1"><SPAN class="ft1">3.3</SPAN><SPAN class="ft30">Personuppgiftslagen</SPAN></P> <P class="p76 ft2">Med anledning av att dataskyddsdirektivet skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket</P> </DIV> <DIV id="page_45"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">53</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.</P> <P class="p140 ft28"><SPAN class="ft24">3.3.1</SPAN><SPAN class="ft46">Allmänt om lagen och dess tillämpningsområde</SPAN></P> <P class="p141 ft0">Dataskyddsdirektivet bygger på att själva hanteringen av personuppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten.</P> <P class="p45 ft0">Personuppgiftslagen är utformad så att den är teknikoberoende. Den tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).</P> <P class="p59 ft0">Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskapsrätten, t.ex. polisen och försvaret. Dock omfattas inte behandling av uppgifter om juridiska personer som definitionsmässigt inte utgör personuppgifter (3 §) eller behandling som en fysisk person utför i verksamhet av rent privat natur (6 §). Dessutom tillämpas inte lagen om det skulle strida mot tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen. De flesta bestämmelserna i lagen tillämpas inte heller på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).</P> <P class="p46 ft0">Enligt 2 § personuppgiftslagen gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Med avvikande bestämmelser enligt paragrafen avses i första hand s.k. registerförfattningar som reglerar inrättandet och förandet av viktiga register på det offentliga området. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag.<SPAN class="ft27">9 </SPAN>Personuppgiftslagen får heller inte inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF.</P> <P class="p142 ft11"><SPAN class="ft27">9 </SPAN>Prop. 1997/98:44 s. 41 och Prop. 1990/91:60 s. 50.</P> </DIV> <DIV id="page_46"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">54 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i personuppgiftslagen. Ofta är dessa huvudregler och principer allmänt hållna i direktivet och de måste för att kunna tillämpas av de personuppgiftsansvariga preciseras och konkretiseras. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.</P> <P class="p136 ft24"><SPAN class="ft24">3.3.2</SPAN><SPAN class="ft41">Definitioner</SPAN></P> <P class="p143 ft2">Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 § på följande sätt.</P> <P class="p61 ft0"><SPAN class="ft3">Personuppgifter </SPAN>i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.</P> <P class="p61 ft0">Med <SPAN class="ft3">behandling av personuppgifter </SPAN>avses varje åtgärd som vidtas beträffande uppgifterna, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, lagring, utlämnande, samkörning eller förstöring.</P> <P class="p66 ft2"><SPAN class="ft26">Personuppgiftsansvarig </SPAN>är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.</P> <P class="p66 ft0"><SPAN class="ft3">Personuppgiftsombud </SPAN>är den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt sätt.</P> <P class="p61 ft0">Med <SPAN class="ft3">samtycke </SPAN>avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Lagen uppställer inget krav på att samtycke skall vara skriftligt eller på annat sätt formbundet.</P> <P class="p66 ft2">Med <SPAN class="ft26">blockering </SPAN>avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.</P> <P class="p144 ft28"><SPAN class="ft24">3.3.3</SPAN><SPAN class="ft46">Förutsättningar för behandling av personuppgifter</SPAN></P> <P class="p65 ft2">I lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Personuppgifter skall alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in och</P> </DIV> <DIV id="page_47"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">55</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft0">behandlas för särskilda, uttryckligt angivna och berättigade ändamål. De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella. Uppfyller personuppgifter inte kraven måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna (9 §).</P> <P class="p123 ft0">Lagen innehåller en uttömmande uppräkning av de fall då behandling av personuppgifter är tillåten <NOBR>(10–12</NOBR> §§). Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas även om den registrerade inte lämnat sitt samtycke till det.</P> <P class="p71 ft0">Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet. Behandling får utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd.</P> <P class="p145 ft0">I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som gäller ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får inte behandlas, liksom personuppgifter som rör hälsa eller sexualliv (13 §).</P> <P class="p71 ft0">Förbudet mot behandling av känsliga uppgifter är dock inte undantagslöst <NOBR>(14–20</NOBR> §§). Liksom andra personuppgifter får sådana uppgifter behandlas efter den registrerades samtycke om detta är klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas. Vidare får behandling bl.a. utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller rättigheter inom arbetsrätten, när behandlingen sker inom ramen för ideella organisationers berättigade verksamhet, när behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk skall kunna slås fast och när behandlingen är nödvändig inom hälso- och sjukvården.</P> </DIV> <DIV id="page_48"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">56 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft2">Regeringen eller den myndighet regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.</P> <P class="p110 ft24"><SPAN class="ft24">3.3.4</SPAN><SPAN class="ft41">Information och rättelse</SPAN></P> <P class="p57 ft0">Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av personuppgifter om honom pågår, dels att begära rättelse av personuppgifter som har behandlats felaktigt <NOBR>(23–28</NOBR> §§).</P> <P class="p51 ft0">Den personuppgiftsansvarige skall självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna hämtats in från tredje man behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.</P> <P class="p45 ft0">Den personuppgiftsansvarige är också skyldig att efter ansökan, en gång per år, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut.</P> <P class="p59 ft2">Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige.</P> <P class="p99 ft24"><SPAN class="ft24">3.3.5</SPAN><SPAN class="ft41">Säkerhet vid behandlingen</SPAN></P> <P class="p143 ft0">Den personuppgiftsansvarige har stort ansvar för säkerheten vid behandling av personuppgifter <NOBR>(30–31</NOBR> §§). Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Datainspektionen får förelägga den personuppgiftsansvarige att vidta skyddsåtgärder. Sådana föreläggande får förenas med vite.</P> </DIV> <DIV id="page_49"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">57</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">3.3.6</SPAN><SPAN class="ft41">Överföring av personuppgifter till tredje land</SPAN></P> <P class="p44 ft0">Det är enligt 33 § personuppgiftslagen principiellt förbjudet att föra över personuppgifter till ett land som inte är medlem i EU eller anslutet till EES (tredje land) om landet inte har en adekvat nivå för skyddet av personuppgifterna.</P> <P class="p45 ft0">Från förbudet finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Uppgifter får även föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal, eller fastställa rättsliga anspråk eller för att skydda vitala intressen för den registrerade.</P> <P class="p45 ft0">Regeringen får meddela föreskrifter om generella undantag från förbudet att föra över personuppgifter till tredje land. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.</P> <P class="p147 ft48"><SPAN class="ft24">3.3.7</SPAN><SPAN class="ft47">Datainspektionens befogenheter som tillsynsmyndighet</SPAN></P> <P class="p141 ft0">Tillsynsmyndighet enligt såväl personuppgiftslagen som dataskyddsdirektivet är Datainspektionen. Datainspektionens uppgifter enligt personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombuden. Den personuppgiftsansvariges anmälan om behandlingar av personuppgifter skall göras till Datainspektionen, som även skall utöva tillsyn över behandlingen.</P> <P class="p46 ft0">Vissa av de befogenheter som enligt dataskyddsdirektivet tillkommer tillsynsmyndigheten regleras i <NOBR>43–47</NOBR> §§ personuppgiftslagen. Således innehåller lagen bestämmelser om att Datainspektionen skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Om lagens regler inte iakttas har Datainspektionen som tillsynsmyndighet bl.a. befogenhet att tillse att rättelse sker och om detta inte hjälper besluta om förbud mot behandling av personuppgifter samt att ansöka hos länsrätt om att personuppgifter skall utplånas. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.</P> </DIV> <DIV id="page_50"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">58 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Enligt sin instruktion skall Datainspektionen även följa och beskriva utvecklingen på <NOBR>IT-området</NOBR> när det gäller frågor som rör integritet och ny teknik. Datainspektionen är också remissinstans när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.</P> <P class="p45 ft0">Enligt dataskyddsdirektivet är varje medlemsstat skyldig att se till att det utses en eller flera myndigheter som har till uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av direktivet. I sin egenskap av sådan tillsynsmyndighet ingår Datainspektionen även i den arbetsgrupp, den s.k. <NOBR>29-gruppen,</NOBR> som inrättats med stöd av direktivet och som har till uppgift att se till att direktivet tillämpas enhetligt i medlemsstaterna. Gruppen skall också avge yttranden till Europeiska kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar i direktivet.</P> <P class="p148 ft24"><SPAN class="ft24">3.3.8</SPAN><SPAN class="ft41">Anmälan till Datainspektionen</SPAN></P> <P class="p143 ft0">Helt eller delvis automatiserad behandling av personuppgifter måste i princip anmälas till tillsynsmyndigheten (36 §). Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.</P> <P class="p46 ft0">Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna efterlevs. Å andra sidan föreskriver dataskyddsdirektivet som huvudregel att den registeransvarige till tillsynsmyndigheten skall anmäla automatiserade behandlingar som skall genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.</P> <P class="p46 ft0">I personuppgiftslagen har en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag utnyttjats fullt ut. När det gäller särskilt integritetskänsliga behandlingar föreskrivs dock inga undantag från anmälningsskyldigheten.</P> <P class="p59 ft2">Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i 3 § personuppgiftsförordningen (1998:1191) för behandling av personuppgifter som</P> </DIV> <DIV id="page_51"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">59</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">utförs till följd bl.a. av en myndighets skyldighet enligt 2 kap. TF att lämna ut allmänna handlingar eller som regleras genom särskilda föreskrifter i lag eller förordning i andra fall.</P> <P class="p66 ft0">Anmälan till Datainspektionen behöver inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige <NOBR>(37–40</NOBR> §§). Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen.</P> <P class="p149 ft3">Anmälan för förhandskontroll</P> <P class="p114 ft0">Särskilt integritetskänsliga behandlingar skall förhandskontrolleras innan de påbörjas (41 §). I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar.</P> <P class="p59 ft0">För närvarande gäller enligt 10 § personuppgiftsförordningen att behandling av känsliga personuppgifter för forskningsändamål utan samtycke från den registrerade och som inte godkänts av en forskningsetisk kommitté samt behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning skall anmälas för förhandskontroll.</P> <P class="p45 ft0">I 2 § polisdataförordningen (1999:81) finns föreskrifter om anmälan av viss automatiserad behandling enligt polisdatalagen. Beträffande skattemyndigheterna finns bestämmelser om anmälan i 2 § förordningen (1999:105) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. För Tullverket finns föreskrifter om anmälan i 2 § förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.<SPAN class="ft27">10</SPAN></P> <P class="p45 ft2">Anmälningar till Datainspektionen handläggs med förtur eftersom inspektionen inom tre veckor måste meddela om den avser att vidta några åtgärder med anledning av anmälan eller ej. Kravet på förturshantering och det rättsligt komplicerade området, framförallt de</P> <P class="p150 ft11"><SPAN class="ft27">10 </SPAN>Datainspektionens författningssamling (DIFS) 1998:2 (omtryckt DIFS 2001:1).</P> </DIV> <DIV id="page_52"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">60 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">anmälningar som har kommit från polisen, har enligt Datainspektionen gjort handläggningen mycket resurskrävande.</P> <P class="p99 ft24"><SPAN class="ft24">3.3.9</SPAN><SPAN class="ft41">Sanktioner</SPAN></P> <P class="p49 ft3">Skadestånd</P> <P class="p50 ft0">Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han eller hon rätt till skadestånd från den personuppgiftsansvarige (48 §). Skadeståndsansvaret är i princip strikt. Den registrerade behöver endast bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet inte berodde på honom eller henne får emellertid skadeståndet jämkas i skälig utsträckning.</P> <P class="p137 ft3">Straff</P> <P class="p57 ft0">I personuppgiftslagen har i första hand valts andra sanktioner än straff. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga brott eller oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser (49 §). Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen.</P> <P class="p152 ft24"><SPAN class="ft24">3.3.10</SPAN><SPAN class="ft49">Ikraftträdande- och övergångsbestämmelser</SPAN></P> <P class="p111 ft2">Personuppgiftslagen trädde i kraft den 24 oktober 1998 och samtidigt upphörde datalagen att gälla.</P> <P class="p66 ft2">I fråga om manuella behandlingar som påbörjades före ikraftträdandet skall vissa bestämmelser i lagen tillämpas först från och med den 1 oktober 2007. Det gäller 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.</P> </DIV> <DIV id="page_53"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">61</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p153 ft25">Datainspektionen har i inspektionens författningssamling (DIFS) meddelat vissa föreskrifter om tillämpningen av personuppgiftslagen.<SPAN class="ft50">11</SPAN></P> <P class="p154 ft1"><SPAN class="ft1">3.4</SPAN><SPAN class="ft30">Särskilda registerförfattningar</SPAN></P> <P class="p97 ft0">Personuppgiftslagen är generellt tillämplig och omfattar även sådan verksamhet som faller utanför <NOBR>EG-rätten.</NOBR> Om det i en lag eller förordning finns bestämmelser som avviker från personuppgiftslagen, gäller emellertid de bestämmelserna i stället. Detta följer av 2 § personuppgiftslagen. Det innebär att personuppgiftslagen endast innehåller generella regler och att behovet av undantag och särregler för mer speciella områden tillgodoses genom särskilda författningar.</P> <P class="p46 ft0">I 8 § personuppgiftslagen finns en bestämmelse som klargör att reglerna i 2 kap. tryckfrihetsförordningen om utlämnande av allmänna handlingar tar över bestämmelserna i lagen, och i 7 § finns motsvarande erinran beträffande bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.</P> <P class="p59 ft0">Avvikande särregler i lag eller förordning tar således över bestämmelserna i personuppgiftslagen. Det finns i dag en stor mängd olika lagar och förordningar som reglerar inrättandet och förandet av viktigare register inom det offentliga området (statsmaktsregister). De lagar och förordningar som reglerar sådana statsmaktsregister kallas vanligen registerförfattningar, även om författningen i första hand reglerar annat än ett register.</P> <P class="p45 ft0">I förarbetena till personuppgiftslagen uttalar regeringen att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i särskild författning. Anledningen härtill är att det anses särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet.<SPAN class="ft27">12</SPAN></P> <P class="p59 ft0">Olika myndigheters verksamheter ställer olika krav på de regelverk som sätter upp riktlinjer för verksamheternas bedrivande. Detta gäller även behandling av personuppgifter. Personuppgiftslagen gäller generellt, vilket innebär att det för olika myndigheter kan behövas bestämmelser som avviker från vad som anges i den lagen. Avvägningen mellan t.ex. integritet och effektivitet kan inte alltid bedömas med samma måttstock för olika verksamheter. Eftersom redan omfattningen av uppgifter i ett datoriserat register påverkar bedömningen av integritetsfrågorna, kan det vidare finnas anledning att redan på den grunden ha olika bestämmelser för olika verksamheter. Det är bl.a. med hänsyn</P> <P class="p128 ft11"><SPAN class="ft38">11</SPAN><SPAN class="ft51">DIFS 1998:2 (omtryckt DIFS 2001:1) och 1998:3.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">12</SPAN><SPAN class="ft51">Prop. 1997/98:44 s. 41.</SPAN></P> </DIV> <DIV id="page_54"> <DIV id="dimg1"> <INGENBILD zsrc="GQB3254x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">62 </SPAN>Datainspektionens ansvarsområden <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p108 ft2">härtill nödvändigt att komplettera personuppgiftslagen med särskilt anpassade regelverk för olika verksamheter.</P> <P class="p66 ft0">Datainspektionens tillsyn omfattar all helt eller delvis automatiserad behandling av personuppgifter. Inspektionen har härvid att i första hand tillämpa personuppgiftslagen. I den mån Datainspektionens tillsyn avser särreglerade områden skall därutöver även de särskilda registerförfattningarna beaktas. Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Den gäller således i varje myndighets verksamhet om det inte finns avvikande bestämmelser i lag eller förordning. I varje enskild särreglering kan det finnas bestämmelser som i större eller mindre utsträckning avviker från personuppgiftslagen.</P> <P class="p79 ft0">Antalet särskilda registerförfattningar är mycket stort. Det pågår dessutom ett ständigt anpassnings- och översynsarbete av de befintliga registerförfattningarna och fortlöpande överväganden om vilka särregleringar i övrigt som skall gälla i förhållande till personuppgiftslagen.</P> <P class="p51 ft2">Som exempel på de registerförfattningar som Datainspektionen har att tillämpa kan nämnas</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>socialförsäkringsregisterlagen (1997:934),</P> <P class="p156 ft0"><SPAN class="ft36">N </SPAN>lagen (1998:527) om det statliga personadressregistret, <SPAN class="ft36">N </SPAN>lagen (1998:544) om vårdregister,</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>polisdatalagen (1998:622),</P> <P class="p89 ft0"><SPAN class="ft36">N </SPAN>lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar,</P> <P class="p89 ft2"><SPAN class="ft37">N </SPAN>lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga,</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>lagen (2000:344) om Schengens informationssystem,</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet,</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>lagen (2001:181) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet,</P> <P class="p89 ft2"><SPAN class="ft37">N </SPAN>lagen (2001:184) om behandling av uppgifter i kronofogdemyndigheternas verksamhet, och</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.</P> <P class="p61 ft0">Före den 1 januari 1995 fanns det en uttrycklig regel om att särskilt yttrande skulle hämtas in från Datainspektionen, innan det inrättades ett statsmaktsregister med känsliga personuppgifter. I syfte att minska inspektionens arbetsbörda togs denna skyldighet bort. Avsikten var emellertid inte att avskaffandet skulle innebära någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister. I motiven uttalades att Datainspektionen ändå bör få tillfälle att avge synpunkter, bl.a. mot bakgrund av den skyldighet som regeringen har enligt 7 kap. 2 § regeringsformen att inhämta vissa upplysningar och yttranden från</P> </DIV> <DIV id="page_55"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">63</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">myndigheter under beredningen av regeringsärendena. Vidare anfördes att det är vanligt att inspektionen deltar i beredningsarbetet inför inrättandet av statsmaktsregister samt att inspektionen regelmässigt är remissorgan i sådana lagstiftningsärenden.<SPAN class="ft40">13</SPAN></P> <P class="p99 ft1"><SPAN class="ft1">3.5</SPAN><SPAN class="ft30">Kreditupplysningslagen</SPAN></P> <P class="p122 ft24"><SPAN class="ft24">3.5.1</SPAN><SPAN class="ft41">Allmänt</SPAN></P> <P class="p57 ft0">Kreditupplysningslagen (1973:1173) innehåller regler för den yrkesmässigt bedrivna kreditupplysningsverksamheten. Lagen syftar i första hand till att undanröja riskerna för att kreditupplysning skall medföra otillbörligt intrång i de omfrågades personliga integritet eller leda till skada genom oriktiga eller missvisande uppgifter. Samtidigt är lagen avsedd att bidra till en effektivt fungerande kreditupplysningsverksamhet. Lagen trädde i kraft den 1 juli 1974.</P> <P class="p79 ft0">De första större ändringarna i kreditupplysningslagen genomfördes år 1981. Datainspektionen hade på uppdrag av regeringen under åren 1977 och 1978 dels upprättat två promemorior om inspektionens erfarenheter från tillämpningen av kreditupplysningslagen och inkassolagen dels utfört en utredning om inkassokostnader.</P> <P class="p45 ft0">På grundval av Datainspektionens promemorior och utredning utarbetades inom Justitiedepartementet promemorian Kreditupplysning och inkasso (Ds Ju 1979:8). Arbetet låg till grund för regeringens förslag.<SPAN class="ft27">14 </SPAN>Ändringarna i kreditupplysningslagen innebar att enskildas integritetsskydd förbättrades i en del hänseenden. Bland annat genom att tidsgränsen för hur gamla uppgifter som fick tas med i s.k. personupplysningar sänktes från fem till tre år. Vidare ålades kreditupplysningsföretagen att underrätta den som avses med en personupplysning om vem som begärt upplysningen. En sådan upplysningsskyldighet infördes också för enskilda näringsidkare.</P> <P class="p45 ft0">Under <NOBR>1990-talet</NOBR> genomfördes också vissa ändringar av kreditupplysningslagen. År 1991 tillkallades en särskild utredare för att se över kreditupplysningslagen, Kreditupplysningsutredningen (dir. 1991:69 och 1993:41). Utredaren presenterade sitt arbete i delbetänkandet <NOBR>EES-anpassning</NOBR> av kreditupplysningslagen (SOU 1992:22) och i slutbetänkandet Integritet och effektivitet på kreditupplysningsområdet (SOU 1993:10).</P> <P class="p157 ft11"><SPAN class="ft38">13</SPAN><SPAN class="ft51">Prop. 1993/94:217 s. 22 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">14</SPAN><SPAN class="ft51">Prop. 1980/81:10, SFS 1981:737.</SPAN></P> </DIV> <DIV id="page_56"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">64 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p158 ft0">De flesta av Kreditupplysningsutredningens förslag har resulterat i lagstiftning.<SPAN class="ft27">15 </SPAN>Ändringarna innebar bl.a. att systemet med en s.k. frikrets, inom vilken förmedling av kreditupplysningar är undantagen från lagens tillämpningsområde, avskaffades. I frikretsen ingick bl.a. bankerna och Upplysningscentralen. Lagen blev härigenom tillämplig på all kreditupplysningsverksamhet.</P> <P class="p71 ft0">I anslutning till att frikretsen avskaffades bestämdes att banker och andra kreditinstitut skulle ha rätt att bedriva kreditupplysningsverksamhet med stöd av sin grundläggande auktorisation utan särskilt tillstånd från Datainspektionen. Därutöver togs särskilt upp frågan om tillsyn över kreditupplysningsföretagen och det bestämdes att Datainspektionen även i fortsättningen skall utöva tillsyn över lagens efterlevnad. Ändringarna trädde i kraft den 1 juli 1997.</P> <P class="p71 ft0">Med hänsyn till Datalagskommitténs då pågående arbete lämnades dock frågor som behandlas i dataskyddsdirektivet eller som annars hade beröring med Datalagskommitténs arbete utanför lagstiftningsärendet. En fråga som inte togs upp var om kreditupplysningslagen bör fullständigt reglera vad som skall gälla på kreditupplysningsområdet eller om lagen bör samverka med andra lagar, särskilt personuppgiftslagen. En annan fråga som inte behandlades var frågan om datasäkerhet. Utanför lagstiftningsärendet lämnades också frågan om uppgifter skall få samlas in och lagras i kreditupplysningsverksamhet utan att den berörda personen har lämnat sitt samtycke till det.</P> <P class="p159 ft2">År 1997 uppdrog regeringen åt Datainspektionen att utreda vilka uppgifter om näringsidkare som bör få användas i kreditupplysningar. Datainspektionen redovisade uppdraget i en rapport samma år.</P> <P class="p70 ft0">I propositionen 2000/01:50 behandlar regeringen de förslag som lämnats i promemorian Kreditupplysningslagen – anpassning till dataskyddsdirektivet (Ds 1998:44), kvarstående förslag från Kreditupplysningsutredningen samt de frågor som berörs i Datainspektionens rapport. Propositionen innehåller förslag till ändringar i kreditupplysningslagen. Förslagen syftar i första hand till att anpassa kreditupplysningslagen till dataskyddsdirektivet och personuppgiftslagen. Ändringarna skall stärka den enskildes integritetsskydd, och innebär bl.a. att uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål och att personuppgiftslagens krav på behandling av personuppgifter skall gälla också i kreditupplysningsverksamhet.</P> <P class="p131 ft2">I propositionen görs vidare bedömningen att uppgifter också i fortsättningen bör få behandlas utan att den enskilde har gett sitt samtycke till behandlingen, och det föreslås en uttrycklig bestämmelse</P> <P class="p160 ft11"><SPAN class="ft27">15 </SPAN>Prop. 1996/97:65, bet. 1996/97:FiU23 och 27, rskr. 1996/97:274, SFS 1997:556.</P> </DIV> <DIV id="page_57"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">65</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">om detta. Det föreslås även bestämmelser om datasäkerhet för uppgifter om juridiska personer. Lagändringarna trädde i kraft den 1 juni 2001.<SPAN class="ft40">16</SPAN></P> <P class="p66 ft0">Regeringen angav därutöver sin avsikt att återkomma i vissa frågor som innebär ytterligare ändringar i kreditupplysningslagen. Registerförfattningsutredningen (SOU 1999:105) har föreslagit vissa ändringar vad gäller sekretessen inom exekutionsväsendet som får betydelse för kreditupplysningsverksamhet. Utredningens förslag till lagstiftning trädde i kraft den 1 oktober 2001.<SPAN class="ft27">17 </SPAN>Vidare har Bulvanutredningen lämnat förslag (SOU 1998:47) som även det berör kreditupplysningsverksamhet. Regeringen anser också att det bör göras en analys av förhållandet mellan reglerna i kreditupplysningslagen och reglerna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.<SPAN class="ft27">18</SPAN></P> <P class="p161 ft24"><SPAN class="ft24">3.5.2</SPAN><SPAN class="ft41">Lagens tillämpningsområde </SPAN><NOBR>(1–3</NOBR> §§)</P> <P class="p57 ft0">Kreditupplysningslagen gäller i första hand sådan kreditupplysningsverksamhet som innebär att någon lämnar kreditupplysningar i mer än enstaka fall mot ersättning eller som ett led i näringsverksamhet.</P> <P class="p59 ft0">Med kreditupplysning avses uppgift, omdöme eller råd som lämnas till ledning för bedömning av annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende.</P> <P class="p66 ft0">Lagen avser främst att reglera sådan verksamhet som bedrivs av kreditupplysningsföretag. Sådan kreditupplysningsverksamhet som bransch- och företagarorganisationer erbjuder sina medlemmar faller också under lagens tillämpningsområde.</P> <P class="p45 ft0">Enstaka kreditupplysningar som t.ex. advokat- eller revisionsbyråer lämnar till sina kunder omfattas inte av lagen. Inte heller omfattas kreditupplysningar mellan företag inom samma koncern, utom i de fall då det företag som lämnar upplysningen är ett kreditupplysningsföretag som behöver särskilt tillstånd för verksamheten, eller när myndighet lämnar ut uppgifter med stöd av lag, förordning eller särskilt beslut av regeringen eller en myndighet som regeringen bestämt.</P> <P class="p162 ft11"><SPAN class="ft38">16</SPAN><SPAN class="ft51">SFS 2001:164.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">17</SPAN><SPAN class="ft51">Prop. 2000/01:33 och SFS 2001:200.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">18</SPAN><SPAN class="ft51">Prop. 2000/01:50 s. 12 och 18.</SPAN></P> </DIV> <DIV id="page_58"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">66 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">3.5.3</SPAN><SPAN class="ft41">Tillstånd (3 och 4 §§)</SPAN></P> <P class="p163 ft0">Den kreditupplysningsverksamhet som omfattas av lagen får bedrivas endast efter tillstånd från Datainspektionen. Banker och vissa andra kreditinstitut som bedriver kreditupplysningsverksamhet med stöd av sin grundläggande auktorisation behöver dock inte Datainspektionens tillstånd. Istället gäller att verksamheten skall anmälas till inspektionen.</P> <P class="p46 ft0">Tillstånd får meddelas om det kan antas att verksamheten kommer att bedrivas på ett sakkunnigt och omdömesgillt sätt. Kravet på sakkunnighet har av Datainspektionen tolkats till att avse erfarenhet från kreditupplysningsbranschen och kunskaper om lagstiftning som berör kreditupplysningsverksamhet.</P> <P class="p51 ft0">Datainspektionen har möjlighet att förena ett tillstånd med villkor om hur verksamheten skall bedrivas och om skyldighet att anmäla ändrade förhållanden av betydelse för tillståndet. Tillstånd till kreditupplysningsverksamhet gäller tills vidare. Om förutsättningar för tillstånd inte längre föreligger får Datainspektionen återkalla tillståndet.</P> <P class="p164 ft28"><SPAN class="ft24">3.5.4</SPAN><SPAN class="ft46">Grundläggande krav på kreditupplysningsverksamhet (5 och 6 §§)</SPAN></P> <P class="p65 ft0">Kreditupplysningsverksamhet skall bedrivas på ett sådant sätt att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de uppgifter som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut.</P> <P class="p59 ft0">Uppgift om någons politiska eller religiösa uppfattning, ras eller etniska ursprung får inte samlas in, lagras eller lämnas ut i kreditupplysningsverksamhet. Vissa andra uppgifter av särskilt ömtålig natur få förekomma i kreditupplysningssammanhang endast om Datainspektionen medgivit det. Datainspektionen kan sålunda, om synnerliga skäl föreligger, medge att uppgifter om brott, sjukdomar, hälsotillstånd och liknande samlas in, lagras och lämnas ut i kreditupplysningsverksamhet.</P> <P class="p148 ft24"><SPAN class="ft24">3.5.5</SPAN><SPAN class="ft41">Tillsynsmyndigheten </SPAN><NOBR>(15–18</NOBR> §§)</P> <P class="p111 ft2">Datainspektionen utövar tillsyn över den kreditupplysningsverksamhet som omfattas av lagen. Inspektion av att lagens regler efterlevs sker genom fältinspektioner, enkäter eller annan kontroll per telefon eller brev.</P> </DIV> <DIV id="page_59"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">67</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p165 ft2">Den som bedriver kreditupplysningsverksamhet är skyldig att lämna Datainspektionen de uppgifter om verksamheten som inspektionen begär för sin tillsyn.</P> <P class="p66 ft0">Om den som har Datainspektionens tillstånd att bedriva kreditupplysningsverksamhet åsidosätter någon bestämmelse i lagen eller i ett meddelat tillstånd får inspektionen ändra tidigare meddelade villkor eller meddela nytt villkor. Kan rättelse inte åstadkommas på annat sätt, får Datainspektionen återkalla tillståndet. När ett företag som bedriver kreditupplysningsverksamhet utan krav på tillstånd från Datainspektionen inte vidtar rättelse skall Datainspektionen underrätta Finansinspektionen.</P> <P class="p59 ft0">Om ett kreditupplysningsföretag underlåter att ge en omfrågad person information i samband med en kreditupplysning eller att rätta oriktiga eller missvisande uppgifter, kan Datainspektionen förelägga företaget vid vite att fullgöra sina åligganden. Vitesföreläggande kan också användas av Datainspektionen i syfte att få tillgång till handlingar eller uppgifter i samband med tillsynsverksamheten.</P> <P class="p51 ft2">Regeringen får föreskriva om skyldighet för den som bedriver kreditupplysningsverksamhet att betala avgift för Datainspektionens tillsynsverksamhet m.m. enligt kreditupplysningslagen. Regeringen har dock ännu inte utnyttjat denna möjlighet.</P> <P class="p99 ft24"><SPAN class="ft24">3.5.6</SPAN><SPAN class="ft41">Sanktioner </SPAN><NOBR>(19–21</NOBR> §§)</P> <P class="p57 ft0">Den som bedriver kreditupplysningsverksamhet utan tillstånd kan dömas till böter eller fängelse i högst ett år. Straffansvarig är den som är ansvarig för bedrivandet av kreditupplysningsverksamheten. Beträffande en juridisk person är det styrelsen och verkställande direktör som får bära ansvaret.</P> <P class="p59 ft2">Lagen innehåller även regler om förverkande av register och skadestånd. Den som bedriver kreditupplysningsverksamhet skall ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet iakttagits.</P> </DIV> <DIV id="page_60"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">68 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">3.5.7</SPAN><SPAN class="ft41">Överklagande (23 §)</SPAN></P> <P class="p143 ft2">Datainspektionens beslut enligt kreditupplysningslagen får överklagas hos allmän förvaltningsdomstol. Justitiekanslern får föra talan mot Datainspektionens beslut enligt kreditupplysningslagen för att ta till vara allmänna intressen.</P> <P class="p99 ft1"><SPAN class="ft1">3.6</SPAN><SPAN class="ft30">Inkassolagen</SPAN></P> <P class="p122 ft24"><SPAN class="ft24">3.6.1</SPAN><SPAN class="ft41">Allmänt</SPAN></P> <P class="p57 ft0">Regler om hur inkassoverksamhet får bedrivas finns i inkassolagen (1974:182) och inkassoförordningen (1981:956). Inkassolagen syftar främst till att undanröja riskerna för att gäldenärer utsätts för otillbörliga inkassoåtgärder eller i övrigt tillfogas onödig skada eller olägenhet genom inkassoverksamhet. Det handlar således bl.a. om att skydda grundläggande värden såsom den personliga integriteten och privatlivets helgd.</P> <P class="p45 ft0">De första större ändringarna i inkassolagen genomfördes år 1981. Datainspektionen hade på uppdrag av regeringen under åren 1977 och 1978 dels upprättat två promemorior om inspektionens erfarenheter från tillämpningen av kreditupplysningslagen och inkassolagen dels utfört en utredning om inkassokostnader. På grundval av Datainspektionens promemorior och utredning utarbetades inom Justitiedepartementet promemorian Kreditupplysning och inkasso (Ds Ju 1979:8). Arbetet låg till grund för regeringens förslag till ändringar i inkassolagen.<SPAN class="ft27">19 </SPAN>Ändringarna innebar bl.a. att lagens tillämpningsområde utökades till att omfatta praktiskt taget all indrivning av fordringar, med undantag av enskilda personers indrivning av egna fordringar av privat natur. I syfte att förbättra integritetsskyddet på inkassoområdet infördes nya regler om gäldenärsregister som används i inkassoverksamhet.</P> <P class="p166 ft24"><SPAN class="ft24">3.6.2</SPAN><SPAN class="ft41">Lagens tillämpningsområde (1 §)</SPAN></P> <P class="p57 ft2">Inkassolagen omfattar så gott som all indrivning av fordringar som innebär att inkassoåtgärder vidtas. Sådan indrivning kallas i lagen för inkassoverksamhet. Med inkassoåtgärd avses en åtgärd som innebär påtryckning på gäldenären på annat sätt än genom angivande av tid för</P> <P class="p167 ft11"><SPAN class="ft27">19 </SPAN>Prop. 1980/81:10, SFS 1981:737.</P> </DIV> <DIV id="page_61"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">69</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p127 ft0">betalning eller uppgift om att fordringen, om den inte betalas, kommer att överlämnas till någon annan för inkasso. Att en borgenär skickar en enkel betalningspåminnelse räknas således inte som en inkassoåtgärd. Om borgenären däremot skickar ett kravbrev med hot om rättsliga eller exekutiva åtgärder, anses det som en inkassoåtgärd.</P> <P class="p46 ft0">Enligt Datainspektionens praxis omfattas hela förfarandet från mottagande av inkassouppdraget till slutredovisning till uppdragsgivaren av begreppet inkassoverksamhet. Även den som endast utför ett eller några led i förfarandet anses bedriva inkassoverksamhet.</P> <P class="p59 ft0">Undantag från lagens tillämpningsområde är restriktiva och görs endast för två fall. Det första är enskilda fysiska personers eller dödsbons egna åtgärder för indrivning av egna fordringar, förutsatt att fordringarna varken har uppkommit i näringsverksamhet eller övertagits för indrivning. Det andra undantaget från lagens tillämpningsområde är exekutiva myndigheters verksamhet.</P> <P class="p79 ft0">Genom den senaste ändringen av inkassolagen har även det tidigare undantaget som avsåg tillfällig och begränsad inkassoverksamhet tagits bort. Undantaget hade i viss utsträckning utnyttjats av personer med anknytning till de internationellt förgrenade <NOBR>mc-klubbarna,</NOBR> och andra grupper, som sysslar med avancerad brottslighet.<SPAN class="ft27">20 </SPAN>I samband härmed undantogs från lagens tillämpningsområde indrivning som görs av enskild person för egen eller närståendes räkning, så länge fordran inte uppkommit i näringsverksamhet eller övertagits för indrivning.</P> <P class="p148 ft24"><SPAN class="ft24">3.6.3</SPAN><SPAN class="ft41">Tillstånd (2 och 3 §§)</SPAN></P> <P class="p57 ft0">Det krävs Datainspektionens tillstånd för indrivning av fordringar för någon annans räkning. Detsamma gäller indrivning av fordringar som övertagits för indrivning. Från den allmänna tillståndsplikten görs vissa undantag. Bakgrunden till undantagen är att lagstiftaren ansett att kravet på tillstånd för inkassoverksamhet bör vara begränsat till de fall där det framstår som särskilt angeläget med en ännu starkare offentlig kontroll än den som följer av lagens regler om fortlöpande tillsyn. Med andra ord har man velat undvika att systemet kan uppfattas som en form av onödig byråkrati.<SPAN class="ft27">21 </SPAN>Undantagen har dock ett snävt tillämpningsområde.</P> <P class="p55 ft2">Om inkassoverksamheten utgör ett underordnat led i en annan verksamhet och inte någon av verksamheterna utgör näringsverksamhet, behövs som regel inte tillstånd. Från tillståndsplikten undantas</P> <P class="p146 ft0"><SPAN class="ft38">20</SPAN><SPAN class="ft51">P</SPAN>rop. 1997/98:181, SFS 1999:73.</P> <P class="p24 ft0"><SPAN class="ft38">21</SPAN><SPAN class="ft51">P</SPAN>rop. 1980/81:10 s. 80.</P> </DIV> <DIV id="page_62"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">70 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft0">härigenom fackliga och andra ideella organisationer, vilka som en service åt medlemmarna bedriver inkassoverksamhet avseende deras fordringar men väsentligen har andra uppgifter. Vidare undantas från tillståndskravet sådan inkassoverksamhet som bedrivs av ett företag för ett annat företag inom samma koncern. Dessa undantag gäller dock inte oinskränkta. Även för sådan inkassoverksamhet fordras nämligen tillstånd om verksamheten avser fordringar som tillkommer eller har övertagits från någon som inte utan tillstånd enligt lagen hade kunnat driva in fordringarna.</P> <P class="p46 ft0">Undantag från tillståndsplikten görs även för personer och företag som står under någon form av tillsyn av annat organ än Datainspektionen, t.ex. Finansinspektionen. Även advokater, som står under tillsyn av Sveriges advokatsamfund, är uttryckligen undantagna från tillståndsplikten. Även den som bedriver icke tillståndspliktig inkassoverksamhet är dock skyldig att iaktta inkassolagens regler om hur inkassoverksamhet skall bedrivas.</P> <P class="p59 ft0">Tillstånd enligt inkassolagen får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Sökandens kompetens och i viss mån vandel prövas av Datainspektionen. I praxis ställs stränga krav för att tillstånd skall ges. I allmänhet krävs högskoleutbildning i ekonomi och juridik. Tillstånd får meddelas för högst tio år i taget. I praxis meddelas dock inte tillstånd för längre tid än fem år för juridiska personer.</P> <P class="p46 ft0">Datainspektionen får förena tillståndet med föreskrifter om hur verksamheten skall bedrivas. Dessutom kan myndigheten meddela föreskrift om skyldighet att anmäla ändring av förhållanden som kan ha haft betydelse för tillståndet. Exempel på en sådan ändring är att företagets ledning eller ägarkrets fått en väsentligt förändrad sammansättning. Datainspektionens har i DIFS 1989:1, med ändringar 1999:2, meddelat särskilda föreskrifter om tillstånd enligt 2 § inkassolagen.</P> <P class="p148 ft24"><SPAN class="ft24">3.6.4</SPAN><SPAN class="ft41">Grundläggande krav på inkassoverksamhet</SPAN></P> <P class="p111 ft0">Inkassoverksamhet skall enligt 4 § bedrivas enligt god inkassosed. Gäldenären får inte vållas onödig skada eller olägenhet. Inte heller får han eller hon utsättas för otillbörlig påtryckning eller någon annan otillbörlig inkassoåtgärd. Begreppet god inkassosed preciseras och fylls ut dels genom lagens bestämmelser, dels genom Datainspektionens föreskrifter och inspektionens och domstolarnas praxis. Datainspektionen ger också ut allmänna råd där myndigheten ger sin syn på begreppet god inkassosed.</P> </DIV> <DIV id="page_63"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">71</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">3.6.5</SPAN><SPAN class="ft41">Tillsynsmyndigheten</SPAN></P> <P class="p44 ft0">Datainspektionen utövar tillsyn över inkassolagens efterlevnad. Datainspektionens tillsyn omfattar såväl tillståndspliktig som icke tillståndspliktig verksamhet. Advokater och företag under Finansinspektionens tillsyn omfattas dock inte av Datainspektionens tillsyn.</P> <P class="p45 ft0">Datainspektionen har bl.a. rätt att företa inspektion hos den som bedriver inkassoverksamhet. För att framtvinga att god inkassosed iakttas och att lagen i övrigt efterlevs får myndigheten meddela de föreskrifter mot enskilda som tillsynen föranleder. Sådana föreskrifter får förenas med vite. När det gäller någon som har fått tillstånd att bedriva inkassoverksamhet kan Datainspektionen i sista hand återkalla tillståndet. Detta kan aktualiseras om allvarliga brister i verksamheten konstateras.</P> <P class="p148 ft24"><SPAN class="ft24">3.6.6</SPAN><SPAN class="ft41">Sanktioner (17 och 18 §§)</SPAN></P> <P class="p57 ft0">Den som uppsåtligen eller av oaktsamhet bedriver inkassoverksamhet utan föreskrivet tillstånd kan dömas till böter eller fängelse i högst ett år. Brott mot meddelad föreskrift kan också leda till straff. Likaså kan otillåtet förfarande med ett gäldenärsregister som används i tillståndspliktig verksamhet medföra straffansvar. Slutligen kan den som lämnar en osann uppgift när Datainspektionen begär upplysningar för sin tillsyn dömas för brott mot lagen.</P> <P class="p59 ft2">Lagen innehåller även bestämmelser om skadeståndsskyldighet. Den som bedriver inkassoverksamhet skall ersätta sådan skada som till följd av verksamheten tillfogas någon genom otillbörlig påtryckning eller annan otillbörlig inkassoåtgärd.</P> <P class="p99 ft24"><SPAN class="ft24">3.6.7</SPAN><SPAN class="ft41">Överklagande (19 §)</SPAN></P> <P class="p57 ft2">Datainspektionens beslut enligt inkassolagen får överklagas hos allmän förvaltningsdomstol. Justitiekanslern får föra talan mot Datainspektionens beslut enligt inkassolagen för att ta till vara allmänna intressen.</P> </DIV> <DIV id="page_64"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">72 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p134 ft1"><SPAN class="ft1">3.7</SPAN><SPAN class="ft30">Europolkonventionen</SPAN></P> <P class="p26 ft24"><SPAN class="ft24">3.7.1</SPAN><SPAN class="ft41">Grundtanken bakom Europol</SPAN></P> <P class="p163 ft0">Inom ramen för <NOBR>EU-samarbetet</NOBR> på polisens område har en europeisk polisbyrå – Europol – inrättats. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Som sådant är Europol en knutpunkt för utbyte av information och underrättelser mellan medlemsländerna.</P> <P class="p85 ft0">Europol fungerar så att medlemsländerna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs, bearbetas och analyseras sedan hos Europol. Europols underrättelser delges sedan medlemsländerna som härigenom får ett bättre underlag för sin operativa verksamhet, vilket kan bidra till fler och bättre samordnade ingripanden mot den typ av brottslig verksamhet som ligger inom Europols mandat, dvs. organiserad, internationell kriminalitet av allvarligt slag.</P> <P class="p45 ft0">Europols behörighet omfattar brotten narkotikahandel, penningtvätt, olaglig handel med nukleära och radioaktiva ämnen, de illegala nätverken för invandring, människohandel, handel med stulna fordon, penningförfalskning samt terrorism.</P> <P class="p59 ft2">Europols verksamhet regleras i Europolkonventionen. Riksdagen beslutade under hösten 1997 att Sverige skulle ansluta sig till konventionen.<SPAN class="ft40">22 </SPAN>Den 1 oktober 1998 trädde Europolkonventionen i kraft. Verksamheten inleddes den 1 juli 1999.</P> <P class="p99 ft24"><SPAN class="ft24">3.7.2</SPAN><SPAN class="ft41">Europols uppgifter</SPAN></P> <P class="p111 ft0">Europol har som förstahandsuppgift att underlätta informationsutbytet mellan medlemsländerna, att inhämta, sammanställa och analysera information och underrättelser, att omedelbart till medlemsländerna återföra information och underrättelser som berör dem och att genast underrätta dem om upptäckta samband mellan olika brottsliga gärningar samt att underlätta polisutredningar i medlemsländerna genom att överlämna relevant information som finns hos Europol.</P> <P class="p45 ft2">Härutöver skall Europol för att förbättra samarbetet mellan och öka effektiviteten hos de nationella polismyndigheterna bistå med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahålla strategiska och övergripande underrättelser för att främja</P> <P class="p142 ft11"><SPAN class="ft27">22 </SPAN>Prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 22.</P> </DIV> <DIV id="page_65"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">73</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">effektiva och rationella operationer i medlemsländerna samt utarbeta allmänna lägesrapporter.</P> <P class="p61 ft2">Slutligen kan Europol bistå medlemsländerna med råd och forskning inom områdena för utbildning, organisation och utrustning, brottsförebyggande arbete samt tekniska och vetenskapliga polis- och utredningsmetoder.</P> <P class="p154 ft24"><SPAN class="ft24">3.7.3</SPAN><SPAN class="ft41">Europols organisation</SPAN></P> <P class="p57 ft0">Staternas samarbete inom Europol är uppbyggt kring både nationella och internationella beståndsdelar. Inom varje medlemsstat finns en nationell enhet som är enda förbindelselänk mellan Europol och medlemsländerna. I Sverige är det Rikskriminalpolisen vid Rikspolisstyrelsen som har denna funktion.</P> <P class="p59 ft0">Den nationella enheten har till huvudsaklig uppgift att förse Europol med de uppgifter som från de nationella polisregistren eller motsvarande skall överlämnas till Europols olika dataregister och att ta emot uppgifter som kommer från Europol och vidarebefordra dessa till de nationella behöriga myndigheterna, som för Sveriges del är Polisen, Tullen, Åklagarväsendet och Kustbevakningen.</P> <P class="p59 ft0">Varje medlemsland skall sända minst en sambandsman till Europols huvudkontor som ligger i Haag i Nederländerna. Sverige har två sambandsmän placerade vid huvudkontoret, en från polisen och en från tullen. Sambandsmännen är de nationella enheternas representanter i Europol och har till uppgift att praktiskt genomföra informationsutbytet och samverka i bl.a. analysarbetet. Europol har dessutom egna anställda underrättelsetjänstemän och analytiker.</P> <P class="p46 ft0">Europols dagliga verksamhet leds av en direktör som genom enhälligt beslut utses av rådet på fyra år med möjlighet till förlängning. Den övergripande ledningen handhas av en styrelse. Regeringen har utsett chefen för Rikspolisstyrelsen som svensk ledamot i denna styrelse och chefen för Rikskriminalpolisen som ersättare.</P> <P class="p161 ft24"><SPAN class="ft24">3.7.4</SPAN><SPAN class="ft41">Europols datasystem</SPAN></P> <P class="p57 ft0">Den centrala beståndsdelen i Europol är dess datorbaserade informationssystem. Detta skall bestå av ett <SPAN class="ft3">informationsregister </SPAN>med begränsat och ämnesmässigt avgränsat innehåll som tillåter snabb sökning av vissa personuppgifter. Informationsregistret innehåller uppgifter om personer som är dömda, misstänkta eller som med hänsyn</P> </DIV> <DIV id="page_66"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">74 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">till graverande omständigheter kan antas komma att begå sådana brott som ligger inom Europols behörighet.</P> <P class="p66 ft0">För den analysverksamhet Europol bedriver skall det finnas ett antal arbetsregister av olika varaktighet s.k. <SPAN class="ft3">analysregister</SPAN>, med mer detaljerade uppgifter. Slutligen skall finnas ett <SPAN class="ft3">indexregister </SPAN>över analysregistren för att möjliggöra för bl.a. sambandsmännen att få reda på om det i de pågående analysprojekten finns något av intresse för det nationella polisarbetet. Informationssystemet beräknas vara klart under år 2002.</P> <P class="p59 ft0">Medlemsländerna är skyldiga att förse Europols olika register, utom indexregistret, med uppgifter. Hos berörda svenska myndigheter pågår ett projekt som syftar till att överföringen av uppgifter från svenska register till Europols informationsregister i största möjliga utsträckning skall kunna ske automatiskt.</P> <P class="p161 ft24"><SPAN class="ft24">3.7.5</SPAN><SPAN class="ft41">Regler om integritetsskydd</SPAN></P> <P class="p57 ft0">Europolkonventionen innehåller ett antal regler som tar sikte på enskildas integritetsskydd och skydd för känsliga personuppgifter. Europarådets dataskyddskonvention och 1987 års Europarådsrekommendation om användningen av personuppgifter inom polissektorn, skall iakttas också för Europols dataregister.<SPAN class="ft27">23 </SPAN>Innan något utbyte av personuppgifter mellan Europol och medlemsländerna kan ske måste enligt konventionen även medlemsländerna ha en nivå på sitt integritetsskydd som minst motsvarar de nämnda Europarådsdokumenten.</P> <P class="p46 ft0">Ansvaret för att en uppgift som förs in i ett av registren är riktig åvilar i princip den enhet som har fört in den. Det är alltså medlemsländerna som ansvarar för att uppgifterna i Europols register är riktiga. Europol ansvarar för att de uppgifter som inhämtas från tredje land eller andra organisationer är riktiga. Medlemsländerna ansvarar också för att uppgifter som har överförts till Europol lagligen har kunnat registreras i det ursprungliga, nationella registret och att överföringen till Europol sker för att uppfylla konventionens bestämmelser och i enlighet med medlemslandets interna regler.</P> <P class="p45 ft0">Uppgifter får införas och användas endast för att utföra Europols arbetsuppgifter och uppfylla dess mål enligt konventionen. Alla uttag ur informationsregistret och vart tionde uttag ur övriga register rapporteras. Kontrollen utförs av Europol, de nationella tillsynsmyndigheterna och den gemensamma tillsynsmyndigheten. Felaktigheter skall</P> <P class="p168 ft11"><SPAN class="ft27">23 </SPAN>Recommendation No. R (87) 15.</P> </DIV> <DIV id="page_67"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">75</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">rättas av medlemsländerna, av Europol eller av dessa i samarbete. Europol och medlemsländerna är också skyldiga att se till att uppgifter som strider mot konventionens bestämmelser rättas eller utplånas.</P> <P class="p66 ft0">Det har upprättats en gemensam oberoende tillsynsmyndighet som skall ha till uppgift att övervaka Europols verksamhet för att försäkra sig om att lagringen, behandlingen och användningen av de uppgifter som Europols avdelningar disponerar över inte inkräktar på individens rättigheter. Tillsynsmyndigheten skall dessutom övervaka lagligheten av överföringen av de uppgifter som har Europol som ursprung. Den gemensamma tillsynsmyndigheten skall bestå av företrädare för de nationella tillsynsmyndigheterna.</P> <P class="p59 ft0">I varje medlemsland skall det finnas en nationell tillsynsmyndighet som har motsvarande uppgifter i förhållande till de nationella enheternas verksamhet. Regeringen har utsett Datainspektionen till svensk tillsynsmyndighet. Det åligger således Datainspektionen att övervaka kommunikationen mellan Nationella sambandskontoret och Europol. Sambandskontoret måste därför ha en organisation som gör det möjligt att tillhandahålla Datainspektionen samtliga personuppgifter och övriga uppgifter inom Europol. Datainspektionens tillsyn enligt Europol omfattar också de svenska sambandsmännen vid det internationella sambandskontoret.</P> <P class="p79 ft0">Enskilda har rätt att vända sig till någon av tillsynsmyndigheterna med begäran om kontroll av att personuppgifter om den enskilde inte finns i registren i strid med bestämmelserna. I konventionen finns också andra bestämmelser som går ut på att enskilda skall kunna ta till vara sina rättigheter mot Europol. Grundregeln är att var och en antingen skall kunna få tillgång till uppgifter om sig själv i registren, om inte sekretessregler lägger hinder i vägen, eller få till stånd ett förfarande för att kontrollera att eventuella uppgifter är rättsenligt införda.</P> <P class="p169 ft1"><SPAN class="ft1">3.8</SPAN><SPAN class="ft30">Schengenkonventionen</SPAN></P> <P class="p26 ft24"><SPAN class="ft24">3.8.1</SPAN><SPAN class="ft41">Allmänt</SPAN></P> <P class="p57 ft0">Schengensamarbetet kan sägas innefatta två grundtankar, som är starkt förknippade med varandra. Den första är den fria rörligheten för personer, i betydelsen att personkontrollerna vid nationsgränserna inom området skall upphöra. Den andra grundtanken, som delvis aktualiseras av den fria rörligheten för personer, är att kampen skall stärkas mot internationell kriminalitet och mot illegal invandring.</P> </DIV> <DIV id="page_68"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">76 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">För att den fria rörligheten för personer inte som en oönskad bieffekt skall bli till hjälp för den internationella brottsligheten innehåller Schengensamarbetet ett antal olika åtgärder. Dessa tar sig uttryck i konventionens regler om yttre gränskontroll samt i reglerna om polisiärt och rättsligt samarbete. Ett hjälpmedel i dessa sammanhang är dataregistret Schengens informationssystem, SIS.</P> <P class="p45 ft0">I fråga om gränskontroll innebär Schengenkonventionens regler i huvudsak att alla personer som passerar en yttre gräns skall åtminstone underkastas kontroll för fastställande av identiteten. Personkontrollen skall, utöver granskning av pass och andra villkor för inresa, vistelse, arbete och utresa, även omfatta efterspaning och andra kontroller för att förhindra brott. Kontroll skall även ske vid utresa från Schengenområdet.</P> <P class="p79 ft0">Utresekontrollen skall genomföras för spaningsändamål och med syfte att förhindra hot mot den inre säkerheten och den allmänna ordningen. Schengenkonventionens bestämmelser om polissamarbete är inriktat på att förebygga och utreda brott. Det avser såväl informationsutbyte som operativ samverkan.</P> <P class="p161 ft24"><SPAN class="ft24">3.8.2</SPAN><SPAN class="ft41">Schengens informationssystem – SIS</SPAN></P> <P class="p57 ft0">Schengens informationssystem består enligt konventionen av en nationell enhet för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Varje Schengenstats nationella enhet innehåller uppgifter som är identiska med uppgifterna i de övriga ländernas nationella enheter.</P> <P class="p45 ft0">SIS kan liknas vid ett beställningssystem; den stat som vill att någon annan stat skall göra eller iaktta något lägger in en s.k. rapport. Som exempel kan nämnas att uppgifter om en person som är efterlyst i ett Schengenland registreras med en begäran om att personen skall utlämnas, om han anträffas i ett annat Schengenland.</P> <P class="p59 ft0">När det gäller innehållet i SIS föreskriver Schengenkonventionen att uppgifterna bara får avse personer, fordon och föremål. Beträffande uppgifter om personer får registreringen bara avse vissa identitetsuppgifter och uppgift om huruvida personen är beväpnad eller kan befaras tillgripa våld. Reglerna i konventionen innebär också att det är förbjudet att registrera andra uppgifter, exempelvis uppgifter om politiska åsikter eller sexuell läggning.</P> <P class="p45 ft2">Uppgifter får bara föras in i SIS för vissa i konventionen angivna ändamål. Dessa är förvarstagande för utlämning, införande på spärrlista, omhändertagande av personer, uppgift om uppehållsort eller</P> </DIV> <DIV id="page_69"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">77</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">hemvist, hemlig övervakning eller särskild kontroll samt efterlysning av fordon eller andra föremål.</P> <P class="p66 ft0">Varje land skall utse en myndighet som skall ha huvudansvaret för att den nationella enheten i SIS fungerar och att föreskrifterna i konventionen följs. Dessa myndigheter är de s.k. <NOBR>SIRENE-kontoren.</NOBR> Nationella sambandskontoret vid Rikskriminalpolisen är Sveriges <NOBR>SIRENE-kontor.</NOBR> Vid <NOBR>SIRENE-kontoren</NOBR> förhandsgranskas alla nationella och utländska efterlysningar av personer som begärs utlämnande och alla ”träffar” i SIS kommuniceras med såväl nationella myndigheter som med andra <NOBR>SIRENE-kontor.</NOBR></P> <P class="p118 ft3">Tillsyn (artiklarna 114 och 115)</P> <P class="p111 ft0">Varje Schengenstat skall utse en nationell tillsynsmyndighet till vilken enskilda skall kunna vända sig med begäran om att myndigheten skall granska registrerade uppgifter om honom eller henne i SIS och hur de används. Den nationella tillsynsmyndigheten skall självständigt och utan begäran från enskilda utöva tillsyn över den nationella delen av SIS. Denna tillsyn skall utföras med beaktande av nationell rätt. För sin tillsynsverksamhet skall den nationella tillsynsmyndigheten ha tillträde till det nationella registret.</P> <P class="p45 ft0">Datainspektionen har utsetts till nationell tillsynsmyndighet enligt artikel 114 i konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet med säte i Bryssel som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem. För att kunna fullgöra sin uppgift som nationell tillsynsmyndighet har Datainspektionen tillgång till uppgifter som har registrerats i SIS, vilket följer av reglerna i personuppgiftslagen.</P> <P class="p136 ft24"><SPAN class="ft24">3.8.3</SPAN><SPAN class="ft41">Lagen om Schengens informationssystem</SPAN></P> <P class="p170 ft0">Riksdagen godkände i april 1998 Sveriges anslutning till Schengensamarbetet.<SPAN class="ft27">24 </SPAN>Den 1 december 2000 trädde lagen (2000:344) om Schengens informationssystem i kraft.<SPAN class="ft27">25</SPAN></P> <P class="p61 ft2">I lagen föreskrivs en skyldighet för Rikspolisstyrelsen att med hjälp av automatiserad behandling föra ett register som skall vara den svenska enheten i Schengens informationssystem. Rikspolisstyrelsen</P> <P class="p110 ft11"><SPAN class="ft38">24</SPAN><SPAN class="ft51">Prop. 1997/98:42, bet. 1997/98:JuU15, rskr. 181.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">25</SPAN><SPAN class="ft51">Prop. 1999/2000:64.</SPAN></P> </DIV> <DIV id="page_70"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">78 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft2">skall vara personuppgiftsansvarig, men kan anlita annan myndighet som personuppgiftsbiträde enligt personuppgiftslagen.</P> <P class="p70 ft0">Ändamålet med registret är att vara ett hjälpmedel där Schengenstaterna kan göra framställningar om de särskilda åtgärder som får begäras i SIS samt därigenom främja samarbete mellan Schengenstaterna vad gäller polisiära och rättsliga frågor samt frågor om inresa och uppehållstillstånd.</P> <P class="p70 ft0">Enligt 11 § förordningen (2000:836) om Schengens informationssystem får Rikspolisstyrelsen – efter samråd med Datainspektionen – meddela de ytterligare föreskrifter som behövs för verkställighet av lagen om Schengens informationssystem och denna förordning.</P> <P class="p123 ft0">Schengenkonventionen reglerar uttömmande vilka personuppgifter som får registreras när någon av åtgärderna begärs, nämligen vissa identifieringsuppgifter samt uppgift om huruvida personen är beväpnad eller kan befaras tillgripa våld. Lagen innehåller också en uppräkning av vilka personuppgifter som får föras in i registret (4 §), vilken överensstämmer med konventionen.</P> <P class="p71 ft0">Registrering i SIS måste vara laglig i den Schengenstat där registreringen sker (5 §). Rikspolisstyrelsen får endast registrera uppgifter om motsvarande slag av uppgifter får behandlas enligt personuppgiftslagen, polisdatalagen (1998:622) eller annan svensk lag eller författning. Därutöver finns vissa begränsningar som följer av lagen. Registreringen skall vara nödvändig och berättigad (6 §), och vissa känsliga uppgifter får aldrig registreras (7 §). Uppgifter som en Schengenstat har registrerat är dock Rikspolisstyrelsen skyldig att tillåta i det svenska <NOBR>SIS-registret,</NOBR> förutsatt att registreringen är laglig i Schengenstaten.</P> <P class="p132 ft0">I lagen regleras vilka myndigheter som skall ha tillgång till uppgifter i SIS (9 §). Detta gäller för gränskontrollerande och brottsbekämpande myndigheter. Vidare skall de myndigheter som prövar ansökningar om visering och uppehållstillstånd ha tillgång till den s.k. spärrlistan som innehåller framställningar om att personer inte skall tillåtas att resa in eller ges uppehållstillstånd i Schengenstaterna. Regeringen får meddela föreskrifter om att myndigheter får ha direktåtkomst till registret.</P> <P class="p171 ft0">En svensk myndighet får inte utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angivit vid registreringen (10 §). Annan användning kan dock äga rum om den registrerande staten har samtyckt till det.</P> <P class="p71 ft2">Rikspolisstyrelsen är som personuppgiftsansvarig skyldig att gallra uppgifter efter viss tid beroende på vad uppgiften avser (11 §), och att rätta, blockera eller utplåna uppgift som är rättsligt eller sakligt felaktig (12 §).</P> </DIV> <DIV id="page_71"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">79</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p134 ft1"><SPAN class="ft1">3.9</SPAN><SPAN class="ft30">Det internationella tullsamarbetet</SPAN></P> <P class="p26 ft24"><SPAN class="ft24">3.9.1</SPAN><SPAN class="ft41">Allmänt</SPAN></P> <P class="p163 ft0">Internationellt samarbete mellan tulladministrationer förekommer sedan länge. För Sveriges del har det skett bl.a. genom tullsamarbetsavtal och deltagande i World Customs Organization (WCO) och EU. Sverige har även ingått avtal om tullsamarbete med Norge och Finland och bilaterala avtal med ett flertal länder utanför Norden.</P> <P class="p85 ft0">Samarbete mellan tullmyndigheterna i EU:s medlemsstater sker såväl inom ramen för gemenskapens första pelare (de Europeiska gemenskaperna), som inom ramen för det mellanstatliga samarbetet i den tredje pelaren (inre- och rättsliga angelägenheter).</P> <P class="p59 ft0">I avsaknad av regler om tullsamarbete mellan medlemsstaterna undertecknades år 1967 en konvention om ömsesidigt bistånd mellan tullmyndigheterna, den s.k. Neapelkonventionen. För att tullunionen och den gemensamma jordbrukspolitiken skulle fungera på ett riktigt sätt, och för att förebygga och upptäcka överträdelser av gemenskapsreglerna på tull- och jordbruksområdet, fastställdes regler i rådets förordning (EG) nr 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen. Förordningen innehåller regler om administrativt samarbete mellan tullmyndigheter, och regler om ett datoriserat tullinformationssystem (TIS) för att underlätta informationsutbytet mellan tullmyndigheterna vad avser deras verksamhet med att förebygga, utreda och lagföra överträdelser av medlemsländernas tullbestämmelser.</P> <P class="p52 ft0">Sverige har tillsammans med de övriga medlemsstaterna i EU, den 26 juli 1995, undertecknat konventionen om användning av informationsteknologi för tulländamål, den s.k. <NOBR>TIS-konventionen.</NOBR> Samtidigt undertecknades ett provisoriskt tillämpningsavtal.</P> <P class="p172 ft2"><NOBR>TIS-konventionen</NOBR> utgör tillsammans med rådets förordning (EG) nr 515/97 den rättsliga grunden för EU:s tullinformationssystem.</P> <P class="p66 ft0">Syftet med det tullinformationssystem som inrättats genom förordningen (EG) nr 515/97 och <NOBR>TIS-konventionen</NOBR> är att tillgodose behovet av snabb och effektiv informationsspridning för brottsbekämpande verksamhet med anknytning till EU:s tull- och jordbruksreglering. Rådets förordning reglerar förhållandet inom gemenskapens första pelare, medan <NOBR>TIS-konventionen</NOBR> utgör ett instrument för det mellanstatliga samarbetet inom den tredje pelaren såvitt avser överträdelser av nationell lagstiftning.</P> </DIV> <DIV id="page_72"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">80 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft2">På grund av juridiska problem både på gemenskapsrättslig och nationell nivå har <NOBR>TIS-konventionen</NOBR> ännu inte trätt i kraft utan tillämpas provisoriskt, och därmed har inte heller tullinformationssystemet ännu tagits i full drift.</P> <P class="p99 ft24"><SPAN class="ft24">3.9.2</SPAN><SPAN class="ft41">Tullinformationssystemet i huvuddrag</SPAN></P> <P class="p57 ft0">Informationsutbyte inom landet och med tullmyndigheter i andra länder är inte någon ny företeelse. Nyheten med EU:s tullinformationssystem är att medlemsstaterna överenskommit om att upprätta en gemensam internationell databas för att underlätta informationsutbytet mellan tullmyndigheterna för deras verksamhet med att förebygga, utreda och lagföra brottslighet som tullmyndigheterna har att bekämpa.</P> <P class="p45 ft0">Den nya <NOBR>EG-förordningen</NOBR> 515/97 om ömsesidigt bistånd är avsedd att stärka samarbetet mellan medlemsstaterna och mellan medlemsstaterna och kommissionen för att bekämpa bedrägerier som rör tullunionen och den gemensamma jordbrukspolitiken och därigenom stärka skyddet för gemenskapens finansiella intressen. Förordningen innehåller bestämmelser om medlemsstaternas myndigheters möjligheter och skyldigheter att bistå varandra för att förebygga och utreda överträdelser mot tull- och jordbrukslagstiftningen. I förordningen ingår också bestämmelser om inrättande av tullinformationssystemet som skall tillgodose behovet av snabb och effektiv informationsspridning för bekämpande av överträdelser med anknytning till EU:s tull- och jordbruksreglering.</P> <P class="p85 ft0">Tullinformationssystemets materiella struktur är avsedd att också användas för det tullsamarbete som medlemsstaterna kommit överens om i <NOBR>TIS-konventionen.</NOBR> Tullinformationssystemet består av en central databas upprättad av kommissionen. Den centrala databasen skall vara åtkomlig via terminaler i varje medlemsstat och innehålla uppgifter som är nödvändiga för tullmyndigheternas brottsbekämpning avseende brott både mot nationell lagstiftning och mot EG:s tull- och jordbrukslagstiftning.</P> <P class="p46 ft0">Tullinformationssystemet är tänkt att komma till användning i tullmyndigheternas arbete med att bekämpa brott mot såväl gemenskapens regler på tull- och jordbruksområdet som nationell lagstiftning som ligger under tullens ansvarsområde t.ex. narkotika- och alkoholsmuggling. Informationssystemet kommer därför att tillhöra två olika juridiska system, dels det gemenskapsrättsliga systemet med stöd av förordningen 515/97 om ömsesidigt bistånd och dels med stöd av TIS- konventionen som en mellanstatlig överenskommelse. Konventionens</P> </DIV> <DIV id="page_73"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">81</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">och förordningens bestämmelser om tullinformationssystemet är därför likartade.</P> <P class="p99 ft24"><SPAN class="ft24">3.9.3</SPAN><NOBR><SPAN class="ft41">TIS-konventionen</SPAN></NOBR></P> <P class="p57 ft0"><NOBR>TIS-konventionen</NOBR> har utarbetats för att tullinformationssystemet skall kunna användas främst i tullmyndigheternas arbete med att bekämpa brott mot nationell lagstiftning. Konventionen ger den rättsliga grunden för informationsutbyte som rör misstankar och förslag till åtgärder mot illegal införsel av narkotika och andra varor som är föremål för in- och utförselrestriktioner enligt nationell lagstiftning. Konventionen är i det avseendet ett komplement till förordningen (EG) nr 515/97 om ömsesidigt bistånd som innehåller motsvarande och parallellt gällande bestämmelser om tullinformationssystemet.</P> <P class="p45 ft0">Avsikten med konventionen är att medlemsstaterna skall skapa och upprätthålla ett gemensamt informationssystem för tulländamål som skall föras med hjälp av automatiserad databehandling. Ändamålet med tullinformationssystemet skall vara att i enlighet med bestämmelserna i konventionen bistå med att förebygga, utreda och lagföra grova överträdelser av nationella lagar genom att påskynda informationsspridningen och därmed öka effektiviteten av samarbets- och kontrollförfaranden hos tullmyndigheterna i medlemsstaterna.</P> <P class="p45 ft0">Tullinformationssystemet skall bestå av en central databas och skall vara åtkomligt via terminaler som placerats i varje medlemsstat. Systemet skall endast innehålla uppgifter som är nödvändiga för att uppnå dess syfte. Endast vissa kategorier av personuppgifter får registreras och då bara sådana som avser personer som på grund av faktiska bevis misstänks för grova överträdelser.</P> <P class="p45 ft0">Direkt tillgång till uppgifter i tullinformationssystemet skall vara förbehållen uteslutande de nationella myndigheter som varje medlemsstat utser. Varje medlemsstat skall utse en behörig tullmyndighet som nationellt skall ansvara för tullinformationssystemet.</P> <P class="p59 ft0">Enligt artikel 17 i konventionen om användning av informationsteknologi skall varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som skall ansvara för dataskydd avseende personuppgifter och dessa myndigheter skall genomföra en oberoende övervakning av sådana uppgifter som införts i tullinformationssystemet. Datainspektionen kommer med största sannolikhet att utses till nationell tillsynsmyndighet enligt <NOBR>TIS-konventionen</NOBR> genom en utvidgning av 4 § förordningen (1998:1192) med instruktion för Datainspektionen. Frågan handläggs för närvarande inom regeringskansliet.</P> </DIV> <DIV id="page_74"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">82 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Tillsynsmyndigheterna skall i överensstämmelse med sin respektive nationella lagstiftning oberoende övervaka och kontrollera att behandlingen och användningen av uppgifter som är lagrade i tullinformationssystemet inte kränker de berörda personernas rättigheter. För detta ändamål skall tillsynsmyndigheterna ha tillgång till tullinformationssystemet.</P> <P class="p79 ft0">Envar får enligt konventionen be varje nationell tillsynsmyndighet att kontrollera uppgifter i tullinformationssystemet som rör den enskilde personen själv och den användning som har gjorts eller görs av dessa uppgifter. Denna rättighet regleras av lagar, förordningar och förfaranden i den medlemsstat där förfrågan görs. Om uppgifterna har införts av en annan medlemsstat skall kontrollen genomföras i nära samarbete med denna medlemsstats tillsynsmyndighet.</P> <P class="p45 ft0">Företrädarna för de nationella tillsynsmyndigheterna skall ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats. Denna gemensamma tillsynsmyndighet skall bestå av två företrädare från varje medlemsstat som kommer från de respektive oavhängiga nationella tillsynsmyndigheterna. Den gemensamma tillsynsmyndigheten skall fullgöra sina uppgifter i enlighet med bestämmelserna i <NOBR>TIS-konventionen</NOBR> och 1981 års Strasbourgkonvention och med beaktande av rekommendationen om skydd för personuppgifter som förs av polismyndighet med hjälp av automatisk databehandling R (87) 15 av den 17 september 1987 som antagits av Europarådets ministerkommitté.</P> <P class="p46 ft0">Den gemensamma tillsynsmyndigheten är behörig att övervaka tullinformationssystemets drift, att undersöka alla tillämpnings- och tolkningssvårigheter som kan uppstå under systemets funktion, att undersöka sådana problem som kan uppstå då de nationella tillsynsmyndigheterna i medlemsstaterna oberoende övervakar systemet eller då rätten till enskilda personers tillgång utövas och även att utarbeta förslag till gemensamma lösningar på problem. För att uppfylla sina åligganden, skall den gemensamma tillsynsmyndigheten ha tillgång till tullinformationssystemet.</P> <P class="p136 ft24"><SPAN class="ft24">3.9.4</SPAN><SPAN class="ft41">Rådets förordning (515/97)</SPAN></P> <P class="p44 ft2">I förordningen fastställs hur de administrativa myndigheter som i medlemsstaterna är ansvariga för genomförandet av tull- och jordbrukslagstiftningen skall samarbeta med varandra och med kommissionen för att säkerställa att denna lagstiftning efterlevs inom ramen för ett gemenskapssystem. Förordningen är således avsedd att stärka samarbetet mellan medlemsstaterna och kommissionen för att bekämpa</P> </DIV> <DIV id="page_75"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">83</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">bedrägerier som rör tullunionen och den gemensamma jordbrukspolitiken och därigenom stärka skyddet för gemenskapens finansiella intressen. Förordningen innehåller bestämmelser om de nationella myndigheternas möjligheter och skyldigheter att bistå varandra för att förebygga och utreda överträdelser mot tull- och jordbrukslagstiftningen. Förordningen innehåller också bestämmelser om tullinformationssystemet och vilka uppgifter som får införas i systemet.</P> <P class="p45 ft0">Enligt artikel 37 i förordningen skall varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som skall ansvara för dataskydd avseende personuppgifter och dessa myndigheter skall genomföra en oberoende övervakning av sådana uppgifter som införts i tullinformationssystemet. Datainspektionen har genom förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem utsetts till nationell tillsynsmyndighet i Sverige för skydd av personuppgifter i tullinformationssystemet. Datainspektionen har i fråga om tullinformationssystemet, om förordningen (EG) nr 515/97 inte föreskriver annat, samma befogenheter som enligt personuppgiftslagen.</P> <P class="p46 ft0">I förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem ges också kompletterande bestämmelser till rådets förordning 515/97. Av förordningen framgår att Tullverket, svenska polismyndigheter, Kustbevakningen, Jordbruksverket och Läkemedelsverket är de myndigheter i Sverige som får använda uppgifter ur tullinformationssystemet, och att Tullverket är registeransvarigt för tullinformationssystemet i Sverige.</P> <P class="p148 ft1"><SPAN class="ft52">3.10</SPAN><SPAN class="ft53">Eurodac</SPAN></P> <P class="p97 ft0">Europeiska unionens råd har antagit en förordning om inrättande av Eurodac. Eurodac är ett system för jämförelse av fingeravtryck och syftar till en effektiv tillämpning av Dublinkonventionen. Dublinkonventionen rör bestämmandet av den ansvariga staten för prövning av en ansökan om asyl som framställts i en av medlemsstaterna i EG.</P> <P class="p45 ft0">Förordningen om Eurodac gäller direkt och kräver inte transformering till svensk rätt. Eurodac kommer att medföra ytterligare arbetsuppgifter för Datainspektionen, eftersom det på motsvarande sätt som inom det internationella polis- och tullsamarbetet skall finnas såväl en nationell som en gemensam tillsynsmyndighet som övervakar systemet.</P> <P class="p59 ft2">I förordningen om Eurodac framhålls att det för tillämpning av Dublinkonventionen är nödvändigt att kunna fastställa den asylsökandes identitet och identiteten hos personer som grips i samband</P> </DIV> <DIV id="page_76"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">84 </SPAN>Datainspektionens ansvarsområden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p173 ft0">med att de olagligen passerar gemenskapens yttre gränser. För att säkerställa en effektiv tillämpning av Dublinkonventionen är det också önskvärt att tillåta varje medlemsstat att kontrollera om en utlänning som befunnits uppehålla sig olagligen på dess territorium har ansökt om asyl i en annan medlemsstat.</P> <P class="p131 ft2">Eftersom fingeravtryck utgör ett viktigt inslag för att exakt fastställa personers identitet, har det befunnits vara nödvändigt att inrätta ett system för att jämföra uppgifter om fingeravtryck.</P> <P class="p69 ft0">Eurodac skall bestå av en central enhet, en elektronisk central databas, i vilken uppgifter om fingeravtryck m.m. skall behandlas för jämförelse mellan fingeravtryck från asylsökande och de kategorier av utlänningar som omfattas av förordningen.</P> <P class="p69 ft2">Den centrala enheten skall inrättas inom kommissionen som skall ansvara för driften av den centrala databasen.</P> <P class="p70 ft0">Förordningen om Eurodac kräver att alla medlemsstater skyndsamt tar fingeravtryck av alla fingrar på varje utlänning som är 14 år eller äldre och som grips av de behöriga kontrollmyndigheterna i samband med att utlänningen olagligen passerar en medlemsstats yttre gräns och inte avvisas. Uppgifter om ursprungsmedlemsstat med plats och datum för ansökan om asyl och uppgifter om fingeravtryck och kön m.m. skall skyndsamt överföras till den centrala enheten. Uppgifter som överförs till den centrala enheten används för att kontrollera om utlänningen tidigare har lämnat in en ansökan om asyl i en annan medlemsstat.</P> <P class="p70 ft0">Förordningen innehåller bestämmelser om överföring av uppgifter om fingeravtryck till den centrala enheten, om registrering av sådana uppgifter och andra relevanta uppgifter i den centrala databasen, om lagring av sådana uppgifter, om jämförelse av uppgifterna med andra uppgifter om fingeravtryck, om överföring av resultaten av sådana jämförelser samt om blockering och radering av de registrerade uppgifterna.</P> <P class="p132 ft0">Förordningen reglerar också kommissionens ansvar i fråga om den centrala enheten respektive medlemsstaternas ansvar i fråga om uppgifternas användning, datasäkerhet samt tillgång till och korrigering av registrerade uppgifter.</P> <P class="p69 ft2">Dataskyddsdirektivet är tillämpligt i fråga om medlemsstaternas och den centrala enhetens behandling av personuppgifter inom ramen för Eurodacsystemet.</P> <P class="p70 ft0">Medlemsstaterna skall tillse att den nationella tillsynsmyndigheten enligt dataskyddsdirektivet helt oberoende och i enlighet med nationell lagstiftning kontrollerar att den berörda medlemsstatens behandling av personuppgifter, däribland överföringen av uppgifterna till den centrala enheten, sker på ett lagligt sätt i enlighet med förordningen. Medlemsstaterna skall säkerställa att dess nationella tillsynsmyndighet har till-</P> </DIV> <DIV id="page_77"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td84"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td85"><SPAN class="p9 ft31">Datainspektionens ansvarsområden <SPAN class="ft10">85</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td86"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td87"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">gång till rådgivning från personer som har tillräckliga kunskaper om fingeravtryck. I Sverige kommer således dessa uppgifter som tillsynsmyndighet enligt Eurodac att åligga Datainspektionen.</P> <P class="p70 ft0">Det skall även inrättas en oberoende gemensam tillsynsmyndighet som skall ha till uppgift att övervaka den centrala enhetens verksamhet för att säkerställa att de registrerades rättigheter inte kränks genom behandling eller användning av de uppgifter som den centrala enheten förfogar över. Dessutom skall tillsynsmyndigheten övervaka att den centrala enhetens överföring av personuppgifter till medlemsstaterna sker på ett lagligt sätt. Datainspektionen är som nationell tillsynsmyndighet representerad i den gemensamma tillsynsmyndigheten med två tjänstemän. Den gemensamma tillsynsmyndigheten kommer endast att finnas under en begränsad tid och skall upplösas när det oberoende övervakningsorganet European Data Protection Supervisor inrättas.</P> <P class="p71 ft0">Den nationella tillsynsmyndigheten i varje medlemsstat skall bistå den registrerade med att utöva sina rättigheter enligt förordningen. Den nationella tillsynsmyndigheten i den medlemsstat som överförde uppgifterna och den nationella tillsynsmyndigheten i den medlemsstat där den registrerade vistas skall vidare bistå och på begäran ge råd till denne när han eller hon utövar sin rätt att korrigera eller radera uppgifter. Den registrerade får också begära bistånd hos den gemensamma tillsynsmyndigheten.</P> <P class="p131 ft0">De första provkörningarna av Eurodac påbörjades den 3 december 2001, och Sverige är preliminärt bokad för provkörningar den 14 januari 2002. Ambitionen är att samtliga medlemsstater skall vara operativt anslutna i slutet av år 2002.</P> <P class="p71 ft0">När det gäller Sverige befinner sig databehandlingsutrustningen hos Migrationsverket och verket svarar även för hanteringen av personuppgifter och torde således anses vara personuppgiftsansvarig för Eurodac enligt personuppgiftslagen.</P> <P class="p123 ft0">Förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen innehåller visserligen bestämmelser om nationella svenska fingeravtrycksregister, men regelverket kan inte anses direkt tillämpligt vad gäller Eurodac. Utrikesdepartementet aviserar att arbetet med tillämpningsföreskrifter m.m. inom kort kan vara aktuellt att ta upp inom regeringskansliet.</P> </DIV> <DIV id="page_78"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">87</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p174 ft33"><SPAN class="ft5">4</SPAN><SPAN class="ft32">Datainspektionens tillsynsverksamhet</SPAN></P> <P class="p175 ft1"><SPAN class="ft1">4.1</SPAN><SPAN class="ft30">Allmänt</SPAN></P> <P class="p50 ft0">Datainspektionen har som central förvaltningsmyndighet till uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Inspektionen skall informera om gällande regler och följa och beskriva utvecklingen på IT- området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt bl.a. personuppgiftslagen och dataskyddsdirektivet och prövar frågor om tillstånd och utövar tillsyn enligt kreditupplysningslagen och inkassolagen.</P> <P class="p52 ft2">Datainspektionen har tidigare också haft till uppgift att utfärda licens samt att pröva frågor om tillstånd och utöva tillsyn enligt datalagen.</P> <P class="p100 ft1"><SPAN class="ft1">4.2</SPAN><SPAN class="ft30">Från tillstånd till tillsyn</SPAN></P> <P class="p97 ft0">Datalagens tillkomst år 1973 innebar bl.a. att personregister som fördes med hjälp av automatisk databehandling (ADB) inte fick inrättas eller föras utan tillstånd av Datainspektionen, såvida de inte inrättats genom beslut av riksdagen eller regeringen. I lagen infördes också bestämmelser om särskilda villkor för tillstånd att föra vissa slag av speciellt känsliga register, skyldigheter för de registeransvariga i fråga om användningen av personregister och om Datainspektionens befogenheter som tillsynsmyndighet.</P> </DIV> <DIV id="page_79"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">88 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">4.2.1</SPAN><SPAN class="ft41">Tillståndsprövningen enligt datalagen</SPAN></P> <P class="p143 ft0">Tillståndsprövningen enligt datalagen avsåg prövning av frågan om otillbörligt intrång i registrerads personliga integritet kunde befaras uppkomma. Vid prövningen beaktades bl.a. omständigheter som arten och mängden av de personuppgifter som skulle ingå i registret, hur och från vem uppgifterna skulle inhämtas samt den inställning till registret som förelåg eller kunde antas föreligga hos dem som kunde komma att registreras. Vidare beaktades särskilt att inte andra uppgifter eller andra personer skulle registreras än som stod i överensstämmelse med ändamålet med registret.</P> <P class="p46 ft0">Till grund för Datainspektionens prövning låg den registeransvariges ansökan om tillstånd. Beviljades tillstånd meddelade Datainspektionen samtidigt beslut om ändamålet med registret. I den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet kunde även meddelas ett eller flera villkor. Förelåg särskilda skäl fick tillståndet begränsas till viss tid.</P> <P class="p45 ft2">Regler om förfarandet vid ansökan om tillstånd fanns intagna i dataförordningen och i verkställighetsföreskrifter som Datainspektionen meddelat.</P> <P class="p176 ft28"><SPAN class="ft24">4.2.2</SPAN><SPAN class="ft46">Ett förenklat ansöknings- och tillståndsförfarande</SPAN></P> <P class="p65 ft0">För att underlätta hanteringen av tillståndsärendena och förenkla tillståndsproceduren för den registeransvarige tillämpade Datainspektionen alltsedan verksamhetens början ett förenklat ansöknings- och tillståndsförfarande i fråga om mindre integritetskänsliga register. Det gällde ansökningar om tillstånd för personregister för vilka Datainspektionen utvecklat en fast praxis för bedömningen.</P> <P class="p79 ft0">Närmare bestämmelser om vilka register som omfattades av detta förenklade förfarande och vilka särskilda villkor som måste vara uppfyllda fanns i Datainspektionens författningssamling (DIFS). Det formella stödet för föreskrifterna om det förenklade förfarandet var stadgandet i 8 § andra stycket dataförordningen, att Datainspektionen fick medge undantag från de krav som ställdes på en ansökan samt det generella stadgandet i förordningens 14 §, att ytterligare föreskrifter om verkställighet av datalagen meddelades av Datainspektionen.</P> <P class="p45 ft2">Ansökningar om tillstånd enligt det förenklade förfarandet gjordes på särskilda blanketter och blev inte föremål för någon egentlig prövning. I tillståndsbeslutet som expedierades till den registeransvarige, angavs att som villkor skulle gälla dels vad som angivits i ansökan, dels</P> </DIV> <DIV id="page_80"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">89</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">de bestämmelser som angivits i aktuell DIFS såsom villkor för det förenklade förfarandet.</P> <P class="p99 ft24"><SPAN class="ft24">4.2.3</SPAN><SPAN class="ft41">Integritetsskyddet enligt datalagen</SPAN></P> <P class="p143 ft0">Utgångspunkten för integritetsskyddet inom datalagens område var således att Datainspektionen skulle pröva om tillstånd till inrättande och förande av ett personregister kunde beviljas. Även en ändring eller utvidgning av registret krävde tillstånd.</P> <P class="p45 ft0">När det gäller Datainspektionens verksamhet blev emellertid utvecklingen en annan än man räknat med vid datalagens tillkomst. Bland annat som en följd av den datortekniska utvecklingen under <NOBR>1970-talet</NOBR> visade det sig att antalet tillståndsärenden blev betydligt större än man först trott. Tillströmningen av tillståndsärenden kunde i stora delar också tillskrivas utformningen av datalagens tillståndsbestämmelser. Trots tillämpningen av det förenklade tillståndsförfarandet blev Datainspektionen tvungen att koncentrera sina resurser på tillståndsverksamheten på bekostnad av tillsynsverksamheten.</P> <P class="p59 ft0">Frågan om tillståndstvång för alla register var redan vid datalagens tillkomst föremål för diskussion. En förprövning genom tillståndskrav medförde obestridliga fördelar ur integritetssynvinkel, men innebar också en byråkratisk belastning för de registeransvariga samtidigt som Datainspektionen måste lägga ned mycket arbete på tillståndsprövning inte bara av känsliga register utan även av register som var relativt ofarliga från integritetsskyddssynpunkt. De grundläggande principerna för tillståndsförfarandet kvarstod dock oförändrade under hela 1970- talet.</P> <P class="p52 ft0">I augusti 1981 avlämnade Datalagskommittén (DALK) promemorian (Ds Ju <NOBR>1981:15-16)</NOBR> Tillstånd och tillsyn enligt datalagen. I promemorian lade DALK fram förslag till åtgärder för att rationalisera Datainspektionens verksamhet på kort sikt. DALK antog att antalet tillståndsärenden sannolikt skulle komma att öka än mer de närmaste åren. Det ansågs angeläget att Datainspektionens verksamhet i stället försköts i riktning mot ökad tillsynsverksamhet. DALK lämnade därför ett förslag som byggde på att tillståndsplikten begränsades till särskilt integritetskänsliga register och att det för övriga register skulle räcka med en anmälan från den registeransvarige om att denne förde personregister. För de register för vilka en anmälan var tillräckligt skulle vidare gälla att de fick föras först sedan Datainspektionen utfärdat en licens. Avsikten var att Datainspektionen skulle kunna koncentrera sina resurser på sådant som verkligen var betydelsefullt från integritetsskyddssynpunkt, och att man skulle förenkla för de registeransvariga.</P> </DIV> <DIV id="page_81"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">90 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p177 ft25">Reglerna om en begränsad tillståndsplikt och ett anmälningsförfarande med tillhörande licens trädde i kraft år 1982.<SPAN class="ft50">1</SPAN></P> <P class="p99 ft24"><SPAN class="ft24">4.2.4</SPAN><SPAN class="ft54">Licenssystemet</SPAN></P> <P class="p44 ft0">Den som ville inrätta och föra ett personregister skulle alltså göra en anmälan till Datainspektionen för licens. Varje licens berättigade den registeransvarige att föra ett eller flera personregister som inte omfattades av tillståndsplikten.</P> <P class="p45 ft0">För licensen betalade den registeransvarige en årlig avgift. Datainspektionen förde sedan ett register omfattande alla licenshavare, benämnt LIRE. Registret tillfördes varje år ett antal nya licenshavare, samtidigt som ett antal avlägsnades genom att t.ex. verksamheter upphörde eller lades samman. Licensregistret utgjorde bl.a. underlag för inspektionens avgiftsdebitering och eventuella tillsynsåtgärder, antingen individuella eller branschvisa. Registret användes också som underlag för Datainspektionens informationsverksamhet. Antalet licenser ökade under perioden <NOBR>1983–1990</NOBR> från 8 500 till drygt 38 500.</P> <P class="p45 ft0">Avsikten med 1982 års reform var att begränsa mängden tillståndsärenden och därigenom göra det möjligt för Datainspektionen att koncentrera sig på de mest känsliga registren och att kunna intensifiera sin tillsynsverksamhet. Effekten av lagändringen blev dock endast i begränsad omfattning den avsedda. Antalet tillståndsärenden fortsatte att öka och antalet inspektioner sjönk.</P> <P class="p45 ft0">Den viktigaste orsaken till den ökande tillströmningen av ansökningar var givetvis den fortgående datoriseringen i samhället. Tillståndsansökningarna innefattade dessutom både behandling av känsliga uppgifter och behandlingar som från integritetssynpunkt framstod som tämligen harmlösa och det visade sig att det var svårt att dra en klar gräns mellan dessa två kategorier. Följden blev att Datainspektionen kom att ägna en stor del av sin tid åt att granska behandling som egentligen inte borde bli föremål för den relativt omfattande procedur som en tillståndsprövning innebar.</P> <P class="p178 ft11"><SPAN class="ft27">1 </SPAN>SFS 1982:446.</P> </DIV> <DIV id="page_82"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">91</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p179 ft48"><SPAN class="ft24">4.2.5</SPAN><SPAN class="ft47">Datainspektionens förslag till ändringar i datalagen</SPAN></P> <P class="p180 ft0">Datainspektionen överlämnade i november 1988 en skrivelse, ”Vissa ändringar i datalagen m.m.”, till justitiedepartementet med förslag till ändringar som enligt Datainspektionens mening borde genomföras i väntan på en genomgripande översyn av datalagen. I skrivelsen och en bilagd promemoria föreslog Datainspektionen ändringar i datalagen vilka syftade till förenklingar för de registeransvariga och inspektionen i sådana fall då tillståndskravet föranledde resursinsatser som enligt inspektionen inte motiverades av integritetsskyddet.</P> <P class="p123 ft0">Datainspektionen konstaterade att effekterna av lagändringarna den 1 juli 1982 bara i begränsad omfattning blivit de avsedda. Bortfallet av tillståndspliktiga ärenden, som tidigare hade kunnat handläggas tämligen summariskt, uppvägdes av andra ärenden. Antalet tillståndsärenden hade ökat och lett till att en avsevärd del av inspektionens totala kapacitet gick åt för handläggning av ansökningar om tillstånd att inrätta och föra personregister eller att få tillstånd för en ändring eller utvidgning i tidigare meddelade tillstånd. I flertalet fall avsåg dessa ansökningar situationer i vilka Datainspektionen utvecklat en fast praxis för bedömningen. För sådana typsituationer ansåg Datainspektionen att det ofta fanns goda möjligheter att sörja för skyddet för den personliga integriteten på ett annat och bättre sätt än genom att upprätthålla ett tillståndstvång.</P> <P class="p132 ft0">Enligt Datainspektionens uppfattning förelåg det ett betydande intresse bland de registeransvariga inom olika sektorer att organisera sitt <NOBR>ADB-stöd</NOBR> så att otillbörliga intrång i personlig integritet undveks. Enligt Datainspektionen betydde de insatser myndigheten kunde göra för att tillgodose krav och förväntningar från de registeransvariga på råd och information mer för skyddet av den personliga integriteten än t.ex. det tillståndstvång som band inspektionens resurser. Genom att engagera bransch- och områdesföreträdare i utvecklingen av normer för personregistreringen på olika områden i samhället ansåg inspektionen att det kunde spridas en fördjupad kunskap om och en större förståelse för integritetsfrågorna.</P> <P class="p181 ft0">Enligt Datainspektionens uppfattning hade datoranvändningen vid slutet av <NOBR>1980-talet</NOBR> nått en sådan omfattning att det var nödvändigt att ifrågasätta hela systemet med tillstånd i varje särskilt fall när register som var tillståndspliktiga skulle inrättas. Datainspektionen förutsåg en utveckling under <NOBR>1990-talet</NOBR> där terminaler och persondatorer var lika vanliga arbetsredskap som telefoner. Enligt inspektionens mening måste därför skyddet för den personliga integriteten företrädesvis</P> </DIV> <DIV id="page_83"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">92 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">bygga på andra metoder än förhandsgranskning av varje tilltänkt personregister.</P> <P class="p66 ft0">Datainspektionen fann det därför nödvändigt att bygga integritetsskyddet på en högre grad av verksamhetsanpassad författningsreglering och branschvis självreglering. Nödvändiga förutsättningar härför var dock enligt inspektionen att datalagens regler om vad den registeransvarige skulle iaktta för att undvika intrång i den personliga integriteten förtydligades och skärptes i olika hänseenden samt att underlåtenhet att rätta sig efter bestämmelserna ledde till påföljd direkt enligt datalagen.</P> <P class="p59 ft0">Datainspektionen föreslog i promemorian att myndigheten gavs befogenhet att beträffande vissa slag av personregister föreskriva undantag från lagens krav på tillstånd för att få inrätta och föra register, och att meddela generella föreskrifter för att förhindra intrång i personlig integritet beträffande de register som undantogs från tillståndsplikten.</P> <P class="p45 ft0">Datainspektionens förslag till ändringar godtogs i huvudsak av flertalet remissinstanser. De remissinstanser som anslutit sig helt eller i huvudsak till Datainspektionens förslag till åtgärder betonade överlag behovet av att förenkla Datainspektionens hantering av tillståndsärenden och flytta över Datainspektionens resurser till tillsyn och information. De flesta ansåg att en sådan resursöverflyttning innebar en förbättring av integritetsskyddet.</P> <P class="p148 ft24"><SPAN class="ft24">4.2.6</SPAN><SPAN class="ft41">Förslag till ny datalag</SPAN></P> <P class="p111 ft0">I november 1989 påbörjade Datalagsutredningen sitt arbete med att göra en översyn av datalagen från såväl saklig som lagteknisk synpunkt. I delbetänkandet (SOU 1990:61) Skärpt tillsyn – huvuddrag i en reformerad datalag redovisade utredningen överväganden och förslag om principiella utgångspunkter för en framtida datalag, med särskild inriktning på Datainspektionens tillsynsverksamhet.</P> <P class="p59 ft0">Avsikten med att omfördela Datainspektionens resurser till att i större utsträckning kunna användas för tillsynsverksamhet, framhöll Datalagsutredningen, har hela tiden varit att detta skulle innebära ett stärkt integritetsskydd. Datainspektionens arbete skulle då kunna inriktas på att mera effektivt kontrollera att skyddet för den personliga integriteten upprätthålls såväl inom den offentliga som den enskilda sektorn.</P> <P class="p45 ft2">Datalagsutredningen angav att som utgångspunkt för en mera genomgripande förändring av datalagen och renodling av Datainspektionens verksamhet mot utökad tillsyn skulle följande gälla. Datalagen</P> </DIV> <DIV id="page_84"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">93</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p109 ft0">borde, som tidigare, innehålla de grundläggande bestämmelserna för integritetsskyddet, medan den konkreta anpassningen till skilda sektorer och områden borde ske genom en regelutfyllnad från Datainspektionen och en kontroll från inspektionens sida. Härigenom skulle det vara möjligt, ansåg utredningen, att följa och förekomma den snabba utvecklingen på det informationsteknologiska området på ett sätt som inte skulle gå att genomföra, om datalagen skulle innehålla en fullständig reglering för alla områden och branscher.</P> <P class="p52 ft0">Datalagsutredningens förslag ledde aldrig fram till en ny datalag eller några mera betydande förändringar av datalagen vad gäller tillståndstvånget och Datainspektionens tillsynsverksamhet. Genom ändringar i regeringsformen och datalagen fick dock Datainspektionen via delegering från regeringen vissa normgivningsbefogenheter att utfärda generella regler på dataområdet vad gäller skyddet för den personliga integriteten vid behandling av personuppgifter. Härigenom kunde Datainspektionen utfärda generella bransch- och sektorsföreskrifter.<SPAN class="ft27">2 </SPAN>Samtidigt infördes ett undantag från tillståndsplikten för sådana register som inrättades och fördes i enlighet med sådana av Datainspektionen meddelade föreskrifter.<SPAN class="ft27">3 </SPAN>Ändringen syftade till att minska Datainspektionens tillståndshantering och därigenom lämna mer utrymme för tillsynsverksamheten.</P> <P class="p136 ft24"><SPAN class="ft24">4.2.7</SPAN><SPAN class="ft41">Personuppgiftslagen</SPAN></P> <P class="p57 ft0">Genom ikraftträdandet av personuppgiftslagen, den 24 oktober 1998, har Sverige fått en teknikoberoende lag som omfattar såväl automatiserad som viss manuell behandling av personuppgifter. Datalagens tillståndskrav för behandling av personuppgifter är nu helt borta, och Datainspektionens uppgift att utöva tillsyn har än mer betonats.</P> <P class="p66 ft0">Lagen innehåller i stället bestämmelser om när behandling av personuppgifter är tillåten. För behandling av känsliga personuppgifter gäller särskilt stränga regler. Automatiserade behandlingar av personuppgifter måste i princip anmälas till Datainspektionen, men omfattande undantag från denna anmälningsskyldighet medges. Sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen för förhandskontroll.</P> <P class="p63 ft2">Den som bryter mot lagen kan drabbas av ingripanden från Datainspektionen, t.ex. vitesföreläggande, skadestånd eller straff.</P> <P class="p130 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">Prop. 1993/94:116, SFS 1994:1480 och 1994:1485.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">3</SPAN><SPAN class="ft39">Prop. 1993/94:217, SFS 1994:1485.</SPAN></P> </DIV> <DIV id="page_85"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">94 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p182 ft35"><SPAN class="ft1">4.3</SPAN><SPAN class="ft34">Datainspektionens uppgifter och befogenheter som tillsynsmyndighet</SPAN></P> <P class="p183 ft48"><SPAN class="ft24">4.3.1</SPAN><SPAN class="ft47">Datainspektionens befogenheter enligt datalagen</SPAN></P> <P class="p180 ft0">Enligt reglerna i <NOBR>15–19</NOBR> §§ datalagen var det Datainspektionens ansvar att utöva tillsyn över att automatisk databehandling inte medförde otillbörligt intrång i personlig integritet. Som ett övergripande krav för tillsynsverksamheten gällde att den skulle utövas så att den inte vållade större kostnad eller olägenhet än som var nödvändigt.</P> <P class="p70 ft0">Enligt datalagen hade Datainspektionen rätt att för tillsyn få tillträde till lokal där automatisk databehandling utfördes eller där datamaskin eller utrustning eller upptagning för automatisk databehandling förvarades. Inspektionen hade också rätt att få tillgång till handling som rörde automatisk databehandling och att föranstalta om körning av datamaskin.</P> <P class="p123 ft0">Den registeransvarige eller den som för dennes räkning förde personregister skulle lämna Datainspektionen de uppgifter rörande den automatiska behandlingen som inspektionen begärde för sin tillsyn. Den registeransvarige var vidare skyldig att på Datainspektionens begäran sända in den s.k. § 7 <NOBR>a-förteckningen.</NOBR> Hos den registeransvarige skulle enligt 7 a § datalagen föras en aktuell förteckning över de personregister som han eller hon var ansvarig för.</P> <P class="p132 ft0">Datainspektionen hade dessutom under vissa förutsättningar rätt att vid vite ge föreskrifter rörande personregister. Om det inte gick att skydda den personliga integriteten mot otillbörliga intrång på något annat sätt, fick Datainspektionen vid vite förbjuda fortsatt förande av ett personregister eller återkalla ett meddelat tillstånd.</P> <P class="p71 ft25">Det fanns slutligen möjlighet för domstol att förklara ett personregister förverkat om det inte var uppenbart obilligt.</P> <P class="p184 ft48"><SPAN class="ft24">4.3.2</SPAN><SPAN class="ft47">Datainspektionens befogenheter enligt personuppgiftslagen</SPAN></P> <P class="p185 ft0">Reglerna i personuppgiftslagen om Datainspektionens befogenheter motsvarar i stor utsträckning de regler som gällde enligt datalagen. Till följd av skillnaden i utformningen av bestämmelserna i personuppgiftslagen gentemot datalagen är myndighetens befogenheter enligt personuppgiftslagen dock knutna till all helt eller delvis automatiserad</P> </DIV> <DIV id="page_86"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">95</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">behandling av personuppgifter och inte enbart förandet av personregister.</P> <P class="p66 ft0">I <NOBR>43–47</NOBR> §§ personuppgiftslagen finns de bestämmelser om Datainspektionens befogenheter som har ansetts kräva lagform. Endast en del av de bestämmelser om tillsynsmyndighetens befogenheter som finns upptagna i dataskyddsdirektivet har ansetts nödvändiga att ta in i personuppgiftslagen. Vissa av de krav som <NOBR>EG-direktivet</NOBR> uppställer har ansetts uppfyllda redan genom annan lagstiftning eller bedömts kunna genomföras i annan form än genom lag.</P> <P class="p59 ft0">Avsikten är att regeringen i förordning skall ge föreskrifter om flera av de uppgifter och befogenheter som tillsynsmyndigheten skall ha enligt dataskyddsdirektivet. Utöver de uppgifter för Datainspektionen som följer av dataskyddsdirektivet skall inspektionen särskilt ha till uppgift att informera om gällande regler om behandling av personuppgifter och att på lämpligt sätt ge råd och hjälp åt såväl registrerade som personuppgiftsansvariga. Dessa Datainspektionens uppgifter framgår av förordningen (1998:1192) med instruktion för Datainspektionen.</P> <P class="p186 ft2">De bestämmelser som tagits in i lagen är de som rör befogenheter, som tillsynsmyndigheten givits för sin tillsyn, och befogenheter för att kunna ingripa mot olaglig behandling.</P> <P class="p66 ft0">För att Datainspektionen på ett så effektivt sätt som möjligt skall kunna utöva tillsyn över den behandling av personuppgifter som förekommer har myndigheten för sin tillsyn enligt personuppgiftslagen rätt att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.</P> <P class="p66 ft2">Rätten att få tillgång till behandlade personuppgifter innefattar naturligtvis en rätt att beordra de körningar och andra åtgärder som behövs för att få fram alla de personuppgifter som behandlas.</P> <P class="p42 ft3">Möjlighet att förelägga vite</P> <P class="p111 ft2">För den händelse den personuppgiftsansvarige skulle obstruera och inte ge Datainspektionen det den behöver för tillsynen måste myndigheten ha maktmedel att ta till.</P> <P class="p66 ft0">Sådan behandling av personuppgifter som omfattas av personuppgiftslagen kan förekomma t.ex. i någons hem eller i en dator som någon bär på sig. Det kan i en och samma dator också förekomma såväl behandling av uppgifter som omfattas av lagen som rent privat behandling av högst personliga uppgifter som inte omfattas av lagen.</P> </DIV> <DIV id="page_87"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">96 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">Det har därför befunnits olämpligt med regler som innebär att myndigheten skulle få genomdriva sina rättigheter med t.ex. polishjälp. Det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som Datainspektionens tillsynsverksamhet syftar till att förebygga. I personuppgiftslagen föreskrivs i stället att inspektionen vid vite kan förbjuda behandling av personuppgifter.</P> <P class="p123 ft0">Syftet med Datainspektionens tillsyn och myndighetens rättigheter i samband med den är ytterst att myndigheten skall kunna konstatera om den behandling av personuppgifter som utförs är laglig, dvs. att samtliga bestämmelser i personuppgiftslagen och i andra författningar som rör behandling av personuppgifter följs.</P> <P class="p71 ft0">Kan Datainspektionen inte på begäran få tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig, kan myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta behandla personuppgifter på annat sätt än genom att lagra dem. Den som obstruerar riskerar således att bli förbjuden att i fortsättningen behandla personuppgifter. Den risken antas medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge myndigheten det underlag den behöver.</P> <P class="p131 ft0">Datainspektionen kan på olika sätt få reda på att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan information kan komma fram i samband med ett tillsynsbesök, framgå av kontakter med ett personuppgiftsombud eller av en insänd anmälan om behandlingen eller av ett klagomål från t.ex. någon registrerad eller konkurrent. Även genom uppgifter i massmedia kan Datainspektionen få sådan information.</P> <P class="p159 ft0">I dylika fall bör myndigheten i första hand försöka att åstadkomma rättelse genom påpekanden eller liknande förfaranden. Men går det inte att få rättelse på annat sätt, kan som nämnts myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem.</P> <P class="p71 ft0">I fråga om Datainspektionens möjlighet att föreskriva vite gäller generellt att den personuppgiftsansvarige skall få tillfälle att yttra sig innan myndigheten föreskriver om vite. Om det är riskfyllt att vänta med beslutet om vite till dess den personuppgiftsansvarige fått möjlighet att yttra sig, kan dock inspektionen fatta ett tillfälligt beslut om vite. Enligt lagstiftaren kan det i vissa undantagsfall vara nödvändigt att tillsynsmyndigheten kan agera snabbt och kraftfullt för att skydda de registrerades personliga integritet. Som exempel nämns när det av en personuppgiftsansvarigs anmälan om behandling av känsliga personuppgifter, som inte alls får utföras enligt personuppgiftslagen, framgår att behandlingen skall starta redan om någon dag. Möjligheten att innan den personuppgiftsansvarige fått komma till</P> </DIV> <DIV id="page_88"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">97</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft0">tals meddela ett tillfälligt beslut bör dock utnyttjas bara när saken är klar och så brådskande att yttrandet inte kan avvaktas. Det tillfälliga beslutet om vite skall sedan omprövas när yttrandetiden har gått ut och det finns ett mera fullständigt underlag.</P> <P class="p45 ft0">Av lagen (1985:206) om viten framgår att frågan om utdömande av ett förelagt vite prövas av länsrätt på ansökan av den myndighet som har utfärdat vitesföreläggandet, i detta fall Datainspektionen. I förarbetena till personuppgiftslagen framhålls att vite inte skall dömas ut, om ändamålet med vitet har förfallit och att Datainspektionen skall återkalla ett meddelat vitesföreläggande så snart den personuppgiftsansvarige har gjort vad som krävs av honom eller henne. Ett förbud vid vite att behandla personuppgifter på annat sätt än genom att lagra dem kommer alltså att gälla bara till dess den personuppgiftsansvarige har botat den försummelse som föranledde förbudet.</P> <P class="p137 ft3">Beslut om säkerhetsåtgärder</P> <P class="p143 ft0">Datainspektionen kan fatta beslut om vilka säkerhetsåtgärder som en personuppgiftsansvarig skall vidta. Enligt förarbetena kan den personuppgiftsansvarige genom ett beslut i det enskilda fallet få veta exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven.</P> <P class="p46 ft0">Om den personuppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, kan Datainspektionen föreskriva vite för att beslutet skall genomföras. Ett beslut om säkerhetsåtgärder i det enskilda fallet skall riktas till den personuppgiftsansvarige även när ett personuppgiftsbiträde har anlitats.</P> <P class="p59 ft2">Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstiftning, t.ex. arkivlagen (1990:782). Sådana bestämmelser gäller vid sidan av bestämmelser om skyddsåtgärder enligt personuppgiftslagen med anknytande författningar och beslut. Den personuppgiftsansvarige måste således uppfylla alla de regler om säkerhetsåtgärder som kan ha meddelats för hans eller hennes verksamhet.</P> <P class="p119 ft3">Ansökan om utplånande av personuppgifter</P> <P class="p50 ft0">Datainspektionen kan också ansöka hos länsrätt om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Den möjligheten kan användas t.ex. när känsliga personuppgifter har behandlats trots att den personuppgiftsansvarige inte alls har haft rätt att behandla sådana uppgifter. Möjligheten att ansöka om utplånande</P> </DIV> <DIV id="page_89"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">98 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">bör bara användas i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller. Domstolen får dock inte besluta om utplånande, om det skulle vara oskäligt.</P> <P class="p54 ft3">Överklagande</P> <P class="p114 ft0">Datainspektionens beslut som gäller annat än generella föreskrifter får utan undantag överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Prövningstillstånd krävs vid överklagande till kammarrätten. Datainspektionen får bestämma att dess beslut skall gälla även om det överklagas.</P> <P class="p51 ft0">Eftersom personuppgiftslagen till skillnad från datalagen inte innebär att en tillsynsmyndighet genom sin tillståndsgivning i praktiken skall bestämma vilken personregistrering som skall tillåtas, har det inte ansetts nödvändigt att ta med någon bestämmelse om överklaganderätt för Justitiekanslern i den nya lagen.</P> <P class="p187 ft28"><SPAN class="ft24">4.3.3</SPAN><SPAN class="ft46">Datainspektionens befogenheter enligt kreditupplysningslagen</SPAN></P> <P class="p188 ft2">Datainspektionen skall utöva sin tillsyn enligt kreditupplysningslagen så att den inte vållar större kostnad eller olägenhet än som är nödvändigt.</P> <P class="p189 ft0">Inspektionen har rätt att företa inspektion hos den som bedriver kreditupplysningsverksamhet och att ta del av samtliga handlingar som rör verksamheten. Den som bedriver kreditupplysningsverksamhet skall också lämna Datainspektionen de upplysningar om verksamheten som inspektionen begär för sin tillsyn.</P> <P class="p59 ft0">Om den som har rätt att bedriva kreditupplysningsverksamhet åsidosätter en bestämmelse i kreditupplysningslagen får Datainspektionen förelägga honom eller henne att vidta rättelse, besluta om att ändra ett villkor som tidigare meddelats eller meddela ett nytt villkor.</P> <P class="p59 ft0">Om rättelse inte kan åstadkommas på något annat sätt får Datainspektionen återkalla tillstånd som Datainspektionen meddelat. Detsamma gäller, om förutsättningarna för tillståndet i övrigt inte längre föreligger.</P> <P class="p45 ft2">Om ett företag som inte behöver Datainspektionens tillstånd för att bedriva kreditupplysningsverksamhet, t.ex. bank eller kreditmarknadsföretag, inte vidtar rättelse skall Datainspektionen underrätta Finansinspektionen. Om ett utländskt bankföretag eller kreditinstitut inte</P> </DIV> <DIV id="page_90"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td88"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td89"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">99</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td90"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td91"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">vidtar rättelse, skall Datainspektionen underrätta den behöriga myndigheten i företagets hemland. Om rättelse ändå inte sker, får Datainspektionen förbjuda företaget att göra nya åtaganden här i landet. Innan förbud meddelas skall dock inspektionen underrätta den behöriga myndigheten i företagets hemland. Endast i brådskande fall får inspektionen meddela förbud utan föregående underrättelse till hemlandsmyndigheten. Denna skall då i stället underrättas så snart det kan ske.</P> <P class="p137 ft3">Möjlighet att förelägga vite</P> <P class="p57 ft0">Om den som bedriver kreditupplysningsverksamhet underlåter att lämna tillgång till handling eller att lämna upplysning som är nödvändig för Datainspektionens inspektionsverksamhet får Datainspektionen förelägga vite.</P> <P class="p45 ft0">Om ett kreditupplysningsföretag underlåter att ge en omfrågad person information i samband med en kreditupplysning eller att rätta oriktiga eller missvisande uppgifter, kan Datainspektionen också förelägga företaget att vid vite fullgöra sina åligganden. Detsamma gäller om företaget underlåter att ge en person besked om huruvida det i kreditupplysningsverksamheten finns uppgifter om honom eller henne och vad de har för innehåll.</P> <P class="p118 ft3">Överklagande</P> <P class="p57 ft2">Datainspektionens beslut enligt lagen får överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Prövningstillstånd krävs vid överklagande till kammarrätten. Justitiekanslern får föra talan för att ta till vara allmänna intressen.</P> <P class="p190 ft28"><SPAN class="ft24">4.3.4</SPAN><SPAN class="ft46">Datainspektionens befogenheter enligt inkassolagen</SPAN></P> <P class="p65 ft0">Även tillsynen enligt inkassolagen skall utövas så, att den inte vållar större kostnader eller olägenheter än som är nödvändigt. Datainspektionens tillsyn enligt inkassolagen omfattar dock inte verksamhet som bedrivs av företag under Finansinspektionens tillsyn eller av advokater.</P> <P class="p45 ft2">Datainspektionen har rätt att företa inspektion hos den som bedriver inkassoverksamhet och att ta del av samtliga handlingar som rör verksamheten. Den som bedriver verksamheten skall lämna Data-</P> </DIV> <DIV id="page_91"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">100 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">inspektionen de upplysningar om verksamheten som inspektionen begär för sin tillsyn.</P> <P class="p66 ft0">Om Datainspektionens tillsyn föranleder det, kan inspektionen meddela föreskrifter om hur inkassoverksamheten skall bedrivas och om skyldighet att anmäla ändring av förhållanden som har haft betydelse för tillståndet att bedriva inkassoverksamheten.</P> <P class="p66 ft0">Om den som har fått tillstånd att bedriva inkassoverksamhet åsidosätter bestämmelse i inkassolagen eller föreskrift som har meddelats med stöd av lagen och rättelse inte vidtas eller om förutsättningarna för tillståndet i övrigt inte längre föreligger, får Datainspektionen återkalla tillståndet.</P> <P class="p118 ft3">Möjlighet att förelägga vite</P> <P class="p50 ft0">Om den som bedriver verksamheten underlåter att lämna tillgång till handling eller att lämna upplysning får inspektionen förelägga vite. Också föreskrifter som Datainspektionen har meddelat om hur inkassoverksamheten skall bedrivas får förenas med vite.</P> <P class="p149 ft3">Överklagande</P> <P class="p114 ft2">Datainspektionens beslut enligt inkassolagen får som beslut enligt kreditupplysningslagen överklagas hos allmän förvaltningsdomstol. Justitiekanslern får föra talan för att ta till vara allmänna intressen.</P> <P class="p191 ft35"><SPAN class="ft1">4.4</SPAN><SPAN class="ft34">Datainspektionens inspektionsverksamhet</SPAN></P> <P class="p192 ft24"><SPAN class="ft24">4.4.1</SPAN><SPAN class="ft41">Skrivbords- och fältinspektioner</SPAN></P> <P class="p44 ft0">Datainspektionens inspektionsverksamhet bedrivs antingen genom <SPAN class="ft3">skrivbordsinspektioner </SPAN>eller <SPAN class="ft3">fältinspektioner</SPAN>. Inspektionerna initieras av klagomål från någon person eller genom att massmedia uppmärksammar att behandling av personuppgifter lett till intrång i den personliga integriteten. Datainspektionen vidtar även inspektioner på helt eget initiativ.</P> <P class="p46 ft2">Vid skrivbordsinspektioner försöker Datainspektionen få klarhet i hur behandlingen av personuppgifter går till i det aktuella fallet genom att skicka ett föreläggande till den personuppgiftsansvarige och uppmana denne att yttra sig i frågan. Efter att yttrandet inkommit fattar</P> </DIV> <DIV id="page_92"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">101</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">inspektionen beslut i ärendet, vilket kan innebära att den personuppgiftsansvarige skall rätta eller ta bort uppgifter som denne behandlar. En stor del av tillsynen löses på detta sätt.</P> <P class="p66 ft0">Den andra formen av inspektion, fältinspektion, innebär att inspektörer från Datainspektionen besöker den personuppgiftsansvarige för att på plats gå igenom dennes behandling av personuppgifter. Denna form av inspektion bedrivs efter klagomål från enskild eller på grund av uppgifter i massmedia när Datainspektionen gör bedömningen att en skrivbordsinspektion inte är tillräcklig.</P> <P class="p61 ft0">Datainspektionen bedriver också fältinspektioner på eget initiativ utan att det uppkommit någon särskild anledning till att inspektera ett speciellt objekt på grund av klagomål eller dylikt.</P> <P class="p66 ft0">Inspektörer från Datainspektionen har t.ex. besökt vissa städer i Sverige under upp till tre dagar, företrädesvis residensstäder. Sådana inspektionsresor har planerats på myndigheten genom att lämpliga objekt valts ut. Objekten har i förväg meddelats om när myndigheten avser att komma på inspektion. Detta har gjorts för att den personuppgiftsansvarige skall kunna ställa upp med de rätta personerna för att svara på frågor om hur datasystemen används m.m.</P> <P class="p46 ft0">Vid dessa inspektioner har sex till sju inspektörer från Datainspektionen arbetat och inspektionens egna tekniker har alltid deltagit. Det senare för att myndigheten skall kunna tala samma språk som tillsynsobjekten. Inspektionsobjekten har varit såväl myndigheter som företag. Ungefär 15 inspektionsobjekt har besökts vid varje tillfälle.</P> <P class="p59 ft0">I samband med inspektionsresorna har även tagits kontakt med lokala massmediaföreträdare för att ta tillfället i akt att informera om Datainspektionens inspektionsverksamhet, och om rättigheter och skyldigheter i samband med behandling av personuppgifter.</P> <P class="p59 ft2">Förutom dessa inspektionsresor, som förbereds och anmäls till inspektionsobjekten, utför Datainspektionen också oanmälda inspektioner. Detta sker t.ex. när inspektionen får kännedom om att något oegentligt pågår som man snabbt vill informera sig om och eventuellt kunna sätta stopp för.</P> <P class="p99 ft24"><SPAN class="ft24">4.4.2</SPAN><SPAN class="ft41">Temainspektioner</SPAN></P> <P class="p44 ft2">En särskild form av inspektionsinsats som Datainspektionen utför sedan den senare hälften av <NOBR>1990-talet</NOBR> är <SPAN class="ft26">temainspektioner</SPAN>. En temainspektion omfattar en bred och djup granskning av en bransch eller sektor. En sådan granskning tar mer tid och större resurser i anspråk än en sedvanlig inspektion. Temainspektionerna genomförs både som fältinspektioner och som skrivbordsinspektioner. Resultaten av tema-</P> </DIV> <DIV id="page_93"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">102 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">inspektioner sammanställs i rapporter som sprids till berörda branscher och sektorer. I rapporterna ger Datainspektionen också rekommendationer till andra personuppgiftsansvariga inom samma bransch eller sektor. Datainspektionen har t.ex. gjort temainspektioner av sjukvårdens patientjournalsystem, resebyråers och transportföretags bokningssystem samt teleoperatörers och bankers datorsystem. Datainspektionen har också i en enkät till statliga myndigheter undersökt i vilken omfattning de säljer uppgifter från sina register.</P> <P class="p136 ft24"><SPAN class="ft24">4.4.3</SPAN><SPAN class="ft41">Inspektion av </SPAN><NOBR>IT-säkerhet</NOBR></P> <P class="p163 ft0">Vid inspektionerna kontrolleras även <NOBR>IT-säkerheten</NOBR> av inspektörer med teknisk kompetens. Kontrollen omfattar rutinmässigt fysisk säkerhet, tillträdes- och behörighetskontroll, behandlingshistorik, säkerhetskopiering, datakommunikation, utplåning, reparation och service. Kontroll sker även av skydd mot skadliga program.</P> <P class="p46 ft2">Även inspektioner som avser uteslutande <NOBR>IT-säkerheten</NOBR> förekommer.</P> <P class="p110 ft24"><SPAN class="ft24">4.4.4</SPAN><SPAN class="ft41">Inspektioner enligt personuppgiftslagen</SPAN></P> <P class="p44 ft0">Sedan personuppgiftslagen trätt i kraft har Datainspektionen i sin tillsynsverksamhet strävat efter att finna inspektionsobjekt som utför behandlingar enligt personuppgiftslagen. Vid inspektioner enligt datalagen har de registeransvariga regelmässigt tillfrågats om de också behandlar eller snart kommer att påbörja behandling av personuppgifter enligt personuppgiftslagen.</P> <P class="p85 ft0">Inspektionens tillsynsinsatser har visat att så sent som i början av år 2001 hade de flesta ännu inte börjat utföra några behandlingar enligt personuppgiftslagen, eller att det i vart fall inte skedde i någon större utsträckning. Övergångstiden mellan datalagen och personuppgiftslagen innebar alltså inte någon successiv övergång till de nya reglerna utan personuppgiftslagen kom i full tillämpning först den 1 oktober 2001.</P> <P class="p193 ft3">Anmälan om förhandskontroll</P> <P class="p50 ft2">En ny uppgift i Datainspektionens tillsynsverksamhet i och med införandet av personuppgiftslagen är hanteringen av obligatoriska anmälningar om förhandskontroll av särskilt integritetskänsliga behandlingar.</P> </DIV> <DIV id="page_94"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">103</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">Anmälan om förhandskontroll är obligatorisk när det gäller vissa behandlingar för forskningsändamål och när det gäller behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning. Därutöver skall vissa behandlingar som polisen, tullen eller skattemyndigheterna utför anmälas för förhandskontroll. Ärendena kräver skyndsam hantering, eftersom inspektionen inom tre veckor skall lämna yttrande om behandlingen är laglig.</P> <P class="p131 ft0">I samband med anmälan om förhandskontroll har Datainspektionen både muntlig och skriftlig kontakt med den personuppgiftsansvarige och kan också besöka den som gjort anmälan för att sätta sig in i de aktuella frågorna.</P> <P class="p131 ft2">Under perioden juli <NOBR>2000–juni</NOBR> 2001 inkom det sammanlagt 56 anmälningar om förhandskontroll, varav 39 avsåg behandlingar för forskningsändamål och 17 var anmälningar från polisen.</P> <P class="p194 ft28"><SPAN class="ft24">4.4.5</SPAN><SPAN class="ft46">Inspektionsverksamhetens omfattning och inriktning</SPAN></P> <P class="p125 ft0">Som beskrivits tidigare har Datainspektionens verksamhet under lång tid präglats av handläggning av tillstånd och licenser vilket medfört att tillsynsverksamhet fått stå tillbaka. Under <NOBR>1990-talet</NOBR> har dock en successiv ökning av antalet inspektioner skett. I detta avsnitt ges en översiktlig beskrivning av omfattningen av Datainspektionens inspektionsverksamhet under <NOBR>1990-talet</NOBR> och år <NOBR>2000–2001,</NOBR> och en del exempel på vilka tillsynsobjekt som har inspekterats. Uppgifterna är i huvudsak hämtade från Datainspektionens årsredovisningar.</P> <P class="p132 ft2">Med inspektioner avses här de åtgärder som inneburit att Datainspektionen på plats undersökt behandlingen av personuppgifter.</P> <P class="p70 ft0">Under verksamhetsåret 1991/92 genomförde Datainspektionen sammanlagt 26 fältinspektioner. Ett mycket omfattande tillsynsärende avsåg forskningsregister vid socialmedicinska institutionen vid Huddinge sjukhus. Under året slutförde Datainspektionen också omfattande tillsynsaktiviteter hos de två marknadsledande kreditupplysningsföretagen, UpplysningsCentralen och Soliditet. Företagen hade vid denna tidpunkt i sina register uppgifter om samtliga människor i Sverige över 15 år, dvs. omkring 7 miljoner personer. Dessutom ingick uppgifter om ungefär en halv miljon juridiska personer. Inspektionerna ledde till att Datainspektionen meddelade kompletterande föreskrifter om bl.a. bearbetning, utlämnande, gallring och <NOBR>ADB-säkerhet.</NOBR></P> <P class="p71 ft2">Under verksamhetsåret 1992/93 ökade antalet inspektioner med mer än 150 % till sammanlagt 66. Inom den offentliga sektorn genomfördes bl.a. fem kontrollinspektioner av länsarbetsnämnder. Vid några inspek-</P> </DIV> <DIV id="page_95"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">104 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">tioner framkom att otillåtna uppgifter registrerades och Datainspektionen anmälde en länsarbetsnämnd för brott mot datalagen. I övriga fall anmodades länsarbetsnämnderna att omedelbart ta bort de otillåtna uppgifterna ur registren. Inom den privata sektorn gjordes ett femtontal inspektioner hos inkassoföretag. De vanligaste avvikelserna från god inkassosed gällde dels att inkassoföretaget inte tagit hänsyn till gäldenärernas invändningar i sak, dels att inkassokrav ställts till fel gäldenär. En tredjedel av inspektionerna ledde till att Datainspektionen meddelade straffsanktionerade föreskrifter i dessa avseenden. Vid en inspektion var bristerna så stora vad avsåg omdöme och sakkunskap att inkassotillståndet drogs in.</P> <P class="p181 ft0">Verksamhetsåret 1993/94 uppgick antalet genomförda fältinspektioner till 85. Den 1 juli 1994 slogs de två enheterna som handlade ärenden från den offentliga respektive privata sektorn samman till en enhet.</P> <P class="p71 ft0">Under verksamhetsåret 1994/95 utfördes sammanlagt 141 egeninitierade inspektioner. Grupper på sex inspektörer granskade i genomsnitt 15 objekt per månad.</P> <P class="p70 ft0">Under verksamhetsåret 1995/96, som omfattade 18 månader, genomfördes sammanlagt 249 egeninitierade inspektioner. Omräknat på 12 <NOBR>månaders-basis</NOBR> innebar det en ökning med 18 procent under verksamhetsåret. Huvuddelen av inspektionerna var kontroller av att datalagens bestämmelser och Datainspektionens föreskrifter efterlevdes. Vissa inspektioner var inriktade på områden där det kunde vara aktuellt att införa generella föreskrifter, andra ägnades åt att kontrollera effekten av generella föreskrifter som redan trätt i kraft.</P> <P class="p132 ft0">Från mitten av <NOBR>90-talet</NOBR> synes huvudintrycket från Datainspektionens inspektioner vara att merparten av de registeransvariga känner till innehållet i lagarna och försöker efterleva dem. Närmare 30 procent av inspektionerna under 95/96 avslutades utan anmärkningar. I de fall brister kunde konstateras var de ofta av mindre allvarligt slag.</P> <P class="p71 ft0">Mera allvarliga brister framkom främst beträffande <NOBR>ADB-säker-</NOBR> heten, såsom att känslig information kommunicerades i okrypterad form och att det saknades skydd för personuppgifter när service hade utförts av utomstående. Andra allvarliga brister var bristande behörighetskontroll och bristande uppföljning av loggning. De konstaterade bristerna berodde främst på okunnighet om datalagens bestämmelser i kombination med att besked om reglerna och Datainspektionens beslut inte hade nått ut i organisationen. I samtliga fall åtgärdades bristerna efter påpekanden från inspektörerna och inga anmärkningar föranledde anmälan till åklagare. Datainspektionen kontaktade vid flera tillfällen centrala myndigheter och branschorganisationer för att informera om</P> </DIV> <DIV id="page_96"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">105</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">påträffade brister och för att få hjälp med att i förebyggande syfte sprida information.</P> <P class="p61 ft0">Under budgetåret 1997 utfördes sammanlagt 154 egeninitierade inspektioner, 85 inom den offentliga och 69 inom den privata sektorn.</P> <P class="p61 ft0">Under åren 1996 och 1997 genomfördes inspektioner i samtliga landets residensstäder. Varje månad genomförde Datainspektionen en tredagarsinspektion i en residensstad. Inspektionens tekniker och jurister besökte då ca 15 myndigheter, offentliga organisationer och privata företag.</P> <P class="p59 ft0">Under budgetåret 1998 utfördes sammanlagt 113 inspektioner (11 temainspektioner, 53 andra fältinspektioner och 49 enkätinspektioner). Resultaten av de genomförda temainspektionerna har sammanställts i särskilda rapporter. Närmare 20 procent av inspektionerna avslutades utan anmärkning. De brister som upptäcktes var oftast av mindre allvarlig karaktär och åtgärdades efter påpekande från inspektörerna. Datainspektionen anmälde flera brott till polis- eller åklagarmyndighet. Det rörde i samtliga fall publicering av integritetskränkande uppgifter på Internet.</P> <P class="p59 ft0">Under år 1999 genomfördes sammanlagt 167 inspektioner, varav 101 avsåg offentliga och 66 privata tillsynsobjekt. En av temainspektionerna under året avsåg apotekens registrering av kunduppgifter. Inspektionen avslutades med att Datainspektionen uppmanade Apoteket AB att se över sin hantering av personuppgifter så att den överensstämmer med receptregisterlagen (1996:1156). Datainspektionen tillskrev också regeringen och påtalade behovet av en lagändring så att registrering av s.k. dosexpediering blir tillåten.</P> <P class="p52 ft0">En annan av 1999 års temainspektioner avsåg skyddade uppgifter i folkbokföringen. I den rapport som har upprättas över resultatet från inspektionerna har Datainspektionen angivit vad den som hanterar spärrmarkerade personuppgifter bör tänka på för att undvika att uppgifterna lämnas ut till obehöriga.</P> <P class="p59 ft2">Under år 1999 kom det in 58 anmälningar om förhandskontroll. De flesta avsåg behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning. Sju anmälningar avsåg förhandskontroll enligt polisdataförordningen</P> <P class="p54 ft3">Inspektionsverksamheten under år 2000</P> <P class="p57 ft2">Vad gäller inspektionsverksamheten under år 2000 noterar Datainspektionen att den var mer omfattande än de två föregående åren. Antalet tillståndsärenden minskade och resurser kunde föras över från tillståndshanteringen till inspektionsverksamheten. Sammanlagt utfördes</P> </DIV> <DIV id="page_97"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">106 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">183 inspektioner, varav 76 avsåg offentliga och 107 privata tillsynsobjekt. Totalt ökade antalet tillsynsärenden till 521 under år 2000 jämfört med 434 under år 1999.</P> <P class="p70 ft0">En av temainspektionerna under år 2000 avsåg överföring av personuppgifter mellan olika huvudmän inom vården och omsorgen av äldre. Inspektionen visade på brister i den information som krävs enligt lagen (1998:544) om vårdregister. <NOBR>IT-säkerheten</NOBR> var dock i allmänhet bra.</P> <P class="p70 ft0">En annan av temainspektionerna avsåg behandling av personuppgifter om genetiska anlag, som kommit fram efter genetisk undersökning. Informationen till de registrerade följde i vissa fall inte dataskyddsreglerna. I inspektionsrapporten har Datainspektionen lämnat rekommendationer till ledning för den som behandlar personuppgifter om genetiska anlag.</P> <P class="p71 ft0">Datainspektionen utförde under året inspektion av Rikspolisstyrelsens nationella enhet för Schengens informationssystem (SIS) för att få information om den behandling av personuppgifter som är under uppbyggnad med anledning av Schengensamarbetet.</P> <P class="p71 ft0">Datainspektionen inspekterade också Tullverket för att kontrollera den behandling av personuppgifter som sker med stöd av lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet. Inspektionen visade att Tullverket inte fullt ut hade anpassat behandlingen av personuppgifter till reglerna i lagen. Datainspektionen uppmanade Tullverket att se över sin hantering av personuppgifter så att den överensstämmer med lagstiftningen.</P> <P class="p71 ft0">Datainspektionen genomförde under året 41 inspektioner av inkassoverksamhet hos kommuner som driver in sina egna fordringar och hos inkassobolag som i egenskap av ombud driver in fordringar åt andra. En temainspektion under året omfattade samtliga företag som bedriver tillståndspliktig kreditupplysningsverksamhet.</P> <P class="p123 ft0"><NOBR>IT-säkerhetsinspektioner</NOBR> utfördes under året av inspektörer med särskild teknisk kompetens. I samtliga fall där brister konstaterades har de personuppgiftsansvariga förklarat hur bristerna kommer att avhjälpas. Datainspektionen utfärdade i december 1999 nya allmänna råd om säkerhet för personuppgifter och kommer att följa upp en del av inspektionsärendena med nya inspektioner, främst där behandlingar av känsliga personuppgifter utförs.</P> <P class="p132 ft0">Datainspektionen polisanmälde under året flera brott mot dataskyddslagstiftningen. Det har rörde sig om integritetskränkande uppgifter som publicerats på webbplatser.</P> <P class="p71 ft2">Under år 2000 kom det in 77 anmälningar om förhandskontroll Anmälningarna handlades med förtur, eftersom inspektionen inom tre veckor måste meddela om den avser att vidta några åtgärder med</P> </DIV> <DIV id="page_98"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">107</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">anledning av anmälan eller ej. Kravet på förturshantering och rättsligt komplicerade frågor, gjorde enligt Datainspektionen handläggningen mycket resurskrävande.</P> <P class="p42 ft3">Inspektionsverksamheten under år 2001</P> <P class="p143 ft0">Datainspektionen har under perioden juli 2000 till och med juni 2001 utfört sammanlagt 136 inspektioner. Av dessa har 66 avsett datalagen, 15 kreditupplysningslagen, 38 inkasoolagen och 17 personuppgiftslagen. Omfattningen av Datainspektionens inspektionsverksamhet beskrivs närmare i bilaga 3.</P> <P class="p46 ft0">Under år 2001 har ett stort inspektionsprojekt tillsammans med Finansinspektionen slutförts. Arbetet var fokuserat på registrering av personuppgifter i offentliga register och hur uppgifterna förs vidare till kreditupplysningsföretagen. Datainspektionen studerade hur uppgifter samlas in, registreras, bearbetas och rättas i de offentliga registren och hos kreditupplysningsföretagen. Finansinspektionen studerade hur uppgifterna används av kreditgivarna.</P> <P class="p51 ft0">Myndigheterna föreslog i rapporten att en beloppsgräns återinförs i kronofogdemyndigheternas register, för att motverka den kraftiga ökningen av registrerade skulder till staten och den samtidiga ökningen av framställningar om rättelse i kronofogdemyndigheternas register.</P> <P class="p45 ft0">Därutöver uppmanades Riksskatteverket och andra myndigheter att omedelbart rätta tekniska fel som orsakar att skulder felaktigt registreras. Tydligare information och rutiner för påminnelser ansågs också behövas för att undvika att registrering av skulder sker av misstag. Upplysningscentralen, UC, har i anledning av inspektionsprojektet skärpt sina rutiner för rättelser. Alla uppgifter som raderas i kronofogdemyndigheternas register tas nu bort även hos UC. Banker och andra kreditinstitut har ansvar för att löpande utvärdera hur antalet kreditförfrågningar om en privatperson påverkar kreditvärdigheten. Av Finansinspektionens allmänna råd 2001:8 framgår numera att enbart den omständigheten att en kund har fått en s.k. betalningsanmärkning inte bör utgöra tillräcklig grund för banken att neka kunden bankkonto med betaltjänster.</P> </DIV> <DIV id="page_99"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">108 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p195 ft35"><SPAN class="ft1">4.5</SPAN><SPAN class="ft34">Datainspektionens övriga tillsynsverksamhet</SPAN></P> <P class="p141 ft2">Datainspektionens tillsynsverksamhet bedrivs som framgått inte enbart i form av inspektioner och kontroll av behandlingen av personuppgifter.</P> <P class="p189 ft0">Ett viktigt komplement till myndighetens inspektionsverksamhet är arbetet med att informera och ge råd till personuppgiftsansvariga för att förebygga att integritetsskyddet åsidosätts av misstag eller okunnighet. De tillsynsprojekt som inspektionen har genomfört visar att detta arbete är betydelsefullt, såväl inom den offentliga som den enskilda sektorn. Datainspektionen framhåller att genom en uppsökande verksamhet från inspektionens sida kan misstag klaras ut och rutiner anpassas, samtidigt som erfarenheterna från fältet ger inspektionen ett värdefullt underlag för att se över behovet av ytterligare bransch- eller sektorsanpassade föreskrifter.</P> <P class="p85 ft2">Sedan personuppgiftslagens tillkomst har enligt Datainspektionen mycket resurser lagts ned på information till personuppgiftsombuden.</P> <P class="p66 ft0">En annan del i det förebyggande arbetet för att värna om integritetsskyddet är Datainspektionens roll som remissinstans. Inspektionens möjlighet att lämna synpunkter på utredningsbetänkanden och förslag från regeringen, som rör integritetsfrågor är av central betydelse för att sådana frågor skall beaktas fullt ut.</P> <P class="p61 ft2">Datainspektionen har härutöver ett ökande antal internationella åtaganden.</P> <P class="p110 ft24"><SPAN class="ft24">4.5.1</SPAN><SPAN class="ft54">Informationsverksamheten i siffror</SPAN></P> <P class="p111 ft0">Datainspektionens informationsverksamhet bedrivs på många olika sätt. Myndigheten anordnar konferenser, ger föreläsningar, håller presskonferenser, ger ut informationsbroschyrer, svarar på frågor och lämnar information via en egen <NOBR>webb-sida.</NOBR></P> <P class="p59 ft0">Datainspektionens konferensverksamhet under de senaste åren har naturligen främst haft anknytning till den nya personuppgiftslagen. Under år 1999 anordnade Datainspektionen fyra konferenser som handlade om personuppgiftsombud, personuppgiftslagen i praktiken och <NOBR>IT-säkerhet.</NOBR> Två konferenser anordnades under år 2000, också om personuppgiftslagen och personuppgiftsombud. Därutöver var Datainspektionen värd för de europeiska dataskyddschefernas årliga konferens. Fram till och med oktober år 2001 har Datainspektionen anordnat två heldagskonferenser i ämnena ”Vad händer dagen PuL” och ”Integritet i arbetslivet”.</P> </DIV> <DIV id="page_100"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">109</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p129 ft0">Datainspektionens personal håller föreläsningar på såväl egna som andras konferenser och även i andra sammanhang. Antalet föreläsningar uppgick år 1999 till 137 stycken och år 2000 till 149 stycken. Under år 2001 kommer Datainspektionen att hålla ca 165 föreläsningar. Till denna verksamhet åtgår ca två årsarbetskrafter.</P> <P class="p46 ft0">Som ett komplement till konferensverksamheten håller Datainspektionen sedan år 2000 särskilda seminarier för personuppgiftsombud. Under år 2000 hölls fyra sådana seminarier för bl.a. kommuner. Innan år 2001 gått till ända kommer Datainspektionen att ha hållit sju särskilda seminarier för personuppgiftsombud.</P> <P class="p51 ft0">En viktig del av Datainspektionens informationsverksamhet är myndighetens <NOBR>call-center.</NOBR> Funktionen inrättades för att koncentrera telefonfrågorna till två erfarna handläggare och på så sätt effektivisera verksamheten. Datainspektionens erfarenhet är att tidsåtgången för allmänna frågor härigenom har minskat. Inspektionens <NOBR>call-center</NOBR> får årligen ca 15 000 samtal. En del telefonfrågor leder till att det skapas regelrätta ärenden.</P> <P class="p79 ft0">Datainspektionen har en egen <NOBR>webb-sida</NOBR> där aktuell information ständigt förmedlas. Inspektionen lägger på <NOBR>webb-sidan</NOBR> bl.a. ut samtliga de skrifter som myndigheten producerar. Allteftersom praxis utvecklas är det myndighetens ambition att förmedla fler frågor och svar via hemsidan.</P> <P class="p45 ft0">Myndigheten producerar alla sina skrifter själv, såsom årsredovisningar, informationsbroschyrer och allmänna råd m.m. Inspektionen ger också ut en egen tidskrift, <SPAN class="ft3">magazin Direkt</SPAN>.</P> <P class="p66 ft2">I informationsverksamheten ingår vidare att anordna presskonferenser, ge ut pressmeddelanden och samla in pressklipp. Datainspektionen har under år 2001, till och med oktober, anordnat två presskonferenser och sänt ut sex pressmeddelanden.</P> <P class="p99 ft24"><SPAN class="ft24">4.5.2</SPAN><SPAN class="ft54">Remisser i siffror och internationellt arbete</SPAN></P> <P class="p57 ft0">Datainspektionen används som remissinstans av såväl regeringen som andra myndigheter när det gäller förslag som rör integritetsfrågor. Därutöver tillkommer att stort antal delningar från regeringen beträffande sådana förslag.</P> <P class="p59 ft2">Under år 1999 svarade Datainspektionen på sammanlagt 71 remisser och under år 2000 var antalet 96. Fram till och med den 15 oktober 2001 har Datainspektionen svarat på sammanlagt 56 remisser. Av dessa kom 36 från departement och 20 från andra myndigheter. I den senare siffran ingår framställningar om yttranden från polis, åklagare och</P> </DIV> <DIV id="page_101"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">110 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">domstol samt diverse enkäter. Antalet s.k. delningar under samma period var ca 50 stycken.</P> <P class="p66 ft0">Datainspektionen har härutöver bl.a. utarbetat egna föreskrifter och allmänna råd, samt under år 1999 yttrat sig över två branschöverenskommelser avseende behandling av personuppgifter.</P> <P class="p61 ft2">Datainspektionen deltar också med experter i regeringskansliets kommittéväsende.</P> <P class="p66 ft0">Datainspektionens internationella åtaganden har ökat under de senaste åren. Det internationella arbetet sker bl.a. i de gemensamma tillsynsmyndigheterna inom ramen för det internationella polis- och tullsamarbetet och i den s.k. <NOBR>29-gruppen</NOBR> som skall finnas enligt dataskyddsdirektivet. Därutöver äger också i andra sammanhang kontakter rum med utländska dataskyddsmyndigheter. För att beskriva omfattningen och ökningen av det internationella arbetet kan som jämförelse nämnas att under år 1999 kostade verksamheten 3 376 000 kr och motsvarade 8 procent av total arbetad tid. Under år 2000 uppgick den internationella verksamheten till 12 procent av totalt arbetad tid och kostade myndigheten 6 165 000 kr. Myndighetens internationella verksamhet under de tre första kvartalen år 2001 kostade 4 475 807 kr och motsvarade sammanlagt 8,5 procent av totalt arbetad tid.</P> <P class="p169 ft1"><SPAN class="ft1">4.6</SPAN><SPAN class="ft30">Tillsynsverksamheten inom EU</SPAN></P> <P class="p76 ft0">Enligt direktiven skall utredningen informera sig om hur tillsynen enligt dataskyddsdirektivet är organiserad och bedrivs i övriga Europa. Utredningen har i anledning härav utformat en enkät som ställts till Datainspektionens motsvarigheter i samtliga <NOBR>EU-länder</NOBR> samt Norge och Island.</P> <P class="p59 ft0">I enkäten ställs vissa allmänna frågor om inriktningen och omfattningen av myndigheternas tillsyn enligt dataskyddsdirektivet och inom det internationella polis- och tullsamarbetet. Enkäten i sin helhet är intagen i betänkandet som bilaga 2.</P> <P class="p45 ft0">Utredningen har inte fått svar från samtliga de länder som enkäten ställts till och de svar som erhållits skiljer sig åt i omfattning och innehåll. Mot bakgrund härav kan det endast ges en översiktlig bild av hur verksamheten bedrivs i de olika länderna. Den mest informativa beskrivningen av sin verksamhet har dataskyddsmyndigheten i Nederländerna lämnat. En närmare beskrivning av dess verksamhet finns i kapitel 10.5.</P> <P class="p79 ft2">De övriga länder som svarat på enkäten är Danmark, Finland, Irland, Island, Norge, Portugal, Spanien och Tyskland.</P> </DIV> <DIV id="page_102"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">111</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">4.6.1</SPAN><SPAN class="ft41">Danmark</SPAN></P> <P class="p44 ft0">Dataskyddsmyndigheten i Danmark, Datatilsynet, består av ett råd och ett sekretariat som utövar tillsyn över de behandlingar som omfattas av persondataloven, vilken lag genomför dataskyddsdirektivet i dansk rätt. Rådet beslutar i ärenden av principiell karaktär och av betydande allmänt intresse. Den dagliga verksamheten sköts av sekretariatet som består av ca 30 medarbetare och som leds av en direktör.</P> <P class="p45 ft0">Datatilsynet har befogenheter i enlighet med dataskyddsdirektivet. Myndigheten kan på eget initiativ eller efter klagomål inspektera om behandling av personuppgifter sker lagenligt, och bl.a. tvinga personuppgiftsansvariga att upphöra med behandling som inte sker i överensstämmelse med lagen.</P> <P class="p45 ft0">Redan i samband med godkännandet av de anmälningar om behandling av personuppgifter som lämnas in till myndigheten företas en första kontroll av behandlingens lagenlighet. Som svar på anmälningarna lämnar Datatilsynet ett tillstånd, om anmälan avser privat verksamhet, och ett utlåtande om anmälan kommer från den offentliga sektorn. Datatilsynet kan också avvisa en anmälan t.ex. om den aktuella behandlingen av personuppgifter inte är förenlig med lagen.</P> <P class="p196 ft0">Myndigheten behandlar ca <NOBR>200–250</NOBR> klagomål från allmänheten per</P> <P class="p197 ft0">år.</P> <P class="p66 ft0">Datatilsynet genomför varje år ca <NOBR>50–75</NOBR> inspektioner av såväl offentlig som privat verksamhet. Inspektionsobjekten väljs ut bl.a. med hjälp av Datatilsynets förteckning över anmälningar. Inspektionerna utförs av två till tre jurister, ibland i sällskap med myndighetens IT- medarbetare.</P> <P class="p51 ft25">Datatilsynet är nationell tillsynsmyndighet enligt Europol- och Schengenkonventionerna.</P> <P class="p99 ft24"><SPAN class="ft24">4.6.2</SPAN><SPAN class="ft41">Finland</SPAN></P> <P class="p111 ft2">Dataskyddsdirektivet har införts i finsk rätt genom personuppgiftslagen som trädde i kraft den 1 juni 1999.</P> <P class="p66 ft0">I Finland sköts tillsynsmyndighetens uppgifter av Dataombudsmannen och Dataombudsmannens byrå som bistår med handledning och rådgivning i frågor kring användningen av personuppgifter och som övervakar att lagstiftningen följs.</P> <P class="p61 ft2">Datombudsmannens byrå är en självständig myndighet. Byrån leds av en dataombudsman som utses av justitieministern för fem år åt gången. Byråpersonalen uppgår till sammanlagt 18 personer.</P> </DIV> <DIV id="page_103"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">112 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p129 ft0">Dataombudsmannens främsta uppgift är att i förebyggande syfte verka för att registerföringen sker lagenligt. Byrån producerar material för handledning och information om personuppgiftslagen både för registeransvariga och registrerade. Dessutom föreläser experterna vid byrån vid kurser och seminarier arrangerade såväl av byrån som olika organisationer. En stor del av verksamheten utgörs av telefonrådgivning. Handledning och rådgivning i anslutning till olika IT- projekt är ett viktigt verksamhetsområde som växer hela tiden.</P> <P class="p63 ft2">Dataombudsmannen ger vid behov råd och handledning vid utformningen av branschspecifika etikregler för registerföring.</P> <P class="p66 ft0">Utöver allmän rådgivning ger Dataombudsmannen på begäran handledning och råd till registeransvariga och registrerade samt fattar beslut om lagligheten av registerföring och hur registrerades rättigheter skall realiseras.</P> <P class="p66 ft0">Dataombudsmannen skall höras vid beredningen av lagstiftnings- och förvaltningsreformer som rör behandling av personuppgifter. I praktiken sker detta genom att Dataombudsmannen avger utlåtanden och medverkar i arbetsgrupper som tillsatts för att bereda och övervaka lagstiftningsarbetet. Åklagare skall höra Dataombudsmannen innan åtal väcks om förfaranden i strid med personuppgiftslagen. Likaså skall domstol som handlägger ett sådant ärende bereda Dataombudsmannen möjlighet att yttra sig.</P> <P class="p45 ft0">Dataombudsmannens byrå ger ut en tidskrift som vänder sig i första hand till registeransvariga. Byrån publicerar också informationsbroschyrer och har en egen <NOBR>webb-sida</NOBR> med senaste nytt om dataskydd.</P> <P class="p66 ft25">Dataombudsmannen är nationell tillsynsmyndighet enligt Europol- och Schengenkonventionerna.</P> <P class="p99 ft24"><SPAN class="ft24">4.6.3</SPAN><SPAN class="ft41">Irland</SPAN></P> <P class="p111 ft0">I Irland utförs tillsynsmyndighetens uppgifter av The Data Protection Commissioner. På grund av resursbrist har ännu inte några inspektioner av behandling av personuppgifter genomförts. Avsikten är att sådan verksamhet skall komma igång inom en snar framtid, eftersom detta anses viktigt enligt dataskyddsdirektivet.</P> </DIV> <DIV id="page_104"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">113</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">4.6.4</SPAN><SPAN class="ft41">Island</SPAN></P> <P class="p143 ft2">Persónuvernd är den myndighet som i Island har till uppgift att se till att dataskyddsreglerna följs. Persónuvernd har emellertid bara varit i funktion sedan den 1 januari 2001.</P> <P class="p172 ft0">Persónuvernd inspekterar behandling av personuppgifter på eget initiativ eller på grund av klagomål som kommer in till myndigheten. Myndigheten har härvid i princip samma befogenheter som den svenska Datainspektionen.</P> <P class="p66 ft0">I Island åligger det varje personuppgiftsansvarig att utforma ett eget säkerhetssystem för att förvissa sig om att personuppgifter behandlas på ett korrekt sätt. Härvid skall den personuppgiftsansvarige ha en skriven säkerhetspolicy, göra en riskanalys och bestämma lämpliga skyddsåtgärder med hänsyn till den typ av personuppgifter som behandlas.</P> <P class="p51 ft2">Persónuvernd grundar sina inspektioner på det nämnda skrivna material som varje personuppgiftsansvarig måste utarbeta. Med hänsyn till den korta tid som myndigheten ännu arbetat är det svårt att säga något om omfattningen av inspektionsverksamheten.</P> <P class="p99 ft24"><SPAN class="ft24">4.6.5</SPAN><SPAN class="ft41">Nederländerna</SPAN></P> <P class="p111 ft0">Dataskyddsmyndigheten i Nederländerna har i sin verksamhet lagt stor vikt vid att i samarbete med företag och andra organisationer utarbeta branschöverenskommelser och annan form av självreglering. De viktigaste erfarenheterna av tillsynsverksamheten i Nederländerna redovisas därför i kapitel 11 som handlar om självreglering.</P> <P class="p161 ft24"><SPAN class="ft24">4.6.6</SPAN><SPAN class="ft41">Norge</SPAN></P> <P class="p111 ft2">I Norge trädde den nya loven om behandling av personupplysninger (PoL) i kraft den 1 januari 2001. Lagen bygger på dataskyddsdirektivet.</P> <P class="p61 ft0">Tillsynsmyndighet enligt PoL är Datatilsynet. Eftersom PoL bygger på kontroll i efterhand, är huvudinriktningen för Datatilsynets verksamhet att tillsynen skall öka kraftigt. Datatilsynet har mot bakgrund härav gjort vissa organisatoriska förändringar som bl.a. inneburit att myndigheten skapat en ny tillsyns- och säkerhetsenhet.</P> <P class="p61 ft2">Datatilsynet har som huvuduppgift att kontrollera att lagar och förordningar som gäller behandling av personuppgifter efterlevs. Därutöver skall myndigheten bl.a. informera alla om vilka rättigheter och skyldigheter som följer med PoL och bidra till att lagens innehåll</P> </DIV> <DIV id="page_105"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">114 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p127 ft0">blir känt och förstått, så att det därigenom är möjligt att efterleva lagens krav. Myndigheten skall också hålla sig orienterad om utvecklingen vad gäller behandling av personuppgifter, uppmärksamma hot mot den personliga integriteten och ge råd om hur hoten skall undvikas eller begränsas och vägleda i frågor som rör den personliga integriteten.</P> <P class="p45 ft2">Datatilsynet hanterar vidare frågor om tillstånd till behandling av personuppgifter och för en förteckning över anmälningar om behandlingar av personuppgifter.</P> <P class="p66 ft0">Datatilsynets verksamhet har genomgått stora förändringar under år 2001 som en följd av den nya lagstiftningen. Nya mål för verksamheten har satts upp och kontrollmetoder och arbetsbeskrivningar för myndighetens alla sektioner har utarbetats. Plan för hur målen skall nås och hur verksamheten skall utvärderas har lagts fast. Vilka uppgifter de olika enheterna särskilt skall prioritera har också bestämts.</P> <P class="p75 ft24"><SPAN class="ft24">4.6.7</SPAN><SPAN class="ft41">Portugal</SPAN></P> <P class="p111 ft2">I Portugal utförs tillsynsmyndighetens uppgifter av Comissâo Nacional de Proteccâo de Dados (CNPD).</P> <P class="p66 ft0">CNPD utför inspektioner av behandlingen av personuppgifter utifrån klagomål eller på eget initiativ. Regelbundet utförs inspektioner för att kontrollera att behandlingar sker i enlighet med de uppgifter som lämnats till myndigheten i anmälningar. Inspektioner sker också inom specifika sektorer i samhället.</P> <P class="p66 ft0">Inspektionerna utförs i första hand av personal med särskilda kunskaper i informationsteknik. CNPD har i princip samma befogenheter som den svenska Datainspektionen och utför inspektioner hos alla typer av organisationer såväl privata som offentliga.</P> <P class="p59 ft2">CNPD är nationell tillsynsmyndighet enligt <NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna</NOBR> och deltar i de olika internationella samarbetsorganen enligt konventionerna.</P> <P class="p110 ft24"><SPAN class="ft24">4.6.8</SPAN><SPAN class="ft41">Spanien</SPAN></P> <P class="p111 ft0">I Spanien har man sedan år 1992 haft en dataskyddslagstiftning som i stort uppfyller de krav som ställs upp i dataskyddsdirektivet. Direktivet infördes fullt ut i spansk lagstiftning genom en ny lag som trädde i kraft den 14 januari 2001. Den nya lagen innebar inga större förändringar i tillsynsmyndighetens, Agencia de Protección de Datos (APD), uppgifter och befogenheter.</P> </DIV> <DIV id="page_106"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td92"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td93"><SPAN class="p9 ft31">Datainspektionens tillsynsverksamhet <SPAN class="ft10">115</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td94"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td95"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft2">APD är tillsynsmyndighet med ansvar för behandlingen av personuppgifter inom såväl privat som offentlig verksamhet, och enligt konventionerna inom det internationella polis- och tullsamarbetet.</P> <P class="p66 ft0">APD har som tillsynsmyndighet de befogenheter som framgår av dataskyddsdirektivet. Inspektioner sker med anledning av klagomål eller på myndighetens eget initiativ. Särskilda inspektioner äger rum för att undersöka förhållandena inom speciella sektorer av samhället. Denna form av inspektion är den mest omfattande som myndigheten utför.</P> <P class="p198 ft0">Varje inspektion föregås av en noggrann planering, och genomförs enligt detaljerade manualer. Resultatet av en inspektion sammanfattas i en rapport som överlämnas till chefen för APD. Den personal som utför inspektionen fattar aldrig några beslut vad avser frågan om behandlingen av personuppgifter sker korrekt och i enlighet med gällande rätt. Ifrågavarande personal samlar endast in information. Därefter fattas beslut om eventuella ingripanden på det underlag som tagits fram.</P> <P class="p148 ft24"><SPAN class="ft24">4.6.9</SPAN><SPAN class="ft41">Tyskland</SPAN></P> <P class="p111 ft0">På grund av konstitutionella orsaker är ansvaret för dataskydd i Tyskland uppdelat mellan federationen och de olika delstaterna. Den federala dataskyddsmyndigheten, Der Bundesbeauftragte für den Datenschutz, utövar tillsyn över federala organ, telekommunikation och postservice. Ansvaret för tillsyn över lokala myndigheter och privata organisationer ligger på delstatsnivå.</P> <P class="p59 ft2">Den federala tillsynsmyndigheten är ansvarig för uppgifterna enligt konventionerna inom det internationella polis- och tullsamarbetsområdet.</P> <P class="p61 ft0">Dataskyddsdirektivet är ännu inte infört i tysk rätt. När det gäller tillsynsmyndighetens uppgifter och befogenheter gäller emellertid i huvudsak motsvarande regler redan.</P> <P class="p66 ft0">Den federala tillsynsmyndigheten är utformad som en dataombudsman som väljs på fem år av Förbundsdagen. Myndigheten utför ca 40 inspektioner per år. I övrigt ägnas en stor del av myndighetens resurser åt information och rådgivning samt handläggning av klagomål.</P> <P class="p61 ft2">I Tyskland måste varje företag som har minst fem personer anställda och som använder datorer för att behandla personuppgifter utse en särskild dataskyddsexpert.</P> <P class="p66 ft2">Dataskyddslagstiftningen i Tyskland är utformad som en ramlag kompletterad med lagstiftning för vissa särskilda branscher, t.ex. media och telekommunikation.</P> </DIV> <DIV id="page_107"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">116 </SPAN>Datainspektionens tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft2">I syfte att ytterligare stärka dataskyddet i landet skapades år 1991 ett särskilt federalt <NOBR>IT-säkerhetsorgan.</NOBR> Detta har bl.a. till uppgift att vara rådgivande till dataombudsmannen i tekniska frågor. Dessutom inspekterar organet/myndigheten säkerheten i de informationssystem som presenteras på marknaden och kan utfärda certifikat för marknadsföringsändamål.</P> </DIV> <DIV id="page_108"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">117</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p42 ft5">5 Datainspektionens finansiering</P> <P class="p200 ft56"><SPAN class="ft1">5.1</SPAN><SPAN class="ft55">Principer för fördelning mellan skattefinansierad verksamhet och avgiftsfinansierad verksamhet</SPAN></P> <P class="p82 ft0">Frågan om avgiftsfinansiering av statlig tillsynsverksamhet har bl.a. behandlats av kemikalieutredningen i betänkandet (SOU 2001:4) Kemikalieinspektionen Översyn av verksamhet, resurser och finansiering. I bilaga 3 till betänkandet har Ekonomistyrningsverket (ESV) lämnat en underlagsrapport som behandlar regler och riktlinjer för avgiftsbelagd verksamhet, gränsdragningen mellan skatt och avgift, avgiftskonstruktioner, tillsynsverksamheters avgiftskonstruktion samt analys av finansieringen av Kemikalieinspektionens verksamhet.<SPAN class="ft27">1</SPAN></P> <P class="p85 ft2">ESV har vidare i rapporten Att styra avgiftsbelagd verksamhet (ESV 2000:21) redogjort för vilka överväganden som bör göras i samband med avgiftsbeläggning av statlig verksamhet.</P> <P class="p110 ft24"><SPAN class="ft24">5.1.1</SPAN><SPAN class="ft41">Skatt eller avgift</SPAN></P> <P class="p163 ft0">Offentliga inkomster består huvudsakligen av skatter och avgifter. Det går inte att dra någon definitiv gräns mellan begreppen skatt och avgift. Redan i förarbetena till regeringsformen framhöll man att gränsen mellan skatter och avgifter är flytande. Således innehåller regeringsformen inte någon definition av varken begreppet skatt eller avgift.</P> <P class="p46 ft0">I förarbetena uttalas emellertid att skillnaden mellan skatt och avgift är att en skatt kan karaktäriseras som ett tvångsbidrag till det allmänna utan direkt motprestation, medan det med avgift vanligen förstås en penningprestation som betalas för en specificerad motprestation från det allmänna.<SPAN class="ft27">2 </SPAN>Det är också denna definition som allmänt används för</P> <P class="p93 ft11"><SPAN class="ft38">1</SPAN><SPAN class="ft39">SOU 2001:4 s. 314 ff.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">Prop. 1973:90 s. 213.</SPAN></P> </DIV> <DIV id="page_109"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">118 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">att skilja begreppen åt. För att avgöra vad som kan anses vara skatt eller avgift måste således en bedömning göras i varje enskilt fall.</P> <P class="p99 ft24"><SPAN class="ft24">5.1.2</SPAN><SPAN class="ft41">Vem beslutar om skatter och avgifter?</SPAN></P> <P class="p111 ft0">Den praktiska betydelsen av gränsdragningen mellan skatt och avgift inskränker sig till de situationer då riksdagen överväger att delegera beslutskompetensen till regeringen. Det är riksdagen som fattar beslut om skatter. Riksdagen får enligt kapitel 8 i regeringsformen inte delegera beslut om skatter. Beslut om offentligrättsliga avgifter kan däremot delegeras till regeringen eller en myndighet.</P> <P class="p66 ft0">Att besluta om att införa avgift för prestationer som efterfrågas frivilligt (uppdragsverksamhet) hör däremot till regeringens kompetensområde. Regeringen kan också bestämma att en statlig myndighet skall ta ut ersättning av andra statliga myndigheter för en viss prestation oavsett om efterfrågan är frivillig eller tvingande.</P> <P class="p85 ft0">En statlig myndighet har bara rätt att ta ut avgifter om det finns ett bemyndigande från regeringen. Om det rör sig om offentligrättsliga, s.k. tvingande avgifter skall riksdagen dessförinnan ha beslutat att verksamheten skall bedrivas och att den skall vara avgiftsbelagd.</P> <P class="p59 ft0">En avgift betraktas som offentligrättslig om den innebär ett ingrepp i enskildas ekonomiska förhållanden. Avgörande för om verksamheten skall betecknas som offentligrättslig avgiftsbelagd verksamhet eller som uppdragsverksamhet är om myndigheten har ett formellt monopol eller ej på att bedriva verksamheten. Man kan säga att en offentligrättslig avgift i regel tas ut för en verksamhet som en myndighet bedriver med ensamrätt inom landet. Den enskilde skall vara rättsligt eller faktiskt tvingad att betala avgiften.<SPAN class="ft27">3</SPAN></P> <P class="p45 ft2">Om det råder tveksamhet om det är fråga om en offentligrättslig avgift eller en frivillig avgift kan regeringen föreslå att riksdagen beslutar om att avgiftsbelägga verksamheten.</P> <P class="p110 ft24"><SPAN class="ft24">5.1.3</SPAN><SPAN class="ft41">Avgift för tillsynsverksamhet</SPAN></P> <P class="p57 ft0">Vid tillsynsverksamhet finns inte alltid ett direkt samband mellan avgiften och den prestation som staten svarar för. Ofta finns däremot ett samband mellan den statliga verksamheten och den grupp företag som genom avgifter finansierar verksamheten. Kollektivet svarar för sambandet, inte de enskilda företagen. När verksamheten riktar sig till</P> <P class="p119 ft11"><SPAN class="ft27">3 </SPAN>Prop. 1973:90 s. 218.</P> </DIV> <DIV id="page_110"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">119</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">ett litet antal lätt identifierbara tillsynsobjekt finns ett klart samband mellan avgift och prestation. Vid stigande antal tillsynsobjekt blir sambandet svagare för att i vissa fall upplösas.</P> <P class="p69 ft0">Tillsynsavgifter betraktas enligt ESV vanligen som avgifter och har ofta karaktären av ”kollektiva avgifter”, men steget till punktskatt är inte långt. För att avgöra vad som kan anses vara skatt eller avgift måste en bedömning göras i varje enskilt fall. Vägledning finns i förarbetena till regeringsformen och i praxis.</P> <P class="p70 ft0">I fråga om kollektiva motprestationer, dvs. avgift för tillsyn av en viss näringsgren eller en viss verksamhet där det inte utgår någon direkt motprestation, råder i doktrinen en allmän enighet om att som förutsättningar för tillåten normgivning gäller att avnämarkollektivet kan avgränsas och identifieras helt klart och att ingen i kollektivet kan dra sig undan avgiften. Vid tveksamhet härom kan det ifrågasättas om t.ex. en tillsyn i näringsgren i princip kan ses som en verksamhet i de kontrollerades intresse, eller om tillsynen snarare tillgodoser ett allmänt intresse.<SPAN class="ft27">4</SPAN></P> <P class="p71 ft0">Om inga identifierbara kunder eller ett definierat avgiftskollektiv finns kan verksamheten inte avgiftsbeläggas. Vid avgiftsbeläggning av tillsyn kan hävdas att det inte är de enskilda betalarna utan det allmänna som erhåller motprestationen i form av t.ex. säkrare banksystem eller renare miljö. Verksamheten riktar sig mot kollektivet av medborgare, inte mot enskilda individer eller företag.</P> <P class="p123 ft2">För att vara säker på att avgiften verkligen är en avgift måste, enligt ESV:s bedömning, motprestationen riktas direkt mot den betalande genom t.ex. prövning eller faktisk tillsyn.</P> <P class="p70 ft0">Sannolikt uppfylls avgiftskriteriet också om avgiftskollektivet kan definieras väl och ett rimligt samband föreligger mellan den prestation som myndigheten utför och summan av de avgifter som avgiftskollektivet erlägger.</P> <P class="p70 ft0">ESV konstaterar att lagreglerade avgiftsuttag teoretiskt kan vara konstruerade på många olika sätt utan att avgiftsuttaget strider mot lag eller grundlag. Däremot kan avgiftsuttaget vara mindre lämpligt även om det till nöds uppfyller de formella kraven. Erfarenhetsmässigt bör därför avgiftssystemet konstrueras så att tydligt samband erhålls mellan avgift och motprestation. I annat fall ökar risken för att avgiftssystemet ifrågasätts från såväl avgiftskollektivet som rättsvårdande instanser.</P> <P class="p201 ft11"><SPAN class="ft27">4 </SPAN>Leidhammar, Skattenytt 2001 s. 110, se t.ex. Westerberg, Förvaltningsrättslig tidskrift 1982 s. 13.</P> </DIV> <DIV id="page_111"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">120 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">5.1.4</SPAN><SPAN class="ft41">För och emot avgiftsfinansiering</SPAN></P> <P class="p44 ft25">ESV har listat följande argument för och emot avgiftsfinansiering av statlig verksamhet.</P> <P class="p48 ft3">Argument för avgiftsfinansiering</P> <P class="p202 ft2"><SPAN class="ft37">N </SPAN>Det är rimligt att den som utnyttjar en verksamhet också betalar för den.</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>En avgift kan öka kostnadsmedvetandet hos både producent och avnämare samt höja produktiviteten.</P> <P class="p203 ft0"><SPAN class="ft36">N </SPAN>En avgift kan ge en statsfinansiell effekt. <SPAN class="ft36">N </SPAN>Ett <NOBR>kund-leverantörsförhållande</NOBR> upprättas.</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>Man kan minska efterfrågan på en vara eller tjänst.</P> <P class="p92 ft2"><SPAN class="ft37">N </SPAN>Det finns en överkapacitet i myndigheten som tillfälligt kan utnyttjas till att bedriva avgiftsfinansierad verksamhet.</P> <P class="p89 ft0"><SPAN class="ft36">N </SPAN>Kraven på myndighetens interna uppföljningssystem och redovisning ökar mot bakgrund av att dels underlag behövs för avgiftssättningen, dels att avgiftsbelagd verksamhet skall särredovisas i årsredovisningen.</P> <P class="p204 ft3">Argument mot avgiftsfinansiering</P> <P class="p202 ft2"><SPAN class="ft37">N </SPAN>Avgiftsbeläggning kan leda till oacceptabla fördelningspolitiska effekter.</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>Det finns risk för en oönskad minskning av efterfrågan.</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>Avgiftsbeläggningen kan innebära att syftet med myndighetens verksamhet inte uppnås, eftersom det ligger i samhällets intresse att så många som möjligt får del av tjänsten.</P> <P class="p92 ft25"><SPAN class="ft57">N </SPAN>De administrativa kostnaderna för att ta ut avgiften kan bli så höga att det inte lönar sig att ta ut någon avgift.</P> <P class="p154 ft24"><SPAN class="ft24">5.1.5</SPAN><SPAN class="ft41">Vilka kostnader skall ingå i avgiften?</SPAN></P> <P class="p57 ft0">Regeringen har bestämt att full kostnadstäckning normalt skall gälla som ekonomiskt mål för avgiftsbelagd verksamhet (5 § avgiftsförordningen). För att få full kostnadstäckning i verksamheten skall myndigheten beräkna avgifterna så att intäkterna täcker samtliga kostnader - både de direkta kostnader som verksamheten orsakar och en rättvisande andel av de gemensamma kostnader som verksamheten indirekt för med sig.</P> </DIV> <DIV id="page_112"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">121</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Det finns ett generellt bemyndigande i 4 § avgiftsförordningen som innebär att myndigheten själv får besluta om att ta ut avgift för sådana varor och tjänster som räknas upp i paragrafen. Det rör sig här om publikationer, konferenser, kurser, uthyrning av lokaler och utrustning, offentlig inköps- och resurssamordning, uppgifter som lämnas ut på annat lagringsmedium än papper, tjänsteexport m.m. Verksamheten skall vara av mindre omfattning eller av tillfällig natur.</P> <P class="p131 ft2">När det gäller avgifter som tas ut enligt 4 § avgiftsförordningen får myndigheten normalt själv bestämma om avgiften skall täcka hela kostnaden eller kanske bara särkostnaden.</P> <P class="p70 ft0">ESV:s slutsatser om hur olika statliga tillsynsverksamheter finansieras med avgifter visar att avgiftskonstruktionerna varierar mycket. Den praxis som gäller, i form av befintliga avgiftskonstruktioner, kan alltså ge utrymme för många olika konstruktioner. Omkring hälften av myndigheterna har tillsynsavgifter som är beroende av tillsynsobjektens storlek eller storleken på den verksamheten som står under tillsyn.</P> <P class="p205 ft0">Att kostnader som är direkt förenade med den avgiftsbelagda verksamheten skall tas med i kostnadsunderlaget för att beräkna avgiftsnivån betraktas som givet. Vilka indirekta kostnader som skall avgiftsfinansieras är däremot inte alltid självklart. Exempel på gemensamma kostnader som i regel skall belasta både den anslagsfinansierade och den avgiftsfinansierade verksamheten är: ledning, administrativt stöd, bibliotek, lokaler, <NOBR>IT-tjänster,</NOBR> avskrivningar, räntor samt personalvård. Avgifter inom ett specifikt avgiftsområde skall beräknas så att de täcker en rättvisande andel av dessa kostnader.</P> <P class="p132 ft0">Kostnader som i vissa fall bör täckas av den avgiftsbelagda verksamheten är exempelvis en andel av myndighetens kostnader för allmän metodutveckling, forskning, historiskt utvecklingsarbete, EU- arbete och arbete med föreskrifter och allmänna råd.</P> <P class="p123 ft0">Vägledning för om kostnaderna skall ingå är hur stark kopplingen är till den motprestation som erhålls. Av betydelse är även bemyndigandet som ger myndigheten rätt att ta ut avgifter. Formuleringen att myndigheten skall finansiera prövning och tillsyn med avgifter är exempelvis en snävare avgränsning av kostnadsmassan än om myndigheten skall finansiera verksamheten med avgifter.</P> <P class="p131 ft0">När det gäller sådana kostnader som sällan skall tas med vid beräkningen av avgifterna anger ESV kostnader för överklaganden, remisser samt rådgivning och information som följer av den avgiftsfria serviceskyldighet som gäller enligt förvaltningslagen (1986:223).</P> </DIV> <DIV id="page_113"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">122 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">5.1.6</SPAN><SPAN class="ft41">Avgiftsbelagd verksamhet i konkurrens</SPAN></P> <P class="p67 ft0">Det förekommer sällan att en myndighets hela verksamhet är konkurrensutsatt. Däremot kan ofta större eller mindre delar av vissa myndigheter med anslags- eller avgiftsfinansierad verksamhet vara konkurrensutsatt i den meningen att andra producenter tillhandahåller motsvarigheter till vissa varor och tjänster som produceras.</P> <P class="p79 ft2">Statsmakterna har som huvudprincip uttalat att staten inte skall bedriva verksamhet på en marknad med fungerande konkurrens. Från denna princip finns flera undantag.</P> <P class="p89 ft0"><SPAN class="ft36">N </SPAN>Myndighetens basverksamhet ger upphov till biprodukter, t.ex. utbildnings- och konsultuppdrag, som efterfrågas på grund av myndighetens särskilda kompetens. T.ex. Patent- och registreringsverket.</P> <P class="p92 ft0"><SPAN class="ft36">N </SPAN>Myndigheten behöver för att upprätthålla en tillräcklig allmän kompetens inom sitt område utföra vissa tjänster som även bjuds ut på en marknad. T.ex. Livsmedelsverkets behov av uppdrag för att tillföra forskningen erfarenheter.</P> <P class="p92 ft2"><SPAN class="ft37">N </SPAN>En viss verksamhet anses så angelägen för samhället att det inte är lämpligt att dess existens är beroende av att en marknad är villig att tillgodose tjänsten i tillräcklig omfattning. T.ex. Lantmäteriverket.</P> <P class="p89 ft0"><SPAN class="ft36">N </SPAN>En verksamhet är bara i begränsad utsträckning intressant för en marknad och det är därför ett statligt ansvar att se till att tjänsten finns tillgänglig, t.ex. i glesbygdsområden eller för medborgare utan ekonomiska resurser.</P> <P class="p61 ft0">Frågor som ur konkurrensperspektivet kan ställas är t.ex. om det är lämpligt av resursskäl att staten bedriver en viss verksamhet eller vilka synpunkter konkurrerande aktörer har på att statlig konkurrens överhuvudtaget förekommer.</P> <P class="p51 ft2">Generellt gäller att risken för konkurrensproblem står i proportion till i vilken grad producerade tjänster sammanfaller med motsvarande kommersiellt producerade tjänster.</P> <P class="p206 ft28"><SPAN class="ft24">5.1.7</SPAN><SPAN class="ft46">Inomstatlig avgiftsbelagd verksamhet (beställar/utförarmodellen)</SPAN></P> <P class="p65 ft0">Med <NOBR>B/U-modellen</NOBR> avser ESV en modell för internprissättning inom staten. Modellen är ett alternativ till anslagsfinansiering av sådana myndigheter, eller verksamhetsgrenar inom myndigheter, där de tjänster som produceras har andra myndigheter som avnämare.</P> <P class="p59 ft2">Modellen innebär i princip att de tjänster som produceras hos en myndighet avgiftsbeläggs och anslagsmedel i stället tillförs den/dem</P> </DIV> <DIV id="page_114"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">123</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">som köper och använder tjänsten. Finansieringen av den utförande myndighetens verksamhet blir helt eller delvis beroende av avgiftsintäkter.</P> <P class="p61 ft0">Modellen har som syfte att åstadkomma större effektivitet och kostnadsmedvetenhet inom statlig verksamhet. Avsikten är att i någon mån efterlikna marknadsmässiga förutsättningar.</P> <P class="p61 ft0">Genom att efterfrågan styrs av beställaren finns förutsättningar för en bättre efterfrågeanpassning av verksamhetsvolymen hos utföraren. Den myndighet som utför en tjänst tvingas att göra detta till ett pris och med ett innehåll och en kvalitet som leder till tillräckligt stor efterfrågan för att finansiera verksamheten.</P> <P class="p51 ft0">En allmän förutsättning för att modellens önskade effekter skall kunna uppkomma brukar anses vara att båda myndigheterna, framför allt den beställande, har valfrihet i sitt agerande.</P> <P class="p66 ft0">De positiva effekter modellen har kan bl.a. motverkas av sådana faktorer som att utföraren har monopolställning, beställaren har en reglerad skyldighet att beställa tjänsten eller att tjänstens innehåll och sättet att utföra den är till stor del reglerad och given.</P> <P class="p59 ft0">Detta hindrar dock inte att modellen kan ha vissa positiva effekter även under nämnda förhållanden. Den nya formen för finansiering och de förändrade rollerna för myndigheterna kan i många fall bidra till ett nytt sätt att se på kostnaderna. Dessutom tydliggör en avgift kostnaderna för en verksamhet, eller för enskilda tjänster. Detta informationsvärde hos en avgift kan bidra till ett allmänt ökat kostnadsmedvetande oberoende av övriga förutsättningar.</P> <P class="p79 ft2">I en situation med begränsad valfrihet måste det emellertid ställas särskilt höga krav på att kunna visa att förväntade effekter har ett värde som överstiger kostnaderna för genomförande och administration.</P> <P class="p110 ft24"><SPAN class="ft24">5.1.8</SPAN><SPAN class="ft41">Olika avgiftskonstruktioner</SPAN></P> <P class="p57 ft2">De vanligast förekommande avgiftskonstruktionerna är saktaxa och tidtaxa. Avgiften kan också utformas som tvådelade tariffer som består av en fast och en rörlig avgift eller baseras på t.ex. omsättning, volym eller balansomslutning.</P> <P class="p54 ft3">Saktaxa</P> <P class="p111 ft2">Saktaxa är en fast avgift som regeringen eller myndigheten bestämmer i förväg. Den är enkel och överskådlig för den avgiftsskyldige och kan användas om kostnaderna för prestationen inte varierar för mycket.</P> </DIV> <DIV id="page_115"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">124 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">Exempel på saktaxa är avgift för ansökan om pass eller ansökan om tillstånd att inneha skjutvapen.</P> <P class="p61 ft0">Fördelar med saktaxa är att den som köper en tjänst eller vara i förväg har vetskap om vad det kostar, den är lätt att administrera och följa upp och det upplevs som rättvist att alla får betala lika mycket.</P> <P class="p61 ft2">Nackdelar med saktaxa kan vara att sambandet mellan avgift och nedlagda kostnader blir för svagt därför att det är stora skillnader mellan de kostnader som en viss användare förorsakar och vad denne får betala.</P> <P class="p48 ft3">Tidtaxa</P> <P class="p50 ft0">Tidtaxa är en avgift som direkt motsvarar den tid som krävs för att fullgöra uppdraget. Avgiften baseras normalt på direkta lönekostnader med pålägg för att täcka en del av de kostnader som är indirekt förenade med verksamheten samt eventuella övriga kostnader.</P> <P class="p51 ft0">En tidtaxa används vid debitering enligt s.k. löpande räkning eller ligger till grund för ett fast pris. Genom användningen av fast pris har köparen, precis som vid saktaxa, i förväg vetskap om hur mycket han eller hon behöver betala.</P> <P class="p61 ft2">Fördelen med löpande räkning är främst att köparen får ersätta de kostnader som just hans eller hennes uppdrag har orsakat.</P> <P class="p66 ft0">Nackdelar med löpande räkning är att debiteringssättet inte ger incitament till kostnadseffektivitet, att det är svårt för köparen att i förväg uppskatta kostnaderna och att risken för att köparen ifrågasätter avgiftens storlek ökar när tidsåtgång redovisas, varför det kan uppfattas som svårt att ta betalt för faktiskt nedlagt arbete. Det kan också vara svårt att få betalt av små eller betalningssvaga köpare med resurskrävande ärenden.</P> <P class="p148 ft24"><SPAN class="ft24">5.1.9</SPAN><SPAN class="ft41">Redovisning av avgiftsbelagd verksamhet</SPAN></P> <P class="p44 ft0">Enligt avgiftsförordningen skall myndigheterna varje år samråda med ESV om de avgifter som myndigheten tar ut. Samråd skall ske även om avgifterna avses vara oförändrade. I de fall regeringen bestämmer avgiftens storlek skall samråd ske med ESV innan förslag lämnas till regeringen om avgiften. Myndigheterna skall på ESV:s begäran lämna uppgifter om de varor och tjänster som myndigheten tar ut avgifter för. Uppgifterna utgör underlag för bl.a. rapportering till regeringen. Av ESV:s föreskrifter och allmänna råd till avgiftsförordningen framgår hur samrådsunderlaget bör vara utformat. Syftet med samråds-</P> </DIV> <DIV id="page_116"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">125</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft0">funktionen är i första hand att kontrollera att avgifterna är beräknande utifrån det ekonomiska mål som gäller för verksamheten, att se till att regler och riktlinjer på avgiftsområdet följs och att enhetliga och vedertagna principer för prissättning tillämpas.</P> <P class="p123 ft0">En avgiftsbelagd verksamhet kan antingen redovisas i statsbudgeten eller utanför statsbudgeten. Bruttoredovisning innebär att avgiftsinkomster tillförs statskassan och redovisas under en inkomsttitel. Myndigheten får då anslagsmedel för verksamheten enligt samma regler som gäller för skattefinansierad verksamhet. Avgifter som redovisas utanför statsbudgeten disponeras av myndigheten. Intäkter och kostnader för den avgiftsbelagda verksamheten redovisas i myndighetens resultaträkning. Bruttoredovisning tillämpas i normalfallet för offentligrättsliga avgifter. Undantag härifrån kan t.ex. göras i de fall verksamhetsvolymen är så svår att bedöma på förhand att finansiering över anslag framstår som mindre ändamålsenligt. För annan avgiftsfinansierad verksamhet som är efterfrågestyrd tillämpas nettoredovisning om inte särskilda skäl talar för annat.</P> <P class="p132 ft0">För att en myndighet skall få disponera inkomsterna i den avgiftsbelagda verksamheten krävs att statsmakterna har medgivit detta. Offentligrättsliga avgifter bör i regel inte disponeras av myndigheten utan tillföras statskassan och redovisas mot en inkomsttitel. Avgifter som tas ut för frivilligt efterfrågade varor och tjänster disponeras normalt av myndigheten. Rätten att disponera avgiftsinkomsterna framgår i regel av myndighetens regleringsbrev.</P> <P class="p207 ft48"><SPAN class="ft24">5.1.10</SPAN><SPAN class="ft58">Förhållandet mellan avgift och skatt med avseende på finansiering av Datainspektionens verksamhet</SPAN></P> <P class="p208 ft0">Gränsdragningen mellan skatt och avgift är flytande. Avgörande för om en pålaga skall anses vara en avgift och inte en skatt är om det utgår en direkt motprestation. Vissa av en myndighets varor/tjänster/åtgärder har en tydligare motprestation/nytta för mottagaren än andra. Det ligger därför närmare till hands att beteckna pålagan för dessa som avgift. Men definitionen är också beroende av i vilken utsträckning man kan identifiera mottagaren. Nyttan är mer framträdande ju tydligare man kan identifiera mottagaren.</P> <P class="p209 ft2">Med utgångspunkt från vilka tjänster Datainspektionen eventuellt skulle kunna ta betalt för kan man schematiskt beskriva förhållandet på följande sätt.</P> </DIV> <DIV id="page_117"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32117x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD colspan=2 class="tr0 td100"><SPAN class="p9 ft3"><SPAN class="ft0">126 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td101"><SPAN class="p210 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td102"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td103"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td104"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr16 td105"><SPAN class="p40 ft7">Tjänst/Åtgärd</SPAN> </TD> <TD class="tr16 td106"><SPAN class="p9 ft7">Finansieringsform</SPAN> </TD> <TD class="tr16 td101"><SPAN class="p9 ft7">Mottagare</SPAN> </TD> </TR> <TR> <TD class="tr3 td105"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr3 td106"><SPAN class="p211 ft7">AVGIFT</SPAN> </TD> <TD class="tr3 td101"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr3 td105"><SPAN class="p40 ft0">Rådgivning</SPAN> </TD> <TD class="tr3 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr3 td101"><SPAN class="p9 ft0">Enskilt företag/</SPAN> </TD> </TR> <TR> <TD class="tr5 td105"><SPAN class="p40 ft0">Information</SPAN> </TD> <TD class="tr5 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td101"><SPAN class="p9 ft0">myndighet</SPAN> </TD> </TR> <TR> <TD class="tr14 td105"><SPAN class="p40 ft0">Granskning av</SPAN> </TD> <TD class="tr14 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td101"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr5 td100"><SPAN class="p40 ft0">branschöverenskommelser</SPAN> </TD> <TD class="tr5 td101"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr14 td105"><SPAN class="p40 ft0">Tillstånd</SPAN> </TD> <TD class="tr14 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td101"><SPAN class="p9 ft0">Bransch</SPAN> </TD> </TR> <TR> <TD class="tr23 td105"><SPAN class="p40 ft0">Anmälan</SPAN> </TD> <TD class="tr23 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr23 td101"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr3 td105"><SPAN class="p40 ft0">Tillsyn</SPAN> </TD> <TD class="tr3 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr3 td101"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr3 td105"><SPAN class="p40 ft0">Remisser</SPAN> </TD> <TD class="tr3 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr3 td101"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr5 td105"><SPAN class="p40 ft0">Regelgivning</SPAN> </TD> <TD class="tr5 td106"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td101"><SPAN class="p9 ft0">Alla/Samhället</SPAN> </TD> </TR> </TABLE> <P class="p212 ft7">SKATT</P> <P class="p213 ft35"><SPAN class="ft1">5.2</SPAN><SPAN class="ft34">Datainspektionens resursbehov och finansiering</SPAN></P> <P class="p214 ft28"><SPAN class="ft24">5.2.1</SPAN><SPAN class="ft46">Tidigare avgiftsfinansiering av Datainspektionens verksamhet</SPAN></P> <P class="p65 ft0">Avgifter har tagits ut i Datainspektionens verksamhet redan från starten år 1973. Något ekonomiskt mål för verksamheten hade emellertid inte formulerats då. Detta skedde först år 1979 då det i regeringens budgetproposition uttalades att avgifterna borde bestämmas så att de täckte kostnaderna för Datainspektionens verksamhet.<SPAN class="ft27">5 </SPAN>Riksdagen biträdde regeringens uppfattning.<SPAN class="ft27">6 </SPAN>En ny finansieringsmetod kom emellertid av olika skäl inte att träda i tillämpning förrän i samband med ändringarna i datalagen den 1 juli 1982. Den innebar att Datainspektionen dels debiterade sökande i tillståndsärenden en avgift för handläggningen och dels tog ut en årlig licensavgift av alla registeransvariga.</P> <P class="p152 ft11"><SPAN class="ft38">5</SPAN><SPAN class="ft39">Prop. 1978/7:100 s. 22.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">6</SPAN><SPAN class="ft39">KU 1978/79:22, rskr. 185.</SPAN></P> </DIV> <DIV id="page_118"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">127</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p129 ft0">Den nya avgiftskonstruktionen infördes genom förordningen (1982:481) om avgifter för Datainspektionens verksamhet. I förordningen angavs det ekonomiska mål som riksdagen godkände år 1979, att kostnaderna för Datainspektionens verksamhet skall täckas genom avgifter.</P> <P class="p46 ft0">Enligt förordningen skulle avgift till Datainspektionen betalas bl.a. av den som erhöll licens och ansökte om tillstånd enligt datalagen eller gjorde ansökan eller anmälan om tillstånd att bedriva kreditupplysnings- eller inkassoverksamhet. Förordningen upphävdes per den 24 oktober 1998 när licens- och tillståndssystemet enligt datalagen upphörde i samband med personuppgiftslagens ikraftträdande.</P> <P class="p45 ft0">I 1998 års ekonomiska vårproposition uttalades att sedan licensavgifterna försvunnit Datainspektionens verksamhet bör finansieras med ett förvaltningsanslag i statsbudgeten.<SPAN class="ft27">7 </SPAN>Vid denna tidpunkt kostade Datainspektionens hela verksamhet ca 24 miljoner kr. Licensintäkterna uppgick till ca 22 miljoner kr och handläggningsavgifterna till ca 2 miljoner kr. Därutöver hade inspektionen intäkter om ca 1 miljon kr som härrörde från informationsverksamheten.</P> <P class="p161 ft24"><SPAN class="ft24">5.2.2</SPAN><SPAN class="ft41">Nuvarande kostnader och intäkter</SPAN></P> <P class="p57 ft2">Av Datainspektionens årsredovisning för år 2000 framgår att kostnaden för myndighetens verksamhet år 2000 uppgick till 28 765 000 kr. Av detta belopp stod kostnader för personal för drygt 21 miljoner kr.</P> <P class="p61 ft0">Myndigheten finansierar sin verksamhet till övervägande del med intäkter från anslag, 27 412 000 kr. Övriga intäkter är avgifter och andra ersättningar från framförallt utbildningar och konferenser,</P> <P class="p155 ft0">1 203 000 kr, och finansiella intäkter.</P> <P class="p66 ft0">Budgetåret 2001 tilldelades Datainspektionen ett anslag om 26 644 000 kr.<SPAN class="ft27">8 </SPAN>För år 2002 föreslår regeringen att anslaget för Datainspektionens verksamhet skall uppgå till 29 390 000 kr. För år 2003 och 2004 beräknas anslaget uppgå till 30 105 000 kr respektive 30 693 000 kr.<SPAN class="ft27">9</SPAN></P> <P class="p215 ft11"><SPAN class="ft38">7</SPAN><SPAN class="ft39">Prop. 1997/98:150 s. 100.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">8</SPAN><SPAN class="ft39">Prop. 2000/01:01 Utgiftsområde 1, bet. 2000/01:KU1, rskr. 2000/01:63.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">9</SPAN><SPAN class="ft39">Prop. 2001/02:1 Utgiftsområde 1 s. 20.</SPAN></P> </DIV> <DIV id="page_119"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">128 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p216 ft56"><SPAN class="ft1">5.3</SPAN><SPAN class="ft55">Datainspektionens förslag </SPAN><NOBR>1998-02-26</NOBR> till finansiering av Datainspektionens tillsynsverksamhet</P> <P class="p141 ft0">Regeringen beslutade den 4 december 1997 att Datainspektionen skulle utreda och föreslå ett system för avgiftsfinansiering av den tillsyn som myndigheten skall utföra efter genomförandet av dataskyddsdirektivet i svensk lagstiftning. Av förslaget skulle framgå antalet tillsynsobjekt som skulle betala avgift samt hur objekten skulle identifieras, kriterier för att göra en eventuell differentiering av avgiftsnivån, beräknade avgiftsnivåer och administrationskostnader. Regeringens utgångspunkt för uppdraget var att kostnader för tillsyn som bedrivs av staten i princip skall belasta dem som orsakar att tillsynen behövs. Det skulle vara enkelt att identifiera dem som skapar riskerna, avgiften borde variera med graden av risk och avgiftssystemet skulle kunna administreras utan att kostnaderna blev för stora i förhållande till avgiftsintäkten.</P> <P class="p166 ft24"><SPAN class="ft24">5.3.1</SPAN><SPAN class="ft41">Datainspektionens förslag</SPAN></P> <P class="p217 ft3">Krav på finansieringssystemet</P> <P class="p57 ft2">Det skall uppfattas som rättvist och vara lätt och billigt att administrera. Ett litet företag med få behandlingar av känsliga personuppgifter skall inte behöva betala samma tillsynsavgift som en stor statlig myndighet som har en omfattande hantering av personuppgifter.</P> <P class="p54 ft3">Vem som skall betala</P> <P class="p57 ft0">Tillsynsavgift skall med vissa begränsningar betalas av alla dem som behandlar personuppgifter helt eller delvis automatiserat. Datainspektionen ansåg anmälningsskyldigheten för vissa automatiserade behandlingar inte vara en tillräcklig grund för ett avgiftsuttag, eftersom det finns omfattande undantag från skyldigheten och tillsyn kommer att bedrivas mot alla som omfattas av personuppgiftslagen oavsett om de gör någon anmälan till Datainspektionen eller inte.</P> </DIV> <DIV id="page_120"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">129</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">Ett finansieringssystem som bygger på antalet anställda</P> <P class="p50 ft0">Det sätt som Datainspektionen föreslog för att identifiera och dela in dem som skulle finansiera tillsynsverksamheten var att utgå från antalet anställda. Man förutsatte helt enkelt att de som har anställda behandlar personuppgifter, och ju fler anställda man har desto fler personuppgifter behandlar man. Med anställda skulle då avses antalet anställda per den 31 december föregående år för vilka kontrolluppgift lämnas till skattemyndigheten såvida den sammanlagda årsinkomsten översteg ett basbelopp. En sådan definition skulle enligt förslaget medge en enkel kontroll mot antingen det allmänna företagsregistret (BASUN) eller Patent- och registreringsverkets register.</P> <P class="p85 ft0">Avgiften för statliga myndigheter, kommuner och landsting skulle vara relativt sett högre, eftersom de i stor utsträckning utför behandlingar av känsliga personuppgifter.</P> <P class="p66 ft0">För att göra schablonsystemet mera rättvist föreslogs att de som har färre än tio anställda helt skulle undantas från tillsynsavgift. Det diskuterades också att man även kunde beakta t.ex. i vilken omfattning behandlingar som är känsliga från integritetssynpunkt utförs. Eftersom sådana uppgifter inte finns tillgängliga ansågs emellertid det administrativa krångel en sådan differentiering skulle medföra att rättvisan skulle bli omotiverat dyr.</P> <TABLE cellpadding=0 cellspacing=0 class="t8"> <TR> <TD colspan=2 class="tr24 td107"><SPAN class="p218 ft0">Antal</SPAN> </TD> <TD class="tr24 td108"><SPAN class="p219 ft0">Staten</SPAN> </TD> <TD class="tr24 td109"><SPAN class="p219 ft0">Kommun/Landsting</SPAN> </TD> <TD class="tr24 td108"><SPAN class="p219 ft0">Övriga</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr7 td110"><SPAN class="p218 ft0">anställda</SPAN> </TD> <TD class="tr7 td111"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td112"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td111"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr7 td113"><SPAN class="p12 ft0">10</SPAN> </TD> <TD class="tr7 td114"><SPAN class="p32 ft0">- 49</SPAN> </TD> <TD class="tr7 td111"><SPAN class="p18 ft0">2 000 kr</SPAN> </TD> <TD class="tr7 td112"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr7 td111"><SPAN class="p220 ft0">500 kr</SPAN> </TD> </TR> <TR> <TD class="tr8 td113"><SPAN class="p12 ft0">50</SPAN> </TD> <TD class="tr8 td114"><SPAN class="p32 ft0">- 199</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p18 ft0">4 000 kr</SPAN> </TD> <TD class="tr8 td112"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p221 ft0">1 000 kr</SPAN> </TD> </TR> <TR> <TD class="tr8 td113"><SPAN class="p12 ft0">200</SPAN> </TD> <TD class="tr8 td114"><SPAN class="p32 ft0">- 499</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p18 ft0">7 000 kr</SPAN> </TD> <TD class="tr8 td112"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p221 ft0">1 500 kr</SPAN> </TD> </TR> <TR> <TD class="tr8 td113"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td114"><SPAN class="p32 ft0">- 499</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td112"><SPAN class="p222 ft0">10 000 kr</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr8 td113"><SPAN class="p12 ft0">500</SPAN> </TD> <TD class="tr8 td114"><SPAN class="p32 ft0">-</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p18 ft0">7 000 kr</SPAN> </TD> <TD class="tr8 td112"><SPAN class="p222 ft0">10 000 kr</SPAN> </TD> <TD class="tr8 td111"><SPAN class="p221 ft0">2 000 kr</SPAN> </TD> </TR> </TABLE> <P class="p223 ft0">De sammanlagda avgifterna för statliga myndigheter, kommuner och landsting skulle därmed uppgå till ca 7 500 000 kr, och för övriga till ca 17 500 000 kr. Administrationskostnaderna skulle uppgå till</P> <P class="p90 ft2">ca 1 800 000 kr. Årlig avgift skulle faktureras av Datainspektionen och betalningsskyldigheten och avgiftsgrunderna skulle framgå av lag. Det senare därför att den föreslagna avgiftsmodellen ansågs ha karaktären av skatt.</P> </DIV> <DIV id="page_121"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">130 </SPAN>Datainspektionens finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">5.3.2</SPAN><SPAN class="ft41">Riksrevisionsverkets yttrande</SPAN></P> <P class="p163 ft0">Riksrevisionsverket (RRV) som hade svårigheter att se ett direkt samband mellan antal anställda i en organisation och behovet av tillsyn avstyrkte Datainspektionens förslag till finansiering. Avgörande för behovet av tillsyn måste enligt RRV i stället vara risken för integritetsintrång. Behovet av tillsyn är enligt RRV större i en liten organisation som behandlar en stor mängd personuppgifter med stor risk för integritetsintrång än i en stor organisation med behandling av få personuppgifter med relativt liten risk för intrång.</P> <P class="p52 ft0">RRV ansåg slutligen att Datainspektionens förslag inte överensstämde med de förutsättningar regeringen angivit. Det förelåg enligt RRV:s uppfattning inte ett sådant samband mellan det föreslagna avgiftssystemets utformning och riskerna för integritetsintrång att kostnader för tillsyn på ett tydligt sätt skulle belasta dem som orsakar att tillsynen behövs. Om detta samband inte upprätthålls i någon närmare utsträckning framstår systemet närmast som en beskattning i stället för en avgiftsbeläggning av tillsynsverksamheten.</P> <P class="p148 ft24"><SPAN class="ft24">5.3.3</SPAN><SPAN class="ft41">Regeringens behandling</SPAN></P> <P class="p57 ft0">Regeringen har valt att inte gå vidare med Datainspektionens förslag till avgiftsfinansiering av myndighetens verksamhet. I 1998 års ekonomiska vårproposition uttalar regeringen som ovan nämnts att sedan licensavgifterna försvunnit bör verksamheten finansieras med ett förvaltningsanslag i statsbudgeten (prop. 1997/98:150 s. 100).</P> <P class="p224 ft35"><SPAN class="ft1">5.4</SPAN><SPAN class="ft34">Datalagskommitténs överväganden avseende Datainspektionens finansiering</SPAN></P> <P class="p225 ft0">Datalagskommittén ansåg att Datainspektionens verksamhet bör bekostas av de som förorsakar kostnaderna, nämligen av de som behandlar personuppgifter.</P> <P class="p59 ft0">Det kan dock, enligt kommittén, riktas avgörande principiella invändningar mot att ta ut tillsynsavgift bara från de personuppgiftsansvariga som Datainspektionen väljer ut. Att vid brott mot personuppgiftslagen ett allmänt skadestånd eller liknande skulle betalas, inte till de integritetsskadade utan till Datainspektionen eller statskassan, föreföll enligt kommittén också olämpligt.</P> <P class="p51 ft25">Utredningen ansåg att Datainspektionen skall kunna ta ut avgifter för vissa prestationer som enskilda har begärt av inspektionen, t.ex.</P> </DIV> <DIV id="page_122"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td96"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td97"><SPAN class="p9 ft31">Datainspektionens finansiering <SPAN class="ft10">131</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td98"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td99"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft0">avgift för skrifter, informationsmaterial, kurser, kvalificerad rådgivning och medverkan vid konferenser. Samtidigt konstaterades att sådana avgifter dock inte på långa vägar torde räcka till för att finansiera inspektionsverksamheten.</P> <P class="p71 ft0">Kommittén diskuterade också alternativet att finansiera Datainspektionens verksamhet med en särskild avgift som utgår för något som brukar ha med behandling av personuppgifter att göra, t.ex. datorer eller medier för lagring av digitala signaler. Avgiften borde betalas av ett ganska hanterligt antal skattesubjekt som har möjlighet att föra kostnaden vidare till flera. En nackdel med en sådan avgift ansågs dock vara att kostnaderna för att administrera avgiften torde bli stora i förhållande till de jämförelsevis obetydliga belopp som behöver tas ut.</P> <P class="p132 ft0">Kommittén fann sammanfattningsvis att alla angivna finansieringsmöjligheter var förenade med betydande nackdelar, och att den minst dåliga var att Datainspektionens verksamhet finansieras över statsbudgeten. Utredningen ansåg det därför naturligt att Datainspektionens verksamhet med att skydda den personliga integriteten i samhället finansieras med skattemedel.</P> </DIV> <DIV id="page_123"> <P class="p0 ft59">UTREDNINGENS ÖVERVÄGANDEN</P> </DIV> <DIV id="page_124"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32124x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">135</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p226 ft33"><SPAN class="ft5">6</SPAN><SPAN class="ft32">Datainspektionen och skyddet för den personliga integriteten</SPAN></P> <P class="p227 ft2">Datainspektionen är, och bör även fortsättningsvis vara, central förvaltningsmyndighet med uppgift att verka för att människor i Sverige skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter.</P> <P class="p228 ft1"><SPAN class="ft1">6.1</SPAN><SPAN class="ft30">Inledning</SPAN></P> <P class="p50 ft0">I utredningens uppdrag ingår i första hand att analysera vilka krav som den nya personuppgiftslagen ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer. I denna översyn skall särskilt beaktas den snabba utvecklingen inom informationsteknikens område.</P> <P class="p46 ft0">Under rubriken Datainspektionen och skyddet för den personliga integriteten tar utredningen upp det grundläggande syftet med Datainspektionens verksamhet och på vilka olika sätt ändamålet med verksamheten bäst kan främjas.</P> <P class="p115 ft0">Detta kapitel skall i första hand ses som en bakgrund till kapitel</P> <P class="p90 ft2">7 och 8 i vilka utredningen närmare går in på vilka uppgifter Datainspektionen enligt utredningens uppfattning särskilt skall inrikta sin verksamhet på i framtiden.</P> <P class="p66 ft2">I det föreliggande kapitlet diskuterar emellertid utredningen även frågor som på ett mer övergripande plan rör det framväxande informationssamhället och behandlingen av personuppgifter. På så sätt har kapitlet även anknytning till de övriga frågor som omfattas av utredningens uppdrag. Kapitel 6 skall således tjäna som en introduktion till utredningens överväganden i sin helhet.</P> </DIV> <DIV id="page_125"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">136 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p229 ft35"><SPAN class="ft1">6.2</SPAN><SPAN class="ft34">Datainspektionens uppgift i informationssamhället</SPAN></P> <P class="p230 ft0">Datainspektionens uppgift enligt personuppgiftslagen belyses bäst genom en beskrivning och jämförelse med förhållandena under datalagens tid. Detta har tidigare ingående beskrivits i kapitel 3.</P> <P class="p59 ft0">Det bör emellertid framhållas att den förändring, för Datainspektionens del, som har skett genom personuppgiftslagens ikraftträdande inte utgör en skarp skiljelinje mellan två helt olika verksamhetsinriktningar. Målsättningen för inspektionens verksamhet har i stort sett varit densamma hela tiden och det har varit fråga om en successiv utveckling och förändring av arbetsuppgifterna alltsedan Datainspektionen inrättades år 1973.</P> <P class="p45 ft0">I förarbetena till personuppgiftslagen framhålls särskilt att den nya lagen till skillnad från sin föregångare, datalagen, är teknikoberoende. Någon grundläggande förändring av syftet med lagstiftningen är det dock inte fråga om. Ändamålet med Datainspektionens verksamhet, enligt såväl datalagen som personuppgiftslagen, har varit och är att förhindra otillbörligt intrång i den personliga integriteten vid automatiserad behandling av personuppgifter.</P> <P class="p66 ft0">Begreppet teknikoberoende har i motiven till personuppgiftslagen snarast kopplats till att även vissa manuella behandlingar av personuppgifter omfattas av lagen. Att framhålla bestämmelsernas teknikoberoende är också ett sätt för lagstiftaren att understryka att lagen är generellt tillämplig.<SPAN class="ft27">1</SPAN></P> <P class="p45 ft0">Alltjämt är avsikten med lagstiftningen, och därmed också Datainspektionens verksamhet, att undanröja den ökade risk för intrång i den personliga integriteten som den automatiserade behandlingen av personuppgifter kan leda till. De möjligheter som informationstekniken för med sig ökar risken för otillbörligt intrång i den personliga integriteten och det finns därför ett särskilt behov av skydd vid automatiserad behandling av personuppgifter. På så sätt har såväl lagstiftningen som Datainspektionens verksamhet anknytning till den tillämpade tekniken, även om ändamålet är ett generellt skydd för den personliga integriteten.</P> <P class="p52 ft0">Den för Datainspektionen kanske mest väsentliga förändring som skett genom personuppgiftslagen är att det tillståndskrav för behandling av personuppgifter som gällde enligt datalagen har tagits bort. Härigenom kan Datainspektionens roll betonas, att som en renodlad tillsynsmyndighet med alla krafter tillvarata och främja skyddet för den personliga integriteten.</P> <P class="p231 ft11"><SPAN class="ft27">1 </SPAN>Prop. 1997/98:44 s. 38 ff.</P> </DIV> <DIV id="page_126"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">137</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Metoden för att skydda den personliga integriteten skall främst vara att myndigheten informerar om den nya lagstiftningen och inspekterar att lagregler och föreskrifter efterlevs i den praktiska tillämpningen. En närmare redovisning av detta följer i kapitel 7. I föreliggande kapitel diskuterar utredningen i första hand själva syftet med Datainspektionens verksamhet, hur detta kan uppnås och vad som avses med den personliga integriteten.</P> <P class="p99 ft24"><SPAN class="ft24">6.2.1</SPAN><SPAN class="ft41">Syftet med Datainspektionens verksamhet</SPAN></P> <P class="p232 ft0">Utgångspunkten för personuppgiftslagen är att tillförsäkra den enskilde ett fullgott integritetsskydd i <NOBR>IT-samhället</NOBR> samtidigt som användningen av ny teknik i samhällsutvecklingen inte skall försvåras i onödan. I enlighet härmed anges också allra först i förordningen (1998:1192) med instruktion för Datainspektionen att inspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Detta är det grundläggande och allt överskuggande syftet med Datainspektionens verksamhet.</P> <P class="p52 ft0">Även personuppgiftslagens föregångare, datalagen, hade som ändamål att skydda den personliga integriteten. Utgångspunkten för förslaget till datalag var att den enskilde – med de begränsningar som följer av samhällsgemenskapens krav – bör ha tillgång till en fredad sektor, inom vilken han eller hon skall kunna avvisa otillbörlig inblandning från det allmänna eller andra.<SPAN class="ft27">2 </SPAN>Integritetsskyddet skulle enligt datalagen upprätthållas genom att ett tillståndstvång för automatisk databehandling av personuppgifter infördes och att personregistren underkastades en fortlöpande tillsyn. Dessa uppgifter skulle anförtros en självständig myndighet kallad Datainspektionen.</P> <P class="p85 ft0">Datainspektionen inrättades således år 1973 och har sedan dess haft till uppgift att förhindra kränkningar av den personliga integriteten vid behandling av personuppgifter.</P> <P class="p66 ft0">Datalagen och Datainspektionen tillkom som namnen anger som en följd av datorernas intåg i det svenska samhället. När den nya datorteknikens inverkan på samhället började diskuteras under slutet av <NOBR>1960-talet,</NOBR> var det emellertid i första hand dess inverkan på offentlighetsprincipen och allmänna handlingarnas offentlighet som kom att ställas i fokus, inte den personliga integriteten.</P> <P class="p79 ft2">Först något senare började frågor med direkt anknytning till skyddet för den personliga integriteten att bli aktuella. De möjligheter att hantera information som den nya tekniken erbjöd medförde farhågor</P> <P class="p233 ft11"><SPAN class="ft27">2 </SPAN>SOU 1972:47.</P> </DIV> <DIV id="page_127"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">138 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p109 ft0">hos medborgarna som hade att göra med vilken uppgiftsinsamling myndigheterna skulle tillåtas att göra och vad de insamlade uppgifterna skulle få användas till. De nya möjligheterna ansågs påtagligt öka myndigheternas makt över de enskilda och därmed även risken för intrång i den personliga integriteten.</P> <P class="p85 ft0">Detta är ur historisk synvinkel inget nytt. Människor tycks alltid ha förknippat ankomsten av ny teknik med hot mot den personliga integriteten. Detta har gällt flera tekniska nymodigheter, såväl kameran och tryckpressen som naturligtvis persondatorn och Internet. Varje sådant tekniskt framsteg har medfört ett förnyat och ökat intresse för skyddet för den personliga integriteten.</P> <P class="p45 ft0">Det är emellertid inte datortekniken som sådan som Datainspektionen, trots namnet, har till huvuduppgift att hålla sitt vakande öga över. Det är i stället de möjligheter att behandla personuppgifter som datortekniken ger och de risker för den personliga integriteten detta för med sig som inspektionen skall koncentrera sig på. Detta sägs för att återigen belysa att det är skyddet för den personliga integriteten som är den huvudsakliga uppgiften för inspektionens verksamhet.</P> <P class="p234 ft1"><SPAN class="ft1">6.3</SPAN><SPAN class="ft30">Den personliga integriteten</SPAN></P> <P class="p57 ft0">Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig lika svårt att precisera innebörden i begreppet personlig integritet.</P> <P class="p59 ft0">Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans integritet har kränkts eller inte.</P> <P class="p46 ft0">Det kan konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § tredje stycket regeringsformen (RF) begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, efter-</P> </DIV> <DIV id="page_128"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">139</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p98 ft2">som det senare begreppet ansågs svårbegripligt och svårt att avgränsa.<SPAN class="ft40">3 </SPAN>Begreppet finns emellertid sedan år 1989 i 2 kap. 3 § andra stycket RF.</P> <P class="p66 ft0">Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tillämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Såväl de som behandlar personuppgifter som Datainspektionen i sin roll som tillsynsmyndighet måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.</P> <P class="p59 ft0">Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.</P> <P class="p59 ft0">När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.<SPAN class="ft27">4</SPAN></P> <P class="p51 ft2">Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:</P> <P class="p196 ft0">(a) Sfärteorin</P> <P class="p235 ft0">Den enskilde har en innersta sfär, där förhållanden, egenskaper och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig.</P> <P class="p196 ft0">(b) Datakategoriteorin</P> <P class="p236 ft0">Det finns olika kategorier av data som kan känslighetsgraderas. Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse.</P> <P class="p237 ft0"><SPAN class="ft11">(c)</SPAN><SPAN class="ft60">Situationsteorin</SPAN></P> <P class="p238 ft0">Det finns inga kategorier av data som à priori kan anses okäns-</P> <P class="p239 ft2">liga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används,</P> <P class="p240 ft11"><SPAN class="ft38">3</SPAN><SPAN class="ft39">Prop. 1975/76:209 s. 131.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">4</SPAN><SPAN class="ft39">SvJT 1971 s. 698 f.</SPAN></P> </DIV> <DIV id="page_129"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">140 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p241 ft2">dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv.</P> <P class="p196 ft0">(d) Äganderättsteorin</P> <P class="p242 ft0">Data om individen är individens egendom. Han eller hon måste alltid samtycka till att andra får del av dem.</P> <P class="p237 ft0"><SPAN class="ft10">(e)</SPAN><SPAN class="ft60">Autonomiteorin</SPAN></P> <P class="p243 ft0">Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att</P> <P class="p91 ft2">själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället.</P> <P class="p196 ft0">(f) Empirteorin</P> <P class="p235 ft0">Vad som uppfattas som integritetsintrång måste fastställas på statistisk väg. Man måste således hämta vägledning i undersökningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.<SPAN class="ft27">5</SPAN></P> <P class="p66 ft0">Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.</P> <P class="p66 ft0">Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Detta uttalas, som tidigare sagts, redan i förarbetena till datalagen. Utgångspunkten var där att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.</P> <P class="p52 ft0">Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima <NOBR>facie-rättighet”.</NOBR> Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.<SPAN class="ft27">6</SPAN></P> <P class="p244 ft11"><SPAN class="ft38">5</SPAN><SPAN class="ft39">Seipel, Juridik och IT, 7:e uppl. s. 252 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">6</SPAN><SPAN class="ft39">SOU 1997:39 s. 796 och 801.</SPAN></P> </DIV> <DIV id="page_130"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">141</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har emellertid enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Skyddsintresset kan i detta sammanhang anses vara lika viktigt för juridiska personer som för enskilda individer. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.</P> <P class="p132 ft0">Flera försök att närmare utreda begreppet personlig integritet har gjorts i andra sammanhang där bl.a. frågor om datoriseringen i samhället har varit aktuella. Som exempel kan nämnas Offentlighets- och sekretesslagstiftningskommittén i betänkandet Data och Integritet (SOU 1972:47), Datalagstiftningskommittén i betänkandet Personregister – Datorer – Integritet (SOU 1978:54) samt Data- och offentlighetskommittén i betänkandet Integritetsskyddet i informationssamhället 3 (Ds Ju 1987:8).</P> <P class="p123 ft0">Av allt att döma finns det enighet om att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.</P> <P class="p123 ft0">Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet skall så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta</P> </DIV> <DIV id="page_131"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">142 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p98 ft2">personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.<SPAN class="ft40">7</SPAN></P> <P class="p66 ft0">Integritetsskyddslagstiftningen i form av bl.a. personuppgiftslagen och Datainspektionens tillämpning av gällande regler skall alltså utgöra den reglering och begränsning av användningen av personuppgifter som enligt rådande värderingar i samhället är nödvändig för att skydda den personliga integriteten.</P> <P class="p245 ft35"><SPAN class="ft1">6.4</SPAN><SPAN class="ft34">Varför skall den personliga integriteten skyddas?</SPAN></P> <P class="p246 ft2">Frågor som kan ställas är varför det är viktigt att skydda den personliga integriteten vid behandling av personuppgifter och vilken uppgift Datainspektionen härigenom egentligen fyller.</P> <P class="p61 ft0">Den nya informationsteknikens möjligheter har gjort att hanteringen av personanknuten information ökat. Tekniken blir allt kraftfullare, billigare och enklare att hantera. Det gör att den blir tillgänglig för allt fler samtidigt som det blir allt enklare att söka, ta del av och sprida datorlagrad personlig information. Den nya teknikens möjligheter kan således lätt användas på ett inträngande, övervakande eller annars för individen kränkande sätt. Samtidigt bör individen av samhället kunna kräva ett skydd mot integritetskränkningar.</P> <P class="p234 ft24"><SPAN class="ft24">6.4.1</SPAN><SPAN class="ft41">En grundläggande mänsklig rättighet</SPAN></P> <P class="p44 ft0">Det är nog inte för mycket sagt att det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten är en grundläggande mänsklig rättighet, upprättad genom internationella konventioner, nationell lagstiftning, tradition och kultur.</P> <P class="p45 ft0">Till grund för stadgandet i 1 kap. 2 § tredje stycket RF, om värnandet av den enskildes privatliv, ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.<SPAN class="ft27">8</SPAN></P> <P class="p152 ft11"><SPAN class="ft38">7</SPAN><SPAN class="ft39">SOU 1997:39 s. 180 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">8</SPAN><SPAN class="ft39">Prop. 1975/76:209 s. 131.</SPAN></P> </DIV> <DIV id="page_132"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">143</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer ökat och <NOBR>IT-samhället</NOBR> krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.<SPAN class="ft27">9</SPAN></P> <P class="p110 ft24"><SPAN class="ft24">6.4.2</SPAN><SPAN class="ft41">Lagar och internationella konventioner</SPAN></P> <P class="p163 ft0">Att skyddet för den personliga integriteten uppfattas som en grundläggande mänsklig rättighet har lett fram till att såväl enskilda nationer som mellanstatliga organisationer har ansett det nödvändigt att formulera regler för behandling av personuppgifter.</P> <P class="p45 ft0">Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten var att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.</P> <P class="p45 ft0">Inom EU har man antagit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med dataskyddsdirektivet är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna emellan.</P> <P class="p79 ft2">De grundläggande bestämmelserna i svensk nationell rätt till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § RF slås, som nämnts, fast att det allmänna skall värna om den enskildes privatliv. Denna intention kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även enskildas handlande gentemot varandra. Som exempel på</P> <P class="p217 ft11"><SPAN class="ft27">9 </SPAN>SOU 1997:39 s. 183 f.</P> </DIV> <DIV id="page_133"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32133x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">144 </SPAN>Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p108 ft2">sådan lagstiftning kan nämnas brottsbalken och sekretesslagen (1980:100).</P> <P class="p66 ft0">Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar (handlingsoffentligheten). Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen, vilket kan vara positivt från integritetssynpunkt. Offentligheten kan emellertid även innebära nackdelar från integritetssynpunkt, eftersom enskilda tvingas acceptera att uppgifter om dem kan vara åtkomliga för andra personer.</P> <P class="p59 ft0">I 2 kap. 3 § RF finns en särskild bestämmelse som avser integritetsskyddet vid användningen av automatisk databehandling. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.</P> <P class="p66 ft0">Den författning som tidigare har haft som främsta syfte att uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är datalagen (1973:289). I Sverige har det under i stort sett hela datalagens livstid pågått en diskussion om att införa en ny datalagstiftning som är bättre anpassad till verkligheten. Efter inträdet i EU har Sverige genom personuppgiftslagen infört dataskyddsdirektivet i svensk rätt. Personuppgiftslagens syfte är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.</P> <P class="p63 ft2">Särskilda integritetsskyddande bestämmelser finns även i en rad olika registerförfattningar.</P> <P class="p130 ft24"><SPAN class="ft24">6.4.3</SPAN><SPAN class="ft41">Underlätta användningen av ny teknik</SPAN></P> <P class="p232 ft0">Den nya informationstekniken skapar möjlighet för enskilda att förenkla sin vardag och ger företag och myndigheter möjlighet att rationalisera sin verksamhet. Att inte utnyttja den nya tekniken kan innebära att avgörande konkurrensmöjligheter eller viktiga förutsättningar för att effektivisera verksamheten förloras.</P> <P class="p46 ft0">De farhågor som finns om intrång i den personliga integriteten kan medföra att människor undviker att använda ny teknik. För att undanröja sådan oro och för att underlätta användningen av ny teknik är det därför viktigt att samhället tar sitt ansvar för att upprätthålla ett fullgott integritetsskydd. Här fyller integritetsskyddslagstiftningen och naturligtvis Datainspektionen, med sina uppgifter och befogenheter som tillsynsmyndighet, mycket viktiga roller.</P> </DIV> <DIV id="page_134"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">145</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft2">I enlighet härmed syftar lagstiftningen till att inte i onödan hindra användningen av ny teknik. Såväl dataskyddsdirektivet som personuppgiftslagen bygger på dessa tankegångar.</P> <P class="p66 ft0">I preambeln till dataskyddsdirektivet sägs att systemen för databehandling av uppgifter är till för människornas skull. Systemen skall med respekt för grundläggande fri- och rättigheter – särskilt rätten till privatlivet – bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd.</P> <P class="p61 ft0">I förarbetena till personuppgiftslagen framhålls också att den nya tekniken inte bara för med sig risker, utan även många obestridliga fördelar som kan höja livskvaliteten och ge en ökad frihet för många människor och som måste utnyttjas för att Sverige skall kunna behålla och förstärka sin position bland industrinationerna.<SPAN class="ft27">10</SPAN></P> <P class="p234 ft24"><SPAN class="ft24">6.4.4</SPAN><SPAN class="ft41">En ekonomisk nödvändighet</SPAN></P> <P class="p44 ft0">Skyddet för den personliga integriteten uppfattas som allt viktigare av de människor som är berörda och det finns en allt större oro för den behandling av personuppgifter som utförs av privata intressenter.<SPAN class="ft27">11 </SPAN>Anställda, konsumenter, patienter och andra vars personuppgifter samlas in och behandlas har ett berättigat intresse av att deras personuppgifter behandlas korrekt och att de inte blir utsatta för intrång.</P> <P class="p247 ft0">På många olika sätt är det i dagens samhälle helt nödvändigt för att kunna deltaga i det normala vardagslivet att man avslöjar personlig information om sig själv. I allt större utsträckning är det också olika former av affärsverksamheter och deras omfattande utnyttjande av elektronisk information som uppfattas utgöra hotet mot den personliga integriteten.</P> <P class="p59 ft0">Detta har fått till följd att marknaden för varor och tjänster som skyddar den personliga integriteten ökar kraftigt. Ju större hotet är mot den personliga integriteten desto värdefullare är det att kunna erbjuda skydd mot intrång i densamma. Det är numera en allmänt spridd uppfattning att det är skyddet för den personliga integriteten som är den stora frågan som måste lösas för att en ekonomi byggd på informationstekniken skall kunna genomföras fullt ut. Särskilt för företag inom <NOBR>e-handel</NOBR> och för användningen av Internet är det således viktigt att konsumenterna har förtroende för att deras personuppgifter behandlas på ett korrekt sätt. Inom dessa, men även andra kommersiella områden, är det näst intill nödvändigt för verksamheten att man har en uttalad</P> <P class="p134 ft11"><SPAN class="ft38">10</SPAN><SPAN class="ft51">Prop. 1997/98:44 s. 31.</SPAN></P> <P class="p248 ft62"><SPAN class="ft38">11</SPAN><SPAN class="ft61">Toby Lester, The Reinvention of Privacy, The Atlantic online, </SPAN><NOBR>&lt;www.theatlantic.com/issues/2001/03/lester-p1.htm&gt;.</NOBR></P> </DIV> <DIV id="page_135"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">146 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft0">och pålitlig policy för skyddet för den personliga integriteten. Det kan medföra allvarliga negativa följder om människors personliga integritet inte respekteras. Inom dessa områden kan inte en verksamhet bedrivas utan att ett fullgott integritetsskydd erbjuds.</P> <P class="p131 ft2">Skyddet för den personliga integriteten är således inte bara en fråga om lag och moral, det är en ekonomisk nödvändighet.</P> <P class="p249 ft56"><SPAN class="ft1">6.5</SPAN><SPAN class="ft55">Hur kan den personliga integriteten skyddas i samband med behandling av personuppgifter?</SPAN></P> <P class="p208 ft0">Syftet med Datainspektionens verksamhet är att skydda människor mot intrång i den personliga integriteten vid behandling av personuppgifter. Under datalagens tid gällde inledningsvis att integritetsskyddet skulle iakttas genom att behandling av personuppgifter inte fick ske utan tillstånd från Datainspektionen. Att skapa ett sådant system var högst naturligt på den tid då persondata fanns registrerade i ett antal stora datorer och då antalet system var få och lättöverskådliga och det sålunda var realistiskt att tillsynsmyndigheten skulle kunna pröva och kontrollera att datahanterarna följde lagen.</P> <P class="p123 ft0">Tillståndsförfarandet kompletterades sedermera med en något enklare hantering där de registeransvariga gjorde en anmälan om licens för att få föra personregister. Man märkte dock snart att systemet inte fullt ut fyllde sin funktion, t.ex. gjorde endast en bråkdel av de registeransvariga verkligen licensanmälan. Systemet var dessutom tungrott och tog stora administrativa resurser från inspektionen. Det faktiska skyddet för den personliga integriteten kunde därför inte sägas fullt ut motsvara statsmaktens och myndighetens ambitioner.</P> <P class="p131 ft0">Strävan blev därför att försöka avskaffa tillståndsförfarandet och licenssystemet, och förändra Datainspektionens verksamhet till en renodlad tillsynsmyndighet. Tanken bakom en sådan förändring var att det skulle gynna integritetsskyddet mer om inspektionen var ute på fältet och verkligen kontrollerade hur behandlingen av personuppgifter fungerade och i vilken mån reglerna efterlevdes, i stället för att läsa de papper som de olika registeransvariga skickade till myndigheten. Under i stort sett hela <NOBR>1990-talet</NOBR> har Datainspektionen stadigt ökat antalet inspektioner per år.</P> <P class="p132 ft2">Men med ett så omfattande ansvarsområde som Datainspektionen har så är det emellertid praktiskt taget omöjligt att verkligen inspektera allt och alla. Man måste göra prioriteringar och fokusera sin verksamhet på det som bäst kan värna skyddet för den personliga integriteten.</P> </DIV> <DIV id="page_136"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">147</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p129 ft0">Det finns flera tillvägagångssätt för hur man skall förebygga intrång i den personliga integriteten vid behandling av personuppgifter. Vissa omständigheter framträder dock som mer betydelsefulla än andra för att uppnå en hög nivå på integritetsskyddet. Goda kunskaper om de möjligheter regler och tekniska hjälpmedel ger för integritetsskydd vid behandling av personuppgifter, ett väl fungerande regelverk och effektiv kontroll av regelefterlevnaden är alla sådana faktorer. Det är utifrån dessa faktorer som åtgärderna skall vidtas.</P> <P class="p52 ft0">Att arbeta för skydd för den personliga integriteten vid behandling av personuppgifter är givetvis en uppgift för alla, såväl för personuppgiftsansvariga och registrerade som naturligtvis för lagstiftaren och Datainspektionen. Vad utredningen anser Datainspektionen särskilt skall inrikta sin verksamhet på för att en hög nivå på skyddet för den personliga integriteten skall uppnås redovisas, som nämnts, i kapitel 7.</P> <P class="p154 ft24"><SPAN class="ft24">6.5.1</SPAN><SPAN class="ft41">Information</SPAN></P> <P class="p163 ft0">En hög nivå på integritetsskyddet förutsätter goda kunskaper om aktuella problem och frågeställningar som rör personlig integritet vid behandling av personuppgifter. Detta är ett fortgående ansvar för Datainspektionen men också för varje myndighet eller annan organisation som bestämmer sig för att ta dessa frågor på allvar. När myndigheter, företag, organisationer och privatpersoner är medvetna om vilka risker som finns kan de se till att adekvata skyddsåtgärder vidtas och ställa krav på att integritetsproblem beaktas inom viktiga områden.</P> <P class="p137 ft3">Information</P> <P class="p57 ft0">Det är av grundläggande betydelse att det finns kunskap i samhället om de regler som styr behandlingen av personuppgifter och som värnar skyddet för den personliga integriteten i samband härmed. Det gäller då i första hand naturligtvis personuppgiftslagen. Denna kompletteras dock av bl.a. föreskrifter och särskilda registerförfattningar. Information från Datainspektionen bör beröra bl.a. vilka rättigheter och skyldigheter de personuppgiftsansvariga respektive registrerade har.</P> <P class="p45 ft2">För att människor skall kunna tillvarata integritetsskyddet bör informationen också uppmärksamma bl.a. de hot mot den personliga integriteten som kan vara aktuella och vilka tekniska hjälpmedel som finns till hands för att undvika otillbörliga intrång.</P> </DIV> <DIV id="page_137"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">148 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">Rådgivning</P> <P class="p57 ft0">Även en mycket väl fungerande informationsverksamhet kan inte täcka alla frågor som uppkommer i samband med behandling av personuppgifter. En viktig funktion för att sprida kunskap om integritetsskyddslagstiftningen och personuppgiftsbehandling är därför den rådgivning som sker i specifika frågor. För företag och myndigheter som bygger upp stora datasystem och register, behandlar känslig information eller på annat sätt utnyttjar ett stort antal personuppgifter är det viktigt att redan på ett tidigt stadium kunna få råd och vägledning om hur man skall gå tillväga. God rådgivning kan uppmärksamma de problem som finns och härigenom förhindra senare olägenheter och intrång samt onödiga kostnader.</P> <P class="p52 ft2">Också rådgivning till enskilda som vill veta sina rättigheter och skyldigheter främjar integritetsskyddet. Det är därför viktigt att man kan vända sig till Datainspektionen med frågor. Personuppgiftsombuden bör också kunna fylla en funktion i detta sammanhang.</P> <P class="p48 ft3">Regelgivning</P> <P class="p57 ft0">För integritetsskyddet är det vidare viktigt att det finns ett väl anpassat och fungerande regelverk. I Sverige har vi personuppgiftslagen som bygger på EU:s dataskyddsdirektiv om skydd för enskilda personer med avseende på behandling av personuppgifter. Lagen innehåller emellertid endast allmänt hållna generella principer som måste kompletteras och preciseras med föreskrifter om den praktiska tillämpningen i enskilda fall.</P> <P class="p46 ft0">Här åligger det riksdagen, regeringen och Datainspektionen att överbrygga glappet mellan generella lagstadgade principer och de speciella omständigheter som gäller för olika enskilda sektorer i samhället genom att meddela särskilda föreskrifter och allmänna råd. I en rad olika registerförfattningar finns för vissa områden särskilda integritetsskyddande bestämmelser.</P> <P class="p79 ft2">En viktig roll för Datainspektionen är att som remissinstans bevaka integritetsfrågor i samband med nya lagförslag.</P> <P class="p110 ft24"><SPAN class="ft24">6.5.2</SPAN><SPAN class="ft41">Inspektioner</SPAN></P> <P class="p111 ft2">Goda kunskaper i samhället om lagstiftning och teknik m.m. som rör behandling av personuppgifter är inte tillräckligt för att upprätthålla skyddet för den personliga integriteten. Det krävs också en omfattande och noggrann kontroll av att reglerna verkligen efterlevs. Sålunda vilar</P> </DIV> <DIV id="page_138"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td115"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td116"><SPAN class="p9 ft31">Datainspektionen och skyddet för den personliga integriteten <SPAN class="ft10">149</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td117"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td118"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">personuppgiftslagen på att det finns en tillsynsmyndighet med långtgående befogenheter.</P> <P class="p66 ft0">I inspektionsverksamheten kan man direkt påpeka de brister som finns och undanröja risker för intrång i den personliga integriteten. Inspektionsverksamheten kan också ge uppslag till vilka frågor eller områden som särskilt bör uppmärksammas och bli föremål för ytterligare informationsinsatser.</P> <P class="p61 ft2">I inspektionsverksamheten ingår också myndighetens möjligheter till rättsliga ingripanden. Att den som behandlar personuppgifter i strid mot gällande regler kan drabbas av påföljd främjar regelefterlevnaden och är viktigt för allmänhetens förtroende för systemet.</P> <P class="p99 ft24"><SPAN class="ft24">6.5.3</SPAN><SPAN class="ft41">Självreglering/Egentillsyn</SPAN></P> <P class="p57 ft0">Som uttalades inledningsvis i detta kapitel är integritetsskyddet inte bara en uppgift för Datainspektionen. Det är viktigt att man samlar och aktiverar alla goda krafter i samhället i arbetet för att skydda den personliga integriteten vid behandling av personuppgifter.</P> <P class="p59 ft0">Personuppgiftsombud och i viss mån revisorer med särskilda kunskaper om behandling av personuppgifter kan i enlighet med personuppgiftslagens intentioner användas som en kraftfull resurs såväl vad gäller informationsspridning som i kontrollen av skyddet för den personliga integriteten. Härigenom ökas medvetenheten om integritetsfrågor ute på fältet, vilket Datainspektionen kan dra stor nytta av i sin verksamhet.</P> <P class="p59 ft0">Ett större ansvar för integritetsskyddet kan vidare åstadkommas genom att det utarbetas regler och metoder för egenkontroll inom olika områden. Här har Datainspektionen en uppgift som anknyter till dess regelgivning, nämligen att uppmuntra att branschöverenskommelser och andra former av självreglering utarbetas. Utmärkta tillfällen att väcka frågor om självreglering och egenkontroll har Datainspektionen i samband med att myndigheten utför inspektioner. Därvid kan inspektionen uppmärksamma behovet och bedöma lämpligheten av självreglering.</P> <P class="p52 ft0">Väl fungerande självreglering och branschöverenskommelser har stora förutsättningar att på ett framgångsrikt sätt uppfylla syftet med lagstiftningen, nämligen att skydda människor mot kränkning av den personliga integriteten utan att en effektiv användning av ny teknik hindras. Självreglering har bl.a. den fördelen att reglerna betydligt lättare än traditionell lagstiftning kan anpassas till den snabba tekniska utvecklingen inom <NOBR>IT-området.</NOBR> När bestämmelserna utformas i samverkan mellan berörda parter och ansvarig myndighet finns goda</P> </DIV> <DIV id="page_139"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">150 </SPAN>Datainspektionen och skyddet för den personliga integriteten</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">förutsättningar för att självreglering skall fungera och att reglerna skall respekteras. Självreglering behandlas vidare i kapitel 11.</P> <P class="p99 ft24"><SPAN class="ft24">6.5.4</SPAN><SPAN class="ft41">Teknikutvecklingen</SPAN></P> <P class="p111 ft0">Utvecklingen inom informationstekniken har gått mycket fort under de senaste årtiondena, och inget talar för att den kommer att avta inom den närmaste framtiden. Tvärtom blir tekniken allt kraftfullare, enklare och mer tillgänglig för ett allt större antal människor och den tillämpas i dag inom snart sagt varje område i samhället. De möjligheter tekniken medför att behandla och bearbeta stora mängder personanknutna uppgifter har satt integritetsfrågorna i fokus. Genom konventioner och lagstiftning har man därför försökt åstadkomma ett skydd för den personliga integriteten genom att begränsa möjligheterna att behandla personuppgifter.</P> <P class="p45 ft0">Men den tekniska utvecklingen utgör inte bara ett hot mot den personliga integriteten. I takt med nya tekniska landvinningar som innebär att personlig information behandlas på något sätt har också tekniska lösningar för att i samband härmed skydda den personliga integriteten växt fram. Man kan säga att ju större hotet mot integriteten framstår, desto större är ambitionen att finna tekniska lösningar till skydd för densamma. Den tekniska utvecklingen för således även med sig metoder som stärker skyddet för den personliga integriteten.</P> <P class="p46 ft0">Det finns en tendens i dagens informationssamhälle att rättsliga överväganden för att lösa olika former av integritetsproblem i allt större utsträckning ersätts av tekniska lösningar. Det är viktigt att man på bästa möjliga sätt utnyttjar de tekniska landvinningar som görs inom informationstekniken för att skydda den personliga integriteten. Datainspektionens ansvar att följa teknikutvecklingen behandlas i kapitel 12.</P> </DIV> <DIV id="page_140"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32140x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">151</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p250 ft33"><SPAN class="ft5">7</SPAN><SPAN class="ft32">Datainspektionens framtida verksamhetsinriktning</SPAN></P> <P class="p227 ft0">Datainspektionens verksamhet som tillsynsmyndighet skall inriktas på två huvudområden: <SPAN class="ft3">Information </SPAN>och <SPAN class="ft3">Inspektion </SPAN>(jfr. bilaga 5). Myndigheten skall verka för att människor i Sverige skyddas mot att deras personliga integritet kränks genom att lämna information om personuppgiftslagen och ge rådgivning i integritetsfrågor samt utföra inspektioner för att kontrollera att personuppgiftslagen och annan integritetsskyddslagstiftning efterlevs.</P> <P class="p251 ft2">Datainspektionen skall kännetecknas av kompetens, effektivitet och service. Myndigheten skall vara aktiv, utåtriktad och deltaga i samhällsdebatten i frågor som rör personlig integritet.</P> <P class="p252 ft2">Datainspektionen skall vara välkänd för allmänheten och uppfattas som en kraftfull resurs för alla människor i Sverige.</P> <P class="p136 ft1"><SPAN class="ft1">7.1</SPAN><SPAN class="ft30">Utredningens uppdrag</SPAN></P> <P class="p73 ft0">Utredningen skall särskilt överväga vilka konsekvenser den nya lagstiftningen i form av personuppgiftslagen och den snabba utvecklingen inom informationsteknikens område bör få för inriktningen och omfattningen av Datainspektionens verksamhet. Mot bakgrund härav beskriver utredningen i detta kapitel sina överväganden vad gäller Datainspektionens framtida verksamhetsinriktning.</P> <P class="p59 ft0">I kapitlet beskrivs i första hand vilka uppgifter myndigheten enligt utredningens uppfattning särskilt skall koncentrera sina resurser på. Det kan härvid uppfattas som att utredningen inte tagit hänsyn till den faktiska utveckling av Datainspektionens verksamhet från tillståndshantering till tillsynsåtgärder som redan ägt rum. Så är dock inte fallet. Utredningen är väl medveten om de ansträngningar Datainspektionen har gjort även under datalagens tid för att t.ex. prioritera insatser som inspektion och information i sin verksamhet, och detta har också beskrivits tidigare i betänkandet.</P> </DIV> <DIV id="page_141"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">152 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p253 ft0">I utredningens uppdrag ingår i och för sig att utvärdera hittillsvarande erfarenheter av tillsynsverksamheten. Utredningen har emellertid inte uppfattat det som sin uppgift att göra en granskning av verksamheten för att i detalj utröna vilka eventuella fel eller brister som förelegat. Utredningen har i stället sett det som sin uppgift att utifrån den lagstiftning som gäller och de förutsättningar som utvecklingen av informationssamhället erbjuder, dra upp de mer övergripande riktlinjerna för hur verksamheten bör utformas i framtiden.</P> <P class="p132 ft0">Detta hindrar emellertid inte att utredningen ändå uppfattat det som nödvändigt att för regering och remissinstanser påpeka sådana förhållanden i Datainspektionens nuvarande verksamhet som vid utredningens granskning framstått som viktiga att fästa särskild uppmärksamhet på.</P> <P class="p131 ft0">I föreliggande kapitel försöker utredningen således att beskriva en idealbild av den framtida dataskyddsmyndigheten i Sverige. Denna bild står inte i motsats till hur verksamheten bedrivs i dag utan är en beskrivning av hur verksamheten i framtiden bör utformas för att i så hög grad som möjligt uppfylla Datainspektionens uppgift att skydda människor från intrång i den personliga integriteten.</P> <P class="p71 ft0">Datainspektionen har redan utvecklats i den riktning som utredningen framhåller som den mest fördelaktiga och kan i dag sägas uppfylla många av de krav som utredningen anser bör ställas på en modern dataskyddsmyndighet. Samtidigt bör det emellertid framhållas att det krävs förändringar i verksamheten för att Datainspektionen fullt ut skall motsvara den idealbild som utredningen har av den framtida dataskyddsmyndigheten.</P> <P class="p123 ft0">Utredningen har inte sett det som sin uppgift att i detalj utforma hur Datainspektionens framtida verksamhet skall bedrivas. Det är en uppgift för regeringen och Datainspektionen att närmare bestämma förutsättningarna och utforma metoderna för detta.</P> <P class="p123 ft0">Utredningen har i sin granskning inte funnit annat än att Datainspektionen i alla delar har uppfyllt det uppdrag som regeringen givit myndigheten. För att Datainspektionen skall ta ytterligare steg i riktning mot utredningens idealbild av myndigheten krävs nya incitament i verksamheten. Det är t.ex. av avgörande betydelse att regeringen ställer de återrapporteringskrav m.m. som kan medverka till att inspektionen utformas i önskvärd riktning. Det har mot bakgrund härav varit utredningens målsättning att de bedömningar och de förslag som lämnas i betänkandet skall kunna ligga till grund för de framtida regleringsbrev i vilka regeringen ges möjlighet att styra Datainspektionens verksamhetsinriktning.</P> <P class="p132 ft2">Det är Datainspektionen själv, med insikt i problem och förutsättningar, som bäst kan utforma den strategi för verksamheten som i praktiken kan uppfylla de mål som riksdag och regering ställer upp för</P> </DIV> <DIV id="page_142"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">153</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p109 ft0">verksamheten. Det är också en uppgift för Datainspektionen att på eget initiativ ständigt analysera hur verksamheten kan effektiviseras och bedrivas så ändamålsenligt som möjligt. Datainspektionen måste också sätta upp egna mål för sin verksamhet och utarbeta de metoder som skall användas för att uppnå målen.</P> <P class="p46 ft0">Oavsett det ansvar som utredningen anser åvila statsmakterna och Datainspektionen själv känner utredningen såväl en viss frihet som en skyldighet att uttala sig om de mål som bör ställas upp för inspektionens framtida verksamhet och vilken strategi som bör användas för att uppnå dessa.</P> <P class="p59 ft25">Mot bakgrund härav beskriver utredningen i det följande Datainspektionens framtida verksamhetsinriktning.</P> <P class="p154 ft1"><SPAN class="ft1">7.2</SPAN><SPAN class="ft30">Från tillstånd till tillsyn</SPAN></P> <P class="p113 ft0">Som framkommit tidigare i betänkandet var utgångspunkten för integritetsskyddet enligt datalagen att Datainspektionen skulle pröva om tillstånd till inrättande och förande av ett personregister kunde beviljas. Datalagen innehöll från början ett generellt krav på tillstånd från Datainspektionen för alla typer av personregister förda med hjälp av automatisk databehandling (ADB).</P> <P class="p51 ft0">Tillståndsprövningen enligt datalagen avsåg prövning av frågan om otillbörligt intrång i de registrerades personliga integritet kunde befaras uppkomma. Beviljades tillstånd meddelade Datainspektionen samtidigt beslut om ändamålet med registret. I den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet kunde även ett eller flera villkor meddelas, och om särskilda skäl förelåg fick tillståndet begränsas till viss tid.</P> <P class="p45 ft0">Frågan om tillståndstvång för alla register var emellertid redan vid datalagens tillkomst föremål för diskussion. En förprövning genom tillståndskrav medförde obestridliga fördelar ur integritetssynvinkel, men innebar också en byråkratisk belastning på de registeransvariga samtidigt som Datainspektionen måste lägga ned mycket arbete på tillståndsprövning. För Datainspektionens del innebar det att mycket resurser togs från vad som redan då uppfattades som viktigt, nämligen tillsynsverksamheten.</P> <P class="p45 ft2">Dessa förhållanden ledde fram till en rad förändringar av datalagstiftningen som alla hade sin utgångspunkt i uppfattningen att det i flertalet fall fanns goda möjligheter att sörja för skyddet för den personliga integriteten på ett annat och bättre sätt än genom att upprätthålla ett tillståndstvång.</P> </DIV> <DIV id="page_143"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">154 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Genom tillståndsförfarandets upphörande skulle Datainspektionen få möjlighet att effektivisera sin tillsynsverksamhet och genom generella föreskrifter, allmänna råd och information stärka skyddet för den enskildes integritet inom olika områden i samhället.</P> <P class="p123 ft0">Datainspektionen framhöll att det förelåg ett betydande intresse bland de registeransvariga inom olika sektorer att organisera sitt ADB- stöd så att otillbörliga intrång i personlig integritet undveks. Enligt Datainspektionen betydde de insatser myndigheten kunde göra för att tillgodose krav och förväntningar från de registeransvariga på råd och information mer för skyddet för den personliga integriteten än det tillståndstvång som band inspektionens resurser.</P> <P class="p131 ft0">Genom personuppgiftslagen har Datainspektionen blivit av med huvuddelen av de uppgifter som tidigare hindrade myndigheten från att med all kraft ägna sig åt tillsynsverksamhet. Personuppgiftslagen skiljer sig från datalagen bl.a. på så sätt att det direkt i lagen uttömmande anges i vilka fall och under vilka förutsättningar personuppgifter får behandlas.</P> <P class="p71 ft0">Detta innebär att det är den personuppgiftsansvarige själv som i första hand, utan föregående prövning från Datainspektionen, ansvarar för att behandlingen av personuppgifter är korrekt och i enlighet med lagens regler. Den personuppgiftsansvarige kan därutöver förordna ett personuppgiftsombud som självständigt skall se till att personuppgifter behandlas på ett korrekt sätt. Det är mot denna bakgrund Datainspektionens uppgift enligt personuppgiftslagen skall ses. Ansvaret för integritetsskyddet har decentraliserats genom att tillstånds- och licensförfarandet har försvunnit. Denna metod för integritetsskydd har för Datainspektionens del ersatts av tillsyn och myndigheten är numera en i det närmaste renodlad tillsynsmyndighet som har långtgående befogenheter att övervaka tillämpningen av bestämmelserna.</P> <P class="p209 ft2">Utvecklingen från datalagen till personuppgiftslagen har följaktligen för Datainspektionen inneburit att myndighetens verksamhetsinriktning förskjutits från tillstånd till tillsyn.</P> <P class="p254 ft28"><SPAN class="ft24">7.2.1</SPAN><SPAN class="ft46">Begreppet tillsyn i Datainspektionens framtida verksamhet</SPAN></P> <P class="p125 ft2">Datainspektionens tillvaratagande av integritetsskyddet har, som nämnts, i och med personuppgiftslagen ändrats från en förhandsprövning genom krav på tillstånd till en efterhandskontroll genom myndighetens tillsyn. Genom att tillståndsförfarandet och licenssystemet som gällde enligt datalagen numera helt har upphört föreligger således de eftersträvade förutsättningarna för Datainspektionen</P> </DIV> <DIV id="page_144"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">155</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">att renodla sin verksamhet och koncentrera sig på de direkta tillsynsuppgifterna.</P> <P class="p66 ft0">Det finns mot bakgrund härav anledning att närmare studera begreppet tillsyn för att något klargöra vilka uppgifter det är som omfattas av begreppet och vad som avses med en renodlad tillsynsmyndighet. I det följande ges därför en beskrivning av hur utredningen vill definiera begreppet tillsyn med avseende på Datainspektionens framtida verksamhetsinriktning.</P> <P class="p59 ft0">Det förekommer inte någon enhetlig och allmängiltig definition av begreppet tillsyn. Inom den statliga förvaltningen finns en rad olika myndigheter med skiftande verksamhetsinriktning som alla i större eller mindre utsträckning hänförs till tillsynsmyndigheter och som i någon form utövar tillsyn. Begreppet tillsyn används också i ett stort antal lagar, förordningar och föreskrifter. En sammanställning av de myndighetsuppgifter som kan anses ingå i tillsynsarbetet kan delas in i följande kategorier:</P> <P class="p255 ft2"><SPAN class="ft37">N </SPAN>Föreskriftsarbete <SPAN class="ft37">N </SPAN>Inspektion</P> <P class="p256 ft0"><SPAN class="ft36">N </SPAN>Samordning av tillsynsarbete <SPAN class="ft36">N </SPAN>Kontroll av regelefterlevnad</P> <P class="p257 ft0"><SPAN class="ft36">N </SPAN>Åtgärder för rättelse av lagöverträdelser <SPAN class="ft36">N </SPAN>Tillståndsprövning</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>Information och rådgivning</P> <P class="p155 ft0"><SPAN class="ft36">N </SPAN>Arbete med tillsynsobjektens egenkontroll</P> <P class="p258 ft0">Även om begreppet tillsyn omfattar en rad olika myndighetsuppgifter har uppgifterna ett gemensamt ändamål. Samtliga uppgifter syftar i större eller mindre utsträckning till att åstadkomma regelefterlevnad i verksamhet som utförs av andra. Mot bakgrund härav kan man säga att alla de uppgifter myndigheten utför och som syftar till att gällande regler följs inom något område utgör tillsyn.</P> <P class="p45 ft0">En effektiv och oberoende tillsyn utgör en viktig demokratisk förutsättning i vårt samhälle, eftersom den syftar till att garantera likabehandling och rättssäkerhet; allmänheten skall kunna lita på att samhällets regler efterlevs.</P> <P class="p59 ft0">I Statskontorets rapport (2001:14) En till syn på tillsyn – hur svenska tillsynsmyndigheter påverkats av EU framkommer att de flesta myndigheter har en vid definition av begreppet tillsyn. Tillsyn anses innefatta allt från hård kontroll och inspektion med sanktionsmöjligheter till mjuka insatser som information och vägledning.</P> <P class="p79 ft2">Datainspektionen har tidigare, i enlighet med 15 § datalagen, definierat tillsyn som allt Datainspektionen gör eller kan göra för att se</P> </DIV> <DIV id="page_145"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">156 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">till att automatisk databehandling inte medför otillbörligt intrång i personlig integritet.<SPAN class="ft40">1</SPAN></P> <P class="p66 ft0">De olika åtgärder som Datainspektionen utför för att åstadkomma regelefterlevnad, och som alla omfattas av begreppet tillsyn enligt ovan, kan delas in i tre huvudkategorier. Först talar myndigheten om hur de som omfattas av tillsynen skall agera, sen kontrolleras om utövarna följer reglerna och sist görs rättsliga ingripanden mot de som inte följer reglerna. Utredningen har valt att kalla det information, inspektion och ingripande.</P> <P class="p149 ft3">Information, inspektion och ingripande</P> <P class="p50 ft0">Datainspektionen skall enligt sin instruktion särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Detta sker genom allmän information om regelsystemet, rådgivning i konkreta situationer och särskild regelgivning i form av föreskrifter och allmänna råd.</P> <P class="p59 ft0">Datainspektionen är tillsynsmyndighet enligt främst personuppgiftslagen. Ofta används begreppet ”tillsyn” för de direkta åtgärder som innebär inspektion och kontroll av regelefterlevnaden. Utredningen använder hellre ordet ”inspektion”, eftersom det är fråga om en tillsynsåtgärd som i strikt mening kan sägas omfatta endast undersökning av förhållandena hos tillsynsobjektet. På så sätt skiljer man också åtgärden från andra tillsynsinsatser som även de syftar till att främja regelefterlevnaden hos tillsynsobjektet.</P> <P class="p259 ft0">Enligt personuppgiftslagen har Datainspektionen en rad befogenheter för att kunna kontrollera lagens regelefterlevnad och ingripa i syfte att åstadkomma rättelse vid felaktiga behandlingar. Inspektionen kan under vissa förutsättningar vid vite förbjuda en personuppgiftsansvarig att behandla personuppgifter på andra sätt än att lagra dem. Datainspektionen kan även hos Länsrätten i Stockholms län ansöka om att personuppgifter som behandlas på ett olagligt sätt skall utplånas.</P> <P class="p118 ft3">En renodlad tillsynsmyndighet</P> <P class="p50 ft0">Utredningens definition av begreppet tillsyn med avseende på Datainspektionens framtida verksamhetsinriktning innefattar således samtliga de åtgärder myndigheten vidtar i syfte att säkerställa en god regelefterlevnad och att lagstiftarens målsättning med lagstiftningen uppfylls. Datainspektionens huvudsakliga uppgifter – information och</P> <P class="p260 ft11"><SPAN class="ft27">1 </SPAN>Datainspektionen, ”Effektiv tillsyn” s. 7.</P> </DIV> <DIV id="page_146"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">157</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">inspektion – faller således båda inom begreppet tillsyn och utmärker Datainspektionen som en renodlad tillsynsmyndighet.</P> <P class="p66 ft2">När det i fortsättningen talas om tillsyn avses således inspektionens verksamhet i sin helhet, såväl infomationssom inspektionsinsatser, om inte annat särskilt anges.</P> <P class="p154 ft1"><SPAN class="ft1">7.3</SPAN><SPAN class="ft30">Information och inspektion</SPAN></P> <P class="p73 ft0">Datainspektionens verksamhet skall enligt utredningens mening inriktas på två huvudområden, Information och Inspektion. I första hand skall Datainspektionen arbeta med service åt medborgarna i form av information och rådgivning om integritetsskyddsfrågor i anknytning till personuppgiftslagen. I andra hand skall myndigheten utöva tillsyn över att reglerna efterlevs genom att utföra effektiva och ändamålsenliga inspektioner hos dem som behandlar personuppgifter i samhället.</P> <P class="p59 ft0">Att det är på detta sätt Datainspektionens verksamhet som tillsynsmyndighet skall bedrivas anges också i förordningen (1998:1192) med instruktion för Datainspektionen. I första paragrafen sägs att inspektionen särskilt skall inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. I andra paragrafen anges Datainspektionens övriga uppgifter som tillsynsmyndighet enligt framförallt personuppgiftslagen.</P> <P class="p55 ft0">Detta går hand i hand med den utveckling av Datainspektionens verksamhet som ägt rum genom övergången från datalagen till personuppgiftslagen, dvs. från ett inledningsvis strikt tillståndsförfarande till en renodlad tillsyn.</P> <P class="p45 ft0">Redan av formuleringarna och uppgifternas placering i förordningen framgår att Datainspektionen främst skall inrikta sin verksamhet på vad som kan kallas serviceåtgärder. Skyddet för den personliga integriteten skall i första hand främjas genom information och rådgivning om integritetsfrågor i allmänhet och personuppgiftslagen och anknytande integritetsskyddsregler i synnerhet. Ju bättre den allmänna kunskapen om dessa frågor är desto mindre risk för intrång i den personliga integriteten.</P> <P class="p79 ft2">Dessa uppgifter ställer naturligtvis stora krav på Datainspektionen. Myndigheten måste därför vara effektiv och besitta en hög kompetens inom alla områden som omfattas av dess ansvar.</P> <P class="p66 ft2">Som framhållits inledningsvis i detta avsnitt finns redan i dag en inriktning mot information och inspektion i Datainspektionen verksamhet. Inriktningen på dessa verksamheter bör emellertid bli tydligare och de bör i större utsträckning prioriteras framför övriga uppgifter.</P> </DIV> <DIV id="page_147"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">158 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p146 ft24"><SPAN class="ft24">7.3.1</SPAN><SPAN class="ft41">Information</SPAN></P> <P class="p44 ft0">Att höja det allmänna medvetandet och kunskaperna om alla frågor som rör integritetsskydd i samband med behandling av personuppgifter är enligt utredningens mening fundamentalt i strävan att uppnå målsättningen med Datainspektionens verksamhet. De förebyggande åtgärderna är grunden för ett gott integritetsskydd och av stor betydelse för framgång vad gäller Datainspektionens övriga uppgifter och verksamhetsområden.</P> <P class="p45 ft2">Det gäller här även att göra verksamheten och Datainspektionens roll som central förvaltningsmyndighet med uppgift att värna om skyddet för den personliga integriteten välkänd för allmänheten. Datainspektionen skall också vara ledande i den allmänna debatten som rör integritetsfrågor.</P> <P class="p48 ft3">Öka medvetenheten om integritetsfrågor i samhället</P> <P class="p50 ft0">De som berörs av behandlingar av personuppgifter, såväl personuppgiftsansvariga som registrerade, måste göras uppmärksamma på relevanta frågeställningar och hur man skall handskas med de problem som kan förekomma.</P> <P class="p51 ft0">De måste göras medvetna om sina rättigheter och skyldigheter; de personuppgiftsansvariga för att de skall följa regler och behandla personuppgifter korrekt och enligt god sed, utan intrång i någon enskild persons integritet och de registrerade för att de skall kunna tillvarata sina rättigheter och ställa berättigade krav på att de som behandlar personuppgifter gör så med iakttagande av skyddet för den personliga integriteten.</P> <P class="p118 ft3">Datainspektionen – en servicemyndighet</P> <P class="p50 ft0">Den tekniska utvecklingen har under lång tid ökat möjligheterna att behandla personuppgifter. Denna utveckling kommer inte att avta, tvärtom finns det mycket starka skäl att tro att den kommer att fortsätta i allt snabbare takt. Med allt mer omfattande behandling av personuppgifter och ökad kunskap i frågor som har med detta och skyddet för den personliga integriteten att göra, kommer området att uppfattas som mer näraliggande och allt viktigare för den enskilde. Datainspektionens verksamhet kommer härmed att få allt större betydelse och dess funktion att uppmärksammas allt mer. Det är därför viktigt att inspektionen på ett tydligt sätt intar sin roll som servicemyndighet och som en resurs för alla människor i Sverige.</P> </DIV> <DIV id="page_148"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">159</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Som servicemyndighet åt människorna i Sverige måste Datainspektionen göras välkänd och det måste betonas att myndigheten verkligen är till för att tillvarata den enskilde individens intressen i informationssamhället.</P> <P class="p45 ft0">Det är enligt utredningens mening viktigt att Datainspektionen med tydlighet framstår som en integritets- eller dataombudsman. Inspektionen skall fungera som en allmänhetens klagomur, välkänd för alla, dit man kan vända sig när man upplever sig ha blivit felaktigt behandlad eller bara behöver råd och information i frågor som rör integritet och behandling av personuppgifter. Datainspektionen skall för alla och envar framstå som den myndighet vilken i informationssamhället värnar om den enskilde individens rättigheter och tar tillvara skyddet för den personliga integriteten.</P> <P class="p137 ft3">Datainspektionen – en opinionsbildare</P> <P class="p111 ft0">Trots att behandlingen av personuppgifter sedan länge varit mycket omfattande i samhället har frågor som rör integritetsskyddet i samband härmed ännu inte fått den uppmärksamhet i Sverige som man kunnat förvänta sig. Inte heller har kunskap om den nya personuppgiftslagen och dess syften nått allmän spridning. Det senare kan i viss mån förklaras av att en stor del av behandlingen av personuppgifter i det längsta skett enligt datalagens regler.</P> <P class="p45 ft0">Av stor vikt för Datainspektionen är att göra frågor som rör integritetsskyddet uppmärksammade i samhället och att öka kunskapen om personuppgiftslagen. För att åstadkomma detta måste inspektionen vara aktiv och deltaga på ett ledande och främjande sätt i den allmänna debatten i alla frågor som rör personuppgifter och skyddet för den personliga integriteten. Datainspektionen skall kännetecknas av öppenhet och debattvilja och måste därför gripa alla tillfällen som ges att förekomma i massmedia.</P> <P class="p45 ft0">För att öka allmänhetens och de personuppgiftsansvarigas intresse för integritetsfrågor är det viktigt att föra ut budskapet om personuppgiftshanteringens risker och möjligheter samt om vilka rättigheter och skyldigheter som föreligger. Integritetsdebatten i Sverige måste enligt utredningens mening hållas vid liv. De resurser som satsas på detta kommer att ge god utdelning i form av mer medvetna och observanta medborgare och personuppgiftsansvariga, och i förlängningen ett bättre skydd för den personliga integriteten.</P> <P class="p85 ft2">Möjligen har Datainspektionen i allt för stor utsträckning fungerat som domstolar av tradition många gånger gör, nämligen ligger lågt i debatten och låter det skrivna ordet tala för sig. Detta kan bero på att</P> </DIV> <DIV id="page_149"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">160 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">majoriteten av Datainspektionens personal är jurister och att många har domstolsbakgrund. Datainspektionen måste emellertid våga ”ta ut svängarna” och göra allt för att föra ut sitt budskap.</P> <P class="p66 ft0">Detta väcker frågan om en styrelse med fullt ansvar, i vilken generaldirektören inte är ordförande, bättre kan utföra uppgiften att agera aktivt i samhällsdebatten i frågor som rör behandling av personuppgifter och den personliga integriteten. Enligt utredningens uppfattning är emellertid en sådan förändring av myndighetens ledning inte nödvändig. Det finns ingen påtaglig konflikt i att Datainspektionen kombinerar sin myndighetsutövning i form av inspektioner och ingripanden, samt yttranden till domstol i t.ex. mål enligt personuppgiftslagen, med ett aktivt deltagande i den offentliga debatten. Dessutom är risken för en eventuell konflikt mindre nu, i och med att tillståndshanteringen har upphört.</P> <P class="p59 ft0">I Sverige, som har en stark tradition av offentlighet inom den allmänna förvaltningen, är kravet från framför allt massmedia på maximal öppenhet med all rätt grundmurat. Medierna har ur eget perspektiv ett betydligt större intresse av en fri tillgång till personuppgifter än av inskränkningar i tillgången på grund av integritetsskäl. Eftersom skyddet för den personliga integriteten många gånger innebär begränsningar i tillgängligheten av personuppgifter, är det vanligt att Datainspektionen i medierna oförtjänt framställs som myndigheten som hindrar den fria debatten. Ibland har det till och med talats om censur. Skyddet av personen kommer i konflikt med offentlighetsprincipen.</P> <P class="p46 ft0">Patricia Jonasson <NOBR>Blanc-Gonnet,</NOBR> som har doktorerat på skillnaden mellan svensk och fransk datarätt vid Université Val de Marne i Paris, bekräftar att Datainspektionen arbetar i motvind, i jämförelse med sin franska motsvarighet.<SPAN class="ft27">2 </SPAN>De franska medierna har stor makt och de är mycket mer inriktade på personvärn än de svenska. Den franska dataskyddsmyndigheten är mediernas hjälte, medan tidningarna i Sverige mest skriver om öppenhet och utmålar Datainspektionen som boven som lägger hinder i vägen. I grunden ligger dock kulturella skillnader; integriteten är enligt Patricia Jonasson <NOBR>Blanc-Gonnet</NOBR> viktigare i Frankrike än i Sverige.<SPAN class="ft27">3</SPAN></P> <P class="p46 ft0">I flera sammanhang när personuppgiftslagens tillämpning på främst Internet har behandlats i media har lagen, och Datainspektionen som tillsynsmyndighet, beskrivits i negativa ordalag. Detta kan motverka Datainspektionens verksamhet och är ett problem som måste åtgärdas. För en myndighet med en uttalad uppgift att värna om den enskilde</P> <P class="p261 ft62"><SPAN class="ft38">2</SPAN><SPAN class="ft63">”Integritetsskydd och offentlighetsprincip i </SPAN><NOBR>IT-eran,</NOBR> en jämförelse av fransk, svensk och europeisk rätt”.</P> <P class="p24 ft11"><SPAN class="ft38">3</SPAN><SPAN class="ft39">magazin DIrekt 2/2001 s. 2.</SPAN></P> </DIV> <DIV id="page_150"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">161</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">individen och fungera som ett serviceorgan, är det en grundläggande förutsättning för framgång i verksamheten att myndigheten har förtroende och respekt hos såväl allmänheten som massmedia. Om Datainspektionen bidrar till att skapa en positiv bild av syftet med sin verksamhet är det utredningens övertygelse att ett sådant förtroende kan skapas.</P> <P class="p45 ft2">Personuppgiftslagen är en svårtillgänglig lagstiftning och det har uppkommit många missförstånd i samband med dess tillämpning. Det har också från många håll framförts att Datainspektionen varit otydlig i detta sammanhang. Datainspektionen har därför en viktig uppgift att förklara lagen för allmänheten och detta bör avspegla sig i Datainspektionens framtida verksamhetsinriktning.</P> <P class="p154 ft24"><SPAN class="ft24">7.3.2</SPAN><SPAN class="ft41">Regelgivning</SPAN></P> <P class="p57 ft0">I Datainspektionens informationsuppgift ingår också att meddela generella föreskrifter och allmänna råd om tillämpningen av personuppgiftslagen och att avge remissyttranden över förslag till ny lagstiftning som påverkar integritetsskyddet. Detta är av flera skäl en viktig uppgift för Datainspektionen och även den kräver att inspektionen deltar i samhällsdebatten i frågor som rör informationsteknik, personuppgifter och skyddet för den personliga integriteten.</P> <P class="p66 ft0">Att användningen av personuppgifter regleras och begränsas är en förutsättning för att skydda den personliga integriteten. Vilken reglering och begränsning som då är nödvändig för att skydda den personliga integriteten är till stora delar beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörliga intrång i annans personliga integritet skall, enligt Datalagskommittén, så långt som möjligt förebyggas.<SPAN class="ft27">4 </SPAN>Utredningen ställer sig givetvis bakom denna bedömning.</P> <P class="p52 ft0">I förarbetena till personuppgiftslagen motiverades närmare varför regeringen eller den myndighet som regeringen bestämmer skall bemyndigas att meddela föreskrifter. Här framhålls att reglerna i personuppgiftslagen är generella och behöver preciseras, att dataskyddsdirektivet innehåller en hel del detaljregler som det skulle vara olämpligt att tynga lagtexten med samt att direktivet medger att det under vissa förutsättningar görs undantag från vissa regler. Dataskyddsdirektivet kräver dessutom att Sverige säkerställer att särskilt integritetskänsliga behandlingar av personuppgifter kontrolleras och att det bestäms vilka behandlingar som skall förhandskontrolleras. De</P> <P class="p262 ft11"><SPAN class="ft27">4 </SPAN>SOU 1997:39 s. 180.</P> </DIV> <DIV id="page_151"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">162 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">generella principer som personuppgiftslagen innehåller och som bygger på dataskyddsdirektivet är tämligen beständiga, medan behov av närmare preciseringar och undantag av naturliga skäl kommer att växla över tiden och kan uppkomma hastigt. Detta beror bl.a. på den snabba tekniska utvecklingen, framväxten av nya, i dag oförutsägbara sätt att samla in och utnyttja personuppgifter och värderingsförändringar. En ordning som innebär att varje liten justering i det kompletterande regelverket kräver en sedvanlig lagstiftningsprocess framstår därför som onödigt omständlig och ohanterlig. Det finns alltså ett behov av att delegera normgivningskompetensen på området.<SPAN class="ft27">5</SPAN></P> <P class="p46 ft0">Lagstiftarens avsikt med att delegera normgivningskompetens är följaktligen att såväl de risker och möjligheter den tekniska utvecklingen för med sig som rådande värderingar om vilka skyddsvärda intressen som skall iakttas vid behandling av personuppgifter, skall beaktas av Datainspektionen vid utformningen av föreskrifter och allmänna råd. Även denna uppgift ställer således krav på inspektionen att aktivt informera sig i teknikfrågor och att delta i samhällsdebatten i frågor som rör informationsteknik och skyddet för den personliga integriteten vid behandling av personuppgifter för att utröna vilka värderingar som råder.</P> <P class="p46 ft0">Det skall dock i och för sig beaktas att personuppgiftslagen ger Datainspektionen mindre utrymme för självständiga uppfattningar än datalagen som byggde på att i första hand inspektionen mer eller mindre självständigt skulle bestämma för vilka ändamål personregistrering fick ske och vilka villkor som skulle gälla för registreringen. Personuppgiftslagen innehåller fler materiella regler än datalagen och ställer upp en ram inom vilken den kompletterande regleringen måste hålla sig. Mer finns alltså reglerat i lag enligt personuppgiftslagen än vad som var fallet enligt datalagen.<SPAN class="ft27">6</SPAN></P> <P class="p45 ft0">Datainspektionen har tidigare själv framhållit betydelsen av normgivning för att effektivisera inspektionens verksamhet och för att värna om skyddet för den personliga integriteten. Genom Datainspektionens möjligheter att t.ex. meddela föreskrifter om undantag från skyldigheten att anmäla behandling av personuppgifter kan inspektionen effektivisera sin verksamhet och ägna mindre ansträngningar åt sådant som är tämligen ofarligt från integritetssynpunkt och i stället koncentrera sina resurser till det viktiga inspektionsarbetet.</P> <P class="p46 ft2">Här bör förutom Datainspektionens möjlighet att meddela föreskrifter och allmänna råd särskilt framhållas myndighetens uppgift att stimulera till olika former av självreglering. I ett system med ett</P> <P class="p146 ft11"><SPAN class="ft38">5</SPAN><SPAN class="ft39">Prop. 1997/98:44 s. 56 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">6</SPAN><SPAN class="ft39">Prop. 1997/98:44 s. 57.</SPAN></P> </DIV> <DIV id="page_152"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">163</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">decentraliserat ansvar för integritetsskyddet är det mycket värdefullt med tillsynsmyndighetens medverkan vid utformningen av bl.a. branschöverenskommelser. Härigenom kan Datainspektionen tydliggöra de problem som är aktuella inom olika områden och undanröja risker för intrång i den personliga integriteten vid vissa typer av behandlingar av personuppgifter. Förutom att myndigheten kan se till att branschöverenskommelserna uppfyller vissa kvalitetskrav medför dess medverkan vid utformningen av regleringen dessutom förtroende hos allmänheten. Att branscher och andra organisationer tar ett sådant eget ansvar för skyddet för den personliga integriteten ger vidare Datainspektionen förutsättningar för att effektivisera sin verksamhet genom att myndigheten kan koncentrera sina insatser till de behandlingar av personuppgifter där störst risk för otillbörligt intrång föreligger. I kapitel 11 tar utredningen upp behovet av självreglering närmare.</P> <P class="p263 ft0">Till regelgivning kan man hänföra ytterligare en uppgift för Datainspektionen, nämligen rollen som remissinstans. Inspektionens möjlighet att lämna synpunkter på utredningsbetänkanden och förslag från regeringen, som rör integritetsfrågor, är av betydelse för att sådana frågor skall beaktas fullt ut.</P> <P class="p59 ft0">Det har ett särskilt värde att Datainspektionen kan komma in på ett tidigt stadium och påverka lagstiftningen. Denna uppgift måste emellertid hållas inom rimliga gränser så att den inte tar för stora resurser från vad som är den egentliga kärnverksamheten för inspektionen, jfr. bilaga 5. I detta sammanhang kan nämnas ändringen av 2 a § datalagen, genom vilken skyldigheten att begära Datainspektionens yttrande inför inrättandet av personregister som beslutas av riksdag eller regering avskaffades. Ändamålet med ändringen var bl.a. att minska Datainspektionens arbetsbörda med remisser.<SPAN class="ft27">7 </SPAN>Enligt utredningens mening skall Datainspektionen, såvitt avser kontakterna med Regeringskansliet, i första hand fungera som remissinstans.</P> <P class="p46 ft0">Utredningens erfarenhet är att Regeringskansliet i dag använder myndigheten i större utsträckning än att bara vara regeringens remissinstans. Datainspektionen fungerar även i viss utsträckning som en resurs åt bl.a. Justitiedepartementet när det gäller lagstiftningsfrågor och internationellt arbete vid sidan av det som regeringen ålagt inspektionen att utföra. Utredningen är medveten om att Datainspektionens medverkan i dessa sammanhang fyller en funktion, dels när det gäller att uppmärksamma integritetsskyddet i samband med lagstiftning dels för att myndigheten skall kunna följa med i utvecklingen. Data-</P> <P class="p167 ft11"><SPAN class="ft27">7 </SPAN>SFS 1994:1485, Prop. 1993/94:217 s. 22 f.</P> </DIV> <DIV id="page_153"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">164 </SPAN>Datainspektionens framtida verksamhetsinriktning</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">inspektionens medverkan såvitt nu är i fråga får dock enligt utredningens mening inte inskränka myndighetens möjligheter att bedriva en effektiv och ändamålsenlig informations- och inspektionsverksamhet.</P> <P class="p110 ft24"><SPAN class="ft24">7.3.3</SPAN><SPAN class="ft41">Inspektion</SPAN></P> <P class="p57 ft0">Enbart information, innefattande rådgivning och regelgivning, är inte tillräckligt för att uppnå ett fullgott skydd för den personliga integriteten. Informationen måste kompletteras med en tillsynsfunktion med långtgående befogenheter för att övervaka tillämpningen av gällande bestämmelser.</P> <P class="p59 ft0">Genom inspektioner kan Datainspektionen på ett konkret och grundligt sätt göra en översyn av nivån på integritetsskyddet vid behandling av personuppgifter och kontrollera att reglerna efterlevs. Vetskapen om att man kan bli utsatt för inspektion och att en sådan kan leda till rättsliga ingripanden av olika slag, medför ytterligare ett viktigt incitament för de personuppgiftsansvariga att behandla personuppgifter lagligt, korrekt och enligt god sed.</P> <P class="p45 ft0">Det har allt sedan Datainspektionen inrättades förutsatts att inspektioner hos de personuppgiftsansvariga är vad som bäst främjar skyddet för den personliga integriteten. Utredningen delar denna uppfattning. Det är därför mycket viktigt att Datainspektionen utför fler och allt effektivare inspektioner av behandlingen av personuppgifter i samhället. En mycket stor del av Datainspektionens resurser bör användas till inspektionsverksamheten.</P> <P class="p79 ft0">I bilaga 3 redovisas den totala tid Datainspektionen lagt ned på inspektioner inom samtliga sina ansvarsområden under perioden 1 juli 2000 till 1 juli 2001. Av bilagan framgår att Datainspektionen totalt lagt ned 8 531 timmar på sin inspektionsverksamhet. Med en normal årsarbetstid om 1 600 timmar motsvarar detta 5,3 årsarbetskrafter. Datainspektionen räknar med en produktiv tid på 75 procent per anställd, vilket motsvarar 1 200 arbetstimmar per år eller att totalt 7,1 årsarbetskrafter ägnats åt inspektionsverksamhet. Oavsett hur man räknar ägnar myndigheten enligt utredningens mening allt för små resurser åt inspektioner, särskilt som tillsyns- och tillståndsenheten har omkring 18 personer knutna till sig. Speciellt anmärkningsvärt är att endast en halv årsarbetskraft lagts ned på fältinspektioner enligt personuppgiftslagen och datalagen.</P> <P class="p63 ft2">Datainspektionen förklarar det låga antalet inspektioner med att det under perioden har varit stora problem med sjukdomar och att personal slutat, särskilt under våren 2001. Enligt inspektionen arbetade i snitt</P> </DIV> <DIV id="page_154"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td119"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td33"><SPAN class="p9 ft31">Datainspektionens framtida verksamhetsinriktning <SPAN class="ft10">165</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td120"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td121"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft2">endast 10,2 personer på tillsyns- och tillståndsenheten under den aktuella perioden.</P> <P class="p70 ft0">Genom en effektiv inspektionsverksamhet kommer en betydelsefull insats att göras för integritetsskyddet i samhället. Myndigheten blir på så sätt en resurs för alla människor i Sverige. Enligt utredningens mening ger ovanstående beskrivning av hur mycket tid Datainspektionen lagt ned på inspektioner klart stöd för uppfattningen att Datainspektionen bör ägna mer resurser åt inspektionsverksamheten. Datainspektionens förklaring till det låga utfallet ger dessutom vid handen att den möjligheten föreligger inom ramen för den nuvarande verksamheten.</P> <P class="p264 ft0">I uppställningen i bilaga 3 ingår såväl skrivbordssom fältinspektioner. Genomgående lägger Datainspektionen ner störst resurser på skrivbordsinspektioner. Som en jämförelse kan nämnas att under den aktuella perioden har 3 263 timmar ägnats åt skrivbordsinspektioner enligt personuppgiftslagen och datalagen men endast 602 timmar åt fältinspektioner enligt samma lagar. I tidsangivelsen för särskilda projekt skiljer Datainspektionen inte på skrivbordsinspektioner och fältinspektioner. Mot bakgrund av nämnda förhållanden vill utredningen framhålla betydelsen av att Datainspektionen i större utsträckning på plats hos de personuppgiftsansvariga kontrollerar behandlingen av personuppgifter. I direkt kontakt med de personuppgiftsansvariga kan Datainspektionen på ett konkret sätt påverka att behandlingen av personuppgifter sker korrekt och i enlighet med god sed och myndigheten kan utan dröjsmål undanröja oklarheter och missförstånd. Detta kan främja såväl effektiviteten i inspektionsverksamheten som den allmänna skyddsnivån för den personliga integriteten. I samband med fältinspektioner ges också tillfälle för myndigheten att hos olika organisationer väcka frågan om självreglering. Enligt utredningens uppfattning bör därför myndighetens klara strävan vara att öka andelen fältinspektioner i förhållande till skrivbordsinspektioner. Utredningen anser att väsentligt fler inspektioner borde kunna genomföras på plats hos personuppgiftsansvariga än vad som är fallet i dag.</P> <P class="p265 ft2">Utredningen återkommer till frågan om en effektivisering av inspektionsverksamheten i kapitel 13 om Datainspektionens finansiering.</P> </DIV> <DIV id="page_155"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32155x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">167</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p266 ft33"><SPAN class="ft5">8</SPAN><SPAN class="ft32">En effektiv och ändamålsenlig tillsynsverksamhet</SPAN></P> <P class="p267 ft2">Datainspektionens organisation skall vara anpassad till verksamhetsinriktningen på huvudområdena <SPAN class="ft26">Information </SPAN>och <SPAN class="ft26">Inspektion </SPAN>(jfr bilaga 5).</P> <P class="p268 ft0">För att vara en effektiv myndighet krävs att personalen har en hög kompetens vad gäller integritetslagstiftning och informationsteknik. Med nuvarande arbetsuppgifter bör Datainspektionens resurser vad gäller antalet anställda initialt vara oförändrade. Med ett fullt utbyggt system med personuppgiftsombud bör emellertid Datainspektionens personalresurser på sikt kunna minska.</P> <P class="p268 ft0">En tydlig målsättning och en genomtänkt strategi för hur målsättningen skall uppnås bör förankras hos hela personalen och läggas fast för verksamheten. Resultatet av verksamheten skall dokumenteras och på ett lämpligt sätt spridas.</P> <P class="p268 ft0">En stor del av myndighetens resurser bör användas till att utföra inspektioner. En rimlig utgångspunkt är att minst en tredjedel av myndighetens personalresurser ägnas åt renodlad inspektionsverksamhet.</P> <P class="p269 ft2">Personuppgiftsombuden bör i enlighet med personuppgiftslagens intentioner användas som en kraftfull resurs i såväl informationssom inspektionsverksamheten.</P> <P class="p270 ft56"><SPAN class="ft1">8.1</SPAN><SPAN class="ft55">Samverkan mellan Datainspektionens två huvudområden – Information och Inspektion</SPAN></P> <P class="p271 ft0">Med utgångspunkt i syftet med Datainspektionens verksamhet kan en effektiv tillsyn beskrivas som åtgärder som med utnyttjande av minsta möjliga resurser höjer den totala nivån på integritetsskyddet i så stor utsträckning som möjligt.</P> <P class="p272 ft2">Genom personuppgiftslagens ikraftträdande och det faktum att tillstånds- och licensförfarandet härigenom helt upphört, har</P> </DIV> <DIV id="page_156"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">168 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p127 ft0">Datainspektionens verksamhet renodlats till att enbart avse typiska tillsynsuppgifter. Datainspektionens verksamhet skall inriktas på information om personuppgiftslagen och integritetsfrågor samt inspektion för att kontrollera att bl.a. personuppgiftslagens regler efterlevs.</P> <P class="p46 ft0">I en effektiv och ändamålsenlig tillsynsverksamhet samverkar Datainspektionens två huvuduppgifter, information och inspektion, till att skapa en så hög regelefterlevnad och därmed ett så högt integritetsskydd som möjligt. Ju bättre Datainspektionen når ut med sin information och rådgivning om rättigheter och skyldigheter i samband med behandling av personuppgifter desto mindre fel bör myndigheten upptäcka vid sina inspektioner hos de personuppgiftsansvariga. I inspektionsverksamheten kan man på ett konkret sätt nå ut med olika informationsinsatser genom att i direkt anslutning till kontrollen informera om gällande regler och ge råd om hur behandlingen bör ske i praktiken för att vara korrekt och i enlighet med god sed.</P> <P class="p148 ft1"><SPAN class="ft1">8.2</SPAN><SPAN class="ft30">Datainspektionens ansvarsområde</SPAN></P> <P class="p73 ft0">Datainspektionens verksamhet kännetecknas av att ansvarsområdet för dess tillsynsverksamhet är mycket omfattande. Inspektionen skall verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och myndigheten har som särskild uppgift att utöva tillsyn enligt personuppgiftslagen.</P> <P class="p59 ft0">Personuppgiftslagen gäller främst för personuppgiftsansvariga som är etablerade i Sverige. Den kan emellertid också vara tillämplig när den personuppgiftsansvarige är etablerad i ett land utanför EU eller EES, om utrustning som finns i Sverige används för behandlingen av personuppgifter. Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad, men också för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta framgår av lagens 4 och 5 §§. Lagens tillämpningsområde är således väsentligt vidare än datalagens.</P> <P class="p46 ft0">Behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, oavsett om varje led sker på automatisk väg eller inte. Även om undantag görs för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur faller således all väsentlig behandling av personuppgifter varhelst den sker i landet inom Datainspektionens ansvarsområde. På så sätt omfattas i princip varje myndighet, företag</P> </DIV> <DIV id="page_157"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">169</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">och organisation samt i många fall även privatpersoner av Datainspektionens tillsynsansvar.</P> <P class="p66 ft0">Härigenom skiljer sig Datainspektionen från andra tillsynsmyndigheter. Vanligen har en tillsynsmyndighet ett mer begränsat ansvarsområde, såsom en viss sektor, bransch eller typ av verksamhet. Så är t.ex. Finansinspektionens ansvar begränsat till den finansiella marknadens kreditinstitut, värdepappersbolag och det enskilda försäkringsväsendet och Socialstyrelsens till kvalitet inom hälso- och sjukvård, smittskydd och socialtjänst. Datainspektionens ansvarsområde däremot är i det närmaste obegränsat. Detta innebär att antalet potentiella tillsynsobjekt, särskilt mot bakgrund av den allt större användningen av datorteknik i samhället, är mycket omfattande.</P> <P class="p59 ft0">Datainspektionens ansvarsområde ställer naturligtvis särskilda krav på inspektionens verksamhet. En myndighet med ett så stort ansvarsområde och begränsade resurser måste vara effektiv för att kunna uppfylla målsättningen med verksamheten. Detta kräver i sin tur duktig personal med hög kompetens inom myndighetens alla områden, en ändamålsenlig organisation samt en utvecklad strategi för arbetets genomförande.</P> <P class="p45 ft0">En viktig slutsats man kan dra av ett så omfattande tillsynsansvar är naturligtvis att allt inte kan kontrolleras. Detta innebär i sin tur att Datainspektionen måste prioritera hur resurserna skall användas. Resurserna måste koncentreras till det som är viktigast för att uppnå målen för verksamheten. Således måste man inrikta tillsynen mot i första hand de behandlingar som utgör störst hot mot den personliga integriteten.</P> <P class="p46 ft0">Därutöver bör det enligt utredningens mening som ett led i myndighetens prioritering eftersträvas att ansvaret för skyddet för den personliga integriteten delegeras. Personuppgiftsombuden bör därför i största möjliga utsträckning utnyttjas som Datainspektionens förlängda arm. Datainspektionen måste vidare ta varje tillfälle i akt att uppmärksamma myndigheter, företag och organisationer på integritetsfrågor i samband med behandling av personuppgifter och i samband härmed stimulera initiativ till olika former av självreglering.</P> <P class="p161 ft1"><SPAN class="ft1">8.3</SPAN><SPAN class="ft30">Personal med hög kompetens</SPAN></P> <P class="p73 ft0">Personuppgiftslagens regler är komplicerade och den tekniska utvecklingen med allt mer sofistikerade metoder att behandla personuppgifter går fort. Detta ställer naturligtvis stora krav på Datainspektionen och dess anställda. Inspektionen måste därför ha en personal som besitter en mycket hög kompetens.</P> </DIV> <DIV id="page_158"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">170 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p165 ft0">Verksamheten kräver att personalen har goda juridiska kunskaper om integritetslagstiftning. Därutöver förutsätter verksamheten insikter i informationsteknik och informationssystem, särskilt med tonvikt på informationssäkerhet.</P> <P class="p45 ft0">Datalagskommittén påpekade i sitt betänkande att de förändrade uppgifterna för Datainspektionen enligt personuppgiftslagen får anses mera krävande och kvalificerade än de uppgifter inspektionen utfört tidigare. En utökad tillsynsverksamhet och en i vart fall inledningsvis omfattande föreskriftsverksamhet ställer enligt kommittén andra och större krav på personalen och organisationen än en verksamhet som till stor del går ut på hantering enligt utarbetade mallar av inkomna ansökningar. Kommittén konstaterade samtidigt att det för en myndighet med tillsynsansvar som regel inte finns någon naturlig gräns beträffande behov av personal och övriga resurser; myndigheten har i allmänhet inga svårigheter att göra av med alla de pengar den får på tillsynsverksamheten. Enligt Datalagskommittén borde en personalstyrka på ungefär 40 personer ge Datainspektionen rimliga förutsättningar att klara uppgifterna med det föreslagna systemet. Däremot torde det krävas att kompetensnivån hos personalen höjs för att motsvara de ökade krav som det föreslagna systemet innebär.<SPAN class="ft27">1</SPAN></P> <P class="p52 ft0">Även enligt utredningens uppfattning bör med nuvarande arbetsuppgifter Datainspektionens personalresurser initialt vara lika stora som i dag. Det är också inspektionens uppfattning att myndigheten har en väl anpassad personalstyrka för att lösa de uppgifter regeringen hittills givit inspektionen, även om det naturligtvis innebär att det måste ske vissa prioriteringar. Som en jämförelse kan nämnas att Riksdagens Ombudsmän (JO) har omkring 60 anställda. JO granskar statliga och kommunala myndigheter, domstolar och andra vars arbete innebär myndighetsutövning. Datainspektionen, som har ett mer omfattande tillsynsområde med ansvar för att kontrollera behandlingar av personuppgifter i hela samhället, bör enligt utredningens uppfattning med nuvarande arbetsuppgifter inte ha mindre personalresurser än vad som är fallet i dagsläget. Om Datainspektionen får ytterligare uppgifter utöver dagens, måste det givetvis övervägas om inte en ökning av personalstyrkan är nödvändig. Genomförs utredningens förslag att ansvaret enligt kreditupplysnings- och inkassolagarna förs över till Finansinspektionen (se kapitel 10), bör i detta sammanhang också beaktas att de personer som i dag ägnar sig åt dessa lagar (ca 2,5 årsarbetskrafter) i stället kan syssla med Datainspektionens verksamhet i övrigt.</P> <P class="p273 ft11"><SPAN class="ft27">1 </SPAN>SOU 1997:39 s. 448 f.</P> </DIV> <DIV id="page_159"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">171</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p253 ft0">Enligt utredningens uppfattning bör emellertid ett utbyggt system med personuppgiftsombud på sikt få till följd att Datainspektionens personal kan minska i antal. Personuppgiftsombud har att självständigt kontrollera att behandling av personuppgifter sker korrekt och i enlighet med god sed. Personuppgiftsombuden fungerar på så sätt som Datainspektionens förlängda arm och bör därmed kunna avlasta inspektionen och möjliggöra ytterligare prioriteringar i myndighetens verksamhet.</P> <P class="p274 ft0">När det gäller personalens kompetens kan allmänt sägas att Datainspektionen redan företagit en successiv anpassning till de högre krav som personuppgiftslagen ställer i förhållande till datalagen. En stor del av juristpersonalen har domarkompetens eller juris kandidatexemen med notariemeritering. För att Datainspektionen skall lyckas uppfylla målsättningen med verksamheten krävs dock att inspektionen har möjlighet att behålla och, i den utsträckning det är nödvändigt, nyrekrytera kvalificerade jurister.</P> <P class="p131 ft0">Det är emellertid viktigt att åter framhålla att Datainspektionen skall fungera som en utåtriktad myndighet och inte som en traditionell domstol. Myndigheten måste aktivt deltaga i samhällsdebatten och välvilligt ställa upp för massmedia. Både kortsiktigt och långsiktigt vinner myndigheten och integritetsskyddet på det.</P> <P class="p70 ft0">Enligt instruktionen för Datainspektionen skall inspektionen följa och beskriva utvecklingen inom <NOBR>IT-området</NOBR> när det gäller frågor som rör integritet och ny teknik. Inspektionen behöver därför även av den anledningen ingående teknisk kompetens. Detta är ett område i ständig och mycket snabb förändring. Det går inte att kräva att Datainspektionen skall kunna ha en fullständig bevakning av utvecklingen inom hela det informationstekniska området. Datainspektionen måste dock ha en s.k. beställarkompetens. Det gäller med andra ord för Datainspektionen att veta när den egna kompetensen inte räcker till och när inspektionen således är tvungen att anlita externa resurser för att klara de uppgifter som inspektionen själv inte kan utföra på ett fullgott sätt. Vid behov bör alltså Datainspektionen köpa in konsulttjänster.</P> <P class="p145 ft0">Inspektionen måste ha egen tillräcklig teknisk kompetens för att utföra sina tillsynsuppgifter på ett ändamålsenligt sätt, vilket främst innebär kunskaper om tekniska rutiner och säkerhetsåtgärder för att bedöma integritetsskyddet i samband med behandling av personuppgifter. Datainspektionen har i dag tre anställda, med olika bakgrund, som har teknisk kompetens. Inspektionen behöver fortlöpande förstärka sin kompetens vad gäller informationsteknik (se vidare kapitel 12).</P> <P class="p123 ft2">Antalet anställda med teknisk kompetens bör vara fler än i dag. Enligt utredningens mening bör personal med särskild teknisk kompetens alltid deltaga vid myndighetens inspektioner på plats. Ett önskemål</P> </DIV> <DIV id="page_160"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">172 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">är givetvis att en så stor del av de anställda som möjligt besitter såväl juridisk som teknisk kompetens.</P> <P class="p66 ft0">Utöver kunskaper i juridik och informationsteknik behöver Datainspektionens personal särskild insikt i de olika sakområden och branscher inspektionen är satt att övervaka. Goda kunskaper hos personalen om tillsynsobjekten och deras verksamhet är en stor tillgång i framför allt inspektionsarbetet. Datainspektionens personals samlade kompetens skall vara en syntes av informationstekniskt kunnande, juridiskt kunnande och sakområdeskompetens.</P> <P class="p75 ft1"><SPAN class="ft1">8.4</SPAN><SPAN class="ft30">Verksamhetsstrategi</SPAN></P> <P class="p73 ft0">Personuppgiftslagen medför som redan konstaterats stora förändringar av Datainspektionens verksamhet. Rollen som förhandskontrollerande tillståndsmyndighet har närmast försvunnit och verksamheten koncentreras i stället på information om de materiella reglerna samt inspektion av att reglerna följs. Datainspektionens nya verksamhetsinriktning som renodlad tillsynsmyndighet ställer naturligtvis krav på att man närmare ser över organisationen och arbetsmetoderna och hur arbetet med information och inspektion kan förbättras.</P> <P class="p45 ft0">En sådan översyn bör utvisa hur Datainspektionen konkret kan förstärka tillsynen i olika avseenden, och kan leda till att man finner det nödvändigt att redan nu göra förändringar i arbetsformerna och organisationen. För att upprätthålla en god standard i tillsynsarbetet krävs emellertid dessutom att Datainspektionen fortlöpande ser över, utvecklar och anpassar verksamheten till rådande förhållanden.</P> <P class="p45 ft0">För att åstadkomma en effektiv och ändamålsenlig tillsynsverksamhet måste myndigheten enligt utredningens uppfattning ha en förankrad och väl fungerande organisation och en utvecklad metod att arbeta efter, dvs. en hos personalen förankrad strategi som beskriver planering, genomförande, uppföljning och utvärdering av verksamheten. Viktigast är att man har konkreta mål att arbeta mot och att man noggrant kan utvärdera i vilken utsträckning man lyckats uppnå dessa mål. En välgrundad målsättning och en genomarbetad metod för genomförande och utvärdering av målsättningen främjar Datainspektionens tillsynsverksamhet.</P> <P class="p79 ft2">Som tidigare framhållits är det inte utredningens avsikt att i betänkandet i detalj tala om hur Datainspektionen skall organisera sitt arbete. Mål och strategier för verksamheten skall utarbetas i samspel mellan regeringen och myndigheten. Utredningen vill med detta avsnitt i första hand framhålla betydelsen av att myndigheten utarbetar</P> </DIV> <DIV id="page_161"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">173</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">ändamålsenliga strategier för sin verksamhet. Särskilt viktigt är detta med ett så omfattande ansvarsområde som Datainspektionen har.</P> <P class="p99 ft24"><SPAN class="ft24">8.4.1</SPAN><SPAN class="ft41">Mål för verksamheten</SPAN></P> <P class="p111 ft0">Det är viktigt för en organisation att fastställa övergripande mål och visioner för verksamheten, lika viktigt är det att dra upp riktlinjer och strategier för hur dessa mål skall nås.</P> <P class="p59 ft0">Om en vision eller verksamhetsidé fastställs kan detta utgöra en grund för att dra upp riktlinjer för hur målsättningen med verksamheten skall förverkligas. I detta arbete bör myndigheten utgå från den egna verksamheten och studera vilken styrka och vilka svagheter som organisationen har. Genom att göra en omvärldsanalys kan tänkbara möjligheter, hot och framtidsutsikter urskiljas. Utifrån denna analys kan sedan lämpliga strategier formuleras.</P> <P class="p59 ft0">Oavsett utformningen av myndighetens strategi för verksamheten måste denna vara väl förankrad hos personalen för att maximal effektivitet skall kunna uppnås. En framgångsrik myndighetsverksamhet förutsätter att alla känner delaktighet och ansvar för organisationen man arbetar i. Arbetsmetoder och målsättningar bör därför utarbetas i samarbete mellan myndighetens olika enheter och med deltagande av samtliga personalkategorier. Alla medarbetare bör känna sig delaktiga i processen med att formulera mål och strategier.</P> <P class="p45 ft0">Vid planering och formulering av mål för verksamheten bör man också vända sig utåt mot samhället för att ta in synpunkter från externa intressenter och avnämare, för att erhålla en koppling till hur effekterna blir ute i samhället av genomförd verksamhet.</P> <P class="p59 ft0">Målstyrning bör karaktäriseras av att mätbara mål formuleras för verksamheten. Utfallet skall sedan kunna jämföras med uppsatta mål. För att målstyrningen skall kunna fungera tillfredsställande, krävs att antalet mål inte är allt för omfattande. Väsentliga områden bör identifieras och myndigheten bör prioritera och fokusera på kärnverksamheten. För Datainspektionens del gäller det att prioritera informations- och inspektionsverksamheten.</P> <P class="p46 ft0">Den målsättning för Datainspektionen som hittills formulerats, främst i regleringsbrev, är att antalet inspektioner skall ligga på minst samma nivå som de två föregående åren. Det kan emellertid finnas flera nackdelar med en målsättning som inte är mer preciserad och som endast är inriktad på produktion. Det kan lätt bli kvantitet i stället för kvalitet. Många gånger kan det även saknas analys innan man går till handling. Framtidsperspektivet tappas liksom prioriteringar utifrån myndighetens roll och mål. Risk finns också att det brister i</P> </DIV> <DIV id="page_162"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">174 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">uppföljning och utvärdering av olika projekt och insatser. Inspektionsverksamheten måste enligt utredningens uppfattning inriktas på de verksamheter där det föreligger störst risk för intrång i den personliga integriteten och där det behandlas stora mängder personuppgifter.</P> <P class="p123 ft0">En ändamålsenlig verksamhetsstrategi bildar underlag för att kunna göra nödvändiga prioriteringar i verksamheten. En strategi för Datainspektionens tillsynsinsatser bör ha sin grund i den framtida verksamhetsinriktningen, och hur de två huvuduppgifterna information och inspektion skall samverka. Verksamhetsstrategin med visioner och mål bör bl.a. omfatta frågor som organisation, vilka riskområden tillsynen skall fokusera, vilka arbetsmetoder som skall användas, hur arbetet skall genomföras, verksamhetens omfattning, bemanning, m.m. Verksamhetsstrategin bör även innefatta organisationsutveckling, utveckling av relationer med omvärlden och personalutveckling.</P> <P class="p123 ft0">Det behövs såväl långsiktiga som kortsiktiga mål för verksamheten. En långsiktig planering kan innebära att inspektionen ”arbetar sig igenom” olika statliga myndigheter, kommuner eller vissa utpekade branscher i näringslivet. Därutöver behövs naturligtvis även resurser för ”brandkårsutryckningar”, dvs. att man akut kan ta sig an de problem som dyker upp t.ex. via klagomål från allmänheten eller i massmedia.</P> <P class="p123 ft0">Det är nödvändigt för Datainspektionen att göra prioriteringar i sin verksamhet. Med begränsade resurser och ett så omfattande ansvarsområde som innebär att man inte kan kontrollera allt, är det av stor vikt att myndigheten inriktar sina tillsynsinsatser på de områden och företeelser där de största riskerna för intrång i den personliga integriteten finns. Tillsynsverksamheten måste bl.a. fortlöpande kunna anpassas till utvecklingen inom informationstekniken och omfattningen och sättet för behandling av personuppgifter.</P> <P class="p123 ft0">Tillsynen över behandling av personuppgifter skall vidare vara anpassad till såväl uppdragsgivarna som andra intressenters krav och förväntningar i verksamheten. Datainspektionens ”kunder” i ett vitt perspektiv är riksdag och regering, svenska myndigheter, företag, organisationer och andra som behandlar personuppgifter, samt framför allt de enskilda vars personuppgifter behandlas. Sammanfattningsvis kan man säga att alla människor i Sverige är ”kunder” hos Datainspektionen.</P> <P class="p132 ft0">Anpassning av verksamheten till intressenternas krav och förväntningar måste ske fortlöpande. Därför bör strukturerade former för dialog, kommunikation och utvärdering för detta finnas. Samtidigt har Datainspektionen ett ansvar att inte bara tillfredsställa de önskemål som dess ”kunder” direkt utrycker. Inspektionen har enligt sitt uppdrag givetvis också ett ansvar att påverka de personuppgiftsansvariga att behandla personuppgifter korrekt samt i enlighet med god sed och de</P> </DIV> <DIV id="page_163"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">175</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">regler och riktlinjer vars efterlevnad inspektionen är satt att upprätthålla och bevaka. Detta innebär att Datainspektionen i sin tillsynsverksamhet inte kan avvakta tydliga signaler från intressenter beträffande önskemål om utveckling av verksamheten, utan själv måste ta initiativet till en utveckling av verksamheten vad gäller inriktning och kvalitet.</P> <P class="p55 ft2">Enligt utredningens mening är härvid särskilt viktigt att Datainspektionen är aktiv i samhällsdebatten och att myndigheten prioriterar att medverka till att olika former av självreglering kommer tillstånd.</P> <P class="p110 ft24"><SPAN class="ft24">8.4.2</SPAN><SPAN class="ft41">Uppföljning och utvärdering</SPAN></P> <P class="p111 ft0">Uppföljning och utvärdering av verksamheten är viktigt för att kunna planera det fortsatta arbetet. En noggrann utvärdering av olika insatser är en förutsättning för att resultatet av verksamheten skall kunna tas till vara i organisationen på ett ändamålsenligt sätt. Det bör därför finnas särskilda rutiner som säkerställer att resultatet av olika projekt används på ett effektivt sätt i myndighetens verksamhet.</P> <P class="p61 ft0">Det är viktigt att de mål som formuleras för verksamheten också följs upp efter genomförda åtgärder. Både ordinarie verksamhet och genomförda särskilda projekt måste följas upp på ett ändamålsenligt sätt. Det är dessutom av stor betydelse att medarbetarna kan se resultatet av sitt arbete.</P> <P class="p46 ft0">Datainspektionen bör följa upp specifika inspektioner för att utvärdera vilka resultat dessa fått för behandlingen av personuppgifter hos de enskilda tillsynsobjekten. Men också samverkan med informationsinsatserna bör utvärderas, t.ex. om resultaten från inspektionerna nått ut och fått genomslag hos andra personuppgiftsansvariga inom samma bransch eller liknande områden. Utvärdering bör naturligtvis också ske för att kontrollera om de uppställda målen uppfyllts och om arbetsmetoderna är effektiva och ändamålsenliga.</P> <P class="p59 ft0">En förutsättning för att uppföljning och utvärdering av verksamheten skall kunna ske är att genomförda insatser dokumenteras på ett enhetligt och korrekt sätt. En sådan dokumentation kan också ligga till grund för spridning av resultaten från genomförda inspektioner till t.ex. berörda branscher, myndigheter eller allmänheten. Datainspektionens hemsida på Internet bör här kunna användas i stor utsträckning.</P> <P class="p46 ft0">Också inspektionens strategi för myndighetens arbete bör samlas på ett lättillgängligt sätt för att underlätta tillämpningen i det praktiska arbetet. Materialet kan också ge stöd och vägledning för den personal som deltar i varje enskilt led av tillsynsprocessen. Ett sådant material kan t.ex. innehålla såväl övergripande mål och beskrivning av</P> </DIV> <DIV id="page_164"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">176 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">inspektionens uppgift som specifika rutinbeskrivningar av tillsynsprocessens olika delmoment och mallar för inspektionsplaner och rapporter.</P> <P class="p66 ft0">I samband härmed bör också påpekas vikten av att erfarenheter i verksamheten dokumenteras och sprids på ett lämpligt sätt även internt till Datainspektionens medarbetare, för att man skall kunna dra lärdom och slutsatser av genomförda åtgärder för att förbättra och effektivisera den framtida verksamheten.</P> <P class="p66 ft0">Med ett så diffust ändamål för verksamheten som skyddet för den personliga integriteten är det svårt att utvärdera hur framgångsrik verksamheten verkligen är. Eftersom ”skydd för den personliga integriteten” är svårt att kvantifiera har hittills ingen accepterad metod kunnat utarbetas för att mäta effekterna av olika tillsynsmetoder/insatser. Detta får dock inte hindra att man anstränger sig för att sätta upp tydliga mål för arbetet utifrån vilka man kan utvärdera och analysera verksamheten.</P> <P class="p161 ft1"><SPAN class="ft1">8.5</SPAN><SPAN class="ft30">Informationsverksamheten</SPAN></P> <P class="p73 ft0">En effektiv tillsynsverksamhet förutsätter enligt utredningens mening att Datainspektionen sprider kunskap om integritetsskyddslagstiftning och behandling av personuppgifter i allmänhet. Med goda kunskaper om behandling av personuppgifter och integritet kan människorna i Sverige se till att frågorna blir uppmärksammade i tillräcklig utsträckning och ställa berättigade krav på dem som behandlar personuppgifter att iaktta skyddet för den personliga integriteten.</P> <P class="p45 ft0">Även teknikens möjligheter att förebygga intrång i den personliga integriteten bör uppmärksammas. Information om system som bidrar till god personuppgiftshantering bör publiceras eller spridas på annat sätt. I informationsverksamheten bör också ingå att t.ex. resultatet av utförda inspektioner kommer andra personuppgiftsansvariga med liknande förhållanden till del.</P> <P class="p61 ft2">Framför allt massmedia och Internet bör vara två viktiga hjälpmedel i Datainspektionens informationsverksamhet.</P> <P class="p66 ft0">För att öka allmänhetens och de personuppgiftsansvarigas intresse för integritetsfrågor är det viktigt att föra ut budskapet om personuppgiftshanteringens möjligheter, samt vilka rättigheter och skyldigheter som föreligger. Information i massmedia om integritetsfrågor gör att bevakningsuppgiften sprids till allmänheten och samtidigt ökar möjligheten att genom klagomål till Datainspektionen upptäcka oegentligheter i personuppgiftshanteringen som bör bli föremål för inspektionens vidare åtgärder.</P> </DIV> <DIV id="page_165"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">177</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">Massmediabevakningen bör även kunna användas av Datainspektionen till att stimulera till självreglering och annan form av egenkontroll. De personuppgiftsansvariga kan genom media varslas om inom vilka områden Datainspektionen anser att de största hoten mot den personliga integriteten finns och var inspektionen har för avsikt att utföra inspektioner inom den närmaste framtiden.</P> <P class="p45 ft0">Datainspektionen bör vidare kunna utveckla sin hemsida på Internet ytterligare för att härigenom sprida kunskap till allmänheten. Internet har i dag blivit en allt mer utnyttjad källa för information. Människor vill ofta snabbt och enkelt, direkt när behovet uppstår, kunna få tag i information och använder sig då av Internet som första alternativ. Datainspektionen bör därför satsa på att den information som inspektionen vill komma ut med i så stor utsträckning som möjligt går att inhämta via myndighetens webbplats.</P> <P class="p45 ft0">Utöver den information som i dag går att få finns en efterfrågan på en allmän rapportering av praxis inom Datainspektionens ansvarsområde. I det sammanhanget kan man överväga en utgivning av praxis på <NOBR>CD-romskivor</NOBR> eller i årsböcker i <NOBR>webb-form.</NOBR></P> <P class="p59 ft0">Det är i detta sammanhang värt att notera att Datainspektionen i sitt tillsynsarbete de senaste åren inte har kunnat se någon tydlig successiv övergång mellan tillämpning av datalagen och tillämpning av personuppgiftslagen. Det tyder på att de flesta personuppgiftsansvariga började tillämpa personuppgiftslagen först den 1 oktober 2001, när datalagen helt upphörde att gälla. Utredningen anser därför att det under de närmaste åren kommer att behövas särskilt kraftfulla informationsinsatser vad gäller den nya lagstiftningen. I samband med en sådan större informationskampanj bör Datainspektionen ta tillfället i akt och även mer allmänt informera om integritetsskyddet i samhället.</P> <P class="p136 ft1"><SPAN class="ft1">8.6</SPAN><SPAN class="ft30">Inspektionsverksamheten</SPAN></P> <P class="p50 ft0">Inspektionsverksamheten är mycket viktig för att förebygga intrång i den personliga integriteten. Utredningen anser att en stor del av Datainspektionens resurser bör användas till att inspektera att personuppgifter behandlas lagligt och korrekt och i enlighet med god sed. En rimlig utgångspunkt är att minst en tredjedel av myndighetens personalresurser ägnas åt renodlad inspektionsverksamhet.</P> <P class="p85 ft0">Inspektionsverksamheten skall vara noggrant planerad och bygga på uppsatta mål och strategier. Rutinerna för inspektionsverksamheten bör fortlöpande ses över.</P> <P class="p51 ft2">Goda kunskaper hos personalen om de olika tillsynsobjekten och deras verksamhet är en stor tillgång i inspektionsverksamheten. En</P> </DIV> <DIV id="page_166"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">178 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">effektiv inspektionsverksamhet bör därför bl.a. bedrivas av ett antal arbetslag med olika specialisering. Detta kan ske i form av små självständiga inspektionsgrupper med områdesansvar för vissa branscher, kommunal förvaltning och statliga myndigheter. För Datainspektionen som är en liten myndighet gäller dock samtidigt att man mellan olika avdelningar kan samarbeta och dra ömsesidig nytta av varandras erfarenheter inom olika verksamheter. I kapitel 13, Datainspektionens finansiering, tas frågan upp om att debitera en avgift för den renodlade inspektionsverksamheten.</P> <P class="p148 ft1"><SPAN class="ft1">8.7</SPAN><SPAN class="ft30">Personuppgiftsombud och självreglering</SPAN></P> <P class="p73 ft0">Även om Datainspektionen skall utföra en omfattande kontroll av hanteringen av personuppgifter i samhället bygger personuppgiftslagens regler på att ansvaret för behandlingen av personuppgifter ligger hos den för vars verksamhet behandlingen sker. Den personuppgiftsansvarige kan utse ett personuppgiftsombud som självständigt skall kontrollera behandlingen av personuppgifter. Ansvaret för att behandlingen är korrekt och i enlighet med personuppgiftslagen och god sed ligger dock alltjämt kvar på den personuppgiftsansvarige.</P> <P class="p45 ft0">Även om Datainspektionen som tillsynsmyndighet har ansvar för att övervaka behandlingen av personuppgifter kan myndigheten, som tidigare framhållits, inte kontrollera allt. För att så effektivt som möjligt utnyttja sina resurser till att förebygga intrång i den personliga integriteten gäller det därför enligt utredningens uppfattning att Datainspektionen arbetar för att sprida kontrollen av de personuppgiftsansvariga på så många seriösa aktörer som möjligt. Här har personuppgiftsombuden och olika former av självreglering en viktig funktion att fylla.</P> <P class="p59 ft0">Eftersom Datainspektionen inte själv kan kontrollera allt, måste man använda sig av alla goda krafter i samhället för att tillvarata skyddet för den personliga integriteten. Myndigheter, företag, organisationer och privatpersoner måste själva bidra till att uppmärksamma hot mot den personliga integriteten och förhindra intrång i densamma. För att detta skall vara möjligt krävs att dessa grupper har goda kunskaper om personuppgiftslagen och integritetsfrågor i allmänhet. Datainspektionens uppgift som informatör och rådgivare i detta sammanhang framstår därmed som oerhört centralt och viktigt.</P> <P class="p52 ft0">Personuppgiftsombudets uppgift är att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att påpeka eventuella brister. Detta innebär enligt förarbetena att ombudet i vart fall bör granska rutinerna för behandling av personuppgifter och de krav på</P> </DIV> <DIV id="page_167"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">179</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på den personal som tillåts behandla sådana uppgifter.</P> <P class="p70 ft0">Personuppgiftsombuden är en resurs för integritetsskyddet och fungerar med sina uppgifter som Datainspektionens förlängda arm. Med hänsyn till ombudens ansvar innebär funktionen en rejäl ambitionshöjning vad gäller integritetsskyddet i samhället. En utbredd användning av systemet med personuppgiftsombud bör därför enligt utredningens uppfattning få betydelse för inriktningen och omfattningen av Datainspektionens tillsynsinsatser. Ett framgångsrikt utnyttjande av personuppgiftsombuden, som innebär att ombuden övertar en del av det ansvar som i dag vilar på Datainspektionen, kräver emellertid att ombudens kunskaper om integritetsskydd i samband med behandling av personuppgifter ligger på en hög nivå. För att åstadkomma detta kommer det att behövas såväl utbildning som ett fortlöpande stöd åt ombuden med bl.a. samrådsmöjligheter. Även om personuppgiftsombuden således kan avlasta Datainspektionen i dess tillsyn över behandlingen av personuppgifter i samhället kommer ombuden att vara i behov av vissa insatser från myndighetens sida, naturligen inom ramen för myndighetens informationsverksamhet. Detta förutsätter att inspektionen har resurser för sådan verksamhet. Som utredningen framhållit i avsnitt 8.3 bör Datainspektionens personalresurser därför initialt vara oförändrade. De resurser, som tillskapas om ansvaret för kreditupplysnings- och inkassolagarna förs över till Finansinspektionen (ca 2,5 årsarbetskrafter), kan i ett inledningsskede användas för ifrågavarande verksamhet.</P> <P class="p145 ft0">På sikt kan dock personuppgiftsombuden enligt utredningens uppfattning medföra minskade kostnader för Datainspektionens verksamhet. Att ansvaret för integritetsskyddet i samband med behandling av personuppgifter har flyttats från Datainspektionen till de personuppgiftsansvariga och personuppgiftsombuden innebär nya förutsättningar för Datainspektionen när det gäller myndighetens inspektionsverksamhet. Personuppgiftsombudens ansvar att självständigt kontrollera behandlingen av personuppgifter, en kontroll som tidigare var en uppgift endast för Datainspektionen, ger möjligheter för myndigheten att genom prioritering effektivisera sin inspektionsverksamhet. Myndigheten bör härmed ytterligare kunna fokusera på de områden där störst risk för intrång i den personliga integriteten föreligger. I takt med att ombudens ansvar för integritetsskyddet utvecklas, bör enligt utredningens mening Datainspektionens resurser i framtiden kunna minskas.</P> <P class="p145 ft2">Det är inte möjligt för utredningen att uttala sig närmare om de konsekvenser för Datainspektionens framtida resursbehov i anledning av de nya förutsättningar för myndighetens verksamhet som personupp-</P> </DIV> <DIV id="page_168"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">180 </SPAN>En effektiv och ändamålsenlig tillsynsverksamhet</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">giftsombuden medför. En rimlig utgångspunkt är emellertid att resurserna kan minskas i den mån personuppgiftsombuden på ett framgångsrikt sätt tar över ansvaret för integritetsskyddet. Som en jämförelse när det gäller frågan om vilka resurser för integritetsskyddet som införandet av personuppgiftsombud innebär kan förhållandena inom polisen nämnas. Rikspolisstyrelsen och samtliga länspolismyndigheter har utsett 20 personuppgiftsombud, motsvarande ca</P> <P class="p275 ft0">7 heltidstjänster. Lågt räknat innebär detta en årlig kostnad på ca 7,5 miljoner kr, eller ca 25 procent av kostnaderna för hela Datainspektionens verksamhet. Enbart polisens kostnader för kontroll av organisationens behandling av personuppgifter innebär således en jämförelsevis mycket kraftig förstärkning av resurserna för skyddet för den personliga integriteten. Motsvarande satsningar hos andra myndigheter, organisationer och företag måste enligt utredningens bedömning ge förutsättningar att minska Datainspektionens resurser. Ett utbyggt system med personuppgiftsombud bör medföra att ett fullgott skydd för den personliga integriteten kan uppnås i samhället även om omfattningen av Datainspektionens verksamhet minskar.</P> <P class="p132 ft0">Enligt utredningens uppfattning bör emellertid även andra aktörer än personuppgiftsombud kunna delta i förebyggandet av intrång i den personliga integriteten, t.ex. revisorer med särskilda kunskaper om personuppgiftsbehandling och integritetsskyddslagstiftning. Det finns anledning att närmare studera om inte en ökad kompetens hos revisionsbyråerna bör kunna medföra att vissa revisorer enligt sina uppdragsgivares önskemål granskar om hanteringen av personuppgifter följer personuppgiftslagens bestämmelser. Arbetet med självreglering i Nederländerna, som beskrivs närmare i kapitel 11, kan här tjäna som förebild för Datainspektionen i detta sammanhang.</P> <P class="p159 ft0">Företag och andra kan vara måna om att för goodwill och annat kunna peka på att behandlingen av personuppgifter granskats från integritetsperspektiv. Datainspektionen bör därför t.ex. verka för att olika former av frivilliga kontrollorgan tillskapas.</P> <P class="p69 ft0">Datainspektionen bör också stimulera andra former av egenkontroll och självreglering. Alla åtgärder som innebär att fler engagerar sig i arbetet för att förebygga intrång i den personliga integriteten medför att Datainspektionen kan koncentrera sina resurser till de särskilt viktiga områdena och på så sätt ytterligare effektivisera sin tillsynsverksamhet.</P> <P class="p132 ft0">Självreglering kan användas på olika sätt. En anmodan om egenkontroll från Datainspektionen kan vara ett incitament för de personuppgiftsansvariga att själva se över sin personuppgiftshantering och förbättra den.</P> <P class="p272 ft2">Enligt 14 § personuppgiftsförordningen skall Datainspektionen på begäran av en organisation inom en viss bransch eller område avge</P> </DIV> <DIV id="page_169"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td122"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td55"><SPAN class="p9 ft31">En effektiv och ändamålsenlig tillsynsverksamhet <SPAN class="ft10">181</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td123"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td53"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">yttrande över förslag till branschöverenskommelser vad avser behandling av personuppgifter inom branschen eller området.</P> <P class="p66 ft0">Datainspektionen bör på alla sätt stödja olika former av självreglering och medverka till att branschöverenskommelser till skydd för den personliga integriteten utarbetas. Ypperliga tillfällen ges att i samband med inspektioner väcka frågor om självreglering. Som Datainspektionen själv vid olika tillfällen uttalat, främjas skyddet för den personliga integriteten bäst om reglerna anpassas till de specifika förhållanden som råder inom olika branscher eller områden i samhället. Genom att engagera bransch- och områdesföreträdare i utvecklingen av normer för personregistreringen sprids en fördjupad kunskap om och en större förståelse för integritetsfrågorna. Det går i ett sådant utvecklingsarbete också att locka fram ett intresse för de etiska aspekterna på personregistrering i den egna verksamheten.</P> <P class="p74 ft0">Självreglering behandlas vidare i kapitel 11.</P> </DIV> <DIV id="page_170"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32170x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Datainspektionens tillsyn inom ramen för polis- och tullsamarbetet <SPAN class="ft0">183</SPAN></P> <P class="p276 ft33"><SPAN class="ft5">9</SPAN><SPAN class="ft32">Datainspektionens tillsyn inom ramen för polis- och tullsamarbetet</SPAN></P> <P class="p277 ft2">Datainspektionen bör även fortsättningsvis vara tillsynsmyndighet vad gäller <NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna.</NOBR></P> <P class="p252 ft0">De tre konventionerna reglerar stora datorbaserade informationssystem, som innehåller ansenliga mängder personuppgifter för ett snabbt och effektivt informationsutbyte. En oberoende myndighet skall vara tillsynsmyndighet enligt konventionerna. Ingen myndighet är lämpligare än Datainspektionen i detta avseende.</P> <P class="p278 ft35"><SPAN class="ft1">9.1</SPAN><NOBR><SPAN class="ft34">Europol-,</SPAN></NOBR> Schengen och TIS- konventionerna</P> <P class="p141 ft0">Enligt direktiven skall utredningen analysera vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för polis- och tullsamarbetet, närmare bestämt <NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna.</NOBR> Om utredningen finner att sådan tillsyn även fortsättningsvis bör vara en uppgift för Datainspektionen skall möjligheterna till en avgiftsfinansiering prövas.</P> <P class="p79 ft2"><NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna</NOBR> beskrivs närmare i avsnitt <NOBR>3.7–3.9.</NOBR></P> <P class="p66 ft0">Grunden för de tre olika konventionerna är gemensam. Det rör sig om stora datorbaserade informationssystem som innehåller stora mängder personuppgifter för snabb och effektiv informationsspridning.</P> <P class="p61 ft2">Informationssystemen är uppbyggda av uppgifter som överförs från motsvarande nationella system inom de olika medlemsländerna. Syftet med informationssystemen är främst att underlätta ingripanden mot allvarlig brottslig verksamhet, motverka negativa konsekvenser av den fria rörligheten för personer och bekämpa brott mot EU:s tull- och jordbrukslagstiftning.</P> </DIV> <DIV id="page_171"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32171x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">184 </SPAN>Datainspektionens tillsyn inom ramen för polis- och tullsamarbetet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p149 ft3">Europolkonventionen</P> <P class="p50 ft0">Europol är en europeisk polisbyrå som har till uppgift att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Medlemsländerna tillhandahåller Europol uppgifter ur sina nationella register, vilka uppgifter sammanställs, bearbetas och analyseras hos Europol. Den sammanställda informationen skall sedan kunna återställas till medlemsländerna.</P> <P class="p59 ft0">Den centrala beståndsdelen i Europol är dess datorbaserade informationssystem, som omfattar tre olika register. Det är i detta informationssystem som uppgifterna från medlemsländerna sammanställs. Med hänsyn till den stora mängd personuppgifter som behandlas i informationssystemet innehåller Europolkonventionen ett antal regler som tar sikte på enskildas integritetsskydd och skydd för känsliga personuppgifter.</P> <P class="p45 ft0">Det finns en gemensam tillsynsmyndighet som består av företrädare för de nationella tillsynsmyndigheterna och som har till uppgift att kontrollera att handhavandet av personuppgifter överensstämmer med konventionens regler. I varje medlemsland skall det dessutom finnas en nationell tillsynsmyndighet som har motsvarande uppgift i förhållande till de nationella enheternas verksamhet. Regeringen har utsett Datainspektionen till svensk tillsynsmyndighet enligt Europolkonventionen.</P> <P class="p137 ft3">Schengenkonventionen</P> <P class="p50 ft0">Schengenkonventionen har som grundläggande syfte att främja den fria rörligheten för personer inom unionen. För att denna fria rörlighet inte också skall leda till ökad internationell brottslighet har en del åtgärder som syftar till ett ökat polisiärt och rättsligt samarbete vidtagits. Ett viktigt hjälpmedel i detta sammanhang är Schengens informationssystem, SIS.</P> <P class="p51 ft0">SIS består av en nationell enhet för varje medlemsstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Varje Schengenstats nationella enhet innehåller uppgifter som är identiska med uppgifterna i de övriga ländernas nationella enheter. Beträffande uppgifter om personer får registreringen i SIS endast avse vissa identitetsuppgifter, och uppgifter får bara föras in för vissa i konventionen angivna ändamål.</P> <P class="p79 ft2">Varje Schengenstat skall utse en myndighet som har till uppgift att självständigt utöva tillsyn över det nationella <NOBR>SIS-registret</NOBR> och att kontrollera att behandling och utnyttjande av uppgifter som införts i</P> </DIV> <DIV id="page_172"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32172x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Datainspektionens tillsyn inom ramen för polis- och tullsamarbetet <SPAN class="ft0">185</SPAN></P> <P class="p279 ft2">SIS inte skadar den enskildes rättigheter. I Sverige är det Datainspektionen som har utsetts till nationell tillsynsmyndighet enligt konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem.</P> <P class="p48 ft3"><NOBR>TIS-konventionen</NOBR></P> <P class="p50 ft0">Inom ramen för det internationella tullsamarbetet har EU:s medlemsstater kommit överens om att inrätta ett tullinformationssystem. Informationssystemet är en gemensam internationell databas avsedd att underlätta informationsutbytet mellan tullmyndigheterna i deras verksamhet med att förebygga, utreda och lagföra brottslighet som tullmyndigheterna har att bekämpa.</P> <P class="p45 ft0">Tullinformationssystemet består av en central databas upprättad av <NOBR>EU-kommissionen.</NOBR> Den centrala databasen skall vara åtkomlig via terminaler i varje medlemsstat och innehålla uppgifter som är nödvändiga för tullmyndigheternas brottsbekämpning vad gäller brott både mot nationell lagstiftning och mot EU:s tull- och jordbrukslagstiftning.</P> <P class="p61 ft2">Endast vissa kategorier av personuppgifter får registeras och då bara sådana som avser personer som på grund av faktiska bevis misstänks för grova överträdelser.</P> <P class="p66 ft0">Varje medlemsstat skall utse en eller flera nationella tillsynsmyndigheter som skall övervaka personuppgiftshanteringen och att användningen av personuppgifterna inte kränker berörda personers rättigheter. Enligt förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem är Datainspektionen svensk tillsynsmyndighet i anslutning till förordningen (EG) 515/97. Datainspektionen kommer med största sannolikhet att utses till nationell tillsynsmyndighet även enligt <NOBR>TIS-konventionen</NOBR> genom att denna uppgift förs in i myndighetens instruktion. Frågan handläggs för närvarande inom Regeringskansliet.</P> <P class="p186 ft2">Företrädare för de nationella tillsynsmyndigheterna skall ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats.</P> <P class="p61 ft2">Att tullinformationssystemet ännu inte tagits i drift fullt ut beror på juridiska komplikationer på både nationell och gemenskapsrättslig nivå vad gäller tillämpningen av <NOBR>TIS-konventionen.</NOBR></P> </DIV> <DIV id="page_173"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32173x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">186 </SPAN>Datainspektionens tillsyn inom ramen för polis- och tullsamarbetet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p280 ft35"><SPAN class="ft1">9.2</SPAN><SPAN class="ft34">Vilken myndighet skall utöva tillsyn över polis- och tullsamarbetet?</SPAN></P> <P class="p65 ft0">Enligt varje enskild konvention, Europol, Schengen och TIS, skall det som framgått finnas en oberoende nationell tillsynsmyndighet som med beaktande av konventionens bestämmelser och nationell rätt utövar kontroll av att behandlingen av personuppgifter i de olika datasystemen inte medför intrång i de registrerades personliga integritet.</P> <P class="p46 ft0">Datainspektionen har utsetts till nationell tillsynsmyndighet enligt Europol- och Schengenkonventionen. Vad gäller tullinformationssystemet är Datainspektionen tillsynsmyndighet i anslutning till förordningen (EG) 515/97 och kommer med största sannolikhet att utses till sådan myndighet även enligt <NOBR>TIS-konventionen.</NOBR> Den senare frågan handläggs som nämnts just nu inom Regeringskansliet.</P> <P class="p45 ft0">Det förhållandet att de tre konventionerna förutsätter övervakning av en oberoende tillsynsmyndighet och att det rör sig om tillsyn över behandling av stora mängder känsliga personuppgifter talar för att Datainspektionen skall ha den centrala rollen när det gäller tillsyn inom ramen för det nu berörda polis- och tullsamarbetet.</P> <P class="p59 ft0">Datainspektionen har en lång erfarenhet av tillsyn över datorbaserade informationssystem. Myndighetens huvuduppgift är dessutom att skydda enskildas personliga integritet vid behandling av personuppgifter. Det är också Datainspektionen som i dag rent faktiskt utövar tillsyn över de datasystem som tagits i bruk.</P> <P class="p51 ft2">Enligt utredningens bedömning är det svårt att se någon myndighet som är bättre lämpad att utföra nu aktuella uppgifter, och att skapa en ny oberoende myndighet för ändamålet framstår inte som rationellt.</P> <P class="p66 ft2">Vid ett sådant ställningstagande åligger det utredningen att pröva möjligheterna till en avgiftsfinansiering av Datainspektionens verksamhet enligt de tre konventionerna. Denna fråga behandlas i kapitel 13.</P> </DIV> <DIV id="page_174"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32174x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">187</SPAN></P> <P class="p281 ft65"><SPAN class="ft5">10</SPAN><SPAN class="ft64">Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet</SPAN></P> <P class="p227 ft0">Datainspektionen skall i fortsättningen vara en renodlad tillsynsmyndighet vad gäller skyddet för den personliga integriteten i samband med behandling av personuppgifter. Tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna bör därför tas över av en annan myndighet.</P> <P class="p282 ft0">Tänkbara myndigheter i detta sammanhang är Finansinspektionen, Konsumentverket och Riksskatteverket. Övervägande skäl talar för att uppgifterna skall flyttas över till Finansinspektionen. Datainspektionen skall givetvis behålla tillsynen enligt personuppgiftslagen inom kreditupplysnings- och inkassoområdena.</P> <P class="p251 ft0">Frågan om finansiering av tillsyns- och tillståndsverksamheten inom kreditupplysnings- och inkassoområdena behandlas i kapitel 13.</P> <P class="p283 ft35"><SPAN class="ft52">10.1</SPAN><SPAN class="ft66">Kreditupplysnings- och inkassoverksamhet</SPAN></P> <P class="p225 ft0">Enligt direktiven skall utredningen överväga om Datainspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan överföras till någon annan myndighet, och i så fall till vilken myndighet.</P> <P class="p284 ft2">Som bakgrund till utredningens överväganden ges i avsnitt 10.1 och 10.2 en översiktlig beskrivning av den kreditupplysnings- och inksassoverksamhet som bedrivs i Sverige i dag, och grunderna för att dessa verksamheter skall stå under statlig tillsyn samt omfattas av ett krav på tillstånd. En närmare redogörelse för bestämmelserna i kreditupplysnings- och inkassolagarna finns i avsnitt <NOBR>3.5–3.6.</NOBR></P> </DIV> <DIV id="page_175"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32175x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">188 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p161 ft24"><SPAN class="ft24">10.1.1</SPAN><SPAN class="ft49">Kreditupplysningsverksamhet</SPAN></P> <P class="p163 ft0">Med kreditupplysning avses i kreditupplysningslagen ”uppgift, omdöme eller råd, som lämnas till ledning för bedömning av annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende”. En kreditupplysning består framför allt av ekonomisk information om en person. Även andra uppgifter kan ingå, t.ex. om en person är gift eller har utvandrat. En upplysning innehåller dessutom inte bara fakta. Omdömen och råd kan också lämnas som ledning för en ekonomisk bedömning.</P> <P class="p52 ft0">Den svenska kreditupplysningsmarknaden domineras för närvarande av fem stora företag, varav de två största är Upplysningscentralen UC AB och Dun&Bradstreet Sverige AB. Båda de senare företagen har kontor i Stockholm och bedriver verksamhet över hela landet. UC ägs av bankerna och tillkom som ett samordningsorgan för bankernas interna kreditupplysningsverksamhet. Därutöver finns ytterligare tio kreditupplysningsföretag i landet. Sammanlagt finns det alltså 15 företag som har Datainspektionens tillstånd att bedriva kreditupplysningsverksamhet.</P> <P class="p51 ft0">Bank- och kreditmarknadsföretag vars grundläggande tillstånd omfattar kreditupplysningsverksamhet behöver inte Datainspektionens tillstånd att bedriva sådan verksamhet. Innan verksamheten påbörjas måste dock detta anmälas till Datainspektionen. Det finns endast ett företag som har lämnat in en sådan anmälan och detta bedriver enligt Datainspektionen inte kreditupplysningsverksamhet i egentlig mening.</P> <P class="p45 ft2">Datainspektionens tillsyn enligt kreditupplysningslagen är koncentrerad till de fem stora kreditupplysningsföretagen och då främst UC som i sammanhanget är störst och behandlar flest personuppgifter.</P> <P class="p66 ft0">Kreditupplysningsföretagen tillhandahåller olika typer av kreditupplysningar. Vissa upplysningar innehåller endast faktauppgifter, medan andra kompletteras med olika slag av råd och omdömen. Redovisningen av fakta kan också vara mer eller mindre omfattande. Merparten av kreditupplysningar lämnas ut till kunder som abonnerat på företagens tjänster. Utlämnandet sker vanligen via datoruppkoppling men även via brev, fax och telefon.</P> <P class="p51 ft0">Kreditupplysningsföretagen inhämtar uppgifter från ett stort antal källor. Merparten av uppgifterna inhämtas från offentliga källor och register. Uppgifterna samlas in med stöd av offentlighetsprincipen men överförs efter överenskommelse med myndigheterna ofta på elektronisk väg vid bestämda tidpunkter. De stora kreditupplysningsföretagens register innehåller uppgifter om i stort sett hela Sveriges vuxna befolkning.</P> </DIV> <DIV id="page_176"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32176x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">189</SPAN></P> <P class="p285 ft0">Vissa offentliga register, som används av kreditupplysningsföretagen, har som ändamål att vara allmänheten till upplysning och hjälp. Inskrivningsregistret innehåller t.ex. uppgifter om fastighetsägare och inteckningar till hjälp för dem som vill förvärva fast egendom. Från aktiebolagsregistret kan exempelvis uppgifter inhämtas om vem som företräder ett aktiebolag. Det finns också register som inrättats särskilt för försäljning av uppgifter till allmänheten. Så är fallet med det statliga person- och adressregistret (SPAR). Andra offentliga register är främst avsedda för myndigheternas egen verksamhet. Det gäller t.ex. register hos Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna. I begränsad omfattning inhämtas uppgifter från privata källor. Som exempel kan nämnas bankers rapportering av missbrukade krediter till UC.</P> <P class="p63 ft2">SPAR används för att aktualisera, komplettera och kontrollera personuppgifter. Från SPAR inhämtar kreditupplysningsföretagen bl.a. uppgifter om namn, personnummer adress och civilstånd.</P> <P class="p66 ft0">Från Patent- och registreringsverket inhämtas i huvudsak uppgifter som har samband med näringsverksamhet, exempelvis uppgifter om aktiebolag samt handels- och kommanditbolag.</P> <P class="p66 ft0">Från exekutionsväsendet inhämtar kreditupplysningsföretagen uppgifter om restförda skatter och avgifter. Dessa restföringar har inkommit från ett antal myndigheter, t.ex. Vägverket, Centrala studiestödsnämnden, Radiotjänst i Kiruna och försäkringskassorna. Uppgifter om restföringar överförs elektroniskt till kreditupplysningsföretag varje dag. Uppgift om en gäldenärs totalskuld (skuldsaldo) lämnas ut veckovis. Vidare lämnas uppgifter om registrerade slutliga utredningsrapporter, företagsrekonstruktion, skuldsanering, konkurser och uppgifter angående verkställighet i återtagningsmål. I dag finns ca 500 000 registrerade gäldenärer hos Riksskatteverket och Kronofogdemyndigheten.</P> <P class="p45 ft0">Den 1 oktober 2001 trädde lagen (2001:590) om behandling av uppgifter i kronofogdemyndigheternas verksamhet i kraft. I lagen regleras ett antal databaser, bl.a. utsöknings- och indrivningsdatabaser, betalningsföreläggande- och handräckningsdatabaser samt skuldsaneringsdatabaser. I samband med ikraftträdandet av lagen stärktes sekretessen inom exekutionsväsendet. Detta medförde vissa konsekvenser för kreditupplysningsföretagen.<SPAN class="ft27">1</SPAN></P> <P class="p286 ft11"><SPAN class="ft27">1 </SPAN>Prop. 2000/01:33 s. 185 ff.</P> </DIV> <DIV id="page_177"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32177x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">190 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p161 ft24"><SPAN class="ft24">10.1.2</SPAN><SPAN class="ft49">Inkassoverksamhet</SPAN></P> <P class="p163 ft0">Med inkassoverksamhet avses indrivning av egen eller annans fordran genom krav eller annan inkassoåtgärd. Med inkassoåtgärd förstås åtgärd som innebär annan påtryckning på gäldenären än angivande av tid för betalning eller uppgift om att fordringen, om den inte betalas, kommer att överlämnas till någon annan för inkasso.</P> <P class="p85 ft0">Inkassoverksamhet, som avser indrivning av fordringar för annans räkning eller fordringar som har övertagits för indrivning, får enligt huvudregeln bedrivas endast efter tillstånd av Datainspektionen. Det finns i dag 230 företag i Sverige som har Datainspektionens tillstånd att bedriva inkassoverksamhet. Dessa företag har i dag knappt 2 miljoner gäldenärer registrerade.</P> <P class="p45 ft0">Stor del av den inkassoverksamhet som bedrivs i Sverige är dock sådan som inte omfattas av kravet på tillstånd från Datainspektionen. Det gäller då s.k. egeninkasso, med vilket avses att företag, kommuner och statliga myndigheter som vid sidan av annan verksamhet driver in fordringar för egen räkning. Denna verksamhet måste emellertid även den bedrivas i enlighet med god inkassosed och följa inkassolagens regler i övrigt. Sådan verksamhet står också under Datainspektionens tillsyn och svarar för en stor del av inspektionens tillsynsinsatser inom området.</P> <P class="p79 ft2">Inkassoverksamhet bedrivs dessutom av företag som står under Finansinspektionens tillsyn och av advokater. Sådana företag och advokater behöver inte Datainspektionens tillstånd och omfattas inte heller av Datainspektionens tillsynsansvar enligt inkassolagen.</P> <P class="p99 ft1"><SPAN class="ft52">10.2</SPAN><SPAN class="ft53">Tillstånd och tillsyn</SPAN></P> <P class="p287 ft0"><SPAN class="ft3">Kreditupplysningsverksamhet </SPAN>får enligt huvudregeln i 3 § kreditupplysningslagen bedrivas endast med stöd av tillstånd från Datainspektionen. Enligt 4 § får tillstånd meddelas bara om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt.</P> <P class="p59 ft0">I kreditupplysningslagen finns regler om hur kreditupplysningsverksamheten skall bedrivas. Datainspektionen utövar tillsyn över att reglerna efterlevs. Verksamheten skall bedrivas på ett sådant sätt att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas. Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller filosofiska övertygelse eller sexualliv får t.ex. över huvud taget inte användas i kreditupplysningsverksamhet.</P> </DIV> <DIV id="page_178"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32178x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">191</SPAN></P> <P class="p285 ft0">Vid lagens tillkomst underströk departementschefen vikten av att kreditupplysningsverksamhet organiseras på ett sätt som ger betryggande garantier för efterlevnaden av de regler som ställts upp till skydd för de kreditsökande. Därvid framhölls vikten av att man så långt som möjligt kan förebygga riskerna för integritetskränkningar och att det därför bör ske en kontroll av de företag som avser att utöva kreditupplysningsverksamhet samt att det bör finnas en fortlöpande tillsyn över verksamheten. Att tillstånd kunde förenas med erforderliga föreskrifter om hur verksamheten skall bedrivas sågs som en fördel. En god preventiv effekt förväntades genom möjligheten att återkalla tillstånd.<SPAN class="ft27">2</SPAN></P> <P class="p63 ft2">Vid den översyn av kreditupplysningslagen som gjordes i början av <NOBR>1980-talet</NOBR> ifrågasattes inte om tillståndsplikten skulle vara kvar.<SPAN class="ft40">3</SPAN></P> <P class="p66 ft0">Även vid den översyn av tillstånds- och tillsynsfrågor inom kreditupplysningsverksamhet som gjordes i prop. 1996/97:65 Ändringar i kreditupplysningsverksamhet, fann man att övervägande skäl talar för att tillstånds- och tillsynssystemet behålls. Det framhölls att den som vill bedriva kreditupplysningsverksamhet bör ha god kännedom både om kreditupplysningslagens regler och om andra bestämmelser som syftar till att skydda enskilda personers integritet. Kreditupplysningsverksamhet kan innebära besvärliga avvägningar och ställningstaganden, vilket förutsätter ett gott omdöme hos den som har att fatta besluten. Såväl enskilda personer som företag kan drabbas hårt om felaktiga eller missvisande kreditupplysningar lämnas om dem. Det är därför viktigt att upplysningarna är korrekta och att den omfrågade snabbt och enkelt kan få rättelse till stånd om ett misstag har begåtts. Genom ett tillståndssystem kan man få vissa garantier för att kreditupplysningsverksamhet bedrivs av kompetenta personer och på ett seriöst sätt. De uppgifter som för den enskilde är mest integritetskänsliga utgör ofta särskilt intressant information från kreditbedömningssynpunkt. Det finns följaktligen ett starkt intresse från kreditbedömare att få tillgång till sådana uppgifter. Samtidigt är kreditupplysningsföretagen angelägna om att kunna erbjuda den information som efterfrågas. Det finns således på kreditupplysningsmarknaden moment som medför att riskerna för intrång i den kreditsökandes integritet är betydande. För att de kreditsökandes intressen skall bevakas på ett effektivt sätt erfordras därför en kontroll från det allmännas sida av att kreditupplysningsverksamhet bedrivs bara av omdömesgilla och kompetenta personer.<SPAN class="ft27">4</SPAN></P> <P class="p93 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">Prop. 1973:155 s. 81 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">3</SPAN><SPAN class="ft39">Prop. 1980/81:10.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">4</SPAN><SPAN class="ft39">Prop. 1996/97:65 s. 32.</SPAN></P> </DIV> <DIV id="page_179"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32179x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">192 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p288 ft0">De skäl som anfördes till stöd för tillståndssystemet ansågs, med hänsyn till i första hand enskilda personers integritet, också avgörande i frågan om tillsyn. Det slogs därför fast att även systemet med myndighetstillsyn skulle behållas.<SPAN class="ft27">5</SPAN></P> <P class="p51 ft0"><SPAN class="ft3">Inkassoverksamhet </SPAN>kan som huvudregel inte heller bedrivas utan tillstånd. Det krävs således Datainspektionens tillstånd för indrivning av fordringar för annans räkning. Från den allmänna tillståndsplikten görs vissa undantag, t.ex. för personer och företag som står under någon form av tillsyn av annat organ än Datainspektionen, framför allt Finansinspektionen. Även advokater, som står under tillsyn av Sveriges advokatsamfund, är uttryckligen undantagna från tillståndsplikten.</P> <P class="p85 ft0">Motsvarande förhållanden som för kreditupplysningsverksamhet gör sig gällande vad avser tillstånd och tillsyn inom inkassoområdet. Redan mängden personuppgifter som behandlas av inkassoföretagen, som har nästan 2 miljoner gäldenärer registrerade, gör att verksamheten får anses integritetskänslig. Även inom inkassoverksamhet behandlas således ett stort antal personuppgifter, som på motsvarande sätt som i kreditupplysningssammanhang måste vara relevanta och korrekta. Vikten av att det skapas betryggande garantier för efterlevnaden av de regler som ställts upp för inkassoverksamheten har motiverat att verksamheten endast skall få bedrivas efter tillstånd och att det skall finnas en fortlöpande tillsyn över verksamheten.<SPAN class="ft27">6</SPAN></P> <P class="p85 ft0">Även den som bedriver icke tillståndspliktig inkassoverksamhet omfattas av inkassolagens regler om hur verksamheten skall bedrivas och är således skyldig att iaktta bestämmelserna om god inkassosed. Datainspektionens tillsynsansvar gäller också den icke tillståndspliktiga verksamheten med undantag för de företag och personer som står under tillsyn av något annat organ. Således står all inkassoverksamhet under någon form av tillsyn.</P> <P class="p289 ft35"><SPAN class="ft52">10.3</SPAN><SPAN class="ft66">Vilken myndighet skall meddela tillstånd och utöva tillsyn?</SPAN></P> <P class="p82 ft2">Vilken myndighet som skall meddela tillstånd och utöva tillsyn enligt kreditupplysningslagen har tidigare varit föremål för övervägande.<SPAN class="ft40">7 </SPAN>Kreditupplysningsutredningen föreslog att tillståndsprövningen skulle utföras av Datainspektionen men att ansvaret för tillsynen skulle vara uppdelat mellan Datainspektionen och Finansinspektionen. En sådan</P> <P class="p290 ft11"><SPAN class="ft38">5</SPAN><SPAN class="ft39">Prop. 1996/97:65 s. 33.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">6</SPAN><SPAN class="ft39">Prop. 1974:42 s. 88 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">7</SPAN><SPAN class="ft39">Kreditupplysningsutredningen, SOU 1993:110.</SPAN></P> </DIV> <DIV id="page_180"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32180x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">193</SPAN></P> <P class="p279 ft0">uppdelning ansåg emellertid regeringen skulle innebära ett mindre effektivt utnyttjande av resurserna och en risk för att de olika delarna av kreditupplysningsmarknaden inte skulle styras av överensstämmande villkor. Eftersom Datainspektionen, till skillnad från Finansinspektionen, som en av sina huvuduppgifter har att värna om skyddet för den personliga integriteten var det regeringens uppfattning att Datainspektionen skulle ha hand om tillståndsprövningen samt vara tillsynsmyndighet inom hela kreditupplysningsområdet. Att just integritetsskyddsfrågor tillskrevs stor betydelse när det gäller vilken myndighet som skall ha ansvaret för tillståndsprövningen och tillsynen ansågs naturligt med hänsyn till att kreditupplysningslagens huvudsyfte är att förhindra att kreditupplysning leder till otillbörligt intrång i den personliga integriteten. Därutöver ansåg man Datainspektionens långa erfarenhet av de frågor som kan bli aktuella i kreditupplysningssammanhang och ett betydande mått av sakkunskap inom området hos myndigheten talade för Datainspektionen. Man ville också ta tillvara Datainspektionens kompetens inom dataområdet, eftersom datortekniken spelar en viktig roll för kreditupplysningsverksamhet och att därmed tillståndsprövningen och tillsynsuppgifterna enligt datalagen (numera personuppgiftslagen) och kreditupplysningslagen sammanföll.<SPAN class="ft27">8</SPAN></P> <P class="p129 ft0">Inkassolagen syftar också i första hand till att skydda enskilda mot olika slags integritetskränkningar i samband med behandling av personuppgifter. Syftet med inkassolagens regler är i första hand att undanröja riskerna för att gäldenären utsätts för otillbörliga inkassoåtgärder eller i övrigt tillfogas onödig skada eller olägenhet genom inkassoverksamhet. Även i detta sammanhang framhålls således skyddet för den personliga integriteten. Inkassolagens regler är emellertid också till skydd för näringsidkare.</P> <P class="p85 ft0">Att tillsynsinsatserna enligt de olika lagarna motsvarar varandra bekräftas av Datainspektionen i dag. Tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna är i första hand inriktad på behandlingen av personuppgifter i de olika verksamheterna. Tillsynen sker därför oftast enligt såväl kreditupplysnings- eller inkassolagen som personuppgiftslagen. Inspektionsinsatserna motsvarar således de som sker enbart enligt personuppgiftslagen med den skillnaden att man har ytterligare bestämmelser att beakta, vilka även de reglerar bl.a. integritetsskyddet.</P> <P class="p45 ft2">Tillsyn över kreditupplysnings- och inkassoverksamhet är således inte bara kontroll av behandling av personuppgifter. Tillsynen innefattar också att se till att god sed iakttas och att reglerna i kreditupp-</P> <P class="p291 ft11"><SPAN class="ft27">8 </SPAN>Prop. 1996/97:65.</P> </DIV> <DIV id="page_181"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32181x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">194 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p108 ft2">lysnings- och inkassolagarna efterlevs. Således syftar lagstiftningen, utöver att värna om skyddet för den personliga integriteten, till att i bl.a. finansmarknadens och konsumenternas intresse bidra till en effektivt fungerande kreditupplysnings- och inkassoverksamhet.</P> <P class="p99 ft24"><SPAN class="ft24">10.3.1</SPAN><SPAN class="ft49">För och emot Datainspektionen</SPAN></P> <P class="p44 ft0">För att Datainspektionen skall behålla tillstånds- och tillsynsansvaret inom det aktuella området talar först och främst att kreditupplysnings- och inkassolagarnas huvudsyfte är att förhindra att kreditupplysnings- eller inkassoåtgärder leder till otillbörligt intrång i den personliga integriteten.</P> <P class="p46 ft0">Kreditupplysnings- och inkassoverksamhet innebär behandling av en stor mängd personuppgifter. De stora kreditupplysningsföretagen inhämtar varje år personuppgifter om i stort sett hela Sveriges vuxna befolkning. Detta sker på elektronisk väg från i första hand stora statliga register med stöd av offentlighetsprincipen. Inkassoföretagen har personuppgifter om nästan 2 miljoner svenska gäldenärer registrerade. Behandlingen av uppgifter hos kreditupplysnings- och inkassoföretag sker givetvis också automatiserat.</P> <P class="p45 ft0">Huvuduppgiften för Datainspektionen är att värna om skyddet för den personliga integriteten vid behandling av personuppgifter. Datainspektionen har en särskild kompetens när det gäller automatiserad behandling av personuppgifter och i praktiken är det ofta så att myndighetens tillsynsuppgift enligt kreditupplysnings- och inkassolagarna sammanfaller med den enligt personuppgiftslagen.</P> <P class="p79 ft0">Hos Datainspektionen finns vidare en lång erfarenhet av de frågor som kan bli aktuella i kreditupplysnings- och inkassosammanhang och ett betydande mått av sakkunskap inom området.</P> <P class="p66 ft0">Enbart den omständigheten att kreditupplysnings- och inkassoverksamhet kan påverka den personliga integriteten utgör emellertid inte skäl för att just Datainspektionen skall ha ansvaret för tillstånd och tillsyn inom detta speciella område. Det finns även andra områden som innefattar viktiga integritetsaspekter utan att för den skull Datainspektionen bär huvudansvaret för tillsynen. Som exempel kan nämnas Post- och telestyrelsens verksamhetsområde. Detta förhållande hindrar emellertid inte att Datainspektionen även inom detta område tillvaratar skyddet för den personliga integriteten genom tillsyn enligt personuppgiftslagen.</P> <P class="p46 ft2">Om handläggningen av tillståndsärenden och tillsyn enligt kreditupplysnings- och inkassolagarna läggs på en annan myndighet skulle det medföra att Datainspektionens verksamhet kan renodlas ännu mer.</P> </DIV> <DIV id="page_182"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32182x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">195</SPAN></P> <P class="p108 ft2">En sådan förändring ger Datainspektionen förutsättningar att ytterligare intensifiera sina resurser på tillsyn över behandling av personuppgifter inom alla delar av samhället.</P> <P class="p66 ft0">En sådan renodling ligger också i linje med den förändring av Datainspektionens verksamhet som personuppgiftslagen medfört. Tillstånds- och licenssystemet enligt datalagen har slopats och inspektionen skall i stället numera koncentrera sin verksamhet på att lämna information om personuppgiftslagen och ge råd i integritetsfrågor samt utföra inspektioner för att kontrollera att personuppgiftslagen och annan integritetsskyddslagstiftning efterlevs.</P> <P class="p75 ft24"><SPAN class="ft24">10.3.2</SPAN><SPAN class="ft49">För och emot Finansinspektionen</SPAN></P> <P class="p44 ft0">Enligt instruktionen för Finansinspektionen (SFS 1996:596) är inspektionen central förvaltningsmyndighet för tillsynen över finansiella marknader, kreditinstitut och det enskilda försäkringsväsendet. Under Finansinspektionens tillsyn står 2 500 företag och försäkringsmäklare: banker och andra kreditinstitut, värdepappersbolag och fondbolag, börser, auktoriserade marknadsplatser och clearingorganisationer samt försäkringsbolag, understödsföreningar och försäkringsmäklare. De övergripande målen för Finansinspektionens verksamhet är att bidra till det finansiella systemets stabilitet och effektivitet samt att verka för ett gott konsumentskydd. Finansinspektionen har bl.a. till uppgift att utöva tillsyn i enlighet med vad som anges i lag eller annan författning, följa och analysera utvecklingen inom verksamhetsområdet samt meddela föreskrifter. Finansinspektionen meddelar också tillstånd att bedriva bankrörelse (s.k. oktroj).</P> <P class="p78 ft0">Finansinspektionen är således den myndighet som meddelar tillstånd för verksamhet som erbjuder finansiella tjänster. Om det grundläggande tillståndet från Finansinspektionen omfattar kreditupplysningsverksamhet, behövs inget särskilt tillstånd från Datainspektionen för att få bedriva sådan verksamhet. Om företaget avser att bedriva kreditupplysningsverksamhet skall detta dock anmälas till Datainspektionen. Datainspektionen har hittills endast fått in en (1) sådan anmälan och företaget ifråga bedriver inte kreditupplysningsverksamhet i egentlig mening.</P> <P class="p45 ft2">Datainspektionen har det totala ansvaret för tillsyn över kreditupplysningsverksamhet, vilket har motiverats av att det i första hand är fråga om inspektion av behandling av personuppgifter och att detta även i övrigt är Datainspektionens huvuduppgift. Ytterligare skäl för att Datainspektionen ensam skall bära ansvaret har som nämnts tidigare ansetts vara ett mer effektivt utnyttjande av resurserna och att risken</P> </DIV> <DIV id="page_183"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32183x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">196 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p108 ft2">för att de olika delarna av kreditupplysningsmarknaden inte skulle styras av överensstämmande villkor undanröjs.</P> <P class="p66 ft0">När det gäller inkassoverksamhet behöver de företag som Finansinspektionen utövar tillsyn över inte Datainspektionens tillstånd för att bedriva sådan verksamhet. Dessa företag omfattas inte heller av Datainspektionens tillsyn enligt inkassolagen, utan denna utövas av Finansinspektionen. Bakgrunden till att ansvaret för tillsyn enligt inkassolagen, till skillnad från tillsyn enligt kreditupplysningslagen, är uppdelat mellan olika myndigheter är att det ansetts mindre lämpligt att företagen på finansmarknaden skall stå under tillsyn av flera olika myndigheter.<SPAN class="ft27">9</SPAN></P> <P class="p45 ft0">När frågan om tillsyn och tillstånd enligt kreditupplysningslagen avhandlades senast uttalades att kreditupplysningsverksamhet har samband med kreditgivning men också med konsumentskyddsfrågor. Detta sades tala för att eventuellt välja Finansinspektionen eller möjligen Konsumentverket som tillstånds- och tillsynsmyndighet enligt lagen.<SPAN class="ft27">10</SPAN></P> <P class="p59 ft0">Framför allt övervägdes Finansinspektionen som tillstånds- och tillsynsmyndighet, eftersom kreditupplysningsverksamheten ansågs ha ett påtagligt samband med kreditbedömning och annan finansiell verksamhet. Finansinspektionens kunskaper om kreditinstitutens speciella problem och om kreditmarknaden i stort ansågs vara av värde även i kreditupplysningssammanhang. Detta torde gälla även för inkassoverksamhet över vilken Finansinspektionen redan i dag utövar viss tillsyn.</P> <P class="p45 ft0">Vid remissförfarandet som föregick nämnda överväganden i prop. 1996/97:65 hävdade Datainspektionen att det med hänsyn till den starka ekonomiska anknytning som kreditupplysningsverksamhet har är mest lämpligt om ansvaret för all tillstånds- och tillsynsverksamhet låg hos Finansinspektionen. Integritetsintressena kunde, enligt Datainspektionen, bevakas och tillgodoses genom Datainspektionens kontrollmöjligheter enligt datalagen (numera personuppgiftslagen).<SPAN class="ft27">11</SPAN></P> <P class="p45 ft0">Någon uttrycklig skyldighet för Finansinspektionen att värna om enskildas personliga integritet i kreditupplysnings- och inkassosammanhang finns inte enligt instruktionen eller i de lagar till vilka den hänvisar. Vid kreditupplysningslagens tillkomst påpekade dock departementschefen att den tillsyn som utövades av Bankinspektionen (numera Finansinspektionen) var av betydelse för de aktuella kreditinrättningarnas kreditupplysningsverksamhet och han framhöll därvid att även om denna tillsyn i första hand var inriktad på att se till att</P> <P class="p154 ft11"><SPAN class="ft38">9</SPAN><SPAN class="ft39">Prop. 1974:42 s. 96.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">10</SPAN><SPAN class="ft51">Prop. 1996/97:65 s. 36 f.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">11</SPAN><SPAN class="ft51">Prop. 1996/97:65 s. 36.</SPAN></P> </DIV> <DIV id="page_184"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32184x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">197</SPAN></P> <P class="p108 ft2">insättarnas intressen togs till vara, den också torde innebära en viss garanti för värnandet av låntagares och kreditsökandes personliga integritet.<SPAN class="ft40">12</SPAN></P> <P class="p66 ft0">Det uppdelade ansvaret för tillsyn inom inkassoområdet har, bl.a. på grund av att de två myndigheterna Datainspektionen och Finansinspektionen har två helt olika grundläggande målsättningar för sin verksamhet, fått till följd att det är stora skillnader mellan hur tillsynsverksamheten bedrivs i praktiken. Datainspektionen utreder i princip varje klagomål och andra ärenden enligt lagen i särskild ordning. Finansinspektionen, vars verksamhet syftar till stabilitet på finansmarknaden, låter i stället ärendena enligt inkassolagen handläggas tillsammans med inspektionens övriga tillsynsärenden. Inkassofrågorna får härigenom jämförelsevis betydligt mindre genomslag i Finansinspektionens tillsynsverksamhet.</P> <P class="p59 ft2">Detta talar för att ansvaret för tillstånd och tillsyn enligt inkassolagen bör läggas på en och samma myndighet.</P> <P class="p66 ft0">Vad som särskilt talar för att Finansinspektionen är en lämplig myndighet att ta över uppgifterna enligt de båda lagarna är att myndigheten har särskilda kunskaper om kreditinstituten och kreditmarknaden i stort. Särskilt kreditupplysningsverksamhet har ett påtagligt samband med kreditbedömning och annan finansiell verksamhet, men detta gäller även för inkassoverksamhet.</P> <P class="p59 ft0">Såväl kreditupplysningslagen som inkassolagen har vidare ett tydligt inslag av konsumentskydd. Även mot bakgrund härav kan Finansinspektionen ses som en lämplig myndighet, eftersom Finansinspektionen har som särskild uppgift att verka för ett gott konsumentskydd. Finansinspektionen samarbetar för övrigt med Konsumentverket t.ex. inom ramen för Konsumenternas bank- och finansbyrå.</P> <P class="p59 ft0">Lagtekniskt ser utredningen inte något hinder mot att föra över ansvaret för tillstånd och tillsyn enligt såväl kreditupplysningslagen som inkassolagen från Datainspektionen till Finansinspektionen. Det bör vidare vara möjligt att flytta ansvaret för lagstiftningsfrågor som rör kreditupplysnings- och inkassolagarna från Justitiedepartementet, där det ligger i dag, till Finansdepartementet.</P> <P class="p45 ft0">Viss del av ansvaret för kreditupplysnings- och inkassoverksamheten vilar som sagts redan i dag på Finansinspektionen. Med hänsyn härtill skulle en överföring, förutom en renodling av Datainspektionens verksamhet, även innebära en koncentration av ansvaret för tillstånd och tillsyn inom området till en myndighet, vilket torde innebära ett mer effektivt resursutnyttjande.</P> <P class="p292 ft11"><SPAN class="ft27">12 </SPAN>Prop. 1973:155 s. 125.</P> </DIV> <DIV id="page_185"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32185x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">198 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p288 ft2">Härigenom skulle också befogenheten att ingripa med åtgärder för att åstadkomma rättelse m.m. samlas hos en och samma myndighet, vilket kan antas leda till en mer enhetlig rättstillämpning.</P> <P class="p110 ft24"><SPAN class="ft24">10.3.3</SPAN><SPAN class="ft49">För och emot Konsumentverket</SPAN></P> <P class="p57 ft0">Konsumentverket är enligt förordningen (1995:868) med instruktion för Konsumentverket central förvaltningsmyndighet för konsumentfrågor med huvudansvar för att genomföra den statliga konsumentpolitiken. Övergripande mål för verksamheten skall vara att ge hushållen goda möjligheter att utnyttja sina ekonomiska och andra resurser effektivt, att ge konsumenterna en stark ställning på marknaden, att skydda konsumenternas hälsa och säkerhet och att medverka till att sådana produktions- och konsumtionsmönster utvecklas som minskar påfrestningarna på miljön och bidrar till en långsiktigt hållbar utveckling. I prop. 2000/01:135 framhåller regeringen att som mål för konsumentpolitiken skall därutöver gälla att konsumenterna har tillgång till god vägledning, information och utbildning, det s.k. kunskapsmålet. Konsumentverket skall särskilt inrikta sin verksamhet på åtgärder som rör hushållens baskonsumtion, stöd till konsumentgrupper som av sociala, ekonomiska eller andra skäl är utsatta och att främja konsumentintressena i det internationella samarbetet.</P> <P class="p52 ft0">Konsumentverket har inte som primär uppgift att bevaka den personliga integriteten och finansiell verksamhet, även om myndigheten till följd av sin konsumentskyddande verksamhet har viss erfarenhet av att arbeta med dessa frågor. Konsumentverket sysslar inte heller med tillståndsgivning i någon form. Dessa omständigheter talar mot att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna tas över av Konsumentverket.</P> <P class="p79 ft2">För Konsumentverket som lämplig myndighet talar i realiteten endast kreditupplysnings- och inkassolagarnas konsumentskyddande funktion.</P> <P class="p293 ft24"><SPAN class="ft24">10.3.4</SPAN><SPAN class="ft49">För och emot Riksskatteverket</SPAN></P> <P class="p57 ft0">Det kan vidare övervägas om Riksskatteverket, som i sin verksamhet främst genom kronofogdemyndigheterna har kontakt med kreditupplysnings- och inkassoverksamhet, kan vara en lämplig myndighet för uppgifterna.</P> <P class="p51 ft25">Riksskatteverket är chefsmyndighet inom exekutionsväsendet, i vilket kronofogdemyndigheterna ingår. Kronofogdemyndigheternas</P> </DIV> <DIV id="page_186"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32186x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">SOU 2002:2 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">199</SPAN></P> <P class="p279 ft0">verksamhet med omfattande upplysningsservice enligt offentlighetsprincipen och med indrivning, har likheter med kreditupplysnings- och inkassoverksamhet. Detta förhållande kan möjligen tala för att Riksskatteverket/kronofogdemyndigheterna bör handha tillståndsprövning och utöva tillsyn enligt kreditupplysnings- och inkassolagarna. Å andra sidan kan det uppfattas som stötande att en myndighet, som själv sysslar med liknande verksamhet som skall övervakas skall vara ansvarig för tillsynen inom området. Dessutom inhämtar kreditupplysnings- och inkassoföretagen ett stort antal uppgifter från exekutionsväsendet. Enligt utredningens mening innebär detta att det är olämpligt att Riksskatteverket/kronofogdemyndigheterna tar över uppgifter enligt kreditupplysnings- och inkassolagarna.</P> <P class="p228 ft24"><SPAN class="ft24">10.3.5</SPAN><SPAN class="ft49">Utredningens bedömning</SPAN></P> <P class="p111 ft0">Vid en samlad bedömning anser utredningen att övervägande skäl talar för att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna bör flyttas över till Finansinspektionen.</P> <P class="p66 ft0">Såväl kreditupplysningssom inkassoverksamhet har ett påtagligt samband med kreditbedömning och annan finansiell verksamhet. Finansinspektionens kunskaper om kreditinstitutens speciella problem och om kreditmarknaden i sin helhet kan här vara av stort värde. Samtidigt har området också samband med konsumentskyddsfrågor där Finansinspektionen med sitt särskilda ansvar för konsumentskydd kan fylla en viktig uppgift.</P> <P class="p51 ft2">De omständigheter som tidigare talat starkt för Datainspektionen äger inte längre samma bäring.</P> <P class="p66 ft0">Det är inte bara inom kreditupplysnings- och inkassoområdena som det finns ett inslag av skydd för den personliga integriteten i lagstiftningen. Detsamma gäller inom flera andra områden utan att det ansetts nödvändigt att Datainspektionen skall ha ett exklusivt ansvar för tillsynen. Datainspektionen kan ändå på ett ändamålsenligt sätt utföra sin uppgift enligt personuppgiftslagen att övervaka skyddet för den personliga integriteten vid behandling av personuppgifter inom det aktuella området.</P> <P class="p79 ft0">Att Datainspektionen har lång erfarenhet och stor sakkunskap på området är naturligt, men bör inte tillmätas någon avgörande betydelse. En sådan omständighet hindrar alltid en angelägen renodling av verksamheten för en myndighet som har flera uppgifter, oavsett vilket område det är frågan om.</P> <P class="p45 ft2">Som en följd av datorteknikens utbredning kan Datainspektionen inte längre anses ha sådan särskild sakkunskap inom dataområdet som</P> </DIV> <DIV id="page_187"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32187x1.jpg/" id="img1"> </DIV> <P class="p0 ft3"><SPAN class="ft0">200 </SPAN>Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet <SPAN class="ft0">SOU 2002:2</SPAN></P> <P class="p279 ft0">skiljer sig markant från andra myndigheters. Flera myndigheter måste för sin verksamhet ha mycket goda kunskaper och kvalificerad personal vad gäller informationsteknik. Detta torde särskilt gälla Finansinspektionen som har tillsynsansvar över det branschområde som kanske kommit längst vad gäller användningen av informationsteknik i sin verksamhet.</P> <P class="p45 ft0">Erfarenheterna av det i dag delade ansvaret för tillsyn inom inkassoområdet visar tydliga skillnader i den tillsynsverksamhet som kan komma att bedrivas när ansvaret är uppdelat mellan två myndigheter som har olika utgångspunkter för sin verksamhet. Att samla ansvaret hos en myndighet kan leda till ett effektivare tillvaratagande av resurserna och en mer enhetlig tillämpning av ansvar och befogenheter som tillsynsmyndighet.</P> <P class="p45 ft0">Genom att ansvaret för tillstånd och tillsyn inom det aktuella området flyttas över till Finansinspektionen åstadkommer man en viktig renodling av Datainspektionens verksamhet. Härigenom tydliggörs också Datainspektionens generella ansvar för skyddet för den personliga integriteten inom samhällets alla områden.</P> <P class="p59 ft0">I kapitel 13 presenterar utredningen en modell för avgiftsfinansiering av tillstånds- och tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna. Om en sådan avgiftsfinansiering av verksamheten genomförs i samband med att uppgifterna flyttas över till Finansinspektionen kan detta medföra en resursförstärkning för Datainspektionen utan att medel behöver tillföras myndigheten. Den personal som i dag arbetar med kreditupplysnings- och inkassoverksamhet (ca 2,5 årsarbetskrafter) kan i stället ägna sig åt bl.a. inspektionsinsatser enligt personuppgiftslagen. För Finansinspektionen innebär avgiftsmodellen en finansiering motsvarande den som i dag gäller för myndighetens övriga verksamhet, vilken också är avgiftsfinansierad. Finansinspektionen behöver således inte tillföras resurser som tas från skattemedel.</P> <P class="p52 ft0">Sammanfattningsvis ger en överflyttning av de aktuella uppgifterna Datainspektionen ökade resurser för information och inspektion enligt personuppgiftslagen samt möjlighet att koncentrera sin verksamhet till dessa huvuduppgifter och på så sätt förbättra skyddet för den personliga integriteten vid behandling av personuppgifter.</P> </DIV> <DIV id="page_188"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32188x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">201</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p294 ft33"><SPAN class="ft5">11</SPAN><SPAN class="ft67">Integritetsskydd genom olika former av självreglering</SPAN></P> <P class="p267 ft2">För att förstärka integritetsskyddet i samhället i samband med behandling av personuppgifter bör Datainspektionen mer aktivt stimulera till olika former av självreglering.</P> <P class="p268 ft0">Frågor om självreglering bör rutinmässigt väckas i samband med myndighetens inspektionsverksamhet.</P> <P class="p268 ft0">Systemet med personuppgiftsombud bör i enlighet med personuppgiftslagens intentioner kraftfullt utnyttjas för att decentralisera ansvaret för skyddet för den personliga integriteten vid behandling av personuppgifter.</P> <P class="p268 ft0">Ett ändamålsenligt utnyttjande av personuppgiftsombud bör möjliggöra för Datainspektionen att effektivisera sin tillsynsverksamhet vad gäller inriktning och omfattning, genom att inspektionen därigenom kan sätta in insatser inom de områden där självreglering inte är lämplig och där särskilt känsliga personuppgifter behandlas.</P> <P class="p295 ft2">Alla möjligheter till att decentralisera ansvaret för skyddet för den personliga integriteten genom att stimulera fristående aktörer att kontrollera behandlingen av personuppgifter bör utnyttjas. Utbyggd självreglering och en allt större användning av systemet med personuppgiftsombud bör på sikt kunna leda till att Datainspektionens personalresurser kan minskas.</P> <P class="p296 ft56"><SPAN class="ft52">11.1</SPAN><SPAN class="ft68">Datainspektionens ansvar för självreglering i dag</SPAN></P> <P class="p297 ft0">Enligt direktiven skall utredningen analysera möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av olika former av självreglering, bl.a. branschöverenskommelser, för att skydda den personliga integriteten framför allt i anslutning till den kraftigt ökande användningen av Internet. Det framhålls i direktiven att en sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd.</P> </DIV> <DIV id="page_189"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">202 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Datainspektionen skall enligt 15 § personuppgiftsförordningen, på begäran av en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller inom ett visst område, avge yttrande över förslag till branschöverenskommelser vad avser behandling av personuppgifter inom branschen eller området. Yttrandet skall avse branschöverenskommelsens förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är frågan om. Inspektionen skall innan den avger yttrande – om det är lämpligt – se till att organisationer som företräder de registrerade har fått tillfälle att yttra sig över förslagen.</P> <P class="p132 ft0">I Datainspektionens rapport ”Effektiv tillsyn” som utarbetades under år 1994 framhålls följande under rubriken Branschriktlinjer. Genom kontakter med personer hos de registeransvariga har det framgått att det ibland råder oklarhet om hur ”datalagens” regler skall tolkas i praktiken. Genom att i förväg definiera hur hanteringen av personregister skall eller bör gå till bildas en konkret utgångspunkt för utveckling av system och program. Datainspektionen skulle med ett sådant normgivningsbemyndigande som aviserats av regeringen</P> <P class="p298 ft0">(i prop. 1993/94:116) kunna utarbeta normer för hur personregister skall hanteras inom olika branscher. Datainspektionen bör då prioritera branscher där man kan tänka sig att integritetskänsliga personregister återfinns. Normerna utarbetas med fördel i samarbete med företrädare för branschen.</P> <P class="p132 ft0">I prop. 1993/94:116 föreslogs att Datainspektionens tillståndsprövning skulle minskas genom att inspektionen gavs möjlighet att utfärda generella bransch- och sektorsföreskrifter, och regler med denna innebörd togs in i regeringsformen och datalagen.</P> <P class="p71 ft0">Datainspektionen har även i andra sammanhang framhållit vikten av självreglering. I verksamhetsplanen för Datainspektionens tekniska enhet budgetåret 1994/95 uttalades följande. Tekniska enheten skall aktivt delta i projekt som syftar till utformning av generella branschföreskrifter. Den tekniska enheten skall därvid ta särskilt ansvar för förhandlingar med branschföreträdare som har <NOBR>IT-ansvar</NOBR> och efter sådana kontakter utarbeta generella föreskrifter för <NOBR>IT-säkerhet</NOBR> för branschen ifråga.</P> <P class="p123 ft0">Datainspektionen har hittills yttrat sig över två branschöverenskommelser. Yttrandena har avsett dels förslag till branschregler för hantering av personuppgifter m.m. som inhämtas i samband med <NOBR>marknads-,</NOBR> samhälls- och opinionsundersökningar dels förslag till branschregler angående användning av personuppgifter för direktmarknadsföringsändamål. Ytterligare två utkast till branschöverenskommelser granskas för närvarande.</P> </DIV> <DIV id="page_190"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">203</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p299 ft2">Enligt utredningens mening finns det mycket för Datainspektionen att göra inom detta området i framtiden. Det arbete som utförs av Datainspektionens motsvarighet i Nederländerna kan här tjäna som förebild, se avsnitt 11.5.</P> <P class="p99 ft1"><SPAN class="ft52">11.2</SPAN><SPAN class="ft53">Definition av självreglering</SPAN></P> <P class="p97 ft0">Självreglering är åtgärder i systematiserad form som vidtas av ett företag, en grupp företag, en bransch eller hela näringslivet för att utreda, förebygga eller lösa problem i förhållande till konsumenter eller andra kunder. Självreglering kan bestå av rekommendationer (från t.ex. branschorganisation), gemensam reglering <NOBR>(co-regulation),</NOBR> där myndigheterna utformar reglerna tillsammans med branscherna eller näringslivet, eller egenåtgärder som är självpåtagna av aktörerna.<SPAN class="ft27">1</SPAN></P> <P class="p79 ft0">Syftet med självreglering för att skydda den personliga integriteten vid användningen av t.ex. Internet är att undvika eller minimera behovet av lagstiftning och annan statlig reglering samt att öka förtroendet för Internet. Självreglering sker dels genom information, etikregler, föreskrifter till nya Internetanvändare och frivilliga överenskommelser, dels genom åtgärder från aktörer på Internet, t.ex. när en Internetoperatör stänger av eller hotar att stänga av en användare på grund av att denne inte följer operatörens regler. Vidare förekommer olika tekniska lösningar där användaren kan definiera sina önskemål om vad som får avslöjas om honom eller henne när han eller hon använder Internet. Även möjlighet att agera anonymt på Internet erbjuds av olika företag.<SPAN class="ft27">2</SPAN></P> <P class="p136 ft1"><SPAN class="ft52">11.3</SPAN><SPAN class="ft53">Ändamålet med självreglering</SPAN></P> <P class="p76 ft2"><NOBR>IT-kommissionen</NOBR> har i rapporten 2/2000 (SOU 2000:96) presenterat vissa slutsatser från en hearing om självreglering inom området elektroniska affärer.</P> <P class="p66 ft0">I rapporten framhålls att det är bättre att utmana till självreglering än att lagstifta. Det gäller att finna en bra balans mellan lagstiftning och självreglering. Självreglering innebär inte att lagstiftaren kapitulerat, men för att ett självregleringssystem skall utvecklas väl behöver näringslivet utmanas.</P> <P class="p300 ft62"><SPAN class="ft38">1</SPAN><SPAN class="ft69">Självreglering inom elektroniska affärer, </SPAN><NOBR>IT-kommissionens</NOBR> rapport 2/2000, SOU 2000:96, s. 7.</P> <P class="p24 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">Frivilligt integritetsskydd på Internet, Datainspektionens rapport 1992:2, s. 3.</SPAN></P> </DIV> <DIV id="page_191"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">204 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Utvecklingen inom <NOBR>e-handeln</NOBR> går mycket snabbt, medan den traditionella lagstiftningsprocessen är långsam. I syfte att främja utvecklingen är självreglering ett komplement till lagstiftning. Självreglering anses lättare kunna anpassas till den snabba utvecklingen inom IT- området och området för elektroniska affärer. Näringslivet anser att egenåtgärder kan bidra till att skapa harmonisering av regelverk på ett sätt som inte är fullt möjligt för lagstiftaren att göra. Det går också att motverka överreglering i de fall där regleringen snarare kan vara till skada än till nytta genom att skapa handelshinder.</P> <P class="p159 ft0">Vidare framhålls det internationella perspektivet som är särskilt framträdande när det gäller Internet. Lagstiftning sker ofta på det nationella planet medan elektroniska affärer till sin natur är globala. Globala lösningar är därför eftersträvansvärda.</P> <P class="p71 ft0">Som ett viktigt incitament till självreglering framhålls att en sådan reglering kan öka tilliten hos konsumenten. Såväl konsumenter som företagare på Internet har ofta liten kännedom om de lagar och regler som finns. Det behövs därför mera hjälp till självhjälp.</P> <P class="p71 ft0">Självreglering måste i grunden gynna såväl konsumenten som företagaren och det bör finnas en bred uppslutning från företagens sida för att systemet skall fungera. Är dessa förutsättningar uppfyllda, kan det leda till bättre konsumentskydd och effektivare tillsyn, men även till ökad goodwill för företagen själva. För företag innebär självreglering att utgå från en kundorientering, dvs. att tänka på hur kunden vill bli bemött i ett seriöst och väl fungerande affärsförhållande. För att skapa förtroende är det också nödvändigt att näringslivet samverkar med myndigheter. Självreglering kan inte ersätta lagar och regler men kan tolka och förtydliga lagen. Den kan ge konsumenterna mer tillgänglig information och på så sätt öka förtroendet. Överenskommelser om självreglering kan inte helt ersätta myndighetens tillsyn.</P> <P class="p181 ft0">En viktig faktor för tilliten hos konsumenterna är att det måste finnas ändamålsenliga reklamations- och klagomöjligheter. Att konsumenterna märker att den som bryter mot självregleringen ”straffas” på något sätt är viktigt för förtroendet. Självregleringssystem utan sanktionsmöjligheter är verkningslösa.</P> <P class="p272 ft0">Utgångspunkten för självreglering måste vidare vara affärsmässig. En lyckad självreglering skall ur näringslivets perspektiv ha sin grund i eget affärsintresse. Det finns inget värde med en reglering som enbart gagnar näringslivet, utan den måste också ge konsumenterna ökad tillit. Ett självregleringssystem måste vara öppet för alla som vill, kan och accepterar att ansluta sig till regelverket. Det får inte förekomma någon inre krets.</P> <P class="p131 ft2">Framgångsfaktorer ur individens perspektiv är framför allt makt åt användaren, t.ex. vad gäller integritetsfrågor. Det är vidare viktigt att</P> </DIV> <DIV id="page_192"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">205</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">information om regelverk, företag, m.m. skall vara tillgänglig, att individen har kontroll över egen information som personinformation, intresseinformation m.m. och att det föreligger en tydlighet vad gäller spridning av regelverk. Reglerna måste vara allmänt kända.</P> <P class="p99 ft1"><SPAN class="ft52">11.4</SPAN><SPAN class="ft53">Självreglering i USA</SPAN></P> <P class="p50 ft0">I USA har debatten om den personliga integriteten haft nära anknytning till utvecklingen av den elektroniska handeln. Utgångspunkten har härvid varit att den privata sektorn skall leda utvecklingen. Lagstiftning om integritet har därför undvikits. Behovet av lagstiftning har ersatts av självreglering. <SPAN class="ft27">3</SPAN></P> <P class="p85 ft0">Vissa kritiker har emellertid hävdat att självregleringen inte fungerat och att lagstiftning krävs för att skydda den personliga integriteten. Samtidigt är den lagstiftning som finns spridd på olika särregleringar och den allmänna integritetslagen behandlar endast relationen mellan staten och individen och upplevs som svag.</P> <P class="p59 ft0">Självreglering är således det sätt som i USA hittills har betraktats som det bästa sättet för att skydda den personliga integriteten. Den form av självreglering som varit vanligast förekommande är ”industrisponsrade betrodda tredje parter”. Som ett viktigt komplement till lagregleringar och självreglering genom t.ex. branschöverenskommelser har dessutom olika former av integritetsstödjande teknik tagits fram.</P> <P class="p45 ft0">Det främsta exemplet på självreglering och betrodd tredje part är TRUSTe. Organisationen grundades av en intressekoalition inom området elektronisk handel och en ideell integritetsfrämjande organisation. En majoritet av de stora aktörerna på Internetmarknaden är med i programmet. Medlemmarna i programmet underkastar sig en integritetsrevision och lovar att tydligt offentliggöra sin praxis i hanteringen av personuppgifter. Rent praktiskt kontrolleras detta genom att varje medlem får en integritetsrevisor inom TRUSTe som bevakar behandlingen av personuppgifter och hanterar klagomål. TRUSTe genomför också undersökningar av sina medlemmar på basis av klagomål eller på eget initiativ. Dessa undersökningar redovisas på TRUSTes webbplats.</P> <P class="p46 ft25">Det förekommer vidare en stor mängd tekniska lösningar som tagits fram för att skydda individens personliga integritet, s.k. privacy</P> <P class="p301 ft70"><SPAN class="ft40">3 </SPAN>Avsnittet bygger i allt väsentligt på en artikel av Nicklas Lundblad, Intergritetsutvecklingen i USA – Självreglering, teknik och lagstiftning, Nätets Juridik, Nordisk Årsbok i Rättsinformatik 1999.</P> </DIV> <DIV id="page_193"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">206 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">enhancing technologies (PET). Ofta är dessa tekniska verktyg direkta svar på teknik som uppfattas kränka den personliga integriteten.</P> <P class="p66 ft0">Det finns en stor mängd olika tekniska svar på frågan om hur man bättre kan skydda den personliga integriteten. Det finns tekniska verktyg som syftar till att endast göra användaren anonym, men det finns också verktyg som i första hand utplånar spåren efter användaren. Det som säkrar den personliga integriteten mest effektivt är utplånandet.</P> <P class="p302 ft0">På den amerikanska marknaden i dag finns en mängd kommersiella tjänster och produkter för att skydda den personliga integriteten och en stor mängd företag som erbjuder integritetsstödjande teknik. En närmare beskrivning av de tekniska verktygen återfinns i den under not 3 nämnda artikeln.</P> <P class="p75 ft1"><SPAN class="ft52">11.5</SPAN><SPAN class="ft53">Självreglering i Nederländerna</SPAN></P> <P class="p73 ft0">Nederländernas motsvarighet till Datainspektionen, College bescherming persoonsgegevens (CBP), arbetar efter en handlingsplan som består av fyra punkter; medvetenhet, regelgivning, teknik och verkställande.</P> <P class="p51 ft0">CBP framhåller särskilt vikten av att skapa kunskap och <SPAN class="ft3">medvetenhet </SPAN>hos personuppgiftsansvariga och allmänheten om skyddet för den personliga integriteten. Verksamheten är därför främst inriktad mot att informera berörda parter om adekvata skyddsåtgärder vid behandling av personuppgifter. Enligt myndighetens erfarenhet medför de förebyggande åtgärderna en ökad effektivitet i den egna tillsynsverksamheten.</P> <P class="p59 ft0">Inom området <SPAN class="ft3">regelgivning </SPAN>arbetar CBP med tolkning av gällande lagstiftning, fungerar som regeringens remissinstans vid utarbetande av nya lagar i frågor som rör den personliga integriteten och lämnar råd i olika spörsmål som berör myndighetens område. Det är också en viktig uppgift för CBP att aktivt främja självreglering i olika former. Fram till och med mars 2001 hade myndigheten formellt godkänt tolv olika branschöverenskommelser (codes of conduct).</P> <P class="p46 ft0">CBP arbetar för att stimulera till självreglering genom en ständig dialog med olika organisationer och branschföreträdare. Självreglering i form av branschöverenskommelser möjliggör för CBP att koncentrera sin verksamhet till andra viktiga sektorer i samhället. Detta anses särskilt viktigt då resurserna är begränsade i förhållande till omfattningen av myndighetens ansvarsområde.</P> <P class="p303 ft25">I takt med att integritetshoten blivit allt mer synliga är det CBP:s uppfattning att många privata företag insett betydelsen av att försäkra</P> </DIV> <DIV id="page_194"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">207</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">sig om att man behandlar personuppgifter korrekt och utan att orsaka intrång i den personliga integriteten.</P> <P class="p66 ft0">I Nederländerna är lokala myndigheter skyldiga att vart tredje år genomgå en kontroll av integritetsskyddet vid deras behandling av personuppgifter. Dessa inspektioner utförs av revisions- och konsultföretagen PricewaterhouseCoopers och Deloitte&Touche samt en nederländsk konsultfirma.</P> <P class="p66 ft0">CBP framhåller att <SPAN class="ft3">informationstekniken </SPAN>inte bara skall ses som ett hot utan också som ett viktigt och positivt verktyg vid behandling av personuppgifter. Myndigheten stimulerar därför bidrag till olika tekniska lösningar till skydd för den personliga integriteten vid behandling av personuppgifter, s.k. privacy enhancing technologies (PET). CBP deltar också i ett <NOBR>EU-projekt</NOBR> benämnt Privacy Incorporated Software Agent (PISA), vars mål är en teknisk lösning för skyddet för den personliga integriteten vid användningen av Internet.</P> <P class="p45 ft2">Den <SPAN class="ft26">verkställande </SPAN>delen av myndighetens arbete består bl.a. i att utföra inspektioner för att kontrollera att behandlingen av personuppgifter i samhället sker i enlighet med gällande lagstiftning.</P> <P class="p110 ft24"><SPAN class="ft24">11.5.1</SPAN><SPAN class="ft49">Privacy Audit Framework</SPAN></P> <P class="p57 ft0">Dataskyddsmyndigheten i Nederländerna stimulerar aktivt och medverkar till framtagandet av olika former av självregleringar. I enlighet härmed har man i samarbete med bl.a. professionella organisationer för revisorer och konsulter utarbetat ett kontrollprogram för inspektion av skyddet för den personliga integriteten, The Privacy Audit Frameweork (PAF).<SPAN class="ft27">4 </SPAN>Detta kontrollprogram kan användas av olika organisationer för att kontrollera, utvärdera och förbättra säkerheten vid behandling av personuppgifter.</P> <P class="p45 ft0">Alla företag i projektet, inklusive de sex största revisionsföretagen i Nederländerna, deltog utan ekonomisk ersättning. Revisionsföretagen i Nederländerna är mycket engagerade i arbetet med skyddet för den personliga integriteten och har specialiserat sig på integritetsfrågor. Totalt var fler än 60 personer engagerade i att utarbeta PAF. Projektet övervakades av representanter för inrikes- och justitiedepartementet, arbetsgivar- och arbetstagarorganisationer och konsumentorganisationer.</P> <P class="p304 ft70"><SPAN class="ft40">4 </SPAN>Ytterligare information om ”The Privacy Audit Framework” och den nederländska dataskyddsmyndigheten kan fås på myndighetens hemsida &lt;http://www.cbpweb.nl&gt;.</P> </DIV> <DIV id="page_195"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">208 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">The Privacy Audit Framework är avsett att användas av olika organisationer som på eget initiativ vill kontrollera hur deras behandling av personuppgifter lever upp till den holländska motsvarigheten till personuppgiftslagen, Wet bescherming persoonsgegevens (WBP). WBP trädde i kraft den 1 september 2001 och implementerar dataskyddsdirektivet i holländsk lagstiftning.</P> <P class="p123 ft2">Innehållet i PAF motsvaras av de olika former av kontroll som CBP utför i samband med sina egna tillsynsinsatser, och skall användas som utgångspunkt i myndighetens fullskaliga inspektioner.</P> <P class="p70 ft0">PAF består av tre olika nivåer av kontroll, varav den högsta, The Privacy Audit (PA), medför att ett integritetsskyddscertifikat (privacy certificate) kan utfärdas om den kontrollerade organisationen uppfyller de uppställda kraven.</P> <P class="p70 ft0">På den lägsta nivån <NOBR>(”Quick-scan”)</NOBR> består kontrollprogrammet av tretton frågor som berör säkerheten vid behandling av personuppgifter. Frågorna avser att förbättra medvetenheten i organisationen och ge en översiktlig beskrivning av om behandlingen sker i enlighet med regelverket för behandling av personuppgifter. Metoden kan användas av vem som helst som arbetar i organisationen.</P> <P class="p71 ft0">Nästa steg <NOBR>(”Self-assessement”)</NOBR> är främst avsett att användas av företagsledningen för att utvärdera skyddsnivån vid behandling av personuppgifter. Metoden skall tillämpas i första hand av tjänstemän som har kunskap om integritetsskyddslagstiftning och vana vid att arbeta med IT inom organisationen. Utvärderingen består av nio områden indelade efter tillämpliga dataskyddsregler. Resultatet av utvärderingen ger en tydlig bild av integritetsskyddet och utvisar vilka uppföljande åtgärder som måste vidtas. Utvärderingen kan genomföras internt, men organisationen kan också överlåta arbetet på en utomstående expert.</P> <P class="p305 ft0">Den tredje och högsta nivån, ”Privacy Audit” (PA), är avsedd att utgöra en fullständig inspektion och utvärdering av skyddet för den personliga integriteten vid behandling av personuppgifter inom organisationen. Inspektionen skall också utföras av en auktoriserad revisor.</P> <P class="p71 ft0">Ändamålet med PA är att undersöka i vilken utsträckning organisationens behandling av personuppgifter sker i enlighet med lagreglerna (WBP) och vilka eventuella åtgärder som måste vidtas för att försäkra sig om att behandlingen sker med iakttagande av skyddet för den personliga integriteten.</P> <P class="p71 ft2">PA är särskilt framtagen för revisorer med ansvar för integritetsskyddskontroll. Etablerade revisionsföretag förväntas visa intresse för att genomföra dessa utvärderingar, och resultaten skall kunna användas av CBP som underlag för den egna inspektionsverksamheten.</P> </DIV> <DIV id="page_196"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">209</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Det förutsätts att den som utför egentillsynen enligt PA har kunskaper om revision i allmänhet och tillsyn av personuppgiftsbehandling i synnerhet samt om gällande rätt inom området. Det är här i första hand fråga om ekonomiska revisorer och <NOBR>IT-revisorer</NOBR> auktoriserade av nationella organisationer för revisorer. Det är inte CBP som auktoriserar de revisorer som skall utföra inspektionerna enligt PA.</P> <P class="p306 ft0">PA erbjuder inte en skräddarsydd lösning för varje organisation utan en särskild tillsynsplan måste utarbetas. PA innehåller en handledning för upprättande av en sådan plan. CBP har också utarbetat en rapport som beskriver de nödvändiga skyddsåtgärder som måste iakttas vid behandling av personuppgifter i olika situationer och som kan användas som underlag vid kontrollen.</P> <P class="p123 ft0">PA är avsedd att utgöra grunden för att ett integritetsskyddscertifikat (privacy certificate) skall kunna utfärdas av en erkänd och oberoende kontrollant (auditor). Det finns därutöver särskilda regler (certification scheme) om vilka krav den personuppgiftsansvarige också måste uppfylla för att erhålla ett certifikat.</P> <P class="p272 ft0">Genom att en organisation erhåller ett integritetsskyddscertifikat kan den visa för utomstående att organisationen behandlar personuppgifter med omsorg och i enlighet med lagens regler. Ett sådant certifikat kan vara av betydelse för såväl den som behandlar ett stort antal personuppgifter med liten risk för intrång i den personliga integriteten som den som behandlar ett litet antal personuppgifter men där risken för intrång i den personliga integriteten är stor. Intressegrupper kan agera för att en organisation skall skaffa sig ett certifikat.</P> <P class="p305 ft0">Även de organisationer som erhållit certifikat kan bli föremål för inspektion från CBP:s sida. Emellertid kommer CBP att ta i beaktande att en organisation har ett certifikat när myndigheten bestämmer om organisationen skall inspekteras och vilken omfattning inspektionen i så fall skall ha.</P> <P class="p71 ft0">De närmare bestämmelserna för integritetsskyddscertifikatet håller alltjämt på att utarbetas. Endast de revisorer som lever upp till högt ställda krav kommer att få utfärda certifikat. CBP har ingen formell status i utfärdandet av certifikaten men deltar i utvecklingen av systemet i sin egenskap som ansvarig tillsynsmyndighet. Det är i tillsynsmyndighetens intresse att certifieringen omfattas av ändamålsenliga kvalitetskrav.</P> <P class="p131 ft2">Motiven för en organisation att genomgå kontrollprogrammet kan vara ekonomiska eller marknadsföringsmässiga. Behandling i strid med gällande lagstiftning kan resultera i skadeståndskrav. Om man i stället kan visa upp en korrekt behandling av personuppgifter kan detta skapa</P> </DIV> <DIV id="page_197"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">210 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">goodwill för företaget och således ha ett kommersiellt värde. CBP stimulerar aktivt enskilda organisationer och bransch- och paraplyorganisationer att genomföra självreglering.</P> <P class="p110 ft1"><SPAN class="ft52">11.6</SPAN><SPAN class="ft53">Personuppgiftsombud</SPAN></P> <P class="p76 ft2">En form av decentralisering av ansvaret för integritetsskyddet är det nya systemet med personuppgiftsombud.</P> <P class="p66 ft0">Personuppgiftsombudet har till uppgift att kontrollera att den personuppgiftsansvariges behandling av personuppgifter sker på ett korrekt och lagligt sätt, att föra företeckning över behandlingar och att hjälpa registrerade att få rättelse. Det är dock alltid den personuppgiftsansvarige som har det yttersta ansvaret för all behandling även om denne har utsett ett ombud.</P> <P class="p66 ft0">Det är frivilligt att ha ett personuppgiftsombud. Tanken bakom institutet med personuppgiftsombud är dock att ombudet skall vara en tillgång för den personuppgiftsansvarige när det gäller integritetsskydd vid behandling av personuppgifter.</P> <P class="p59 ft0">En personuppgiftsansvarig som utser ett personuppgiftsombud skall anmäla detta till Datainspektionen. Om den personuppgiftsansvarige har anmält ett personuppgiftsombud till Datainspektionen behöver den personuppgiftsansvarige inte anmäla behandlingar av personuppgifter till Datainspektionen. Anmälan för förhandskontroll av vissa typer av integritetskänslig behandling är emellertid obligatorisk.</P> <P class="p45 ft0">Personuppgiftsombudet skall på ett oberoende sätt se till att den personuppgiftsansvarige följer bestämmelserna i personuppgiftslagen och anknytande lagstiftning. Det finns inga formella krav på att personuppgiftsombudet skall ha särskilda kvalifikationer. I personuppgiftsombudets självständiga ställning ligger dock att denne måste ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter. Enligt Datainspektionens rekommendationer är det lämpligt att personuppgiftsombudet har eller ges möjlighet att inhämta goda kunskaper om personuppgiftslagen och andra författningar som kan vara tillämpliga för behandlingar hos den personuppgiftsansvarige. Personuppgiftsombud måste också ha god kännedom om den personuppgiftsansvariges organisation och verksamhet och ha möjlighet att sätta sig in i och förstå hur personuppgifter behandlas där. Grundläggande kännedom om IT är också till hjälp i ombudets arbete.</P> <P class="p52 ft2">Personuppgiftsombudet skall fungera som Datainspektionens förlängda arm. Om personuppgiftsombudet upptäcker brister i personuppgiftsbehandlingen bör ombudet i första hand påpeka detta för den personuppgiftsansvarige. Om denne inte vidtar rättelse så snart det kan</P> </DIV> <DIV id="page_198"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">211</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft2">ske är personuppgiftsombudet skyldigt att anmäla bristerna till Datainspektionen.</P> <P class="p69 ft0">Personuppgiftsombudet skall också samråda med Datainspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen skall tillämpas.</P> <P class="p70 ft0">Personuppgiftsombudet har till uppgift att föra förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldigheten om personuppgiftsombud inte utsetts. Ombudet skall också hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. I uppgiften ingår att se till att felaktiga eller missvisande uppgifter rättas, blockeras eller utplånas, även om det inte är nödvändigt att personuppgiftsombudet rent praktiskt utför själva rättelsearbetet och därmed sammanhängande arbetsuppgifter.</P> <P class="p307 ft0">Personuppgiftsombudets funktion medför enligt utredningens uppfattning att ombuden övertar en viss del av de uppgifter och det ansvar som i dag ligger på Datainspektionen. Detta bör enligt utredningens mening på sikt kunna leda till att Datainspektionens personalresurser kan minskas (se vidare avsnitt 8.7).</P> <P class="p308 ft35"><SPAN class="ft52">11.7</SPAN><SPAN class="ft66">Behovet av självreglering och annan decentralisering av integritetsskyddet</SPAN></P> <P class="p185 ft0">I kapitel 6 har utredningen givit exempel på varför det är viktigt att den personliga integriteten skyddas vid behandling av personuppgifter, samt berört hur detta skydd skall åstadkommas. Klart är att lagstiftning och Datainspektionen med sin uppgift som tillsynsmyndighet fyller den centrala rollen i detta sammanhang.</P> <P class="p272 ft0">Framför allt två omständigheter för emellertid med sig att enbart lagstiftning och tillsyn inte är tillfyllest för att helt uppfylla målet att tillförsäkra medborgarna ett fullgott skydd mot intrång i den personliga integriteten.</P> <P class="p71 ft0">För det första gör den snabba tekniska utvecklingen att statsmakterna har svårt att hinna anpassa lagstiftningen till den faktiska verkligheten. Behovet av självreglering måste ställas i relation till det skydd för den personliga integriteten som den befintliga lagstiftningen ger. Den allmänna uppfattningen är att lagstiftningens brister ligger i att den har svårt att hänga med i den tekniska utvecklingen. Här ses självreglering som ett bättre alternativ.</P> </DIV> <DIV id="page_199"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">212 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">För det andra kan tillsynen över behandlingen av personuppgifter i samhället aldrig vara heltäckande. Den omfattande behandlingen av personuppgifter och Datainspektionens stora ansvarsområde medför att Datainspektionen inte kan kontrollera allt.</P> <P class="p123 ft0">Dessa två omständigheter leder till slutsatsen att även andra medel för skyddet för den personliga integriteten måste användas. Det gäller då bl.a. att försöka engagera så många som möjligt att ta ett självständigt ansvar för en korrekt behandling av personuppgifter. Ansvaret för skyddet för den personliga integriteten måste med andra ord decentraliseras i så stor utsträckning som möjligt.</P> <P class="p71 ft0">Här har Datainspektionen enligt utredningens uppfattning en viktig funktion att fylla. Datainspektionen bör i sitt framtida arbete med att stimulera till självreglering och engagera nya aktörer inom integritetsskyddsområdet kunna dra stor nytta av det arbete som sedan en tid har pågått i Nederländerna (se avsnitt 11.5).</P> <P class="p131 ft0">Olika former av självreglering växer redan i dag fram inom ramen för en ökad användning av Internet. Ett företag kan t.ex. genom att frivilligt ansluta sig till ett integritetsprogam som erbjuds av en del organisationer, på sin hemsida få ett intyg som visar att det hanterar personuppgifter enligt vissa principer.</P> <P class="p71 ft0">Ett viktigt skäl till att självreglering används är alltså att skapa förtroende hos konsumenter på Internet. Oro för intrång i den personliga integriteten kan medföra att enskilda undviker att vända sig till ett visst företag. Detta förhållande ger möjlighet för Datainspektionen att stimulera till ett frivilligt integritetsskydd. Självreglering som är utformad i samarbete med Datainspektionen kan medföra goodwill och ett större förtroende genom myndighetens auktoritet.</P> <P class="p123 ft0">Det är viktigt att Datainspektionen tar varje tillfälle i akt att uppmuntra till olika former av självregleringar. Genom Datainspektionens aktivitet på fältet, bl.a. i form av inspektioner av behandling av personuppgifter, kan myndigheten få underlag till bedömningar av inom vilka områden det är lämpligt med självreglering. I den mån det är lägligt bör Datainspektionen även vid själva inspektionstillfället utnyttja möjligheten att uppmuntra till självreglering.</P> <P class="p123 ft0">Branschöverenskommelser är i detta sammanhang en betydelsefull form av självreglering. Det är emellertid viktigt att begreppet självreglering uppfattas som betydligt vidare än så. Alla former av organisationer, allt från tydliga branschorgan, och mer löst sammansatta organisationer till enskilda företag, bör uppmuntras att se över sin behandling av personuppgifter och att utarbeta en målsättning och helst regler för skyddet för den personliga integriteten. Det är viktigt att påpeka att detta gäller i lika hög grad för myndigheter inom både den statliga och kommunala sektorn. Vidare kan formerna för kontrollen av</P> </DIV> <DIV id="page_200"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td124"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td125"><SPAN class="p9 ft31">Integritetsskydd genom olika former av självreglering <SPAN class="ft10">213</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td126"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td127"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">personuppgiftsbehandlingen bestå i allt från mer eller mindre fullständiga regelverk till utseendet av ett personuppgiftsombud. Det bör i framtiden vara naturligt för varje organisation att utse ett personuppgiftsombud, framför allt bör detta krav kunna ställas på offentliga organ. Varje sådan form av övervägande kring behandlingen av personuppgifter kommer att leda till att skyddet för den personliga integriteten stärks. Enligt utredningens mening är det mycket viktigt att det allmänna medvetandet om integritetsskydd i samband med behandling av personuppgifter höjs.</P> <P class="p305 ft0">En form av självreglering är vidare de olika tekniska lösningar som skapas i samband med användningen av Internet, t.ex. möjligheter att vara anonym. Särskilt i USA har man valt att inte enbart reglera den nya tekniken juridiskt, utan även försökt att hitta olika tekniska lösningar som skyddar den personliga integriteten. I stället för att koncentrera sig på de rättsliga aspekterna av den nya tekniken inriktar man sig i allt större utsträckning på att ta fram och lansera ny teknik som skyddar den personliga integriteten.</P> <P class="p123 ft0">Datainspektionens möjligheter att aktivt stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering har på detta sätt en mycket nära anknytning till inspektionens ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv.</P> <P class="p71 ft0">Vad gäller det sistnämnda ansvaret kan man i och för sig hävda att Datainspektionen i första hand är en juridisk myndighet som inte kan ha kontroll över den omfattande tekniska utvecklingen i informationssamhället. Samtidigt medför dock den tekniska utvecklingen, med både hot mot och möjligheter till skydd för den personliga integriteten, att Datainspektionen med sin uppgift att skydda människors personliga integritet måste ha mycket goda tekniska kunskaper. Dessa tekniska kunskaper måste naturligtvis omfatta såväl vilka hot mot den personliga integriteten som den tekniska utvecklingen för med sig som vilka tekniska möjligheter till skydd som samtidigt utvecklas på marknaden.</P> <P class="p305 ft0">Personuppgiftsombuden har som kontrollanter av att de personuppgiftsansvariga behandlar personuppgifter i enlighet med personuppgiftslagens regler en mycket viktig funktion att fylla. Personuppgiftsombudens ansvar torde i de flesta fall borga för ett gott integritetsskydd. Personuppgiftsombuden beskrivs ju också som ”Datainspektionens förlängda arm”.</P> <P class="p131 ft0">Ett önskemål är att alla personuppgiftsansvariga vars verksamhet är av viss omfattning utser ett personuppgiftsombud. En utbredd användning av systemet med personuppgiftsombud bör kunna få betydelse för omfattningen av och inriktningen på Datainspektionens tillsynsverksamhet och i förlängningen skapa förutsättningar att</P> </DIV> <DIV id="page_201"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">214 </SPAN>Integritetsskydd genom olika former av självreglering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">begränsa inspektionens resurser utan att integritetsskyddet därigenom äventyras. I synnerhet bör systemet medföra att Datainspektionen kan koncentrera sina resurser på inspektioner hos personuppgiftsansvariga, vars behandling av personuppgifter medför de allra största riskerna för intrång i den personliga integriteten.</P> </DIV> <DIV id="page_202"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32202x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td128"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td21"><SPAN class="p9 ft31">Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv <SPAN class="ft10">215</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td129"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td130"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p309 ft33"><SPAN class="ft5">12</SPAN><SPAN class="ft67">Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv</SPAN></P> <P class="p310 ft2">Utöver juridiska kunskaper krävs att Datainspektionens personal skall ha god insikt i informationsteknik.</P> <P class="p268 ft2">Inspektionens tekniska kompetens skall i första hand användas för att sköta de primära uppgifterna i tillsynsverksamheten.</P> <P class="p268 ft0">Datainspektionen bör bland sina anställda ha personer med examen på högskolenivå inom <NOBR>IT-området.</NOBR> Därutöver bör det finnas åtminstone en person i varje arbetslag inom inspektionsverksamheten med goda tekniska kunskaper. Det innebär att andelen anställda med teknisk kompetens bör öka i förhållande till läget i dag. En idealsituation är att anställda besitter kunskap inom såväl integritetslagstiftningen som informationstekniken.</P> <P class="p268 ft0">Nivån på de tekniska kunskaperna skall som utgångspunkt motsvara s.k. beställarkompetens, dvs. Datainspektionen måste veta när den egna kompetensen inte räcker till och externa resurser därför måste anlitas. Inspektionen bör också samråda med andra myndigheter i frågor som rör <NOBR>IT-säkerhet.</NOBR></P> <P class="p269 ft2">Datainspektionens ansvar att följa teknikutvecklingen ur ett integritetsperspektiv innebär en skyldighet för myndigheten att slå larm vid integritetshot och i egenskap av remissinstans bevaka integritetsskyddet i samband med ny lagstiftning m.m.</P> <P class="p311 ft0">Datainspektionen har i dag bl.a. till uppgift att följa och beskriva utvecklingen inom <NOBR>IT-området</NOBR> när det gäller frågor som rör integritet och ny teknik. I direktiven framhålls att den snabba tekniska utvecklingen innebär nya integritetsrisker och i många avseenden ändrade förutsättningar för arbetet med att värna enskildas personliga integritet. Utredningen har mot bakgrund härav fått i uppdrag att analysera möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil.</P> </DIV> <DIV id="page_203"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">216 </SPAN>Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p134 ft1"><SPAN class="ft52">12.1</SPAN><SPAN class="ft53">Datainspektionens uppgift</SPAN></P> <P class="p97 ft0">Datainspektionen skall enligt sin instruktion följa och beskriva utvecklingen inom <NOBR>IT-området</NOBR> när det gäller frågor som rör integritet och ny teknik. Enligt regleringsbrevet för myndigheten har Datainspektionen dock inte något särskilt återrapporteringskrav vad gäller utvecklingen inom <NOBR>IT-området,</NOBR> förutom att inspektionen skall avge en allmän bedömning av verksamhetens effekter och eventuella behov av åtgärder.</P> <P class="p79 ft0">Datainspektionens verksamhet skall vara inriktad på information och inspektion. Ansvaret för att följa utvecklingen inom <NOBR>IT-området</NOBR> är således främst kopplat till att inspektionen har tillräckligt goda tekniska kunskaper för att kunna genomföra sina inspektionsinsatser på ett ändamålsenligt och fullgott sätt och till att myndigheten kan informera om de integritetsrisker som utvecklingen av ny teknik för med sig.</P> <P class="p79 ft2">Redan i personuppgiftslagen förutsätts Datainspektionen ha goda kunskaper om den tekniska utvecklingen vad gäller skyddet för den personliga integriteten.</P> <P class="p61 ft0">Den personuppgiftsansvarige skall enligt 31 § personuppgiftslagen vidta de tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas. Åtgärderna skall företas med beaktande av bl.a. de tekniska möjligheter – fysiska och logiska säkerhetshjälpmedel – som finns tillgängliga på marknaden, och utifrån dessa skall den personuppgiftsansvarige utforma lämpliga rutiner m.m.</P> <P class="p66 ft0">De allmänt hållna reglerna om säkerhet beskriver de överväganden som måste göras i fråga om säkerhetsåtgärder. Reglerna ger emellertid inte tillräcklig vägledning för den personuppgiftsansvarige att avgöra vilka säkerhetsåtgärder som bör vidtas i det enskilda fallet. Avsikten är därför att Datainspektionen skall meddela de närmare föreskrifter om säkerhetsåtgärder som behövs. Datainspektionen bör också kunna lämna råd i säkerhetsfrågor.<SPAN class="ft27">1</SPAN></P> <P class="p45 ft0">Enligt 32 § personuppgiftslagen får Datainspektionen således besluta om säkerhetsåtgärder som den personuppgiftsansvarige skall vidta. I förarbetena framhålls att säkerhetsbrister är oacceptabla och att det är viktigt att tillsynsmyndigheten har tydliga befogenheter just när det gäller säkerheten. Genom ett beslut i det enskilda fallet får den personuppgiftsansvarige preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven.<SPAN class="ft27">2 </SPAN>Ansvaret för behandlingen av personuppgifter åvilar dock alltjämt den personuppgiftsansvarige.</P> <P class="p130 ft11"><SPAN class="ft38">1</SPAN><SPAN class="ft39">SOU 1997:39 s. 410.</SPAN></P> <P class="p94 ft11"><SPAN class="ft38">2</SPAN><SPAN class="ft39">Prop. 1997/98:44 s. 92.</SPAN></P> </DIV> <DIV id="page_204"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td128"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td21"><SPAN class="p9 ft31">Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv <SPAN class="ft10">217</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td129"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td130"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft2">Datainspektionen har gett ut allmänna råd om säkerhet vid behandling av personuppgifter. Råden riktar sig till dem som behandlar personuppgifter enligt personuppgiftslagen. Råden är inte bindande, men utgör rekommendationer om hur de bindande kraven i personuppgiftslagen om säkerhet kan uppnås.</P> <P class="p312 ft35"><SPAN class="ft52">12.2</SPAN><SPAN class="ft66">Datainspektionens behov av teknisk kompetens inom </SPAN><NOBR>IT-området</NOBR></P> <P class="p185 ft0">Omfattande behandling av personuppgifter sker hos statliga myndigheter. Det är emellertid inte bara behandlingen hos statliga myndigheter som utgör hot mot den personliga integriteten utan även den omfattande behandling av personuppgifter som sker inom allt fler samhällsområden och inte minst vid handeln på Internet.</P> <P class="p70 ft0">Det utvecklas ständigt nya tekniska möjligheter som både medför hot mot och utgör skydd för den personliga integriteten. Det är därför viktigt att Datainspektionen fokuserar på denna utveckling av informationstekniken och att det inom myndigheten finns anställda med goda tekniska kunskaper. Det krävs medarbetare som har förmåga att uppmärksamma de hot mot den personliga integriteten som kan uppkomma vid användning av ny teknik och som kan sprida information om hur man kan skydda sig mot intrång. Mycket viktigt är också att det finns kompetens att snabbt tillgodogöra sig nya tekniska lösningar som skyddar den personliga integriteten.</P> <P class="p209 ft0">Goda tekniska kunskaper hos Datainspektionen är som framhållits i avsnitt 11.7 även väsentligt för myndigheten i dess uppgift att stimulera till ökad självreglering i samhället.</P> <P class="p71 ft0">Datainspektionen behöver inte bara rent teknisk kompetens, utan måste också kunna se konsekvenser av teknikutvecklingen och dess påverkan på samhället. Det måste hos inspektionen finnas en förmåga att göra en omvärldsanalys, och att dra slutsatser av den tekniska utvecklingen och dess betydelse för integriteten och människors vardag. Det är viktigt att myndigheten kan göra övergripande bedömningar.</P> <P class="p272 ft0">Den personal som i första hand står för den tekniska kunskapen inom myndigheten skall kunna koppla ihop den tekniska utvecklingen med de risker för den personliga integriteten som denna kan föra med sig. Nya former för behandling av personuppgifter som innebär risker för otillbörliga intrång i den personliga integriteten bör föranleda de tekniskt kunniga att slå larm, så att Datainspektionen tidigt kan vidta nödvändiga åtgärder.</P> </DIV> <DIV id="page_205"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">218 </SPAN>Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">Informationstekniken utgör emellertid ett område i ständig och mycket snabb förändring. Det går inte att kräva att Datainspektionen skall ha en fullständig bevakning av utvecklingen inom hela det informationstekniska området eller spetskompetens inom varje del av området. Det kan inte vara Datainspektionens uppgift att ligga i frontlinjen när det gäller kunskap om den tekniska utvecklingen. Denna uppgift bör i första hand ligga på landets universitet och högskolor. Det finns naturligtvis också företag som ligger långt fram inom detta område och som kan fylla en viktig funktion när det gäller att följa och beskriva den tekniska utvecklingen.</P> <P class="p159 ft2">Utöver traditionell rättslig sakkunskap behöver Datainspektionen i första hand insikter i informationsteknik och informationssystem, särskilt med tonvikt på informationssäkerhet.</P> <P class="p69 ft0">Nivån på Datainspektionens tekniska kompetens bör i första hand motsvara s.k. beställarkompetens. Det gäller med andra ord för Datainspektionen att veta när den egna kompetensen inte räcker till och när man således är tvungen att anlita externa resurser för att klara de uppgifter man själv inte kan utföra på ett fullgott sätt. Vid behov bör Datainspektionen hyra in konsulter.</P> <P class="p70 ft0">Det är vidare viktigt att Datainspektionen utnyttjar den kompetens som finns hos andra offentliga organ. Användningen av informationsteknik är utbredd och alla myndigheter är tvungna att ha ingående kunskaper om den teknik och de olika system som används inom den egna verksamheten. Inspektionen bör därför använda möjligheten att samråda med andra myndigheter, bl.a. i frågor som rör <NOBR>IT-säkerhet.</NOBR></P> <P class="p71 ft0">Inspektionen måste emellertid bland sina anställda ha personer som har informationsteknisk kompetens som motsvarar examen på högskolenivå. Datainspektionen har i dag endast tre anställda, med olika bakgrund, som har teknisk kompetens. Enligt utredningens mening bör Datainspektionen förstärka sin kompetens vad gäller informationsteknik.</P> <P class="p123 ft0">Andelen anställda med teknisk kompetens bör således vara större än i dag. Ett önskemål är givetvis att en så stor del av de anställda som möjligt besitter såväl juridisk som teknisk kompetens. Jurister med rättsinformatik som sitt specialområde kan därför var en lämplig grupp att rekrytera personal från.</P> <P class="p123 ft0">I större utsträckning bör också inspektioner genomföras av personal med teknisk kompetens. Informationstekniskt kunnig personal bör alltid finnas med vid inspektionerna. Inspektioner bör endast i undantagsfall utföras av enbart juridiskt kunnig personal.</P> <P class="p272 ft2">Den tekniska kompetensen är viktig för att undersöka hur olika datorsystem fungerar och hur personuppgiftsbehandlingen rent faktiskt går till. Många gånger torde det vara lämpligt att den tekniskt kunniga</P> </DIV> <DIV id="page_206"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td128"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td21"><SPAN class="p9 ft31">Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv <SPAN class="ft10">219</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td129"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td130"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft0">personalen utför inspektioner själv. Med det underlag som personalen sedan presenterar i form av rapporter och dylikt kan myndighetens jurister i efterhand fatta beslut om vilka åtgärder som eventuellt måste vidtas.</P> <P class="p123 ft0">En jämförelse kan göras med skattemyndighetens sätt att arbeta. När en skattemyndighet i sin verksamhet reviderar företag genomförs detta regelmässigt av skatterevisorer och andra ekonomer. Skattemyndighetens beslut i anledning av den genomförda revisionen fattas sedan med upplysningar från revisionen som underlag. De juridiska bedömningarna görs med andra ord i efterhand av jurister som inte varit med på fältet. På liknande sätt arbetar för övrigt dataskyddsmyndigheten i Spanien, jämför avsnitt 4.6.8.</P> </DIV> <DIV id="page_207"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32207x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">221</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p250 ft33"><SPAN class="ft5">13</SPAN><SPAN class="ft67">Datainspektionens framtida finansiering</SPAN></P> <P class="p227 ft0">Datainspektionens verksamhet bör till stor del finansieras genom skattemedel, eftersom sambandet mellan vissa verksamheter och de som skulle kunna komma ifråga att betala är för svagt för att avgifter skall kunna tas ut.</P> <P class="p282 ft0">Verksamheten kan dock delvis finansieras genom avgifter som tas ut av dem som drar nytta av myndighetens verksamhet och av dem som föranleder inspektionen arbete. Utredningen lämnar emellertid inget förslag till avgiftsfinansiering utan presenterar endast de modeller för finansiering som utredningen anser vara mest acceptabla.</P> <P class="p251 ft0">En avgiftsfinansiering av Datainspektionens tillsynsverksamhet kan ha mycket positiva styrningseffekter. Det kan därför finnas skäl för Datainspektionen att debitera en avgift per timma för den renodlade inspektionsverksamheten och att ta ut en avgift för anmälningar enligt personuppgiftslagen om behandling av personuppgifter.</P> <P class="p251 ft2">Tillstånds- och tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna kan också finansieras genom avgifter.</P> <P class="p252 ft25">Även i fortsättningen bör avgifter tas ut för myndighetens informationsmaterial, konferenser och föreläsningar.</P> <P class="p148 ft1"><SPAN class="ft52">13.1</SPAN><SPAN class="ft53">Inledande utgångspunkter</SPAN></P> <P class="p97 ft0">Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licens- och tillståndsavgifter som tillämpades i anslutning till datalagen. I och med personuppgiftslagen har licens- och tillståndssystemet upphört och därmed finns denna finansieringskälla inte längre. Datainspektionen har tidigare också tagit ut avgifter för handläggning av tillståndsärenden enligt kreditupplysnings- och inkassolagarna. Även denna form av finansiering upphörde i samband med att avgifterna för handläggningen enligt datalagen avskaffades.</P> </DIV> <DIV id="page_208"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">222 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p165 ft2">I direktiven anges särskilt att utredningen skall analysera formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera Datainspektionens framtida verksamhet med avgiftsintäkter.</P> <P class="p66 ft0">Bakgrund till utredningens överväganden i fråga om finansieringen av Datainspektionens verksamhet finns i kapitel 5. Utredningen har därutöver haft underhandskontakter med Ekonomistyrningsverket vad gäller frågor om vilka krav som måste vara uppfyllda för avgiftsfinansiering i allmänhet, för- och nackdelar med avgiftsfinansiering och lämpligheten av de överväganden som utredningen presenterar i detta kapitel.</P> <P class="p313 ft56"><SPAN class="ft52">13.2</SPAN><SPAN class="ft68">Allmänna förutsättningar för avgiftsfinansiering av Datainspektionens verksamhet</SPAN></P> <P class="p141 ft0">Vid en prövning av förutsättningarna för finansiering av Datainspektionens verksamhet på annat sätt än genom anslag via statsbudgeten uppkommer flera frågor. För att avgöra om en avgiftsfinansiering är möjlig bör ställning särskilt tas till vem som skall betala avgifterna och för vilka delar av sin verksamhet Datainspektionen kan ta betalt. Man måste mot bl.a. den bakgrunden också överväga om det ur principiell synvinkel är lämpligt att alls finansiera Datainspektionens verksamhet med avgifter. Svaren på frågorna visar om det finns förutsättningar för att finansiera hela eller kanske bara delar av myndighetens verksamhet via avgifter.</P> <P class="p136 ft24"><SPAN class="ft24">13.2.1</SPAN><SPAN class="ft49">Av vem och för vad kan avgifter tas ut?</SPAN></P> <P class="p314 ft3">Av vem kan Datainspektionen ta ut avgifter?</P> <P class="p44 ft0">Vid bedömningen av om det finns förutsättningar för avgiftsfinansiering är den första frågan som bör ställas vem som bör betala för Datainspektionens verksamhet. Det framstår som naturligt för utredningen att Datainspektionens verksamhet bekostas av dem som utnyttjar inspektionens tjänster eller förorsakar myndigheten arbete och kostnader.</P> <P class="p46 ft2">När Datainspektionen tillhandahåller informationsmaterial och håller konferenser eller föreläsningar, är det lätt att identifiera dem som utnyttjar inspektionens tjänster. Det är betydligt svårare att definiera vem som utnyttjar tjänsterna i Datainspektionens tillsynsverksamhet. I</P> </DIV> <DIV id="page_209"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">223</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">vid mening kan man säga att de företag och myndigheter m.fl. som blir föremål för inspektioner eller annan tillsyn drar nytta av verksamheten, genom att de får information om brister i hanteringen av personuppgifter och råd om hur dessa kan rättas till. Det är emellertid svårt att med detta som enda utgångspunkt argumentera för att de skall betala avgifter till Datainspektionen, inte minst mot bakgrund av att de inte själva har begärt inspektion eller annan tillsyn och att sådan verksamhet kan uppfattas som en belastning för de inspekterade även om de också drar nytta av den.</P> <P class="p132 ft0">Det är enligt utredningens bedömning rimligt att främst utgå från dem som föranleder Datainspektionen arbete och kostnader i dess tillsynsverksamhet. Datainspektionen är en statlig tillsynsmyndighet som utövar tillsyn över behandlingen av personuppgifter i samhället. De som förorsakar inspektionen kostnader kan då definieras som alla som behandlar personuppgifter på ett sådant sätt att det faller under inspektionens tillsynsansvar. De som bör kunna komma i fråga för avgiftsuttag för Datainspektionens verksamhet är således främst företag, myndigheter och andra organisationer. I Sverige torde i princip samtliga dessa potentiella tillsynsobjekt behandla personuppgifter i större eller mindre utsträckning. Dessutom kan i vissa fall även enskilda personer utföra behandling av personuppgifter som står under Datainspektionens tillsyn.</P> <P class="p132 ft0">Som ett grundläggande krav för avgiftsfinansiering av en myndighets verksamhet gäller att det skall finnas ett samband mellan myndighetens verksamhet och dem som skall betala avgifterna. De som blir skyldiga att betala måste därför vara föremål för någon form av motprestation från myndigheten. Om detta samband är tydligt finns det större skäl för att ta ut avgift än om sambandet är svagt. En avgift som tas ut trots att sambandet mellan myndighetens verksamhet och nyttan för den avgiftsskyldige är svagt, har en tydlig karaktär av skatt.</P> <P class="p132 ft0">När det gäller att ta ut avgifter av andra myndigheter föreligger inte några statsrättsliga komplikationer. Regeringen kan alltid bestämma att en myndighet skall ta ut ersättning av andra myndigheter för en viss prestation oavsett om efterfrågan är frivillig eller tvingande. I fråga om avgiftsuttag för tillsyn över privaträttsliga organ gör sig däremot statsrättsliga problem gällande. Att t.ex. införa en avgift som skall betalas av alla som behandlar personuppgifter utgör en skatt som måste beslutas av riksdagen.</P> </DIV> <DIV id="page_210"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">224 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">För vad kan Datainspektionen ta ut avgifter?</P> <P class="p315 ft0">En viktig fråga som måste ställas är för vilka arbetsuppgifter Datainspektionen rimligen kan ta ut avgifter. När det gäller flera av de uppgifter Datainspektionen har, är det enligt utredningens uppfattning svårt att se att de som kan komma att bli betalningsskyldiga har en sådan direkt nytta av verksamheten att det berättigar att en avgift tas ut.</P> <P class="p59 ft0">I vissa avseenden är sambandet mellan Datainspektionens verksamhet och nyttan för dem som skall betala för den särskilt svagt. Det gäller t.ex. Datainspektionens arbete med remisser, det omfattande internationella engagemanget inom t.ex. EU och myndighetens arbete med föreskrifter och allmänna råd.</P> <P class="p45 ft0">Inom verksamhetsområdet Information tillhandahåller Datainspektionen diverse tjänster som är frivilliga att utnyttja. För sådana tjänster föreligger inget hinder mot att ta ut avgifter, så länge tjänsterna inte omfattas av den allmänna serviceskyldigheten enligt 4 och 6 §§ förvaltningslagen (1986:223).</P> <P class="p59 ft0">För en del av sitt arbete tar Datainspektionen redan i dag ut avgifter. Myndighetens verksamhet i form av konferenser, föreläsningar, konsultuppdrag och försäljning av publikationer genererade under år 2000 ca 1,2 miljoner kr i intäkter. Dessa tjänster, som är frivilliga att utnyttja, finansierar således endast en mindre del av myndighetens totala verksamhet. De medel som kommer att disponeras av Datainspektionen för myndighetens verksamhet år 2002 uppgår totalt till 30 490 000 kr, varav 29 390 000 kr är tilldelat anslag och 1 100 000 kr är beräknade avgiftsintäkter. På en principiell nivå kan det dessutom diskuteras om Datainspektionen skall ta betalt för sådana tjänster som likaväl kan tillhandahållas av privaträttsliga organ på en konkurrensutsatt marknad. Datainspektionen har t.ex. fått kritik för att deras kurser för personuppgiftsombud förstör utbildningsmarknaden, eftersom de är för billiga. Det har också framhållits att en statlig myndighet inte skall bedriva kommersiell verksamhet. Samtidigt ifrågasätts emellertid varför utbildningarna inte är gratis, med motiveringen att det ingår i myndighetens serviceskyldighet att bedriva denna informationsverksamhet.</P> <P class="p316 ft0">En del av myndighetens verksamhet som man kan överväga att avgiftsbelägga är Datainspektionens uppgifter som tillsynsmyndighet enligt <NOBR>personuppgifts-,</NOBR> kreditupplysnings- och inkassolagarna samt inom det internationella polis- och tullsamarbetet. Datainspektionen har även att utöva tillsyn över verksamhet som bedrivs med stöd av ett stort antal registerförfattningar hänförliga till olika myndigheters verksamheter.</P> </DIV> <DIV id="page_211"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">225</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p199 ft0">När det gäller avgift för tillsynsverksamhet återkommer problemet att det inte alltid finns ett direkt samband mellan den som betalar avgiften och den statliga verksamheten. Det kan däremot ofta finnas ett samband mellan en myndighets verksamhet och den grupp av företag som genom sina avgifter eventuellt finansierar verksamheten. Kollektivet svarar för sambandet, inte de enskilda företagen.</P> <P class="p123 ft0">När Datainspektionens verksamhet tidigare finansierades genom avgifter var dessa kopplade till tillstånds- och licenssystemet. Det framstår som mer befogat att ta ut avgift, när en myndighet eller ett företag på eget initiativ vänder sig till Datainspektionen för att utnyttja dess tjänster, även om det på datalagens tid rörde sig om en lagreglerad skyldighet för att få behandla personuppgifter. Detta krav finns inte längre kvar och avgifter för handläggning har också avskaffats i Datainspektionens verksamhet.</P> <P class="p123 ft0">Enligt kreditupplysnings- och inkassolagarna gäller emellertid alltjämt att kreditupplysnings- och inkassoverksamhet som huvudregel inte får bedrivas utan myndighetstillstånd. När det gäller verksamhet enligt dessa båda lagar bör det därför vara möjligt att ta ut en avgift kopplad till ansökan om tillstånd. En sådan avgift bör kunna täcka myndighetens hela kostnad för handläggning av ärenden enligt lagarna.</P> <P class="p123 ft0">Personuppgiftslagen ställer som nämnts inte något krav på tillstånd för att behandla personuppgifter. Andra vägar får då sökas för att ta ut avgifter för myndighetens verksamhet enligt den lagen. Med den tidigare nämnda utgångspunkten att avgift bör betalas av den som föranleder Datainspektionen arbete och kostnader, ligger det närmast till hands att ta ut avgifter för de anmälningar om behandling av personuppgifter som skall lämnas in till Datainspektionen enligt personuppgiftslagen.</P> <P class="p306 ft0">Vidare bör det övervägas om Datainspektionen kan ta ut avgifter för den renodlade tillsynsverksamhet som myndigheten utför enligt personuppgiftslagen, i form av inspektioner av personuppgiftsbehandlingen hos myndigheter och företag. I myndigheters verksamheter behandlas stora mängder av ofta känsliga personuppgifter. Generellt sett medför dessa myndigheters behandling sådana risker för intrång i den personliga integriteten som Datainspektionen särskilt bör fokusera sina insatser på. Utifrån denna utgångspunkt kan det vara befogat att Datainspektionen tar ut en avgift för sin tillsynsverksamhet. Särskilt bör detta gälla i fråga om de myndigheter inom vilkas områden Datainspektionen har ett uttryckligt ansvar för tillsynen, t.ex. inom polis- och tullområdet.</P> <P class="p274 ft2">Om avgifter skall tas ut för Datainspektionens inspektionsverksamhet, bör avgifterna enligt utredningens mening endast betalas av dem som Datainspektionen har inspekterat på plats. Genom ett sådant</P> </DIV> <DIV id="page_212"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">226 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">avgiftssystem kan en direkt kostnadskrävande arbetsprestation från Datainspektionens sida pekas ut för den avgift som tillsynsobjektet blir skyldigt att betala.</P> <P class="p110 ft24"><SPAN class="ft24">13.2.2</SPAN><SPAN class="ft49">Allmänna synpunkter om avgiftsuttag</SPAN></P> <P class="p57 ft0">För att ett system med avgiftsuttag skall införas måste vissa grundläggande krav på utformningen av systemet vara uppfyllda. Allmänt gäller att ett avgiftssystem skall uppfattas som rättvist och vara enkelt och billigt att administrera. Avgifterna bör vara utformade så att de styr de avgiftsskyldiga i önskvärd riktning och systemet skall även i övrigt främja myndighetens verksamhet på bästa sätt. Ett system för avgiftsuttag kan ha både fördelar och nackdelar. Det måste därför vara en helhetsbedömning som ligger till grund för om Datainspektionens verksamhet skall avgiftsfinansieras eller inte.</P> <P class="p317 ft45">Fördelar och nackdelar med avgiftsuttag i Datainspektionens verksamhet</P> <P class="p232 ft0">Avgifter kan ha positiva effekter i flera avseenden. För det första kan ett avgiftssystem som utformas på ett bra sätt innebära att det uppstår önskvärda styrningseffekter för såväl den myndighet som tar ut avgiften som för dem som skall betala. Vad gäller Datainspektionen kan t.ex. avgifter som riktas mot de tillsynsobjekt som inte har ett personuppgiftsombud medföra att fler företag och myndigheter utser sådana ombud, något som utredningen anser vara önskvärt. En sådan styrningseffekt skulle även avgifter för anmälningar till Datainspektionen enligt personuppgiftslagen kunna ha, eftersom de som har personuppgiftsombud nästan helt slipper att göra sådana anmälningar. Positiva styrningseffekter kan även uppstå för Datainspektionens del om avgifter tas ut i tillsynsverksamheten, eftersom det ekonomiska utfallet av verksamheten kan fungera som en måttstock på myndighetens effektivitet. Inom ramen för Datainspektionens uppdrag enligt regeringens regleringsbrev, kan avgifter även uppmuntra till ökade inspektionsinsatser. Även detta är enligt utredningen eftersträvansvärt, då det är av stor betydelse för integritetsskyddet i samhället att Datainspektionen prioriterar bl.a. inspektioner av särskilt integritetskänsliga behandlingar av personuppgifter.</P> <P class="p316 ft2">Det kan emellertid även uppstå oönskade styrningseffekter till följd av att viss verksamhet avgiftsbeläggs. De personer som berörs av en viss myndighetsverksamhet kan exempelvis undvika kontakter med</P> </DIV> <DIV id="page_213"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">227</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">myndigheten för att därigenom undgå avgifter. Det kan få till följd att information från myndigheten inte når ut och att det uppstår problem med att få kännedom om skilda företeelser i samhället. För Datainspektionens del skulle avgifter i samband med tillsyn och anmälningar kunna få till följd att personuppgiftsansvariga företag inte ger sig till känna, för att på så sätt undvika att betala anmälningsavgifter och att bli föremål för inspektion, som kan leda till fler avgifter.</P> <P class="p45 ft0">En positiv effekt med avgifter vid myndighetsutövning kan naturligtvis vara att statskassan tillförs pengar. Detta ställer dock krav på att avgiftssystemet är utformat på ett administrativt effektivt sätt. Ett tungrott system kan innebära att de ekonomiska vinsterna uteblir, men också att en alltför stor del av Datainspektionens arbetstid måste avsättas till att sköta administrationen av avgiftssystemet. När avgifter uppbärs från andra myndigheter genereras det i och för sig inte några pengar till statskassan, men som skäl för ett sådant avgiftsuttag kan anföras att det tydliggör var inom statsförvaltningen kostnaderna verkligen ligger och att man därigenom erhåller en korrekt fördelning av ansvaret för finansieringen.</P> <P class="p46 ft0">Ett väl utformat avgiftssystem som uppfattas som rättvist kan ha fördelar genom att skattebetalarnas kostnader minskar och att kostnaderna för Datainspektionen i stället läggs på dem i samhället som är orsak till dessa. En risk är att alla som borde betala inte blir föremål för inspektion och att kostnaden därför, på ett sätt som kan uppfattas som orättvist, endast drabbar en del företag och myndigheter. Det kan också uppfattas som orättvist om de personuppgiftsansvariga som sköter behandlingen av personuppgifter på ett bra sätt måste betala samma avgifter efter en inspektion som de som har misskött sig.</P> <P class="p46 ft0">Sammanfattningsvis kan som skäl för avgiftsfinansiering av delar av Datainspektionens verksamhet nämnas <SPAN class="ft3">att </SPAN>det är rimligt att den som utnyttjar en verksamhet också betalar för den, <SPAN class="ft3">att </SPAN>avgifter kan öka kostnadsmedvetandet, <SPAN class="ft3">att </SPAN>avgifter kan ge en positiv statsfinansiell effekt <SPAN class="ft3">samt att </SPAN>avgifter kan medföra önskvärda styrningseffekter i fråga om de personuppgiftsansvarigas beteende. Som argument mot en eventuell avgiftsfinansiering kan nämnas <SPAN class="ft3">att </SPAN>avgifter kan medföra negativa styrningseffekter som förhindrar att syftet med myndighetens verksamhet uppnås <SPAN class="ft3">samt att </SPAN>avgifter kan komma att uppfattas som orättvisa av dem som måste betala.</P> <P class="p149 ft3">Utredningens slutsatser</P> <P class="p318 ft2">Av redovisningen ovan framgår att det inte är enkelt att peka ut vare sig vem som bör betala avgifter till Datainspektionen eller för vad avgifter</P> </DIV> <DIV id="page_214"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">228 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p173 ft0">bör tas ut. Mot den bakgrunden framstår inte Datainspektionens verksamhet som allt igenom lämplig för avgiftsfinansiering. I detta sammanhang kan den principiella frågan om vem som har nytta av Datainspektionens verksamhet tas upp som ett argument mot att avgifter alls tas ut. Datainspektionen har till uppgift att värna om skyddet för den personliga integriteten. Det kan alltså hävdas att det är alla människor i Sverige, och inte de företag och myndigheter som kan bli föremål för avgift i anledning av inspektion eller annan åtgärd från myndighetens sida, som har den egentliga nyttan av Datainspektionens tillsynsverksamhet. Med det som utgångspunkt kan det vara naturligt att alla är med och betalar, dvs. att verksamheten precis som i dag finansieras med skattemedel.</P> <P class="p319 ft0">I vissa avseenden är dessutom sambandet mellan Datainspektionens verksamhet och nyttan för dem som skall betala för den så svagt att det enligt utredningens mening är uteslutet med avgiftsfinansiering. Det gäller t.ex. det omfattande internationella åtagandet inom t.ex. EU. Det är inte heller berättigat att ta ut avgifter för myndighetens arbete med remisser och med föreskrifter och allmänna råd.</P> <P class="p70 ft0">Utredningen anser därför att det är viktigt att markera att Datainspektionens hela verksamhet inte kan finansieras genom avgifter och att det enligt utredningens mening är oundvikligt att inspektionen måste få en betydande del av sin kostnader täckta genom anslag i statsbudgeten. Att stora delar av verksamheten bör finansieras av skattemedel och att det i flera avseenden är svårt att definiera lämpliga avgiftsobjekt, utesluter dock i och för sig inte att en skattefinansiering kan kompletteras med en avgiftsfinansiering. Utredningen har därför i enlighet med sitt uppdrag noggrant övervägt en modell för avgiftsfinansiering av Datainspektionens verksamhet. Syftet med redovisningen nedan i detta kapitel är emellertid inte att lämna ett konkret och i alla detaljer utarbetat förslag, utan att presentera vad utredningen ser som de mest acceptabla alternativen till en ren skattefinansiering. I kapitel 14 redovisar utredningen de ekonomiska konsekvenser som avgiftsmodellerna skulle kunna få.</P> <P class="p320 ft0">Enligt utredningens bedömning bör frågan om en eventuell avgiftsfinansiering i första hand behandlas med den utgångspunkten att avgifterna skall ha en styrande effekt. Avgifter skall användas för att åstadkomma önskvärd effektivisering och prioritering av Datainspektionens verksamhet och för att påverka personuppgiftsansvariga att utse personuppgiftsombud och i övrigt behandla personuppgifter korrekt och i enlighet med god sed. Det är enligt utredningens uppfattning därför i första hand myndighetens renodlade inspektionsverksamhet samt verksamhet som efterfrågas frivilligt, t.ex. genom anmälningar och ansökningar om tillstånd, som kan komma i fråga för avgifts-</P> </DIV> <DIV id="page_215"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">229</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">beläggning. Övriga verksamheter bör även fortsättningsvis finansieras helt med skattemedel. Anslagsfinansiering bör också utgöra basen för myndighetens verksamhet i dess helhet, med eventuella avgiftsintäkter som komplement.</P> <P class="p321 ft35"><SPAN class="ft52">13.3</SPAN><SPAN class="ft66">En möjlig avgiftsfinansiering av verksamheten enligt personuppgiftslagen</SPAN></P> <P class="p192 ft24"><SPAN class="ft24">13.3.1</SPAN><SPAN class="ft49">Avgifter för inspektionsverksamheten</SPAN></P> <P class="p314 ft3">Grundläggande utgångspunkter</P> <P class="p315 ft0">Om avgifter skall tas ut i Datainspektionens verksamhet bör de dels ha sin grund i de faktiska åtgärder som myndigheten vidtar, dels ha en positivt styrande effekt. Vad som enligt utredningens uppfattning i första hand bör kunna bli föremål för avgiftsfinansiering är Datainspektionens renodlade inspektionsverksamhet, dvs. då inspektion sker på plats hos den personuppgiftsansvarige. Såväl myndigheter som privata företag och andra organisationer kan bli föremål för denna form av inspektion och således också avgiftsskyldiga.</P> <P class="p45 ft0">Datainspektionens inspektionsverksamhet fyller en mycket viktig integritetsskyddande funktion och det är viktigt för allmänhetens förtroende för lagstiftningen att en ändamålsenlig kontroll äger rum. Det kan mot denna bakgrund vara befogat att myndigheten finansierar dessa inspektioner med hjälp av avgifter.</P> <P class="p66 ft0">Det viktigaste skälet för att införa en avgift för Datainspektionens inspektionsverksamhet på plats, är emellertid att avgiften kan ha en positivt styrande effekt. En sådan avgift kan förmå personuppgiftsansvariga att på egen hand förvissa sig om att behandlingen av personuppgifter är korrekt, t.ex. genom att utse personuppgiftsombud, för att på så sätt minimera kostnaderna för åtgärder från Datainspektionens sida. För att ytterligare stimulera att personuppgiftsombud utses kan man dessutom möjligen utforma avgiftssystemet så att avgiften är lägre för personuppgiftsansvariga som har anmält personuppgiftsombud. Rent faktiskt har en sådan ordning fog för sig, eftersom en inspektion torde underlätta för Datainspektionen om det finns ett personuppgiftsombud.</P> <P class="p78 ft2">En fördel med avgifter för Datainspektionens inspektionsverksamhet är vidare att regeringen även kan sätta upp mål för verksamheten med utgångspunkt i tillsynsavgiften. Målen kan preciseras mer detaljerat och på ett annat sätt än vad som varit fallet i de senaste reglerings-</P> </DIV> <DIV id="page_216"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">230 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft2">breven, i vilka endast angivits att myndighetens tillsynsverksamhet skall bedrivas i minst lika stor omfattning som under de två senaste budgetåren. Uppsatta mål kan dessutom bli lättare att följa upp.</P> <P class="p70 ft0">En av de invändningar som kan riktas mot en avgift för Datainspektionens inspektionsverksamhet är att det är tveksamt om det föreligger ett tillräckligt starkt samband mellan tillsynsverksamheten och den grupp av företag och myndigheter som genom sina avgifter skall finansiera verksamheten. Denna omständighet har enbart betydelse i förhållande till de privata tillsynsobjekten. Regeringen kan som nämnts alltid bestämma att en myndighet skall ta ut ersättning av andra myndigheter för en viss prestation oavsett om efterfrågan är frivillig eller tvingande. En stor del av Datainspektionens inspektionsverksamhet riktar sig också mot just myndigheter. Hos myndigheter sker dessutom i regel en omfattande behandling av personuppgifter som ofta är av känslig natur.</P> <P class="p123 ft0">Datainspektionens kostnad för tillsyn inom de områden där det föreligger en lagreglerad skyldighet för Datainspektionen att utöva tillsyn bör till viss del kunna betalas av de myndigheter som föranleder arbete för inspektionen och drar nytta av tillsynsåtgärderna. Det gäller t.ex. tillsynen inom polis- och tullområdet enligt <NOBR>Europol-,</NOBR> Schengen- och <NOBR>TIS-konventionerna.</NOBR> En finansieringsmodell av denna tillsynsverksamhet behandlas nedan i avsnitt 13.4. Vad gäller inspektioner inom den privata sektorn kan särskilt noteras att den som betalar avgiften blir föremål för en direkt motprestation i form av faktisk tillsyn.</P> <P class="p71 ft0">Som framgått tidigare i betänkandet är det enligt utredningens uppfattning av största vikt att Datainspektionen utnyttjar sina resurser på bästa sätt och inriktar sina inspektioner mot de personuppgiftsansvariga som behandlar speciellt känslig information och mot de verksamheter där det föreligger störst risk för otillbörliga intrång i den personliga integriteten. Det kan därför sägas vara en i viss mån begränsad skara personuppgiftsansvariga som kan komma att bli föremål för inspektion och därmed bli skyldiga att betala avgift för Datainspektionens tillsynsverksamhet.</P> <P class="p181 ft0">Datainspektionens förslag att koppla avgiftsskyldigheten till antalet anställda accepterades inte med motiveringen att detta förhållande inte är avgörande för risken för integritetsintrång och därmed inte för behovet av tillsyn (se avsnitt 5.3). Genom att risken för integritetsintrång i vid mening bör vara avgörande för vilka personuppgiftsansvariga som i framtiden skall bli föremål för Datainspektionens inspektionsinsatser, och därmed även avgörande för en eventuell avgiftsskyldighet, anser utredningen att kravet på att det skall finnas ett samband mellan avgiftssystemets utformning och behovet av tillsyn kan iakttas.</P> </DIV> <DIV id="page_217"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">231</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p165 ft0">Ändamålet med all tillsyn är att tillgodose ett allmänt intresse, nämligen att den kontrollerade verksamheten sker i enlighet med gällande regler, vilket i det här fallet innebär att enskilda är försäkrade om att behandling av personuppgifter inte medför otillbörligt intrång i deras personliga integritet. Härvid skiljer sig inte Datainspektionens tillsyn från den som sker av andra tillsynsmyndigheter. Till exempel är det huvudsakliga ändamålet med Finansinspektionens verksamhet, vilken för övrigt är finansierad med avgifter som tas ut av bl.a. bankföretag, att bidra till det finansiella systemets stabilitet och effektivitet. Också Datainspektionens verksamheten ligger i högsta grad i allmänhetens intresse. För att undvika tveksamhet om det är fråga om en offentligrättslig avgift eller inte bör riksdagen fastställa kriterierna för avgiftsuttaget.</P> <P class="p118 ft3">Närmare om utformningen av ett avgiftssystem</P> <P class="p57 ft0">Små organisationer och organisationer som endast i begränsad och en från integritetssynpunkt harmlös omfattning behandlar personuppgifter, bör enligt utredningens mening inte drabbas av tillsynsavgift. Ett avgiftssystem bör därför utformas så att man underlåter att ta ut avgift för inspektioner som inte överstiger viss kortare tid på plats. Överstiger en inspektion på plats denna tid bör avgiften även omfatta tid för efterarbete i form av utformande av rapporter och dylikt. Det förarbete som Datainspektionen lägger ned för bl.a. planering av inspektioner bör inte ingå i underlaget för avgiften. Syftet med ett sådant system är att styra myndigheten att vara ute på fältet i så stor utsträckning som möjligt. Avgift bör utgå för omfattande efterarbete orsakat av brister i personuppgiftshanteringen, för att därigenom ytterligare förstärka den styrande effekten av avgiftsfinansieringen.</P> <P class="p52 ft0">En alternativ ordning för en eventuell avgiftsfinansiering är en årlig avgift som alla i hela avgiftskollektivet får betala. En sådan avgift förutsätter emellertid att man klart kan definiera alla som kan bli utsatta för tillsyn och att alla dessa får betala avgift. Med hänsyn till att i princip alla människor i Sverige i något avseende skulle kunna vara personuppgiftsansvariga, och därmed potentiella tillsynsobjekt för Datainspektionen, är detta enligt utredningens bedömning ogenomförbart.</P> <P class="p45 ft0">Som utredningen framhållit bör avgifter tas ut enbart av dem som faktiskt blir utsatta för åtgärd från myndighetens sida. Vidare bör avgiften tas ut enligt en tidtaxa, alltså en avgift som direkt motsvarar den tid som faktiskt lagts ned för att fullgöra uppdraget. Datainspektionen bör debitera en fast timkostnad för faktiskt nedlagd tid. Timkostnaden</P> </DIV> <DIV id="page_218"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">232 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft0">bör bygga på en beräkning av genomsnittlig lönekostnad och omkostnad för traktamente, resor och övernattning m.m. Den bör med andra ord vara lika stor oberoende av var i landet en inspektion äger rum. En fördel med tidtaxa är att en sådan sannolikt skulle ha en positivt styrande effekt genom att personuppgiftsansvariga skulle uppmuntras att skaffa personuppgiftsombud, eftersom förekomsten av sådana ombud borde underlätta Datainspektionens arbete på plats.</P> <P class="p79 ft2">Det är viktigt att en avgift enligt tidstaxa bestäms med utgångspunkt endast i det faktiska inspektionsarbetet. Vid tidsberäkningen får med andra ord inte räknas in tid som, i samband med en inspektion, har använts för allmänna diskussioner eller rent informationsutbyte mellan Datainspektionen och tillsynsobjektet i frågor som inte rör den aktuella inspektionen på plats.</P> <P class="p168 ft3">Något om omfattningen av dagens inspektionsverksamhet</P> <P class="p111 ft2">När det gäller vilka avgifter som kan tas ut för Datainspektionens inspektioner bör något nämnas om omfattningen av verksamheten i dag. En mer exakt redovisning finns i bilaga 3.</P> <P class="p61 ft0">Under perioden juni <NOBR>2000–juli</NOBR> 2001 har Datainspektionen lagt ned sammanlagt ca 600 arbetstimmar på fältinspektion enligt datalagen och personuppgiftslagen. I tidsåtgången för fältinspektion ingår allt arbete med anledning av en inspektion, dvs. såväl förarbete, restid och själva inspektionen som efterarbete.</P> <P class="p66 ft0">Datainspektionen har under samma period genomfört särskilda projekt enligt personuppgiftslagen som avsett bl.a. direktreklambranschen, skolor och nationella kvalitetsregister. Tidsåtgången för detta arbete var drygt 850 timmar.</P> <P class="p59 ft0">Myndigheten har vidare utfört 17 fältinspektioner enligt kreditupplysningslagen samt särskilda projekt enligt samma lag och lagt ned sammanlagt drygt 800 timmar.</P> <P class="p51 ft2">Antalet fältinspektioner enligt inkassolagen har under perioden uppgått till 38, vilka sammanlagt tagit ca 730 timmar att genomföra.</P> <P class="p66 ft2">Den totala tillsynsverksamheten över tullens register har under nämnda period omfattat 12 timmar, och arbetet enligt Schengenkonventionen har uppgått till nästan 150 timmar.</P> <P class="p168 ft3">Avslutande synpunkter</P> <P class="p57 ft2">Enligt utredningens uppfattning skall Datainspektionen inte disponera de inkomster som myndigheten uppbär i form av avgifter för inspektioner. Myndighetens verksamhet skall alltjämt finansieras genom</P> </DIV> <DIV id="page_219"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">233</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p127 ft0">anslag över statsbudgeten och omfattningen av inspektionsverksamheten skall bestämmas av regeringen i regleringsbrev. Det kommer således inte att finnas något direkt incitament för Datainspektionen att inrikta sina inspektioner på de verksamheter som från avgiftssynpunkt kan inbringa störst intäkter.</P> <P class="p46 ft0">Mot bakgrund av att grunderna för hur omfattande Datainspektionens inspektionsverksamhet skall vara bestäms av regeringen i regleringsbrev, är det i förlängningen regeringen som avgör hur stora intäkter avgiftssystemet kommer att föra med sig. Med ett så stort antal potentiella tillsynsobjekt som är föremål för Datainspektionens verksamhet, finns det förutsättningar för en mycket omfattande inspektionsverksamhet. Enligt utredningens uppfattning bör som målsättning för Datainspektionens verksamhet gälla att, med nuvarande resurser, ett väsentligt större antal inspektioner skall utföras i framtiden än de ca 200 inspektioner som genomförs årligen i dag.</P> <P class="p322 ft28"><SPAN class="ft24">13.3.2</SPAN><SPAN class="ft71">Avgifter för anmälan om behandling av personuppgifter</SPAN></P> <P class="p291 ft3">Grundläggande utgångspunkter</P> <P class="p315 ft0">Innan helt eller delvis automatiserad behandling av personuppgifter vidtas skall den personuppgiftsansvarige enligt personuppgiftslagen skriftligen anmäla detta till Datainspektionen. Om den personuppgiftsansvarige utser ett personuppgiftsombud och anmäler detta till Datainspektionen, behöver i det stora flertalet fall någon anmälan av behandling av personuppgifter inte göras. Innan en behandling av särskilt integritetskänsliga personuppgifter får göras skall emellertid en anmälan alltid göras tre veckor i förväg till Datainspektionen för förhandskontroll, oavsett förekomsten av personuppgiftsombud.</P> <P class="p79 ft2">Enligt utredningens uppfattning skulle dessa former av anmälningar till Datainspektionen kunna vara förenade med en avgift för myndighetens handläggning.</P> <P class="p66 ft0">Syftet med att avgiftsbelägga dessa typer av anmälningar är som tidigare framhållits de styrande effekter som härigenom kan uppnås. Dessutom får de personuppgiftsansvariga som föranleder arbete för Datainspektionen betala för det. Som tidigare påpekats anser utredningen att det är av stor vikt att personuppgiftsansvariga i största möjliga utsträckning utser personuppgiftsombud. Genom att utse personuppgiftsombud undkommer man skyldigheten att göra anmälan om ordinär behandling av personuppgifter. Införs en avgift för sådan</P> </DIV> <DIV id="page_220"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">234 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">anmälan motiveras de personuppgiftsansvariga än mer att utse personuppgiftsombud i sin verksamhet, eftersom man då slipper att betala nämnda avgift.</P> <P class="p66 ft0">I fråga om särskilt känsliga behandlingar av personuppgifter, för vilka anmälningsskyldighet är obligatorisk även om det finns personuppgiftsombud, kan styrningseffekter uppnås på så sätt att den personuppgiftsansvarige noggrant överväger om behandlingen är nödvändig. En tydlig styrningseffekt kan sannolikt uppstå för forskningsprojekt, som hittills har stått för en stor del av de obligatoriska anmälningarna. Det krävs nämligen inte någon anmälan om behandlingen av uppgifter har godkänts av en forskningsetisk nämnd.</P> <P class="p59 ft0">Det bör också nämnas att avgifter för anmälningar kan medföra negativa styrningseffekter. Det finns risk för att personuppgiftsansvariga, i stället för att skaffa personuppgiftsombud, helt avstår från att anmäla sina behandlingar för att på det sättet undgå avgiften. För att minimera den risken bör en avgift inte vara för hög.</P> <P class="p42 ft3">Närmare om utformningen av ett avgiftssystem</P> <P class="p57 ft0">Datainspektionens handläggning av anmälningar om ordinär behandling av personuppgifter är standardiserad och av mindre omfattning. Enligt utredningens uppfattning är det därför lämpligt med en fast avgift för sådana anmälningar.</P> <P class="p51 ft2">De obligatoriska anmälningarna om särskilt integritetskänsliga behandlingar kan däremot vara komplicerade ärenden som kräver mycket arbete från Datainspektionens sida. Myndigheten skall också lämna besked i ett sådant ärende inom tre veckor. För att säkerställa att Datainspektionen får täckning för samtliga sina kostnader bör avgiften därför utgå enligt tidstaxa.</P> <P class="p168 ft3">Något om omfattningen av anmälningar till Datainspektionen</P> <P class="p143 ft2">Personuppgiftslagen trädde i kraft den 24 oktober 1998. Till och med juni 2001 har det till Datainspektionen kommit in sammanlagt</P> <P class="p323 ft0">1 300 anmälningar om ordinär behandling av personuppgifter enligt personuppgiftslagen. Under perioden juli <NOBR>2000–juni</NOBR> 2001 kom det in 218 anmälningar till myndigheten. Det sker ingen särskild kontroll av de anmälningar om ordinär behandling som kommer in till Datainspektionen utan dessa förs endast in i ett register.</P> <P class="p59 ft2">Under perioden juli <NOBR>2000–juni</NOBR> 2001 kom totalt 56 anmälningar om särskilt integritetskänsliga behandlingar in till Datainspektionen. Av dessa avsåg 39 behandling av personuppgifter för forskningsändamål</P> </DIV> <DIV id="page_221"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">235</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">och 17 behandling av personuppgifter inom polisens verksamhet. Den sammanlagda handläggningstiden för anmälningar om särskilt integritetskänsliga behandlingar under perioden juli <NOBR>2000–juni</NOBR> 2001 var knappt 500 timmar.</P> <P class="p324 ft28"><SPAN class="ft24">13.3.3</SPAN><SPAN class="ft71">Avgifter för Datainspektionens övriga verksamhet enligt personuppgiftslagen</SPAN></P> <P class="p141 ft0">Oavsett om avgift tas ut för inspektionsverksamhet, som sker på plats hos personuppgiftsansvariga, och för anmälningar om behandling av personuppgifter bör Datainspektionen enligt utredningens mening även i fortsättningen ta ut avgifter för informationsmaterial, föreläsningar och konferenser.</P> <P class="p59 ft0">Det är emellertid viktigt att framhålla att Datainspektionens informations- och rådgivningsverksamhet, som omfattas av myndighetens allmänna serviceskyldighet, inte bör vara avgiftsbelagd. Att ta ut avgift för denna preventiva och allmänt upplysande verksamhet skulle kunna avhålla många personuppgiftsansvariga från att ta kontakt med inspektionen, vilket i förlängningen skulle leda till ett försämrat integritetsskydd i samhället.</P> <P class="p45 ft0">Som utredningen tidigare framhållit är det inte lämpligt att finansiera kostnaderna för Datainspektionens internationella arbete och verksamhet som remissinstans med avgifter. Det är inte heller berättigat att ta ut avgifter för myndighetens arbete med föreskrifter och allmänna råd. Sambandet mellan avgift och motprestation skulle vara allt för avlägsen.</P> <P class="p325 ft56"><SPAN class="ft52">13.4</SPAN><SPAN class="ft68">Finansiering av Datainspektionens tillsyn inom det internationella polis- och tullsamarbetet</SPAN></P> <P class="p49 ft3">Grundläggande utgångspunkter</P> <P class="p315 ft0">I fråga om tillsynen inom det internationella polis- och tullsamarbetet framstår det som naturligt för utredningen att Datainspektionens verksamhet helt eller delvis bekostas av dem som förorsakar inspektionen kostnader. Det arbete som Datainspektionen utför enligt <NOBR>Europol-,</NOBR> Schengen och <NOBR>TIS-konventionerna</NOBR> kommer Rikspolisstyrelsen och Tullverket till godo. Det är därför rimligt att dessa myndigheter är med och betalar. Varje sakverksamhet bör bära sin egen</P> </DIV> <DIV id="page_222"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">236 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p47 ft2">kostnad och en avgiftsfinansiering kan bidra till en rättvisande kostnadsfördelning inom statsförvaltningen. Samtidigt är det i de här fallen enkelt att identifiera tillsynsobjekten.</P> <P class="p119 ft3">Argument mot en generell avgiftsfinansiering</P> <P class="p315 ft0">Som skäl mot att ta ut generella avgifter för Datainspektionens tillsyn kan anföras att det är fel att låta Rikspolisstyrelsen och Tullverket få betala för en arbetsuppgift som de har ålagts att utföra enligt konventioner som Sverige anslutit sig till. Vidare innebär en avgiftsfinansiering i detta sammanhang endast en omflyttning av pengar inom statskassan.</P> <P class="p59 ft0">Vid en jämförelse med tillsyn inom andra områden där en statlig myndighet utövar tillsyn över en annan myndighets verksamhet, har utredningen inte funnit några exempel på att avgiftsfinansiering över huvud taget förekommer. Enligt vad utredningen erfarit förekommer det i dag inte någon interndebitering när det gäller tillsyn. Enligt uppgift från Tillsynsutredningen (Ju 2000:06) är i stället den grundläggande principen att man inom statsförvaltningen försöker undvika en sådan form av interndebitering. Myndigheter tar betalt för tillsyn över verksamheter inom den privata sektorn men inte för tillsyn över andra statliga myndigheters verksamheter. Riksrevisionsverket tar ut avgifter för sin revision av statliga bolag och affärsverk, men inte av statliga myndigheter om inte mer än hälften av den reviderade myndighetens verksamhet är avgiftsfinansierad. Staten tar inte heller ut avgifter för tillsyn inom kommunala verksamhetsområden som skola, socialtjänst och sjukvård. Enligt uppgift från Tillsynsutredningen är anledningen att det ligger ett starkt medborgarintresse i att dessa kommunala verksamheter bedrivs på ett korrekt sätt.</P> <P class="p137 ft3">Utredningens slutsats</P> <P class="p326 ft0">Mot bakgrund av vad som sagts ovan framstår en generell avgiftsfinansiering av Datainspektionens tillsyn inom polis- och tullsamarbetet enligt utredningen som en ny företeelse. En sådan finansiering bör inte genomföras utan att det finns tungt vägande skäl för det, som t.ex. att det uppkommer positiva styrningseffekter, att kostnaderna hamnar inom rätt utgiftsområde eller att det leder till ett ökat kostnadsmedvetande.</P> <P class="p186 ft25">Rikspolisstyrelsens och Tullverkets brist på valfrihet vad gäller tillsynen över myndigheternas behandling av personuppgifter är något</P> </DIV> <DIV id="page_223"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">237</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p173 ft0">som talar tydligt emot en avgiftsfinansiering av Datainspektionens hela kostnad för tillsynen. Värdet av att kostnaderna hamnar inom rätt utgiftsområde måste dessutom ställas i förhållande till kostnaderna för genomförande och administration. Det är vidare svårt att se några positiva styrningseffekter enbart genom en generell avgiftsfinansiering. Utredningen anser därför att en sådan avgiftsmodell inte bör införas. Nämnda omständigheter hindrar dock enligt utredningens mening inte att man i det interna budgetarbetet reglerar kostnaderna för Datainspektionens generella tillsynsverksamhet enligt de tre aktuella konventionerna så att dessa faller på polis- och tullmyndigheterna. Motsvarande bör gälla för Datainspektionens uppgifter enligt förordningen om Eurodac (jfr. avsnitt 3.10).</P> <P class="p319 ft0">Även om det inte är lämpligt med en generell avgiftsfinansiering, finns det andra avgiftsmodeller som kan komma i fråga. Utredningen redovisar i avsnitt 13.3.1 en modell för avgifter för Datainspektionens inspektionsarbete enligt personuppgiftslagen. Motsvarande modell bör kunna tillämpas även för tillsynen över polis- och tullmyndigheters internationella arbete. Det innebär att polis- och tullmyndigheter bör kunna betala för Datainspektionens renodlade inspektionsverksamhet som äger rum på plats hos den personuppgiftsansvarige, oavsett om det sker enligt personuppgiftslagen eller som ett led i arbetet med tillsynen över polis- och tullmyndigheternas behandling av personuppgifter enligt de tre ovannämnda konventionerna. Vad nu sagts bör även gälla Migrationsverket och Eurodac.</P> <P class="p327 ft56"><SPAN class="ft52">13.5</SPAN><SPAN class="ft68">Avgift för tillstånd och tillsyn enligt kreditupplysnings- och inkassolagarna</SPAN></P> <P class="p185 ft0">Utredningen föreslår i avsnitt 10.3.5 att Datainspektionens verksamhet med kreditupplysnings- och inkassolagarna skall överföras till Finansinspektionen och där finansieras med avgifter motsvarande vad som i dag gäller för myndighetens övriga verksamhet. Det kan finnas anledning att diskutera en eventuell avgiftsfinansiering av denna verksamhet, också för det fall att arbetsuppgifterna även fortsättningsvis skulle falla inom Datainspektionens verksamhetsområde.</P> <P class="p132 ft0">Sedan förordningen (1982:481) om avgifter för Datainspektionens verksamhet upphörde att gälla tar Datainspektionen inte längre ut några avgifter för handläggning av ansökningar om tillstånd enligt kreditupplysnings- och inkassolagarna. Några avgifter för att finansiera Datainspektionens tillsynsverksamhet i övrigt förekommer inte heller, utan verksamheten finansieras helt genom anslag via statsbudgeten.</P> </DIV> <DIV id="page_224"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">238 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p101 ft0">I 18 § kreditupplysningslagen finns en generell bestämmelse om att regeringen får föreskriva om skyldighet för den som bedriver kreditupplysningsverksamhet att betala avgift för Datainspektionens tillsynsverksamhet enligt lagen. Bestämmelsen infördes den 1 juli 1997 och regeringen anförde att det på flera näraliggande områden finns system som innebär att tillsynsverksamheten finansieras genom avgifter från dem som omfattas av tillsynen. Ett exempel är den ordning som gäller för banker och andra kreditinstitut enligt förordningen (1995:1116) om finansiering av Finansinspektionens verksamhet. Enligt förordningen erlägger kreditinstituten avgifter som är relaterade till deras omsättningsvolym. Regeringen menade att det fanns skäl att införa ett sådant system även inom kreditupplysningsområdet. En bestämmelse om avgiftsskyldighet borde därför införas i kreditupplysningslagen och den borde utformas så att regeringen får rätt att föreskriva en skyldighet för den som bedriver kreditupplysningsverksamhet att betala en avgift för tillsynsverksamheten. Regeringen ansåg att det borde anges att avgiften skall påföras av Datainspektionen.<SPAN class="ft27">1</SPAN></P> <P class="p52 ft0">Regeringen har emellertid ännu inte utnyttjat bemyndigandet att föreskriva om avgift för Datainspektionens tillsynsverksamhet enligt kreditupplysningslagen. Anledningen till detta är okänd för utredningen. Eftersom bestämmelsen ligger i linje med utredningens uppdrag och de tankegångar som utredningen har om hur Datainspektionens tillsynsverksamhet skulle kunna finansieras i övrigt, finns det anledning att överväga om en sådan avgiftsfinansiering av tillsynsverksamhet är möjlig att genomföra inom kreditupplysnings- och inkassoområdet.</P> <P class="p328 ft0">Avgiftsfinansiering ställer som nämnts tidigare krav på ett tydligt samband mellan avgiften och den prestation som erhålls. När det gäller tillsynsverksamhet finns det inte alltid ett klart samband mellan den prestation som myndigheten utför och summan av de avgifter som erläggs av en grupp, i regel bestående av företag, för att finansiera verksamheten. Vid ett litet antal tillsynsobjekt finns ett tydligt samband mellan en enskild prestation och avgiften. Vid stigande antal tillsynsobjekt blir sambandet svagare för att i vissa fall helt upplösas. Då svarar kollektivet för sambandet med motprestationen, inte de enskilda tillsynsobjekten. Man kan här tala om kollektiva avgifter.</P> <P class="p46 ft0">Detta gäller särskilt i fråga om Datainspektionens tillsynsverksamhet enligt personuppgiftslagen. Här finns ett i det närmaste obegränsat antal potentiella tillsynsobjekt utan någon annan minsta gemensamma nämnare än att de behandlar personuppgifter. Som utredningen tidigare framhållit går det, med hänsyn till det oklara sambandet</P> <P class="p329 ft11"><SPAN class="ft27">1 </SPAN>Prop. 1996/97:65 s. 37.</P> </DIV> <DIV id="page_225"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td131"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td132"><SPAN class="p9 ft31">Datainspektionens framtida finansiering <SPAN class="ft10">239</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td133"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td134"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p138 ft2">med en eventuell motprestation, att ifrågasätta lämpligheten av en generell avgift som betalas av alla potentiella tillsynsobjekt oavsett åtgärd från Datainspektionens sida.</P> <P class="p70 ft0">Det förhåller sig dock annorlunda med Datainspektionens verksamhet enligt kreditupplysnings- och inkassolagarna. Här rör det sig om ett mera lättdefinierat kollektiv och ett begränsat antal tillsynsobjekt. Det finns i dag 14 företag som har Datainspektionens tillstånd att bedriva kreditupplysningsverksamhet och 230 företag som har tillstånd att bedriva inkassoverksamhet. Det är svårare att klart identifiera de organisationer som bedriver inkassoverksamhet utan krav på tillstånd från Datainspektionen, s.k. egeninkasso. Denna grupp utgörs dock till stor del av kommuner, landsting och statliga myndigheter, för vilka samma statsrättsliga krav på samband med en konkret motprestation inte uppställs.</P> <P class="p71 ft0">Enligt utredningens uppfattning bör därför tillsynsverksamhet enligt kreditupplysnings- och inkassolagarna kunna avgiftsfinansieras i enlighet med bestämmelsen i 18 § kreditupplysningslagen. Någon motsvarande bestämmelse i inkassolagen finns dock inte. Om avgifter skall tas ut bör det således i inkassolagen införas en bestämmelse som motsvarar 18 § kreditupplysningslagen. I samband med detta bör också bestämmelserna om avgift för handläggning av ansökningar om tillstånd enligt kreditupplysnings- och inkassolagarna återinföras.</P> <P class="p330 ft35"><SPAN class="ft52">13.6</SPAN><SPAN class="ft66">Det statliga personadressregistret (SPAR)</SPAN></P> <P class="p331 ft0">I anslutning till diskussioner om finansiering av Datainspektionens verksamhet, finns det anledning att nämna SPAR. Registret inrättades genom riksdagsbeslut 1976 för att av integritetsskäl begränsa behovet av privata befolkningsregister. SPAR har sedan dess använts för uppdatering av andra personregister, personnummerkontroll, personnummersättning och urvalsdragningar.</P> <P class="p123 ft0">Sedan den 1 juli 1998 regleras SPAR genom lagen (1998:527) och förordningen (1998:1234) om det statliga personadressregistret. Författningarna är anpassade till personuppgiftslagen. Enligt lagen får registret användas av myndigheter och enskilda. SPAR får innehålla uppgifter om personer som är folkbokförda i landet, bl.a. namn, personnummer, adress, medborgarskap samt taxerad förvärvsinkomst och beskattningsbar förmögenhet. Uppgifterna i SPAR hämtas från skatteförvaltningens databaser för folkbokföring och beskattningsverksamhet.</P> </DIV> <DIV id="page_226"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">240 </SPAN>Datainspektionens framtida finansiering</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p332 ft2">Registret har stor betydelse för många myndigheter, företag och andra organisationer. Cirka 80 000 användare är direktuppkopplade mot SPAR.</P> <P class="p70 ft0">Personuppgiftsansvarig för SPAR är Statens personadressregisternämnd <NOBR>(SPAR-nämnden).</NOBR> Nämnden består av företrädare för samtliga riksdagspartier och tillgodoser på så sätt den parlamentariska insynen i verksamheten. <NOBR>SPAR-nämnden</NOBR> har inga anställda. Kanslichefen tillhör Statskontoret som är värdmyndighet för nämnden. Driften av SPAR sköts för närvarande av Sema InfoData AB enligt avtal med SPAR- nämnden. Användningen av SPAR får vara avgiftsbelagd. Avgifterna för användningen betalas in till Sema InfoData AB. Enligt avtalet med nämnden betalas därefter en viss del av avgifterna in till staten. Statens inkomster från driften av SPAR uppgår årligen till ca <NOBR>8–9</NOBR> miljoner kronor.</P> <P class="p71 ft0">Utredningens förslag innebär att huvuddelen av Datainspektionens verksamhet även fortsättningsvis bör finansieras via anslag. Utredningen vill emellertid peka på att staten också genom SPAR får vissa intäkter från behandlingen av personuppgifter. Även om dessa intäkter inte är öronmärkta för finansiering av Datainspektionen är det enligt utredningen rimligt att väga in dessa när man gör en samlad bedömning av statens kostnader för integritetsskyddet.</P> </DIV> <DIV id="page_227"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32227x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td135"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td136"><SPAN class="p9 ft31">Konsekvenser av utredningens förslag <SPAN class="ft10">241</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td137"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td138"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p333 ft33"><SPAN class="ft5">14</SPAN><SPAN class="ft67">Konsekvenser av utredningens förslag</SPAN></P> <P class="p267 ft0">Utredningens förslag att ansvaret enligt kreditupplysnings- och inkassolagarna bör föras över till Finansinspektionen kommer att innebära ökade anslagsutgifter för staten. Denna kostnad kan finansieras med ökade intäkter genom att kreditupplysnings- och inkassoverksamheten i fortsättningen finansieras genom avgifter.</P> <P class="p269 ft0">Det utbyggda system med personuppgiftsombud och den ökade självreglering som utredningen förespråkar kommer på sikt att medföra att Datainspektionens personalresurser, och därmed statens kostnader, kan minskas.</P> <P class="p295 ft2">Utredningens överväganden om att viss del av Datainspektionens verksamhet kan finansieras genom avgifter kommer, om de redovisade avgiftsmodellerna genomförs, att medföra ett tillskott till statskassan.</P> <P class="p334 ft0">Av 14 § kommittéförordningen framgår att om förslag i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall det också redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredningen föreslå en finansiering.</P> <P class="p123 ft0">Utgångspunkten för utredningens uppdrag har varit att analysera behoven av förändringar i Datainspektionens verksamhetsinriktning och arbetsformer och att lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten. Därutöver har utredningens uppdrag omfattat vissa särskilda frågor. Utredningen har således analyserat vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för det internationella polis- och tullsamarbetet, om Datainspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet, vilka möjligheterna är för Datainspektionen att mera aktivt stimulera utvecklingen av frivilligt integritetsskydd och om</P> </DIV> <DIV id="page_228"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">242 </SPAN>Konsekvenser av utredningens förslag</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p173 ft0">Datainspektionen skall ges ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv. Utredningen har även studerat formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.</P> <P class="p132 ft0">Enligt utredningens bedömning bör Datainspektionen initialt vara lika stor som myndigheten är i dag. Med hänsyn till de förslag som utredningen lägger fram i betänkandet finns emellertid förutsättningar för att Datainspektionens personalresurser på sikt kan minskas. Utredningens förslag i organisationsfrågor medför därför inga ökade kostnader för staten.</P> <P class="p123 ft0">När det gäller Datainspektionens roll inom ramen för det internationella polis- och tullsamarbetet föreslår utredningen inte några förändringar i arbetsformerna. Några ekonomiska konsekvenser uppkommer därför inte i den delen.</P> <P class="p71 ft0">Utredningen föreslår en renodling av Datainspektionens verksamhet genom att ansvaret för tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet förs över till Finansinspektionen. Renodlingen innebär enligt utredningens förslag att Datainspektionen i praktiken tillförs resurser utan att budgeten belastas, eftersom de personer som i dag ägnar sig åt kreditupplysnings- och inkassolagarna i stället kan syssla med Datainspektionens verksamhet i övrigt (ca 2,5 årsarbetskrafter). Finansinspektionen måste dock tillföras ytterligare resurser för att sköta de nya uppgifterna. Förslagen innebär således ökat anslag till Finansinspektionen och oförändrat anslag till Datainspektionen, dvs. sammantaget en ökning av statsbudgetens utgiftssida. Utredningen redovisar emellertid en modell för avgifter för tillsyn enligt inkassolagen, i likhet med vad som redan gäller enligt kreditupplysningslagen. Enligt utredningens mening kan vidare avgifter för handläggning av ansökningar om tillstånd enligt kreditupplysnings- och inkassolagarna återinföras. Med en sådan finansieringsmodell kan kostnaderna för tillsyn och tillstånd enligt dessa lagar helt finansieras av avgifter. Utgiftsökningen finansieras med andra ord genom ökade intäkter.</P> <P class="p181 ft2">Datainspektionen bör fortsättningsvis kunna ta ut avgifter för utbildningsseminarier, konferenser och visst informationsmaterial i samma omfattning som i dag.</P> <P class="p70 ft0">Utredningen redovisar även modeller för avgiftsfinansiering av andra delar av Datainspektionens verksamhet. Avgifter kan tas ut dels för anmälningar som skall göras till Datainspektionen enligt personuppgiftslagen, dels för Datainspektionens renodlade inspektionsverksamhet på fältet. Med ett sådant avgiftssystem skulle statens skattefinansierade kostnader för myndigheten minska. De ekonomiska</P> </DIV> <DIV id="page_229"> <TABLE cellpadding=0 cellspacing=0 class="t6"> <TR> <TD class="tr0 td135"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td136"><SPAN class="p9 ft31">Konsekvenser av utredningens förslag <SPAN class="ft10">243</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td137"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td138"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft0">konsekvenserna är emellertid inte möjliga att beräkna med någon exakthet, bl.a. eftersom grunderna för omfattningen av myndighetens inspektionsverksamhet, och därmed intäkterna från verksamheten, enligt utredningens uppfattning bör bestämmas av regeringen i regleringsbrev. Utredningen lämnar inte heller några konkreta förslag om avgiftsfinansiering, utan redovisar endast i grova drag tänkbara modeller. Av betydelse om ett avgiftssystem skulle införas är att Datainspektionen i dag, enligt utredningens uppfattning, genomför alldeles för få fältinspektioner och att den delen av verksamheten i framtiden bör bli betydligt mer omfattande (jfr bilaga 3). En rimlig utgångspunkt är att åtta till tio personer borde kunna ägna sig åt i huvudsak just fältinspektioner, vilket skulle medföra att väsentligt fler inspektioner borde kunna genomföras på plats hos personuppgiftsansvariga än vad som är fallet i dag.</P> <P class="p209 ft0">Om en avgiftsfinansiering enligt utredningens modeller skulle genomföras – dvs. avgifter för visst informationsmaterial m.m. och för anmälningar och inspektioner enligt personuppgiftslagen – borde den enligt utredningens bedömning kunna bidra med upp till tjugo procent av Datainspektionens totala budget. Det har då särskilt beaktats att utredningen föreslår en kraftfull intensifiering av Datainspektionens inspektionsverksamhet på fältet. Syftet med avgifter måste dock i första hand vara att de skall ha en styrande effekt på Datainspektionens verksamhet, inte att de skall finansiera den. Även i fortsättningen bör grunden för verksamheten vara skattefinansiering.</P> <P class="p132 ft0">Avslutningsvis understryker utredningen i betänkandet vikten av att Datainspektionen anstränger sig för att decentralisera ansvaret för integritetsskyddet genom att uppmuntra till olika former av självreglering och utnyttjande av systemet med personuppgiftsombud. Enligt utredningens bedömning kan en sådan decentralisering och överflyttning av ansvaret för skyddet för den personliga integriteten avlasta Datainspektionen så att dess personalresurser på sikt kan minskas.</P> </DIV> <DIV id="page_230"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td139"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td58"><SPAN class="p9 ft3">Särskilda yttranden <SPAN class="ft0">245</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td140"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td141"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p42 ft5">Särskilda yttranden</P> <P class="p43 ft24">Särskilt yttrande av Anna Karlgren och Britt Ericsson</P> <P class="p57 ft0">Vi instämmer inte i utredningens slutsats att övervägande skäl talar för att tillstånds- och tillsynsuppgifterna enligt kreditupplysningslagen och inkassolagen bör föras över till Finansinspektionen. Utredningen har inte framåtblickande och i tillräcklig utsträckning analyserat det skyddsbehov de båda lagarna skall tillgodose. Enligt vår mening är dessa skyddsbehov kopplade till otillbörligt intrång i den personliga integriteten. Av utredningen framgår att Datainspektionens tillsynsinsatser enligt kreditupplysningsrespektive inkassolagen i stort är desamma som enligt personuppgiftslagen. Vidare framgår att Datainspektionen enligt personuppgiftslagen även fortsättningsvis kommer att utöva denna tillsyn över kreditupplysnings- och inkassoföretagen. Om ansvaret förs över till Finansinspektionen kommer därmed två myndigheter att svara för att säkerställa medborgarnas skyddsbehov enligt lagstiftningen. Detta borgar inte för en effektiv ansvarsfördelning och resursanvändning. För den enskilde medborgaren kan det dessutom skapa osäkerhet om till vilken myndighet man skall vända sig.</P> <P class="p52 ft0">Ett bärande motiv för utredningens förslag är att den ändrade ansvarsfördelningen möjliggör en renodling av Datainspektionens verksamhet. Nackdelen, som utredningen inte berör, är att verksamheten hos Finansinspektionen diversifieras i minst motsvarande grad. Perspektivet borde vara att säkerställa att organisationen av uppgifterna sker på ett samhällsekonomiskt effektivt sätt. Utredningen har dock ensidigt sett till Datainspektionens uppgifter. Någon konsekvensanalys för Finansinspektionens verksamhet har inte genomförts. Verksamheten hos Finansinspektionen har, av regering och riksdag, under senare år alltmer renodlats till att gälla stabilitet och effektivitet i den finansiella sektorn. Syftet är att tillsynen skall verka förebyggande genom att påverka risker och agerande i de finansiella företagen. Systemriskerna på kreditmarknaden och de tunga transaktionssystemen på värdepappersmarknadsområdet uppmärksammas särskilt. När det gäller konsumentskyddet koncentreras tillsynen väsentligen på före-</P> </DIV> <DIV id="page_231"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">246 </SPAN>Särskilda yttranden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p68 ft2">tagens informationsgivning och klagomålshantering med hänsyn till kundernas ställning och förtroende. Någon hantering av enskilda konsumenters ärenden förekommer inte. Utredningens argument om att Finansinspektionen har särskild kunskap om kreditinstitut och kreditmarknaden i stort vilket skulle motivera överföringen av tillstånds- och tillsynsansvaret är således inte relevant.</P> </DIV> <DIV id="page_232"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td139"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td58"><SPAN class="p9 ft3">Särskilda yttranden <SPAN class="ft0">247</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td140"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td141"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p335 ft24">Särskilt yttrande av Leif Lindgren</P> <P class="p44 ft0">Även med en principiell förståelse för försök att finna <SPAN class="ft3">avgiftsfinansiering </SPAN>av Datainspektionens verksamhet ifrågasätter jag starkt förslaget att debitera avgift per timma för inspektioner och att ta ut avgift för anmälningar. Mot förslaget talar särskilt att endast ett urval blir föremål för inspektioner och att däri kommer att finnas verksamheter som visar sig sköta sin personuppgiftsbehandling klanderfritt. Risken är stor för bristande förståelse för avgifterna bland personuppgiftsansvariga och för <NOBR>”bad-will”</NOBR> för inspektionen, vilket motverkar inspektionens verksamhet. I vart fall bör inte statsmakterna ta slutlig ställning till frågan om avgiftsfinansiering förrän förslag till författningsreglering av avgifterna har utformats och därmed har övervägts delfrågor som är väsentliga för helheten av ett godtagbart avgiftssystem.</P> <P class="p316 ft0">När det gäller Datainspektionens resursbehov till följd av förslagen om verksamhetens inriktning i olika delar anser jag att <SPAN class="ft3">kostnadskonsekvenserna </SPAN>sammantagna inte har beaktats fullt ut. Med oförändrade resurser är det inte möjligt att bli en kraftfull resurs för alla människor i Sverige och samtidigt öka inspektionsinsatserna ytterligare, inte heller om tillstånd och tillsyn för kreditupplysnings- och inkassoverksamhet flyttas. Vid oförändrad resurstilldelning måste sättas gränser för den i sig goda tanken om långtgående informations- och serviceåtaganden gentemot befolkningen.</P> </DIV> <DIV id="page_233"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">248 </SPAN>Särskilda yttranden</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p335 ft24">Särskilt yttrande av Benny Wahlbäck</P> <P class="p57 ft0">Datainspektionens tillsynsverksamhet bör i sin helhet vara anslagsfinansierad. Hänsyn måste tas till att de berörda myndigheterna inte har någon möjlighet att påverka avgifternas storlek och att det kommer att leda till att annan angelägen verksamhet måste stå tillbaka. Detta kommer att bli särskilt märkbart i polisorganisationen som i flera olika sammanhang behandlar känsliga personuppgifter och som därför kan tänkas komma att bli föremål för en frekvent tillsyn från inspektionens sida. Därtill kommer att ett avgiftssystem kommer att skapa ett betydande administrativt merarbete för både inspektionen och inspekterade myndigheter.</P> </DIV> <DIV id="page_234"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32234x1.jpg/" id="img1"> </DIV> <DIV id="id_1"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td142"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td143"><SPAN class="p9 ft3">Bilaga 1 <SPAN class="ft0">251</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td144"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td145"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p336 ft72">Kommittédirektiv</P> </DIV> <DIV id="id_2"> <DIV id="id_2_1"> <P class="p0 ft28">Översyn av Datainspektionens verksamhet och finansiering</P> </DIV> <DIV id="id_2_2"> <P class="p0 ft7">Dir<SPAN class="ft0">.</SPAN></P> <P class="p337 ft7">2000:52</P> </DIV> </DIV> <DIV id="id_3"> <P class="p0 ft0">Beslut vid regeringssammanträde den 21 december 2000.</P> <P class="p338 ft7">Sammanfattning av uppdraget</P> <P class="p339 ft0">En särskild utredare skall göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen (1998:204) och den snabba utvecklingen på informationsteknikens område.</P> <P class="p3 ft2">Utredaren skall analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.</P> <P class="p340 ft7">Bakgrund</P> <P class="p341 ft0">Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet.</P> <P class="p3 ft0">Datainspektionen är tillsynsmyndighet när det gäller Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L281, 23.11.1995, s. 31, Celex 395L0046),det s. k. dataskyddsdirektivet, som genomförts i svensk rätt genom personuppgiftslagen. Datainspektionen har fram till den 1 oktober 2001 också ett tillsynsansvar i de fall den gamla datalagen (1973:289) skall tillämpas enligt övergångsbestäm-</P> </DIV> </DIV> <DIV id="page_235"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">252 </SPAN>Bilaga 1</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft0">melserna till personuppgiftslagen. Inspektionen är också tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Vidare har inspektionen utsetts till att vara nationell tillsynsmyndighet enligt Europolkonventionen (EGT C316, 27.11.1995, s. 2, Celex 41995A1127/01) och konventionen om användning av informationsteknologi för tulländamål (EGT C316, 27.11.1995, s. 34, Celex 41995A1127/02), den s.k. <NOBR>CIS-konventionen.</NOBR> Inspektionen har också utsetts till nationell tillsynsmyndighet enligt Schengenkonventionen.</P> <P class="p137 ft3">Uppgifter i anslutning till datalagen och personuppgiftslagen</P> <P class="p50 ft0">Datainspektionen inrättades 1973 då datalagen trädde i kraft. Datalagen ersattes den 24 oktober 1998 av personuppgiftslagen, som bygger på de gemensamma regler som har beslutats inom EU genom dataskyddsdirektivet. Under en övergångsperiod fram till den 1 oktober 2001 tillämpas dock båda lagarna. Datalagen tillämpas för behandlingar av personuppgifter som har påbörjats före den 24 oktober 1998 och personuppgiftslagen för behandlingar som påbörjats efter detta datum.</P> <P class="p51 ft0">Enligt dataskyddsdirektivet är varje medlemsstat skyldig att se till att det utses en eller flera myndigheter som har till uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av direktivet. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige. I sin egenskap av tillsynsmyndighet ingår Datainspektionen även i den arbetsgrupp som inrättats med stöd av artikel 29 i dataskyddsdirektivet. Arbetsgruppen har bl. a. till uppgift att se till att direktivet tillämpas enhetligt i medlemsstaterna. Gruppen skall också avge yttranden till Europeiska kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar i direktivet.</P> <P class="p52 ft0">Myndigheten skall fullständigt oberoende utöva de uppgifter som åläggs den. Den skall ha undersökningsbefogenheter samt effektiva befogenheter att ingripa t. ex. genom att dels förhandskontrollera särskilt integritetskänsliga behandlingar, dels besluta om förbud mot behandling av personuppgifter.</P> <P class="p61 ft0">Myndigheten skall också ha befogenhet att inleda rättsliga förfaranden vid överträdelser eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser. Slutligen skall myndigheten höras när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.</P> <P class="p85 ft2">Personuppgiftslagen innebär stora förändringar i Datainspektionens verksamhet. Licenssystemet har avskaffats och tillståndskraven i</P> </DIV> <DIV id="page_236"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td142"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td143"><SPAN class="p9 ft3">Bilaga 1 <SPAN class="ft0">253</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td144"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td145"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p53 ft2">datalagen försvinner helt i oktober 2001 i och med att övergångsperioden upphör och personuppgiftslagen kommer att gälla fullt ut.</P> <P class="p66 ft0">Behandling av personuppgifter skall anmälas till Datainspektionen, där anmälningar förs in i ett offentligt register. Omfattande undantag från anmälningsskyldigheten finns dock föreskrivna i lagen, personuppgiftsförordningen och föreskrifter från Datainspektionen. Vissa särskilt integritetskänsliga behandlingar skall alltid anmälas till Datainspektionen för förhandskontroll.</P> <P class="p59 ft0">Datainspektionens uppgifter i anslutning till personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombuden. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.</P> <P class="p118 ft3">Uppgifter i anslutning till kreditupplysningslagen och inkassolagen</P> <P class="p57 ft2">kreditupplysningslagen gäller i första hand sådan kreditupplysningsverksamhet som innebär att någon lämnar kreditupplysningar mot ersättning mer än i enstaka fall eller som ett led i näringsverksamhet.</P> <P class="p61 ft0">Den kreditupplysning som omfattas av lagen får i princip bedrivas endast efter tillstånd från Datainspektionen. Tillstånd får meddelas endast om det kan antas att verksamheten kommer att bedrivas på ett sakkunnigt och omdömesgillt sätt. Inspektionen har möjlighet att förena ett tillstånd med villkor om hur verksamheten skall bedrivas.</P> <P class="p66 ft0">Datainspektionen utövar tillsyn över kreditupplysningsverksamhet som omfattas av lagen. Detta kan ske genom inspektioner eller på annat sätt. Om den som har inspektionens tillstånd att bedriva kreditupplysningsverksamhet åsidosätter någon bestämmelse i kreditupplysningslagen eller villkor i meddelat tillstånd, får inspektionen förelägga honom att vidta rättelse, ändra tidigare meddelade villkor eller meddela nya villkor. Kan rättelse inte åstadkommas på annat sätt får Datainspektionen återkalla tillståndet.</P> <P class="p79 ft0">Inkassoverksamhet, som avser indrivning av fordringar för annans räkning eller fordringar som har övertagits för indrivning, får i princip bedrivas endast efter tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt.</P> <P class="p51 ft0">Datainspektionen utövar tillsyn över efterlevnaden av inkassolagen. Om inspektionens tillsyn föranleder det får inspektionen meddela föreskrifter om hur verksamheten skall bedrivas. Sådana föreskrifter får förenas med vite. Kan rättelse inte åstadkommas får inspektionen återkalla tillståndet.</P> </DIV> <DIV id="page_237"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">254 </SPAN>Bilaga 1</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft3">Uppgifter enligt <NOBR>Europol-,</NOBR> Schengen- och <NOBR>CIS-konventionerna</NOBR></P> <P class="p57 ft0">Enligt artikel 23 i Europolkonventionen är varje medlemsstat skyldig att utse en nationell tillsynsmyndighet som skall ha till uppgift att bl.a. kontrollera att såväl registreringen och rådfrågningarna som översändandet av personuppgifterna från medlemsstaten till Europol sker lagligt och att individens rättigheter inte kränks. Datainspektionen har utsetts till sådan myndighet i Sverige. Företrädare för de nationella tillsynsmyndigheterna ingår också i en gemensam tillsynsmyndighet.</P> <P class="p46 ft0">Även enligt Schengenkonventionen är Sverige skyldigt att utse en tillsynsmyndighet med uppgift att, med beaktande av den nationella lagen, utöva självständig tillsyn över det nationella registret i Schengens informationssystem. Datainspektionen har utsetts till tillsynsmyndighet enligt artikel 114 i konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet med säte i Bryssel som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem.</P> <P class="p45 ft0">Inom tullsamarbetet föreskriver <NOBR>CIS-konventionens</NOBR> artikel 17 att det skall utses en nationell tillsynsmyndighet. Datainspektionen förutses bli sådan myndighet. Företrädare för de nationella tillsynsmyndigheterna skall enligt konventionen ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats. Vad beträffar den del av CIS som omfattas av <NOBR>EG-förordningen</NOBR> 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen har Datainspektionen utsetts till tillsynsmyndighet (förordningen 1998:64 om tillämpning av Europeiska unionens tullinformationssystem).</P> <P class="p137 ft7">Behov av en översyn</P> <P class="p50 ft0">Den snabba utvecklingen inom informationsteknikens område och den nya personuppgiftslagen innebär att förutsättningarna för Datainspektionens verksamhet förändras. Regeringen har mot den bakgrunden i budgetpropositionen för 2000 anmält sin avsikt att tillkalla en utredare med uppgift att analysera dessa utvecklingstendenser och överväga den framtida inriktningen och finansieringen av Datainspektionens verksamhet (prop. 1999/2000:1, utgiftsområde 1, s. 35).</P> <P class="p45 ft2">Genom att informationstekniken idag används allmänt inom alla delar av samhället finns nu betydligt större kunskaper och erfarenheter om hur den påverkar enskilda människors situation. Informations-</P> </DIV> <DIV id="page_238"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td142"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td143"><SPAN class="p9 ft3">Bilaga 1 <SPAN class="ft0">255</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td144"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td145"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p173 ft0">tekniken ses numera som ett naturligt inslag i arbetslivet, skolan och de enskilda hushållen. Den tekniska utvecklingen innebär samtidigt nya integritetsrisker och aktualiserar nya dimensioner på integritetsfrågorna. Internetutvecklingen ger i många avseenden ändrade förutsättningar för arbetet med att värna enskildas integritet. Den pågående konvergensen av <NOBR>IT-,</NOBR> tele- och medieområdena är en annan utveckling som påverkar möjligheterna till reglering och tillsyn över integritetsfrågor.</P> <P class="p181 ft0">I och med att övergångsperioden upphör den 1 oktober 2001 och datalagen helt ersätts av personuppgiftslagen får Datainspektionen en väsentligt annorlunda roll. Personuppgiftslagen bygger på att ansvaret för behandlingen av personuppgifter i första hand skall ligga hos den för vars verksamhet behandlingen sker. Personuppgiftsombuden har en viktig roll och ett fullt utbyggt system med personuppgiftsombud skulle medföra en väsentlig decentralisering av ansvaret för integritetsskyddet.</P> <P class="p272 ft2">Det finns därför skäl att överväga vilka konsekvenser den nya lagstiftningen bör få för inriktningen och omfattningen av Datainspektionens verksamhet.</P> <P class="p70 ft0">Mot bakgrund av den utveckling som skett av <NOBR>IT-användningen</NOBR> och den förändrade lagstiftningen finns det anledning att se över i vilka former och med vilken inriktning den framtida tillsynen bör bedrivas. Tillsyn enligt <NOBR>personuppgifts-,</NOBR> <NOBR>data-,</NOBR> kreditupplysnings- och inkassolagen kan föranledas av klagomål från enskilda, uppgifter i massmedierna eller ske på Datainspektionens eget initiativ. Tillsyn bedrivs genom fältinspektioner, enkäter eller annan kontroll per telefon och brev. Temainspektioner som omfattar granskning av en bransch eller sektor genomförs dels i form av fältinspektioner, dels i form av enkätinspektioner. Erfarenheterna av den hittillsvarande tillsynsverksamheten bör utvärderas. Mot bakgrund av en sådan utvärdering och de nya förutsättningar som behandlats ovan bör det övervägas i vilka former en effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen. Omfattningen av den egeninitierade tillsynen bör därvid särskilt prövas.</P> <P class="p132 ft0">Nya tillsynsuppgifter har successivt tillförts Datainspektionen inom ramen för polis- och tullsamarbetet. Utredaren bör pröva vilken roll Datainspektionen i fortsättningen bör ha när det gäller denna form av tillsyn och hur den bör finansieras.</P> <P class="p272 ft0">I samband med de förändringar som sker i Datainspektionens roll kan det också finnas skäl att överväga om inspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan överföras till någon annan myndighet.</P> </DIV> <DIV id="page_239"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">256 </SPAN>Bilaga 1</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p165 ft0">En annan fråga som det finns anledning att analysera är den utveckling som pågår mot olika former av självreglering för att skydda den personliga integriteten framförallt i anslutning till den kraftigt ökande användningen av Internet. En sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd. En form av självreglering kan vara branschöverenskommelser som redan idag i viss utsträckning utarbetas i samverkan med Datainspektionen. Det finns emellertid skäl att överväga möjligheterna för inspektionen att mera aktivt stimulera utvecklingen även av andra former av självreglering.</P> <P class="p45 ft0">Datainspektionen skall enligt sin instruktion följa och beskriva utvecklingen på <NOBR>IT-området</NOBR> när det gäller frågor som rör integritet och ny teknik. Som tidigare understrukits innebär den snabba tekniska utvecklingen nya integritetsrisker och i många avseenden ändrade förutsättningar för arbetet med att värna enskildas personliga integritet. Det finns därför skäl att överväga möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil.</P> <P class="p63 ft0">Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licensavgifter som tillämpades i anslutning till datalagen. I och med att licenssystemet upphört finns inte längre denna finansieringskälla. Formerna för den fortsatta finansieringen måste därför lösas. Möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter bör analyseras.</P> <P class="p118 ft7">Uppdraget</P> <P class="p49 ft0">Den särskilde utredaren skall</P> <P class="p342 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">analysera vilka krav som den nya personuppgiftslagen (1998:204) ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer,</SPAN></P> <P class="p343 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">utvärdera hittillsvarande erfarenheter av tillsynsverksamheten och överväga i vilka former en effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen och dess system med personuppgiftsombud,</SPAN></P> <P class="p344 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">analysera vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för polis- och tullsamarbetet; om utredaren finner att sådan tillsyn även fortsättningsvis bör vara en uppgift för</SPAN></P> </DIV> <DIV id="page_240"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td142"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td143"><SPAN class="p9 ft3">Bilaga 1 <SPAN class="ft0">257</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td144"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td145"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p345 ft0">Datainspektionen skall möjligheterna till en avgiftsfinansiering prövas,</P> <P class="p346 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">analysera om Datainspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet; utredaren bör i så fall föreslå vilken myndighet som bör ta över uppgifterna,</SPAN></P> <P class="p347 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">analysera möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering,</SPAN></P> <P class="p348 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">analysera möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil,</SPAN></P> <P class="p349 ft2"><SPAN class="ft10">–</SPAN><SPAN class="ft73">analysera formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.</SPAN></P> <P class="p350 ft0">Utredaren kan även behandla andra frågor som anknyter till uppdraget om så bedöms angeläget. Utredaren skall mot bakgrund av sina analyser göra en samlad bedömning av behoven av förändringar i verksamhetsinriktningen och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten. En utgångspunkt bör vara att säkerställa de tillsynsfunktioner som Sverige genom dataskyddsdirektivet och olika konventioner är skyldigt att upprätthålla.</P> <P class="p131 ft0">Utredaren bör i sitt arbete informera sig om hur andra medlemsstater organiserat sina tillsynsfunktioner i anslutning till dataskyddsdirektivet och de ovannämnda konventionerna. Utredaren bör även informera sig om annat pågående utredningsarbete som kan vara av betydelse för uppdragets genomförande. Kontakter bör också tas med myndigheter som på olika sätt berörs av de frågeställningar som uppdraget omfattar.</P> <P class="p305 ft0">Om förslagen påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda skall en beräkning av dessa konsekvenser redovisas. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall dessa också redovisas. Om förslagen har betydelse för små företags arbetsförutsättningar,</P> </DIV> <DIV id="page_241"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">258 </SPAN>Bilaga 1</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p151 ft25">konkurrensförmåga eller villkor i övrigt i förhållande till större företags skall konsekvenserna i det avseendet anges.</P> <P class="p48 ft7">Redovisning av uppdraget</P> <P class="p351 ft2">Utredaren skall redovisa sina förslag till regeringen senast den 15 januari 2002.</P> <P class="p352 ft0">(Justitiedepartementet)</P> </DIV> <DIV id="page_242"> <TABLE cellpadding=0 cellspacing=0 class="t9"> <TR> <TD class="tr0 td146"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD colspan=2 class="tr0 td143"><SPAN class="p9 ft3">Bilaga 2 <SPAN class="ft0">259</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td147"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td148"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr25 td149"><SPAN class="p9 ft74">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p353 ft0"><NOBR>2001-02-12</NOBR></P> <P class="p354 ft75">Utredningen om Datainspektionens</P> <P class="p355 ft75">framtida verksamhetsinriktning (Ju 2000:16) <SPAN class="ft0">Till</SPAN></P> <P class="p356 ft76">Utredningssekreterare</P> <P class="p357 ft77">Kammarrättsassessor Lars Dahlström</P> <P class="p358 ft76">Telefon +46 <NOBR>31-701</NOBR> 53 54</P> <P class="p359 ft76">Assistent +46 <NOBR>31-701</NOBR> 53 57 Fax +46 <NOBR>31-774</NOBR> 11 18</P> <P class="p360 ft76"><NOBR>e-post</NOBR> lars.dahlstrom@kgg.dom.se</P> <P class="p42 ft1">Förfrågan om tillsynsverksamhet</P> <P class="p361 ft0">Den svenska regeringen beslutade den 21 december 2000 att tillkalla en särskild utredare för att göra en översyn av den svenska Datainspektionens uppgifter och verksamhet. Undertecknad, kammarrättslagman Sten Wahlqvist, förordnades som särskild utredare. Utredningen skall bl.a. analysera vilka eventuella förändringar av Datainspektionens verksamhetsinriktning och arbetsformer som är nödvändiga i och med att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Celex 395L0046), det s.k. dataskyddsdirektivet, har genomförts i svensk rätt.</P> <P class="p46 ft0">Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och nationell tillsynsmyndighet med uppgift att övervaka tillämpningen av lagstiftningen till följd av dataskyddsdirektivet och konventionerna inom ramen för det internationella polis- och tullsamarbetet.</P> <P class="p45 ft0">En särskild uppgift för utredningen är att inhämta information om hur övriga medlemsstater inom den Europeiska Unionen organiserat sina tillsynsfunktioner i anslutning till dataskyddsdirektivet, Europolkonventionen (Celex 41995A1127/01), konventionen om användning av informationsteknologi för tulländamål (Celex 41995A1127/02) och konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Celex 42000A0922/02).</P> </DIV> <DIV id="page_243"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td10"><SPAN class="p9 ft3"><SPAN class="ft0">260 </SPAN>Bilaga 2</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> </TR> <TR> <TD class="tr1 td12"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td13"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p165 ft2">Utredningen är mycket tacksam för all information som kan bidra till utredningens arbete.</P> <P class="p61 ft2">Utredningen är intresserad av närmare information om den tillsynsverksamhet dataskyddsmyndigheten i Ert land bedriver med anknytning till dataskyddsdirektivet och ovan nämnda konventioner. Av särskilt intresse är att få svar på följande frågor.</P> <P class="p362 ft25"><SPAN class="ft57">N </SPAN>Hur har myndigheten organiserat sina tillsynsfunktioner i anslutning till dataskyddsdirektivet och de ovan nämnda konventionerna?</P> <P class="p363 ft79"><SPAN class="ft78">N </SPAN>Hur bedrivs tillsynsverksamheten och hur stor är omfattningen? <SPAN class="ft78">N </SPAN>Har tillsynsverksamheten någon särskild inriktning?</P> <P class="p364 ft25"><SPAN class="ft57">N </SPAN>Hur stor del av myndighetens totala verksamhet utgörs ungefärligen av tillsyn?</P> <P class="p365 ft2"><SPAN class="ft37">N </SPAN>Hur stor del av myndighetens totala verksamhet – inklusive tid för internationella möten – utgörs ungefärligen av arbete med att övervaka dataskyddsdirektivet och de ovan nämnda konventionerna?</P> <P class="p73 ft0">Om myndigheten har särskilda erfarenheter av hittillsvarande tillsynsverksamhet eller i arbetet i övrigt för att skydda enskilda personer mot kränkning av den personliga integriteten vid behandling av personuppgifter, är utredningen givetvis tacksam också för sådan information.</P> <P class="p51 ft2">Med hänsyn till den begränsade tid som utredningen har till sitt förfogande är det av stor vikt att informationen om möjligt erhålls senast den 15 april 2001. Tack på förhand.</P> <P class="p196 ft0">Vänligen skicka informationen till följande adress:</P> <P class="p366 ft0">Lars Dahlström</P> <P class="p367 ft2">Regeringskansliets utredningsavdelning Box 347</P> <P class="p155 ft0">401 25 Göteborg</P> <P class="p366 ft0">Med vänliga hälsningar</P> <P class="p314 ft0">Sten Wahlqvist</P> <P class="p368 ft0">Lars Dahlström</P> </DIV> <DIV id="page_244"> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td58"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td45"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td151"><SPAN class="p369 ft3">Bilaga 3 <SPAN class="ft0">261</SPAN></SPAN> </TD> </TR> <TR> <TD colspan=5 class="tr1 td152"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> <TR> <TD colspan=5 class="tr26 td153"><SPAN class="p40 ft82">Inspektionsverksamheten i timmar <NOBR><SPAN class="ft80">(2000-07-01–2001-06-30)</SPAN><SPAN class="ft81">1</SPAN></NOBR></SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr27 td154"><SPAN class="p40 ft7"><SPAN class="ft82">Personuppgiftslagen</SPAN><SPAN class="ft27">2</SPAN></SPAN> </TD> <TD colspan=2 class="tr27 td155"><SPAN class="p370 ft7"><SPAN class="ft82">Årsarbetskrafter</SPAN><SPAN class="ft27">3</SPAN></SPAN> </TD> <TD class="tr27 td151"><SPAN class="p371 ft82">Timmar</SPAN> </TD> </TR> <TR> <TD class="tr8 td58"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td45"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p372 ft8">1 600 tim</SPAN> </TD> <TD class="tr8 td150"><SPAN class="p373 ft8">1 200 tim</SPAN> </TD> <TD class="tr8 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr9 td58"><SPAN class="p40 ft0">Fältinspektioner</SPAN> </TD> <TD class="tr9 td45"><SPAN class="p374 ft0">602</SPAN> </TD> <TD class="tr9 td11"><SPAN class="p372 ft0">0,38</SPAN> </TD> <TD class="tr9 td150"><SPAN class="p375 ft0">0,50</SPAN> </TD> <TD class="tr9 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr28 td58"><SPAN class="p40 ft0">Särskilda projekt</SPAN> </TD> <TD class="tr28 td45"><SPAN class="p374 ft0">855</SPAN> </TD> <TD class="tr28 td11"><SPAN class="p372 ft0">0,53</SPAN> </TD> <TD class="tr28 td150"><SPAN class="p375 ft0">0,71</SPAN> </TD> <TD class="tr28 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr29 td58"><SPAN class="p40 ft0">Skrivbordsinsp.</SPAN> </TD> <TD class="tr29 td45"><SPAN class="p374 ft0">3 263</SPAN> </TD> <TD class="tr29 td11"><SPAN class="p372 ft0">2,04</SPAN> </TD> <TD class="tr29 td150"><SPAN class="p375 ft0">2,72</SPAN> </TD> <TD class="tr29 td151"><SPAN class="p376 ft8">4 720</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr27 td154"><SPAN class="p40 ft0">Summa årsarbetskrafter</SPAN> </TD> <TD class="tr27 td11"><SPAN class="p372 ft7">2,95</SPAN> </TD> <TD class="tr27 td150"><SPAN class="p375 ft7">3,93</SPAN> </TD> <TD class="tr27 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr14 td154"><SPAN class="p40 ft82">Kreditupplysningslagen</SPAN> </TD> <TD class="tr14 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr5 td58"><SPAN class="p40 ft0">Fältinspektioner</SPAN> </TD> <TD class="tr5 td45"><SPAN class="p374 ft0">22</SPAN> </TD> <TD class="tr5 td11"><SPAN class="p372 ft0">0,02</SPAN> </TD> <TD class="tr5 td150"><SPAN class="p375 ft0">0,01</SPAN> </TD> <TD class="tr5 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr30 td58"><SPAN class="p40 ft0">Särskilda projekt</SPAN> </TD> <TD class="tr30 td45"><SPAN class="p374 ft0">792</SPAN> </TD> <TD class="tr30 td11"><SPAN class="p372 ft0">0,49</SPAN> </TD> <TD class="tr30 td150"><SPAN class="p375 ft0">0,66</SPAN> </TD> <TD class="tr30 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr30 td58"><SPAN class="p40 ft0">Skrivbordsinsp.</SPAN> </TD> <TD class="tr30 td45"><SPAN class="p374 ft0">681</SPAN> </TD> <TD class="tr30 td11"><SPAN class="p372 ft0">0,42</SPAN> </TD> <TD class="tr30 td150"><SPAN class="p375 ft0">0,57</SPAN> </TD> <TD class="tr30 td151"><SPAN class="p377 ft0">1 495</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr30 td154"><SPAN class="p40 ft0">Summa årsarbetskrafter</SPAN> </TD> <TD class="tr30 td11"><SPAN class="p372 ft7">0,93</SPAN> </TD> <TD class="tr30 td150"><SPAN class="p375 ft7">1,24</SPAN> </TD> <TD class="tr30 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr14 td58"><SPAN class="p40 ft82">Inkassolagen</SPAN> </TD> <TD class="tr14 td45"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr14 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr5 td58"><SPAN class="p40 ft0">Fältinspektioner</SPAN> </TD> <TD class="tr5 td45"><SPAN class="p374 ft0">731</SPAN> </TD> <TD class="tr5 td11"><SPAN class="p372 ft0">0,45</SPAN> </TD> <TD class="tr5 td150"><SPAN class="p375 ft0">0,61</SPAN> </TD> <TD class="tr5 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr28 td58"><SPAN class="p40 ft0">Särskilda projekt</SPAN> </TD> <TD class="tr28 td45"><SPAN class="p374 ft0">-</SPAN> </TD> <TD class="tr28 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr28 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr28 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr28 td58"><SPAN class="p40 ft0">Skrivbordsinsp.</SPAN> </TD> <TD class="tr28 td45"><SPAN class="p374 ft0">1 421</SPAN> </TD> <TD class="tr28 td11"><SPAN class="p372 ft0">0,89</SPAN> </TD> <TD class="tr28 td150"><SPAN class="p375 ft0">1,18</SPAN> </TD> <TD class="tr28 td151"><SPAN class="p376 ft8">2 152</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr15 td154"><SPAN class="p40 ft0">Summa årsarbetskrafter</SPAN> </TD> <TD class="tr15 td11"><SPAN class="p372 ft7">1,34</SPAN> </TD> <TD class="tr15 td150"><SPAN class="p375 ft7">1,79</SPAN> </TD> <TD class="tr15 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD colspan=3 class="tr29 td156"><SPAN class="p40 ft82">Tullen, Schengen och Europol</SPAN> </TD> <TD class="tr29 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr29 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr8 td58"><SPAN class="p40 ft0">Tullen</SPAN> </TD> <TD class="tr8 td45"><SPAN class="p374 ft0">12</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr8 td58"><SPAN class="p40 ft0">Schengen</SPAN> </TD> <TD class="tr8 td45"><SPAN class="p374 ft0">147</SPAN> </TD> <TD class="tr8 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr8 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD rowspan=2 class="tr31 td151"><SPAN class="p377 ft8">164</SPAN> </TD> </TR> <TR> <TD class="tr5 td58"><SPAN class="p40 ft0">Europol</SPAN> </TD> <TD class="tr5 td45"><SPAN class="p374 ft0">5</SPAN> </TD> <TD class="tr5 td11"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr5 td150"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD colspan=2 class="tr27 td154"><SPAN class="p40 ft0">Summa årsarbetskrafter</SPAN> </TD> <TD class="tr27 td11"><SPAN class="p372 ft7">0,10</SPAN> </TD> <TD class="tr27 td150"><SPAN class="p375 ft7">0,13</SPAN> </TD> <TD class="tr27 td151"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr32 td58"><SPAN class="p40 ft83">SUMMA</SPAN> </TD> <TD class="tr32 td45"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr32 td11"><SPAN class="p372 ft83">5,3</SPAN> </TD> <TD class="tr32 td150"><SPAN class="p375 ft83">7,1</SPAN> </TD> <TD class="tr32 td151"><SPAN class="p377 ft84">8 531</SPAN> </TD> </TR> </TABLE> <P class="p378 ft16"><SPAN class="ft38">1</SPAN><SPAN class="ft85">Uppgifterna är hämtade från Datainspektionens tidredovisning.</SPAN></P> <P class="p94 ft16"><SPAN class="ft38">2</SPAN><SPAN class="ft86">Avser även inspektioner enligt datalagen.</SPAN></P> <P class="p379 ft88"><SPAN class="ft38">3</SPAN><SPAN class="ft87">Enligt Datainspektionen uppgår normal arbetstid för en årsarbetskraft till 1 600 timmar, varav 75 procent eller 1 200 timmar beräknas vara produktiv tid.</SPAN></P> </DIV> <DIV id="page_245"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32245x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD colspan=2 class="tr0 td157"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td19"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr0 td158"><SPAN class="p33 ft3">Bilaga 4 <SPAN class="ft0">263</SPAN></SPAN> </TD> </TR> <TR> <TD colspan=3 class="tr1 td159"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td160"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> <TR> <TD colspan=3 class="tr26 td161"><SPAN class="p40 ft90">Datainspektionens verksamhet <NOBR>2000-07-01–2001-06-30<SPAN class="ft89">1</SPAN></NOBR></SPAN> </TD> <TD class="tr26 td158"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr15 td162"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr15 td163"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr15 td19"><SPAN class="p380 ft80">Timmar</SPAN> </TD> <TD class="tr15 td158"><SPAN class="p211 ft80">Procent</SPAN> </TD> </TR> <TR> <TD class="tr31 td162"><SPAN class="p381 ft91">1.</SPAN> </TD> <TD class="tr31 td163"><SPAN class="p219 ft0">Tillsyns- och tillståndsärenden</SPAN> </TD> <TD class="tr31 td19"><SPAN class="p382 ft0">11 717,0</SPAN> </TD> <TD class="tr31 td158"><SPAN class="p383 ft7">23,82</SPAN> </TD> </TR> <TR> <TD class="tr31 td162"><SPAN class="p381 ft91">2.</SPAN> </TD> <TD class="tr31 td163"><SPAN class="p219 ft0">Information</SPAN> </TD> <TD class="tr31 td19"><SPAN class="p382 ft0">10 934,4</SPAN> </TD> <TD class="tr31 td158"><SPAN class="p383 ft7">22,23</SPAN> </TD> </TR> <TR> <TD class="tr31 td162"><SPAN class="p381 ft91">3.</SPAN> </TD> <TD class="tr31 td163"><SPAN class="p219 ft0">Administration och ofördelad tid</SPAN> </TD> <TD class="tr31 td19"><SPAN class="p382 ft0">18 519,7</SPAN> </TD> <TD class="tr31 td158"><SPAN class="p383 ft7">37,64</SPAN> </TD> </TR> <TR> <TD class="tr31 td162"><SPAN class="p381 ft91">4.</SPAN> </TD> <TD class="tr31 td163"><SPAN class="p219 ft0">Lagstiftning och remisser</SPAN> </TD> <TD class="tr31 td19"><SPAN class="p382 ft0">3 143,1</SPAN> </TD> <TD class="tr31 td158"><SPAN class="p383 ft7">6,37</SPAN> </TD> </TR> <TR> <TD class="tr31 td162"><SPAN class="p381 ft91">5.</SPAN> </TD> <TD class="tr31 td163"><SPAN class="p219 ft0">Internationell verksamhet</SPAN> </TD> <TD class="tr31 td19"><SPAN class="p382 ft0">4 192,0</SPAN> </TD> <TD class="tr31 td158"><SPAN class="p383 ft7">8,52</SPAN> </TD> </TR> <TR> <TD class="tr23 td162"><SPAN class="p381 ft91">6.</SPAN> </TD> <TD class="tr23 td163"><SPAN class="p219 ft0">Författningar och allmänna råd</SPAN> </TD> <TD class="tr23 td19"><SPAN class="p382 ft0">699,0</SPAN> </TD> <TD class="tr23 td158"><SPAN class="p383 ft7">1,42</SPAN> </TD> </TR> </TABLE> <P class="p384 ft93">6. <SPAN class="ft92">1%</SPAN></P> <P class="p385 ft93">5. <SPAN class="ft92">9%</SPAN></P> <P class="p386 ft93">1. <SPAN class="ft92">24%</SPAN></P> <P class="p387 ft93">4. <SPAN class="ft92">6%</SPAN></P> <TABLE cellpadding=0 cellspacing=0 class="t10"> <TR> <TD class="tr7 td164"><SPAN class="p12 ft93">3. <SPAN class="ft92">38%</SPAN></SPAN> </TD> <TD class="tr7 td33"><SPAN class="p12 ft93">2. <SPAN class="ft92">22%</SPAN></SPAN> </TD> </TR> </TABLE> <P class="p388 ft11"><SPAN class="ft27">1 </SPAN>Uppgifterna är hämtade från Datainspektionens tidredovisning.</P> </DIV> <DIV id="page_246"> <DIV id="dimg1"> <INGENBILD zsrc="GQB32246x1.jpg/" id="img1"> </DIV> <TABLE cellpadding=0 cellspacing=0 class="t0"> <TR> <TD class="tr0 td142"><SPAN class="p9 ft0">SOU 2002:2</SPAN> </TD> <TD class="tr0 td143"><SPAN class="p9 ft3">Bilaga 5 <SPAN class="ft0">265</SPAN></SPAN> </TD> </TR> <TR> <TD class="tr1 td144"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> <TD class="tr1 td145"><SPAN class="p9 ft4">&nbsp;</SPAN> </TD> </TR> </TABLE> <P class="p56 ft82">Målsättning för Datainspektionens verksamhet (nedlagd tid)</P> <P class="p389 ft25"><SPAN class="ft0">1.</SPAN><SPAN class="ft94">Information</SPAN>; omfattar information samt arbete med författningar och allmänna råd.</P> <P class="p26 ft0"><SPAN class="ft0">2.</SPAN><SPAN class="ft95">Inspektion</SPAN>; omfattar inspektioner enligt personuppgiftslagen m.fl.</P> <P class="p390 ft25"><SPAN class="ft0">3.</SPAN><SPAN class="ft94">Övrigt</SPAN>; omfattar administration och ofördelad tid, internationell verksamhet samt arbete med lagstiftning och remisser.</P> <TABLE cellpadding=0 cellspacing=0 class="t11"> <TR> <TD class="tr9 td165"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr9 td166"><SPAN class="p391 ft93">1.</SPAN> </TD> </TR> <TR> <TD class="tr15 td165"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD rowspan=2 class="tr33 td51"><SPAN class="p392 ft93">3.</SPAN> </TD> <TD class="tr15 td166"><SPAN class="p393 ft93">1</SPAN> </TD> </TR> <TR> <TD class="tr25 td165"><SPAN class="p9 ft74">&nbsp;</SPAN> </TD> <TD rowspan=2 class="tr34 td166"><SPAN class="p12 ft93">30%</SPAN> </TD> </TR> <TR> <TD class="tr35 td165"><SPAN class="p9 ft96">&nbsp;</SPAN> </TD> <TD class="tr35 td51"><SPAN class="p9 ft96">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr4 td165"><SPAN class="p37 ft93">3</SPAN> </TD> <TD class="tr4 td51"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> <TD class="tr4 td166"><SPAN class="p9 ft9">&nbsp;</SPAN> </TD> </TR> <TR> <TD class="tr24 td165"><SPAN class="p12 ft97">40%</SPAN> </TD> <TD class="tr24 td51"><SPAN class="p394 ft98">Övrigt</SPAN> </TD> <TD class="tr24 td166"><SPAN class="p382 ft98">Information</SPAN> </TD> </TR> </TABLE> <P class="p395 ft98">Inspektion</P> <P class="p396 ft93">2</P> <P class="p397 ft93">30%</P> </DIV> </div><style> TD,TD.p2h { zzzfont-size:90%; zzzmargin-right:2px; zzzoverflow:visable; zzzword-wrap: break-word; } P { zdisplay:block; } .divbreak { clear:both; display:block; zwidth: 100%; zheight: 1px; zword-wrap: break-word; } .xecp { display:block; margin: 0px !important; padding: 0px !important; } .ec { border-style:solid; border-width:1px; display:block; margin: 0px !important; padding: 0px !important; } .TOPS { overflow:visable; margin:2px; width:690px !important; } </style> GQB32 SOU_2002__2.pdf 748180 pdf Datainspektionen https://data.riksdagen.se/fil/4EBDE010-8D5E-4F0F-90A8-070F8BFAF1CE