Konstitutionsutskottets betänkande nr 11
KU 1975:11
Nr 11
Konstitutionsutskottets betänkande med anledning av dels propositionen
1975:1 om anslag under justitiedepartementets verksamhetsområde
för budgetåret 1975/76 till datainspektionen, dels motioner
Ärendet
I budgetpropositionen (1975:1, bilaga 4 punkten A 9 Datainspektionen)
hemställs att riksdagen till Datainspektionen för budgetåret 1975/76 anvisar
ett förslagsanslag av 3 318 000 kronor.
Frågor med anknytning till datainspektionens verksamhet, datalagen och
dess tillämpning samt allmänt om förhållandet mellan datoranvändning och
personlig integritet har tagits upp i följande motioner:
1975:69 av herr Fälldin m. fl. (c) om översyn av dataverksamheten,
1975:93 (hemställan p. 1 och 2)av herr Bohman m. fl. (m)om fördjupning
och utbyggnad av demokratin,
1975:95 (hemställan p. 1-5 och 7-14) av herr Helén m. fl. (fp) angående
datapolitiken,
1975:125 av fru Anér (fp) angående registreringen av persondata,
1975:669 av herrar Hugosson (s) och Pettersson i Lund (s) om ökat sekretesskydd
för persondata,
1975:991 av herrar Gadd (s) och Alsén (s) om skydd mot ovidkommande
persondataregistrering,
1975:1006 av herr Olsson i Kil (fp) om förbättrad information angående
personregister enligt datalagen, m. m.,
1975:1017 av herr Wijkman (m) om persondataregister.
Datainspektionen har anmodats och justitiekanslern (JK), statistiska
centralbyrån (SCB) och datasamordningskommittén(DASK)harberetts möjlighet
att yttra sig över samtliga eller vissa av motionsyrkandena.
I motionerna tas upp ett stort antal olika frågor. De olika yrkandena presenteras
nedan under respektive rubrik. En sammanställning av motionernas
hemställan finns i bilaga.
Datalagen m. m.
Vid 1973 års riksdag antogs ett förslag till datalag (prop. 1973:33, KU
1973:19, rskr 1973:131) som syftar till att skydda den enskilde mot sådant
1 Riksdagen 1975. 4 sami. Nr II
KU 1975:11
2
otillbörligt intrång i den personliga integriteten som kan bli följden av den
alltmer utbredda dataregistreringen av personuppgifter. Enligt datalagen
(1973:289) för dataregister som innehåller personuppgifter inte inrättas eller
föras utan tillstånd av ett nytt centralt ämbetsverk - datainspektionen. Beträffande
register som inrättas genom beslut av regeringen eller riksdagen
krävs i stället att yttrande inhämtas av datainspektionen före beslutet. I
samband med att datainspektionen beviljar tillstånd till ett personregister
skall den också meddela alla de föreskrifter som behövs för att förebygga
otillbörligt integritetsintrång. Datainspektionen skall vidare utöva tillsyn
över registren och kan i efterhand ingripa med nya eller ändrade föreskrifter.
I sista hand kan inspektionen återkalla meddelat tillstånd. Enskild har rätt
att på begäran en gång per år kostnadsfritt fö upplysning om de uppgifter
som finns om honom i ett visst dataregister. Till den enskildes skydd innehåller
datalagen vidare bl. a. föreskrifter om tystnadsplikt samt straffoch
skadeståndsskyldighet. Tillståndssystemet för personregister började gälla
den 1 juli 1974. Beträffande sådana register som har tagits i drift före
denna tidpunkt gäller särskilda övergångsbestämmelser. I princip är emellertid
även dessa register underkastade datainspektionens tillståndsprövning.
Datainspektionens beslut kan överklagas hos regeringen. JO har tillsyn
över datainspektionens verksamhet liksom över varje annan myndighet,
bl. a. dem som för personregister. JK har enligt datalagen rätt att föra talan
mot datainspektionens beslut för att tillvarata allmänna intressen.
Samtidigt med datalagen antogs som vilande ett förslag till ändringar
i tryckfrihetsförordningen, vilket avsåg att i offentlighetshänseende likställa
ADB-upptagningar och andra upptagningar av teknisk natur med handlingar.
Förslaget antogs slutligt i början av år 1974 och trädde i kraft den
1 juli 1974.
Datalagen kompletteras av bestämmelserna i den av Kungl. Maj:t utfärdade
datakungörelsen (1973:291). Datakungörelsen ändrades 1974
(1974:30) för att möjliggöra för datainspektionen att tillämpa ett förenklat
ansökningsförfarande för de personregister vilka bedöms som mindre känsliga
från integritetssynpunkt. Ytterligare föreskrifter för tillämpningen av
datalagen får meddelas av datainspektionen. Detta ämbetsverk inrättades
den 1 juli 1973. Datainspektionen har som central förvaltningsmyndighet
till uppgift att bl. a. pröva frågor om tillstånd och att utöva tillsyn enligt
datalagen. Det åligger datainspektionen i denna del särskilt att med uppmärksamhet
följa utvecklingen i fråga om användningen av ADB i vad
gäller personuppgifter, att hos regeringen framlägga förslag till erforderliga
åtgärder inom inspektionens verksamhetsområde samt att lämna myndigheter,
organisationer och enskilda råd och upplysningar i frågor om ADB
i vad gäller personuppgifter.
KU 1975:11
3
Pågående utredningsarbete
I sitt betänkande vid 1974 års riksdag (KU 1974:20) redogjorde konstitutionsutskottet
i reciten för pågående utredningsarbete med anknytning
til! frågor om databehandling och integritet. 1 denna del hänvisas till betänkandet.
Utöver vad som anfördes i detta kan nämnas att den 1969 tillkallade
offentlighets- och sekretesslagstiftningskommittén (OSK) arbetar
med bl. a. frågor rörande den s. k. statistiksekretessen (16 $ sekretesslagen).
Utredningen planerar att redovisa sitt arbete i ett slutbetänkande under
april 1975.
Under 1975 har datasamordningskommittén (DASK) avlämnat betänkandet
"Samordning av statliga administrativa ADB-system” (Ds Fi 1975:1).
1 betänkandet redovisar DASK, med anledning av riksskatteverkets principförslag
om ADB för folkbokföring och beskattning, sin syn på olika principfrågor
rörande uppbyggnaden, utvecklingen och samordningen av de riksomfattande
statliga administrativa ADB-systemen. Bl. a. behandlas frågan
om dessa skall vara utformade som centrala eller regionala system. DASK:s
syn på dessa frågor redovisas nedan i samband med motionsyrkanden angående
regionalisering av databehandlingen.
De olika motionsyrkandena
Allmänt om data och integritet
Motionen
I motionen 1975:93 (m) hemställs ”att riksdagen 1. hos regeringen hemställer
om att vad som i motionen anförts under rubriken Demokrati och
integritet överlämnas till 1973 års fri- och rättighetsutredning för beaktande,
2. som sin mening ger till känna att, i avvaktan på att ett förbättrat skydd
för medborgarnas integritet skapas, stark restriktivitet bör iakttagas i vad
gäller planering och ianspråktagande av datoranläggningar för registrering
av personinformation”.
I motionen anförs att det senaste decenniets utveckling har medfört att
de tekniska möjligheterna att äventyra enskilda samhällsmedborgares integritet
stegrats ofantligt. Enligt motionärerna är det främst de stora register
som byggs upp vid olika offentliga myndigheter som är farliga från integritetssynpunkt
eftersom dessa register ofta omfattar stora delar av befolkningen
och innehåller uppgifter av känslig natur. Motionärerna anför att
en utvidgning av sekretessen i vad avser denna typ av information inte
är tillräcklig. Någon garanti mot att uppgifter avsiktligt eller oavsiktligt missbrukas
skapas inte genom sådana åtgärder. Vägledande bör i stället vara
att så långt som möjligt begränsa insamlingen och datorlagringen av personinformation.
1 avvaktan på att datainspektionens arbete leder fram till
ett bättre underlag för beslut om hur integritetsskyddet ytterligare bör stärkas
anser motionärerna att en stark återhållsamhet bör iakttas när det gäller
KU 1975:11
4
att planera och ta i bruk nya datoranläggningar för registrering av personinfofmation.
Enligt motionärerna bör vidare övervägas att införa en bestämmelse i
grundlagen som allmänt begränsar myndigheternas möjligheter att, utom
i de fall där särskilda och tvingande skäl föreligger, med datateknik registrera
annat än enklare former av personinformation.
Remissinstanserna
Datainspektionen anför i sitt remissyttrande att inspektionen under 1975
avser att göra en första utvärdering av datalagen och förelägga regeringen
därav föranledda ändringsförslag. I detta sammanhang kan det bli aktuellt
att överväga frågan om övergripande lagstiftning angående rätt för myndigheter
att datorregistrera endast viss typ av personinformation. Datainspektionen
anför vidare:
Datainspektionen är såtillvida ense med motionärerna att inspektionen
anser att enbart ökad sekretess inte är ägnad att lösa problemen med integritetsskyddet.
Flera skäl föreligger härför. För det första kan även i och
för sig ”oskyldiga” personuppgifter när de sammanförs och bearbetas ge
upphov till integritetsintrång; men det är uppenbart att sekretessbeläggning
av alla i och för sig oskyldiga uppgifter skulle helt undergräva offentlighetsprincipen.
För det andra förhåller det sig otvivelaktigt så att ”dataoron”
- berättigad eller ej - i ej obetydlig mån hänför sig till myndigheternas
register även i de fall uppgifterna där inte är åtkomliga för envar, dvs. sekretessbelagda.
Bakom detta ligger, mer eller mindre uttalat, misstro mot
myndigheterna i dagens samhälle, ängslan för vad myndigheterna kan använda
uppgifterna till i ett förändrat politiskt system och fruktan för att
i oroliga tider främmande makt får tillgång till uppgifterna. Sådan oro är
en realitet, och så länge den råder är det ett led i integritetsskyddet att
söka undanröja eller minska denna oro. Till stor del är detta ett utbildningsoch
informationsproblem. Men en noggrann och kritisk granskning av behovet
av ADB-personregister för uppgivna ändamål är också nödvändig.
Datainspektionen är också enligt datalagen ålagd en sådan granskning. Avvägningarna
är emellertid svåra och kommer därför i vissa fall, genom besvär
eller genom framställning av inspektionen, under regeringens prövning.
Datainspektionen avvisar tanken på en grundlagsbestämmelse, som begränsar
myndigheternas möjligheter att med datatekniken registrera personinformation.
Inspektionen anser det sannolikt att de lagtekniska problemen
skulle bli svåra. Begreppen personlig integritet och privatlivets helgd
t. ex. är enligt inspektionen omöjliga att definiera.
Beträffande frågan om restriktivitet i inrättande av datoranläggningar anför
datainspektionen:
Av större betydelse än ett sådant generellt uttalande som avses i motionen
torde vara en omsorgsfull avvägning av omständigheterna beträffande varje
ADB-register som aktualiseras. Bestämmelserna i 2 och 3 SS datalagen om
remiss och tillstånd garanterar att sådana avvägningar kommer till stånd,
kan överprövas och kan diskuteras i full offentlighet.
KU 1975:11
5
Även JK har i sitt remissyttrande tagit upp frågan om begränsningar
i myndigheternas rätt att föra personregister. Enligt JK kan det ifrågasättas
om inte i vissa fall till skydd för den enskildes integritet bör hävdas en
legalitetsprincip, nämligen så till vida att insamling av uppgifter från allmänheten
kan ske endast med stöd av lag. JK anser att det i vissa fall
kan te sig otillfredsställande att frågor om uppgiftsskyldighet och dess omfattning
är beroende på myndighets egen bedömning. Som exempel på de
svårigheter som kan uppstå nämner JK 1970 års folk- och bostadsräkning.
Enligt JK kan dock några generella regler i ämnet gällande myndigheternas
verksamhet i allmänhet inte ges. I många sammanhang torde ej annan
bestämning av uppgiftsskyldigheten kunna göras än att den ej får göras
mer omfattande än som svarar mot vederbörande myndighets verksamhetsområde.
Enligt JK torde redan i dag en sådan princip gälla utan uttryckligt
lagstadgande.
JK tar i detta sammanhang även upp datalagens betydelse. Beträffande
datalagen (5 och 6 ijtj) anför JK:
Genom de angivna bestämmelserna kan myndigheternas insamling och
registrering av persondata i betydande grad styras. Regleringen utformas
sålunda i allt väsentligt i administrativ ordning utan någon prövning av
riksdagen eller regeringen. Från vissa utgångspunkter kan kanske en sådan
ordning kritiseras. Ibland är föreskrifterna otvivelaktigt uttryck för en egentligen
politisk avvägning mellan motstående intressen, samhällets behov av
uppgifter för samhällsplaneringsändamål och allmänhetens intresse av skydd
för sitt privatliv. Tills vidare synes mig inte möjligt att göra denna avvägning
annat än från fall till fall inom datainspektionens verksamhet men på sikt
kan och bör en inventering ske av den angivna avvägningsproblematiken
och generella lösningar eftersträvas på ett politiskt plan. Tiden synes emellertid
ännu inte mogen härför utan ytterligare erfarenheter genom datainspektionens
verksamhet bör avvaktas.
Dataregister vars inrättande beslutas av statsmakterna
Motionerna
I motionen 1975:69 (c) hemställs "3. att riksdagen ger regeringen till känna
vad i motionen anförts beträffande g. riksdagens roll vid prövning
av persondataregister upprättade av Kungl. Maj:t”.
I motionen anförs att den handläggningsordning bör prövas som datainspektionen
föreslog 1974 och som konstitutionsutskottet rekommenderade
vad beträffar principtillstånd i förväg hos datainspektionen innan myndighet
upprättar personregister enligt beslut av regeringen. Enligt motionärerna
är det av avgörande betydelse att riksdagen får ta ställning till frågan om
inrättande, om regeringen i de fall datainspektionen inte ger en ansökande
statlig myndighet begärt principtillstånd ändå vill inrätta begärt register.
I motionen 1975:95 (fp) hemställs "14. att riksdagen ger regeringen till
känna vad i motionen anförts om tydligt angivande i förslag till riksdagen
KU 1975:11
6
av om förslaget förutsätter upprättande av ett nytt dataregister”.
I motionen anförs att det måste klart anges vid förslag till riksdagen
om detta förutsätter upprättande av ett nytt personregister. Detta är enligt
motionen nödvändigt för att datainspektionens granskningsuppgift skall
kunna fullgöras tillfredsställande.
I motionen 1975:1017 (m) hemställs "att riksdagen hos regeringen anhåller
om skyndsamt förslag till sådan ändring av datalagen att, för inrättande
av statliga personregister, i fortsättningen skall krävas behandling av datainspektionen
om principgodkännande innan slutligt ställningstagande fattas
av regeringen”.
Frågans behandling vid 1974 års riksdag
I sitt remissyttrande 1974 beträffande motionsyrkanden rörande datainspektionens
tillståndsprövning av personregister som inrättas efter beslut
av Kungl. Maj:t rekommenderade datainspektionen en särskild handläggningsordning
beträffande dessa register. Enligt denna skall regeringen konsekvent
uppdra åt den blivande registeransvariga myndigheten att utveckla
ett förslag till personregister så långt att myndigheten kan söka principtillstånd
hos datainspektionen. När datainspektionens beslut sedan föreligger
kan myndigheten - om beslutet är positivt - föra saken vidare till regeringen
för ställningstagande till anslagsfrågan för det tilltänkta registret. Skulle datainspektionen
avslå myndighetens ansökan om principtillstånd kan myndigheten
genom besvär föra frågan under regeringens prövning. Regeringen
har då att överväga om det finns skäl för en annan syn på integritetsfrågorna
än den som kommit till uttryck i datainspektionens beslut.
Konstitutionsutskottet anförde i sitt av riksdagen godkända betänkande
(KU 1974:20) att ett konsekvent tillämpande av det förfarande som datainspektionen
rekommenderade borde ha flera fördelar. Utskottet förordade
därför att Kungl. Maj:t närmare skulle utreda frågan på det sätt som kunde
vara lämpligt och - om utredningsresultatet inte talade däremot - verka
för att förfarandet genomfördes.
Remissinstanserna
Datainspektionen tillstyrker i sitt remissyttrande motionen 1975:95 såvitt
nu är i fråga. Beträffande motionen 1975:69 i här aktuell del anför datainspektionen:
Det
i motionen nr 69 väckta förslaget att regeringens beslutanderätt i
ärende om inrättande av statligt ADB-reister alltid skall övertas av riksdagen
i de fall datainspektionen avstyrkt registret kan i vissa fall tillgodoses genom
att riksdagens anslagsbeslut under alla förhållanden fordras. Regeringen torde
också där så finnes erforderligt på annat lämpligt sätt kunna bringa saken
under riksdagens bedömning. En formell regel av den innebörd som synes
avsedd i motionen förefaller däremot mindre väl förenlig med grunderna
för kompetensfördelningen mellan riksdagen och regeringen.
KU 1975:11
7
Med anledning av yrkandet i motionen 1975:1017 anför datainspektionen
att den alltjämt förordar det förslag som den lade fram i sitt remissyttrande
1974.
Även JK anser att den av datainspektionen förordade lösningen beträffande
principtillstånd för register inrättade av regeringen är en god lösning.
JK framhåller att den föreslagna rutinen inte kräver någon ändring i datalagen
och att den bör kunna genomföras utan dröjsmål.
När ett riksdagsbeslut förutsätter att ett personregister skall inrättas bör
enligt JK:s mening detta också klart framgå av beslutet. JK framhåller
att det i annat fall kan bli svårigheter för datainspektionen att avgöra om
personregister är tillståndspliktiga eller ej.
Frågor med anknytning till statistiksekretessen m. m.
Motionerna
I motionen 1975:95 (fp) hemställs ”1. att riksdagen som sin mening ger
regeringen till känna vad som i motionen anförts om , - noggrannare
reglerad och hårdare prövning innan myndighet utlämnar uppgifter om den
enskilde till annan myndighet, - anpassning av den s. k. statistiksekretessen
enligt § 16 sekretesslagen till de sekretessregler som gäller för registrerade
personuppgifter i övrigt”.
I motionen anförs att sekretess för av myndigheter förda personregister
ofta inte existerar, trots att myndigheten tror att så är fallet. Som exempel
nämns i motionen bl. a. sjuk- och hälsovårdsinformation som är sekretessbelagd
hos den ursprungliga myndigheten i 70 år men om den överförs
till SCB:s register endast i 20 år. Enligt motionärerna är det viktigt att luckor
i sekretessen av detta slag täpps till vid den översyn som pågår av sekretesslagen
och att denna lag utformas så att den går att tillämpa på datateknik.
Beträffande möjligheterna för myndighet att få tillgång till uppgifter som
insamlats av annan myndighet anser motionärerna att det bör vara en princip,
som endast i verkliga undantagsfall får genombrytas, att data om den enskilde
som insamlats av en myndighet för visst administrativt ändamål
inte får användas för något annat ändamål. Enligt motionärerna är det i
de flesta fall omöjligt för någon annan myndighet eller organisation än den
som gjort insamlandet att veta vilken grad av tillförlitlighet dessa data har,
vilka dolda fällor som finns vid deras användning och vilka felkällor och
felmarginaler man måste räkna med om man skall ha någon nytta av dem.
! motionen 1975:669 (s) hemställs ”att riksdagen måtte besluta att 16 S
i lagen den 28 maj (nr 249) om inskränkning i rätten att utbekomma allmänna
handlingar (sekretesslagen) får följande lydelse:
Handling innefattande uppgift, som inhämtats av statistiska centralbyrån
eller annan myndighet för statistiska ändamål, eller myndighets bearbet
-
KU 1975:11
8
ningar av sådan uppgift skall hållas hemliga om uppgiften kan hänföras
till viss enskild person, viss organisation eller visst företag.
Vad i första stycket sägs utgör ej hinder mot utlämnande av handling
i enlighet med vad som föreskrivits i lag eller förordning eller meddelats
de berörda i samband med insamling av uppgifterna.
Handling får enligt denna paragraf hållas hemlig, såvitt rör ekonomiska
förhållanden, högst tjugo år från handlingens datum. I övrigt gäller att hemlighållande
får avse en tid av högst trettio eller - om särskilda skäl talar
därför - högst sjuttio år från handlingens datum.
I motionen anförs att datainspektionen i många fall kunnat konstatera
att den nu gällande sekretesslagstiftningen är ofullständig särskilt när det
gäller data som insamlas för statistiska ändamål. Enligt motionärerna är
den 20-åriga sekretesstiden enligt 16 § sekretesslagen för kort. Det är dessutom
oklart huruvida sekretess över huvud taget föreligger för data som
en myndighet insamlar i administrativa sammanhang men sedan för statistisk
bearbetning överlämnar till t. ex. SCB. Motionärerna tar också upp
frågan om statistiskt underlag är sekretessbelagt när identifikationsuppgift
saknas, men det ändå med hänsyn till uppgifternas karaktär kan vara möjligt
att med ledning av dem identifiera enskilda individer. Motionärerna anför
att SCB inte anser sig kunna avidentifiera primäruppgifterna i sina dataregister,
eftersom de då skulle bli allmän handling utan sekretess.
Remissinstanserna
Såväl SCB som datainspektionen framhåller att sekretesslagen inte är tilllämplig
på uppgiftslämnandet mellan myndigheter. SCB erinrar dock i sitt
remissyttrande om 38 5 andra stycket sekretesslagen som gör det möjligt
för domstol att förordna att handling som kan antas vara av betydelse som
bevis i rättegång eller förundersökning i brottmål skall utlämnas till domstolen
eller undersökningsledaren. SCB anser att en tillämpning av denna
bestämmelse på SCB:s material skulle kunna fä allvarliga följder för samhällets
statistikproduktion. I övrigt anför SCB att man vad gäller utlämnande
av handlingar från SCB till annan myndighet tillämpar en lika restriktiv
praxis som i förhållande till enskild. Enligt SCB innebär detta i praktiken
att utlämnandet vägras så snart minsta risk föreligger för att ett utlämnande
kan leda till skada för den uppgiften gäller. Här tillämpas alltså samma
grunder som gäller vid prövningen enligt löij sekretesslagen.
Vad gäller överförandet av uppgifter från annan myndighet till SCB för
att bilda underlag för statistikproduktion anför SCB:
Enligt sin instruktion (SFS 1971:323) skall SCB bl. a. ”i de fall underlaget
för statistikproduktionen utgöres av material, som annan myndighet insamlar
för administrativt ändamål, bevaka att de statistiska synpunkterna
tillgodoses samt svara för de specialbearbetningar som fordras för statistiska
ändamål”. Eftersom de statistiska resultaten inte primärt och direkt har
intresse av den enskilde utan endast av honom som medlem i en grupp
KU 1975:11
9
kan den statistiska användningen icke skada den enskilde. Motsatsen gäller
givetvis inte. Tvärtom kan användning av till statistik lämnade uppgifter
för administrativa ändamål medföra skada för både den enskilde och statistikproduktionen
och detta är grunden till SCBs stora ansträngningar att
förhindra sådant. Användningen av administrativa material för statistisk
produktion på det sätt som SCBs instruktion ger uttryck för medför däremot
påtagliga fördelar för såväl den enskilde som samhället. Den enskildes börda
med uppgiftslämnande minskar, den statistiska behandlingen får förbättrade
förutsättningar att anordnas fackkunnigt och rationellt och möjligheterna
till samordning i syfte att öka och integrera den statistiska informationen
ökar. Användningen av administrativa material för statistiska ändamål bör
enligt SCBs uppfattning icke hindras.
SCB tar i sitt remissyttrande även upp frågan om 16 § sekretesslagen.
Centralbyrån anför att det legala skyddet enligt detta lagrum i praktiken
fungerat tillfredsställande. Det har bl. a. givit SCB möjlighet att, som redan
framgått, tillämpa en restriktiv praxis vid utlämnandet av uppgifter till enskilda.
Enligt SCB är dock vissa förbättringar önskvärda. Det gäller dels
sekretesstidens längd som bedöms som för kort, dels den tveksamhet som
råder om 20-årsgränsen enligt 16 S sekretesslagen eller annan längre tidsperiod
som ett material hämtat från annan myndighet där åtnjuter skall
gälla när materialet överlämnats till SCB. Enligt SCB kan det förutsättas
att OSK kommer att föreslå förbättringar av skyddet i dessa avseenden.
SCB sammanfattar sitt yttrande på denna punkt som följer:
Vissa förtydliganden och ytterligare förbättringar av den legala ramen
för det statistiska sekretesskyddet utöver dem som SCB enligt ovan redan
begärt är önskvärda och SCB har också till OSK framfört synpunkter därpå.
Bortser man från eventuellt behov av snabb förändring av 38 § andra stycket
sekretesslagen samt från det lagskydd för kryptering som anges i följande
avsnitt synes dock de övriga önskemålen om lagändringar på detta område
kunna anstå för att tas upp i det pågående lagstiftningsarbetet avseende
hela offentlighets- och sekretesslagstiftningen.
JK tar i detta sammanhang upp frågan om tillämpningen av § 16 sekretesslagen
på personregister som avidentifierats. Enligt JK ger avfattningen
av 16 § och förarbetena till denna närmast vid handen att någon sekretess
ej föreligger sedan ett material avidentifierats och att materialet därefter
är åtkomligt för envar enligt TF:s regler om allmänna handlingar. Denna
utformning av reglerna rörande statistiksekretessen hindrar enligt JK en
ändamålsenlig utformning av säkerhetsskyddet i fråga om datorbaserad personinformation.
Det förslag som inom kort kan väntas från OSK kan leda
till att en ny lagstiftning på detta område kan träda i kraft först den 1
januari eller 1 juli 1977. En reglering som möjliggör ett bibehållande av
sekretesskydd för avidentifierat material skulle enligt JK innebära en betydande
vinst från integritetsskyddssynpunkt och kan motivera en snabbare
lagändring än som är möjlig inom ramen för arbetet med en ny lag om
allmänna handlingar.
1 * Riksdagen 1975. 4 sand. Nr 11
KU 1975:11
10
Datainspektionen anför i sitt remissyttrande att det oklara rättsläget vad
gäller sekretesskydd för information i ett personregister hos en myndighet
tvingat inspektionen att i samband med tillståndsärenden ”överpröva” de
bedömningar angående sekretesskydd som myndighet enligt 2 kap. 9 § TF
har att självständigt pröva. Inspektionen har sålunda tvingats att göra sådana
värderingar som i sista instans regelmässigt ankommer på regeringsrätten.
Enligt inspektionen utgör den uppkomna situationen ett allvarligt problem
som måste lösas. Inspektionen framhåller att OSK uppmärksammats på
dessa problem.
Vad beträffar det i motionen 1975:669 framförda förslaget till ändrad lydelse
av 16 § sekretesslagen anför datainspektionen att det kan finnas anledning
att först utvärdera samtliga problem i samband med statistik och
forskning, dvs. inhämtande av uppgifter, möjligheterna till avpersonifiering
etc. innan den föreslagna kompletteringen av statistiksekretessen sker. Eventuellt
nya sekretessregler för statistiksekretessen bör bl. a. med hänsyn härtill
enligt inspektionen övervägas först i samband med behandlingen av OSK:s
slutbetänkande.
Beträffande uppgiftslämnandet mellan olika myndigheter och sekretessbestämmelserna
i samband därmed anför datainspektionen att även dessa
frågor omfattas av OSK:s uppdrag. För det fall uppgifter lämnas från en
myndighet till annan i den formen att datamedium, t. ex. magnetband,
överlämnas är inspektionen behörig att meddela föreskrift enligt 6 S datalagen
om sådan samköming eller sambearbetning. Datainspektionen anför
vidare:
Samkörningsfrågorna är mycket vanligt förekommande i datainspektionens
registerärenden. En noggrann prövning av dessa frågor visade sig redan
från början nödvändig och sker således fortlöpande. Datainspektionen meddelar
också förhållandevis ofta föreskrifter härom i integritetsskyddets intresse.
Att som önskas i motionen uppställa noggrannare regler i ämnet
är svårt eftersom registerändamålen och övriga förhållanden är så skiftande.
Det bör också märkas att samköming av befintliga uppgifter i olika register
ofta - utan risk för integritetsintrång - kan bespara medborgarna besvär
och olägenheter i form av ifyllande av formulär samt nedbringa myndigheternas
kostnader. Den grundsyn som ligger bakom motionärernas i detta
sammanhang framförda varning för omfattande samkörningar inom bl a
socialvårdens område biträder datainspektionen i väsentliga delar. Inspektionen
har uppmärksamheten speciellt riktad på i ökad utsträckning förekommande
önskemål att samköra information av socialvårdskaraktär med
uppgifter från sjuk- och hälsovård. Dessa möjligheter som ADB-tekniken
ger är självfallet av stort intresse för forskningen inom berörda områden.
Eftersom inspektionen ännu inte prövat mer än ett fåtal register inom nämnda
områden och då register huvudsakligen av administrativ karaktär, synes
f n underlag saknas för ett mera allmänt uttalande om ”härdare prövning”.
KU 1975:11
11
Frågor med anknytning till SCB och andra registerinnehavare
Motionen
1 motionen 1975:95 hemställs ”1. att riksdagen som sin mening ger regeringen
till känna vad som i motionen anförts om - översyn av statistikproduktionen
, - snara insatser för att lösa säkerhetsfrågorna hos
SCB och andra stora registerförare, - fastställande av gallringsbestämmelser
för en rad register, - avpersonifiering av tidigare folk- och bostadsräkningar
,5. att riksdagen begär att regeringen låter avpersonifiera de magnetband
statistiska centralbyrån har långtidsförvarade för opreciserade framtida
forskningsbehov eller i särskilda fall föranstalta om annan åtgärd för att
skydda känsliga personuppgifter i dessa band , 7. att riksdagen begär
att regeringen låter utarbeta ett hållbart system för att koda personnummer
och/eller andra identifierbara data, så att man kan använda vissa persondata
för forskningsändamål med bevarat skydd för den enskildes integritet, 8.
att riksdagen begär förslag av regeringen om sekretesskydd för s. k. dataprogram”.
I motiveringen anför motionärerna att hela statistikproduktionen måste
ses över i de fall där den baseras på uppgifter som kräver personidentifikation.
I motionen anförs att SCB har mer än 4 000 magnetband arkiverade för
forskningsändamål och omkring 130 register över delar av befolkningen
med delvis mycket djupa uppgifter. SCB har också ett register över totalbefolkningen.
Enligt motionärerna är det särskilt angeläget att begränsa
de centrala personregistrens antal. De som behöver finnas bör vara så grunda
som möjligt. Folk- och bostadsräkningarna från 1960, 1965 och 1970 bör
enligt motionärerna avpersonifieras så att de inte längre kan användas för
bl. a. samköming och vara ett hot mot den enskildes integritet. Vidare bör
gallringsbestämmelser fastställas för en hel rad register.
Vad gäller de krav som finns att för forskningsändamål upprätta och
använda personregister anför motionärerna att det måste utvecklas ett invändningsfritt
system för att koda personnummer och/eller andra lätt identifierbara
data. Vidare bör möjligheten att sekretessbelägga de dataprogram
som används t. ex. vid kryptering övervägas.
Remissinstanserna
De förhållanden som tas upp i här aktuella motionsyrkanden berör på
olika sätt arbetet inom SCB. Beträffande frågan om SCB:s läge i integritetsoch
sekretesskyddsdebatten anför SCB bl. a.:
Då SCBs användning av individuella uppgifter endast syftar till framställning
av statistisk information, i vilken de enskilda bakomliggande enheterna
som sådana saknar betydelse, framgår av ovanstående att allmänhetens
intresse av integritetsskydd inte strider mot SCBs intresse som statistikproducent.
Tvärtom sammanfaller de båda intressena helt och SCB
har följaktligen gjort och gör alltjämt stora ansträngningar för att sörja för
KU 1975:11
12
ett mycket högt skydd kring de individuella uppgifterna. Detta skydd utövas
på olika plan. SCB ser för det första som sin uppgift att bevaka att den
legala ramen för sekretesskyddet är tillfredsställande. För det andra tillämpar
SCB inom denna legala ram en utomordentligt restriktiv policy i frågor
rörande utlämnande av individuella uppgifter. Denna innebär att verket
avslår dylika framställningar rörande sekretessbelagt material, såvida inte
samtycke till utlämnande lämnas av uppgiftslämnarén eller risk, även obetydlig
sådan, inte finns för missbruk till skada för den som avses med
uppgiften. För det tredje ägnas stora ansträngningar åt att omgärda SCBs
datasamlingar med tillförlitligt och heltäckande skydd mot obehörig åtkomst.
Den form av skyddsåtgärder som på sistone tilldragit sig ett ökat intresse
är avidentifiering och förstöring. Inom SCB har avidentifiering resp förstöring
av statistiska primärmaterial förekommit i viss utsträckning. Detta har dock
hittills skett i mycket begränsad utsträckning. I detta sammanhang vill SCB
erinra om att de svenska arkiveringsbestämmelserna kräver en långtgående
arkivering av allt material från det offentligas verksamhet för framtida bruk.
Med hänsyn till att avidentifiering av primärmaterial och dess förstöring
aktualiserats i skilda sammanhang bl a genom datainspektionens beslut har
SCB påbörjat ett särskilt utredningsarbete om dessa förfaringssätt och om
kryptering som skyddsmetod inom statistikproduktionen. Mera principiellt
vill SCB beträffande dessa metoder framhålla att det rör sig om svåra och
samtidigt betydelsefulla avvägningar mellan olika intressen. Avidentifiering
skulle, t ex, i åtskilliga fall väsentligt försvåra och i många fall utesluta
möjligheterna att utnyttja materialet för exempelvis studier av regionala
flöden och förändringar i tidsperspektiv som är väsentliga bl a för regional
forskningsanalys- och planeringsverksamhet och för studier av social rörlighet
och välfärd. I ännu högre grad innebär en förstöring av primärmaterial
givetvis att möjligheterna att utvinna ny information ur dessa material försvinner.
Både SCBs egna erfarenheter och kända erfarenheter från olika
forskningsområden visar på mängder av fall då statistisk information av
stort värde för samhälleliga framsteg kunnat erhållas genom sådan ny bearbetning
och eventuell komplettering av arkiverade material som icke var
förutsedda vid materialens införskaffande. Å andra sidan kan avidentifiering,
under vissa speciella förutsättningar, öka skyddet för den personliga integriteten
och förstöring gör detta skydd absolut. Det synes som om den
enda rimliga lösningen är att söka i en noggrann riskanalys, som konkret
och för skilda material var för sig - med beaktande av vidtagna säkerhetsåtgärder
- väger riskerna i skilda situationer mot de informationsförluster
för samhället som skulle uppstå genom avidentifiering resp förstöring. Härvid
bör särskilt uppmärksammas att den s k krypteringen tack vare moderna
hjälpmedel och teknik kan skapa ett mycket tillförlitligt skydd. Av den
anledningen ägnar SCB utvecklingen av lämpliga krypteringsmetoder stort
intresse och har redan tagit fram teknik och erforderliga hjälpmedel härför.
Beträffande säkerhetsfrågorna hos SCB anför SCB att en särskild styrgrupp
för sekretess- och säkerhetsfrågor tillsattes inom verket i maj 1973 med
uppgift att bl. a. se över säkerhetsförhållandena inom SCB. Under 1974 infördes
under styrgruppens inseende bl. a. nya säkerhetsföreskrifter för hantering,
förvaring, transport m. m. av frågeformulär, datamaskinlistor,
mikrokort, hålkort och magnetband.
KU 1975:11
13
SCB upplyser vidare att stor uppmärksamhet ägnats åt skyddet mot de
s. k. röjandena i statistiska produkter. Därmed avses möjligheterna att genom
analys av skilda statistiska resultat få fram information om enskilda enheter
som ingår i den statistiska redovisningen. I sitt remissyttrande anför SCB
att verket har ett betydande utvecklingsarbete på detta område på sitt program
som även internationellt ligger mycket väl framme. Bl. a. har en handbok
om metoder för skydd mot röjanden utgivits och en metodrapport utarbetats.
SCB anser att verkets säkerhetsskydd är tillfredsställande.
Även datainspektionen har i sitt remissyttrande tagit upp här aktuella
motionsyrkanden. Beträffande frågan om en översyn av statistikproduktionen
anför inspektionen bl. a. beträffande SCB:s personregister:
Många av dem utgör kopia av den uppgiftslämnande fackmyndighetens
register. I förekommande fall kan det därför bli anledning att överväga i
vad mån det är möjligt att, i enlighet med krav ställda av SCB, framställa
underlaget för den av samhället önskade statistiken direkt från primärmaterialet
hos fackmyndigheten. Många av dessa myndigheter har egna datamaskiner.
I övrigt har de i stor utsträckning tillgång till maskintid hos annan.
I den mån det skulle visa sig möjligt att framställa statistik hos fackmyndigheten,
som sedan kan överlämna de avidentifierade sammanställningarna
till SCB, undviks de sekretessproblem som uppkommer när individanknuten
information överförs från en myndighet till en annan (se
avsnitt 3 nedan). Samtidigt skulle säkerhetsproblemen vid transporten mellan
myndigheterna minska. Den väsentligaste fördelen skulle dock vara
att man också skulle undvika den dubblering av personregister med ofta
mycket känslig information som nu sker genom att fackmyndighet överlämnar
en kopia av sitt register till SCB, forskningsinstitution eller annan
myndighet. Ibland sker detta överlämnande på grund av överenskommelse
myndigheterna emellan, ibland föreligger författningsenlig skyldighet att
överlämna informationen.
Vad gäller säkerhetsfrågorna hos SCB och andra registerförare anför datainspektionen
att bästa medlet att öka uppmärksamheten och engagemanget
synes vara att föreskriva att den registeransvarige upprättar en säkerhetsorganisation
med dokumenterade regler och ansvarsförhållanden. Enligt inspektionen
kan - i avvaktan på säkerhetsutredningar som bl. a. statskontoret
bedriver - de flesta i och för sig triviala men för säkerheten väsentliga
problemen lösas till en förhållandevis ringa kostnad genom att man fäster
den registeransvariges uppmärksamhet på frågan.
Beträffande motionsyrkandet angående gallringsbestämmelser och kodning
av personnummer anser datainspektionen inte att någon åtgärd från
riksdagens sida är erforderlig.
Inte heller vad gäller frågan om avidentifiering av t. ex. personregistren
från 1960, 1965 och 1970 års folk- och bostadsräkningar är det enligt datainspektionen
nödvändigt att riksdagen tar något initiativ. De ADB-register
som bildats med anledning av de nämnda folk- och bostadsräkningarna
innehåller förhållandevis få personuppgifter. Av verklig betydelse från integritetssynpunkt
blir dessa register först om de samkörs och individan
-
KU 1975:11
14
knutna förändringar registreras. Sådan samköming leder till att ett nytt personregister
skapas. Frågan om sådan samköming måste därför bli föremål
för prövning hos datainspektionen.
Inspektionen anser att ett ställningstagande till eventuell avidentifiering
eller förstöring av SCB:s långtidsarkiverade register och FOB 1960, 1965
och 1970 bör anstå tills den utredning som f. n. bedrivs med deltagande
från statistiska centralbyrån, riksarkivet och datainspektionen avslutats. Inspektionen
anför vidare:
När det gäller de 4 500 långtidsarkiverade magnetbanden, vilka torde motsvara
ca 900 personregister, är det i avvaktan på att resurserna medger en
närmare granskning av dem nödvändigt att praktiskt hantera frågan på sätt
tidigare nämnts. I den mån det visar sig möjligt bör sannolikt metoden
att avidentifiera registren tillämpas. Normalt bör avidentifiering medge att
informationen i registren bearbetas ytterligare. ADB-tekniken kan dock i
vissa fall öka möjligheterna att bakvägen återknyta informationen till vissa
individer. I dessa fall torde krävas förstöring av fler uppgifter än identitetsuppgifter
såsom personnummer och namn, exempelvis adress, yrke, titel,
ålder. I en del fall kan det då bli meningslöst att bevara registren. Problemen
med att bakvägen återidentifiera avidentifierad information skall dock inte
överdrivas. Redan mängden av register utgör ett skydd. Det innebär ett
stort besvär att bakvägen identifiera information. Före ADB-tekniken utgjorde
besväret att samla in information på samma sätt ett skydd.
Beträffande frågan om sekretessregler för dataprogram anför datainspektionen:
Många
bedömare med kvalificerad erfarenhet av och kunskap om säkerhetssystem
anser att ett säkerhetssystem som förlitar sig på sekretess
för systemets dokumentation, inklusive programmen, ej ger godtagbar säkerhet
med hänsyn till att den personkrets som måste ha tillgång till programmen
är stor. Utgångspunkten vid uppbyggnad av säkerhetssystemet
måste således vara att den som obehörigen eftersträvar åtkomst av data
förutsätts känna till programmen. Skydd uppnås då genom en sträng sekretess
för identifikationssystemet, dvs utdelade nycklar och koder, samt
reglerna för fördelning, spärr, utbyte, etc av dessa nycklar. Ett exempel
härpå kan vara överföring av hemliga data via telenätet som kan tillåtas
även om riskerna för avtappning av informationen är stor. Genom att data
krypterats med en nyckel som skyddas ytterst väl är det möjligt att tolka
informationen endast för dem som har tillgång till nyckeln.
Datainspektionen har ännu inte tillräckligt underlag för att bedöma om
myndigheternas dataprogram behöver sekretessbeläggas. Det kan möjligen
bli anledning att ta upp frågan i samband med behandlingen av OSK:s
betänkande.
JK anför att det i samband med en översyn av statistiksekretessen eller
i annat lämpligt sammanhang finns anledning att också göra en samlad
bedömning av behovet av personidentifieringsuppgifter i de register med
personinformation som ingår i SCB:s arkivstatistiska databank.
KU 1975:11
15
Skriftlig förklaring vid intervjuundersökningar angående frivillighet
Motionen
I motionen 1975:95 hemställs ”3. att riksdagen begär förslag av regeringen
till sådan lagändring att det vid frivilliga intervjuundersökningar där uppgifterna
läggs på data skall krävas en skriftlig förklaring av den intervjuade
att han/hon är medveten om att det inte föreligger någon skyldighet att
svara på intervjuarens frågor”.
Remissinstanserna
Såväl SCB som datainspektionen avstyrker motionsyrkandet. Datainspektionen
anför att inspektionen regelmässigt föreskrivit att den intervjuade
skall ges information om att medverkan är frivillig. Enligt inspektionen
skulle krav på en skriftlig förklaring kunna leda till en onödig byråkrati.
Tillsynsverksamheten bör kunna svara för att föreskrifterna följs.
SCB framhåller att intervjusituationen psykologiskt sett är ömtålig och
att förfarandet att begära en skriftlig förklaring från intervjupersonen att
han har mottagit viss information allmänt sett är ovanligt och tämligen
uppseendeväckande. Enligt SCB skulle en begäran om att underteckna en
skriftlig förklaring väcka undran och oro över innebörden därav. Detta skulle
sannolikt leda till en väsentlig ökning av bortfallet och därmed allvarligt
minska resultatens tillförlitlighet.
Frågor angående ”mjukdata" m. m.
Motionerna
I motionen 1975:69 hemställs ”3. att riksdagen ger regeringen till känna
vad i motionen anförts beträffande d) användningen av mjukdata,
0 översyn av gällande instruktion för datainspektionen”.
I motionen anförs vad beträffar ”mjukdata" att sådana ofta ger intryck
av att vara exakta och helt objektiva, medan i själva verket stora misstag
här kan ske. Enligt motionärerna bör t. v. all dataregistrering av mjukdata
förbjudas med undantag för sjukvården, där mjukdata i många fall kan
vara av stor betydelse.
I motionen anförs vidare att datainspektionen i sin tillståndsprövning
1 något fall varit alltför generös. Som exempel nämner motionärerna de
dataregister vilka förs i s. k. preventivt syfte, t. ex. för att göra det möjligt
för en kommun att bedöma om det i en framtid kan bli nödvändigt att
träda in med ekonomiskt eller annat stöd. De fördelar i planeringshänseende
som ett sådant register innebär är enligt motionärerna inte tillräckligt skäl
för att registrera enskilda personers privata förhållanden. Instruktionen för
datainspektionen bör bli föremål för översyn i detta hänseende.
KU 1975:11
16
1 motionen 1975:95 hemställs ”2. att riksdagen begär att regeringen låter
utarbeta riktlinjer för registrering av gruppdata som tar full hänsyn till den
enskildes önskemål”.
I motionen anförs att datorbearbetningar som innebär att vissa grupper
registreras kan innebära att enskildas intressen skadas. Det finns risk för
att den som registrerats som tillhörande en grupp med vissa egenskaper
eller samhällsåsikter i fortsättningen behandlas på ett sätt som bestäms av
gruppens verkliga eller påstådda uppförande, inte efter sina egna handlingar
eller egenskaper.
I motionen 1975:125 hemställs ”1. att riksdagen begär att regeringen låter
utarbeta riktlinjer för kodning och registrering av s. k. mjukdata som ger
en mer nyanserad bild av den enskilde i enlighet med vad som anförts
i motionen, 3. att riksdagen begär att regeringen på lämpligt sätt utreder
frågan om patienters rätt att vägra låta sig dataregistreras inom sjukvården”.
1 motionen påpekas att data ofta inte är så exakta som de ger intryck
av att vara. T. o. m. en uppgift som födelsedatum kan vara kontroversiell.
Svårigheterna att bedöma kvaliteten på olika uppgifter är särskilt stora när
de grundar sig på subjektiva bedömningar av olika slag. Enligt motionen
måste det för att man skall erhålla rimlig kvalitet på data finnas en typ
av kodning som ger utrymme för olika bedömningar av samma data eller
på något sätt anger osäkerhetsgraden.
1 motionen anförs vidare att sjukvårdsdata är särskilt känsliga för medborgarna.
Det förekommer därför att patienter vägrar läkaren att lägga uppgifter
om deras hälsotillstånd och genomgången sjukvård på data. Hur läkaren
i detta fall skall förfara är en olöst fråga. Enligt motionen måste
dessa frågor debatteras och komma till en rimlig lösning.
Remissinstanserna
SCB framhåller att beteckningen mjukdata inte har någon preciserad innebörd.
Gränsen mot de s. k. hårddata är både principiellt och praktiskt
oklar och svår att definiera. Beträffande användningen av mjukdata för
statistiska ändamål anför SCB:
Sett ur SCBs synpunkt är mjukdata i ovan angiven bemärkelse uppgifter
som är användbara och nödvändiga för statistiken på samma sätt som andra
typer av uppgifter, dvs alltefter det samhälleliga intresset för information
grundat på dessa och möjligheterna till bedömning av deras tillförlitlighet.
Exempelvis är uppgifterna om betyg ett av underlagen för undervisningsstatistiken
och uppgifterna om människors inställning till olika företeelser
ett viktigt inslag i åtskilliga intervjuundersökningar, bl a med inriktning
på människors välfärd. Medan det med visst fog kan hävdas att ”mjukdata”
om individen kan vid direkt användning i förhållandet till denne lända
honom till skada, särskilt om de är gamla eller/och misstolkas, kan någon
skada av användningen av sådana data för statistiska ändamål icke uppstå
för den enskilde individen.
KU 1975:11
17
JK anför beträffande användningen av mjukdata:
Även de frågor om s. k. mjukdata som berörs i en av motionerna bör
anstå till dess en mer generell översyn av datalagen kommer till stånd.
För närvarande får datainspektionens prövning anses innefatta en tillräcklig
kontroll av det hithörande informationsflödet. Jag tror för min del, att det
inte finns någon möjlighet att begränsa mjukdataregistreringen till sjukvårdsområdet.
Uppenbarligen finns också andra samhällsområden där en
sådan registrering ter sig legitim och motiverad.
Datainspektionen anför beträffande användningen av mjukdata:
Inspektionen biträder i stort sett de synpunkter som lagts fram i motionerna.
I varje ärende kontrolleras noga huruvida mjukdata avses förekomma
i registret, undersöks om uppgiften verkligen behövs för registerändamålet
och, om så är fallet, prövas uppgiftens formulering och innebörd.
1 åtskilliga fall har detta medfört att uppgiften utgått. Det torde i stort sett
vara riktigt att, som anförs i motionen nr 69, mjukdata behövs främst inom
sjuk- och hälsovården. Det kan dock inte uteslutas att mjukdata är av värde
på andra områden och kan användas där utan risk för otillbörligt integritetsintrång.
Innan ökad erfarenhet vunnits, och för att möjliggöra sådan
erfarenhet bör därför f n inte införas det i samma motion önskade absoluta
förbudet mot mjukdata.
Den i motionen nu nämnda möjligheten att i registren genom kodning
ange osäkerhetsgraden i mjukdata bör också undersökas närmare. Exempel
finns på att lösningar står att finna. Datainspektionen är beredd att föranstalta
om en sådan undersökning i samband med det arbete på personregistren
inom sjukvårdens område som bedrivs i samarbete med SPRI och socialstyrelsen.
Beträffande motionsyrkandet angående registreringen av gruppdata anför
datainspektionen att de i motionen anförda önskemålen kan tillgodoses inom
ramen för datalagens nuvarande bestämmelser och att därför några särskilda
riktlinjer för närvarande inte behövs.
Beträffande de i motionen 1975:69 berörda dataregister som förs i preventiva
syften eller planeringssyften anför datainspektionen att vissa myndigheter
är skyldiga att bedriva uppsökande verksamhet för att tillgodose
eftersatta behov (exempel finns i socialhjälpslagen). Verksamhet av detta
slag underlättas eller möjliggörs av datatekniken. Datainspektionen har ännu
ej tillräcklig erfarenhet att bedöma register av här aktuellt slag. Om inspektionen
finner att generella riktlinjer av statsmakterna behövs på detta
område kommer inspektionen att förelägga regeringen därav föranledda förslag.
Datainspektionen anför avslutningsvis på denna punkt:
Motionen nr 69 synes i denna fråga bygga på uppfattningen att det skulle
föreligga något slags instruktion för hur datainspektionen skall avgöra olika
typer av ärenden. Inspektionen erinrar om att regeringens instruktioner för
myndigheterna innehåller endast förfarandeföreskrifter och att det inte ankommer
på regeringen att ge instruktioner för hur enskilda förvaltningsärenden
i sak skall avgöras av myndigheterna. I förevarande fall regleras
detta av datalagen. De avvägningar som här behövs kan göras inom ramen
1 * ' Riksdagen 1975. 4 sami. Nr 11
KU 1975:11
18
för datalagens lydelse. Någon lagändring behövs således inte och någon
i administrativ ordning meddelad instruktion lär som sagt inte komma i
fråga.
Datainspektionen avvisar tanken på att patienter på sjukhus skall kunna
vägra att ingå i de dataregister som krävs för vården. Detta skulle kräva
att manuella register fördes parallellt med dataregistren. Sådana register kan
enligt inspektionen lätt leda till större uppmärksamhet och därmed öka
risken för oavsiktlig åtkomst av detta. Datainspektionen fortsätter:
Riktigare synes vara att få till stånd lämpliga regler om sekretess och
tystnadsplikt och att se till att berörd personal följer reglerna, att noga pröva
de olika sjukvårdsregistrens ändamål och anpassa innehållet därefter, bl a
genom sträng prövning av mjukdata, att mot bakgrund av registerändamålet
noga bedöma hur länge patienterna behöver finnas registrerade samt att
omgärda registren med olika säkerhetsåtgärder. Allt detta sker genom den
verksamhet som pågår hos OSK respektive datainspektionen.
Frågor angående registerutdrag enligt datalagen m. m.
Motionerna
I motionen 1975:69 hemställs ”1. att riksdagen beslutar att besvärshänvisning
skall åtfölja det registerutdrag som begärs med stöd av 10!; datalagen".
1 motionen anförs att medborgare som enligt 10 § datalagen får tillgång
till registerutdrag om sig själv också samtidigt måste få information om
tillvägagångssätt för överklagande eller besvär. Motionärerna avser därmed
möjligheten att få felaktig uppgift i dataregistret rättad.
I motionen 1975:95 hemställs ”4. att riksdagen begär förslag från regeringen
om skyldighet för myndighet, som lämnar uppgift från sitt dataregister
om en person till en annan myndighet, att sända kopia av utlämnade uppgifter
till den person det gäller”.
I motionen 1975:1006 hemställs ”2. att riksdagen begär att regeringen
låter utarbeta föreskrifter om att vissa personregister åläggs skyldighet att
med viss periodicitet till samtliga registrerade skicka ut en kopia på de
uppgifter som finns registrerade”.
I motionen anförs att det är omöjligt för den enskilde att veta i vilka
av alla register han finns registrerad. De registerinnehavare som har tillgång
till s. k. känslig information enligt en klassning som f. n. pågår inom datainspektionen
bör enligt motionären åläggas att med viss periodicitet till
samtliga registrerade skicka ut en kopia av de uppgifter som finns registrerade
om den enskilde.
KU 1975:11
19
Remissinstanserna
SCB anför i sitt remissyttrande att besvärshänvisning inte kan lämnas
1 samband med att registrerad får del av innehållet i personregister, eftersom
en sådan information varken beträffande innehållet eller själva översändandet
grundar sig på överklagbara beslut av verket. Om den registrerade
önskar åstadkomma rättelse av felaktiga uppgifter i utdraget kan han eller
hon enligt SCB i stället söka åstadkomma detta genom ett påpekande därom
till den registeransvariga myndigheten. Enligt 8 S datalagen är denna skyldig
att om skäl föreligger rätta den felaktiga uppgiften eller utesluta den ur
registret. Myndighetens beslut med anledning av ett dylikt påpekande kan
överklagas.
SCB framhåller i sitt yttrande att den rätt som 10 S datalagen ger enskild
person att kostnadsfritt en gång om året erhålla utdrag med uppgifter om
sig själv ur ett personregister innebär stora kostnader för SCB. Hittills har
omkring 14 000 personer utnyttjat denna rättighet. Kostnaden för SCB är
ca 130 kr. per förfrågan. SCB anför vidare:
SCB bedömer för sin del effekten av den införda regeln enligt 10 $ datalagen
på sitt förhållande till uppgiftslämnarna som positiv. Kostnaderna
härför är emellertid höga och har för budgetåret 1975/76 beräknats till ca
2 milj. kr., jämför statsverkspropositionen bilaga 9 s. 24. Tekniskt sett möter
det för SCB:s del inget hinder att vare sig lämna meddelanden ur personregister
regelbundet eller vid vissa särskilda tillfallen utan att en begäran
framställts. Kostnaderna härför måste dock bli mycket stora och det får
anses tveksamt om de står i rimlig proportion till motsvarande nytta för
den enskilde. Det sagda gäller också den väckta frågan om att införa skyldighet
för myndighet att lämna uppgift till den enskilde så snart uppgiften
lämnats till annan myndighet; är det fråga om sekretessbelagda uppgifter
skulle en sådan skyldighet sakna praktisk betydelse för SCB då sådana utlämnanden
i princip inte förekommer. Gäller det offentliga uppgifter kan
viss praktisk effekt uppstå främst i anslutning till urvalsdragningar för annan
myndighets räkning. Det är då emellertid fråga om ytterst få och enkla
uppgifter av typen namn, adress, födelsedatum och civilstånd, vilka sett
ur den enskildes synpunkt torde sakna intresse.
Datainspektionen finner det tvivelaktigt om det behövs ett tillägg till
10 § datalagen av innebörd att underrättelse enligt 10 § skall innehålla besked
om hur den registrerade skall förfara om han vill göra anmärkning mot
registerinnehållet. Några hinder mot ett sådant tillägg finns emellertid inte
enligt inspektionen. De kostnadsökningar som skulle följa av en sådan bestämmelse
skulle sannolikt bli måttliga. Datainspektionen avseratt överväga
frågan i samband med den totala utvärdering av datalagen som avses ske
under år 1975.
Beträffande motionsyrkandena angående utdrag till registrerade när dataregistrerade
personuppgifter överlämnas från en myndighet till en annan
och yrkandet om registerutdrag till alla registrerade utan begäran från dessa
anför datainspektionen att kostnaderna skulle bli alltför stora i förhållande
KU 1975:11
20
till de fördelar som kan vinnas vad gäller integritetsskyddet. Datainspektionen
föreslår därför en annan lösning:
Ett alternativt och enligt datainspektionens mening effektivare sätt att
nå det syfte motionärerna synes ha med förslagen är att intensifiera och
utöka den information till allmänheten om befintliga dataregister som inspektionen
avser föra ut under år 1975. Många människor har helt naturligt
ansett att 10 ij datalagen har ett begränsat värde så länge kunskap saknas
om vilka register som finns och vilka individer som förekommer i dessa.
Den information härom som kommer att ges kan självfallet - inom ramen
för tillgängliga resurser - vidgas till att omfatta exempelvis uppgifter om
vilket datautbyte som sker mellan myndigheter, vilket ändamål registren
har, hur bearbetning sker, etc. Sådan mycket omfattande information torde
kunna ges till en bråkdel av den kostnad samhället skulle åsamkas genom
en generell regel av den innebörd som föreslås i motionerna och samtidigt
ge ett betydligt bättre underlag för samhällsdebatt och opinionsyttringar.
Inrättande av en dataombudsman
Motionen
I motionen 1975:95 hemställs ”13. att riksdagen begär förslag av regeringen
om inrättande av en dataombudsman med uppgift att övervaka efterlevnaden
av datalagstiftningen och därvid besvärsvägen tillvarata den enskildes
rätt till integritet”.
1 motionen anförs att det med hänsyn till de invecklade och svåröverskådliga
problem som kan uppstå när dataregister på olika sätt sammanförs
och bringas att samarbeta - och där bl. a. en inte obetydlig kunskap om
datateknikens möjligheter och begränsningar är nödvändig för den som skall
handlägga hithörande ärenden - är orimligt att begära att JO och JK skall
samla tillräcklig erfarenhet och sakkunskap för att fullgöra sina uppgifter
med granskning av ärenden också på dataområdet.
Frågans behandling vid 1974 års riksdag
Frågan om att inrätta en särskild dataombudsman aktualiserades vid såväl
1973 som 1974 års riksdagar. Motionsyrkande (fp) därom avslogs 1973. Vid
1974 års riksdag avstyrkte konstitutionsutskottet motionsyrkanden (fp, m)
i denna del med motiveringen att tillsyn på detta område utövas av såväl
JO och JK som datainspektionen. Utskottet anförde bl. a.:
Datainspektionen understryker i sitt remissyttrande att dess verksamhet
i stor utsträckning hittills har inriktats på att inspektionen skall kunna fungera
som en ”allmänhetens dataombudsman”. Denna uppgift är enligt datainspektionen
inte oförenlig med skyldigheten att i varje särskilt fall med
den objektivitet som är möjlig göra avvägningar mellan skilda intressen.
Såvitt datainspektionen kunnat finna under sin hittillsvarande verksamhet
motsvarar den gällande ordningen i fråga om rättssäkerhet, kontroll, tillsyn
och besvärsrätt väl de anspråk som med fog kan ställas. Det finns enligt
KU 1975:11
21
datainspektionen ännu inget sakligt underlag för organisatoriska förändringar.
Sådana skulle enligt vad datainspektionen uttalar i det rådande uppbyggnadsskedet
sannolikt försvåra verksamheten.
Datainspektionen framhåller vidare att JO:s tillsyn över myndigheterna
i förevarande sammanhang kan sägas bestå av två led. Det ena innebär
att JO övervakar att de myndigheter, som är ansvariga för ADB-register,
följer gällande bestämmelser om bl. a. skydd för personlig integritet. Denna
tillsynsuppgift tillkommer enligt datalagen även datainspektionen. Det andra
ledet i JO:s tillsyn innebär att JO, som har tillsyn över alla myndigheter,
övervakar att datainspektionen fullgör sin tillsynsuppgift. Eftersom datainspektionens
tillsyn omfattar även den enskilda sektorn kan JO:s övervakning
av inspektionen sägas indirekt innebära tillsyn även inom denna
sektor.
Datainspektionen befinner sig ännu i ett uppbyggnadsskede, och datalagen
träder i sin helhet i kraft först vid halvårsskiftet 1974. Såväl JO som JK
har enligt gällande ordning vittgående befogenheter med avseende på tillsyn
och kontroll inom ADB-området. Med hänsyn härtill och till vad datainspektionen
anfört i sitt remissyttrande är det enligt utskottets mening
inte förenat med risk för åsidosättande av allmänhetens intressen att hålla
frågan om att inrätta ett sådant organ som åsyftas i motionerna öppen i
avvaktan på erfarenheter av den nya lagstiftningen.
I en reservation (2 m, 1 fp) föreslogs att riksdagen skulle hemställa hos
Kungl. Maj:t om ett förslag till riksdagen om inrättande av en dataombudsman.
1 motiveringen anförde reservanterna bl. a.:
Med hänsyn till de invecklade och svåröverskådliga problem som kan
uppstå när dataregister på olika sätt sammanförs och bringas att samarbeta
- och där bl. a. en inte obetydlig kunskap om datateknikens möjligheter
och begränsningar är nödvändig för den som skall handlägga hithörande
ärenden - är det orimligt att begära att JO och JK skall samla tillräcklig
erfarenhet och sakkunskap för att fullgöra sina uppgifter med granskning
av ärenden också på dataområdet.
Det är mer tillfredsställande för allmänheten att kunna framföra frågor
och klagomål över datainspektionens arbete med integritetsfrågorna till en
fristående institution än att behöva gå till detta ämbetsverk självt. Detta
torde även öka rättssäkerheten.
Riksdagen beslöt i enlighet med utskottets förslag.
Remissinstanserna
Datainspektionen anför i sitt yttrande att det vore olyckligt att splittra
den ”förhållandevis fåtaliga” sakkunskap som f. n. finns på detta område
genom inrättande av ytterligare en myndighet. Inspektionen uttalar vidare
att den informationskampanj som genomfördes under 1974, och där inspektionens
funktion som ”allmänhetens dataombudsman” framhävdes, resulterat
i att en stor del av allmänheten i dag betraktar inspektionen som
en sådan. Datainspektionen anför avslutningsvis:
Datainspektionen anser sig således nu ha än bättre grund än i yttrandet
år 1974 för att konstatera att den nu gällande ordningen väl motsvarar de
KU 1975:11
22
anspråk som med fog kan ställas i fråga om rättssäkerhet, kontroll, tillsyn
och besvärsrätt samt att organisatoriska förändringar sannolikt skulle försvåra
den verksamhet hos inspektionen som nu kommit i gång på ett tillfredsställande
sätt.
Även JK avstyrker att en särskild dataombudsman inrättas. JK utesluter
inte att andra arrangemang senare kan visa sig vara mer ändamålsenliga
än nu gällande ordning, men t. v. bör prövning av detta anstå. JK
framhåller att det egentligen är först under andra halvåret 1974 som datainspektionens
tillsynsverksamhet varit av större omfattning.
Ekonomiska resurser lill datainspektionen
Budgetpropositionen
I budgetpropositionen (1975:1, bilaga 4 p. A 9) hemställs att riksdagen
till datainspektionen för budgetåret 1975/76 skall anvisa ett förslagsanslag
av 3 318 000 kr.
Datainspektionen, som inrättades den 1 juli 1973, har som central förvaltningsmyndighet
att pröva frågor om tillstånd och utöva tillsyn enligt
datalagen (1973:289), kreditupplysningslagen (1973:1173) och inkassolagen
(1974:182).
Datainspektionen leds av en styrelse. Inom inspektionen finns en enhet
för tillståndsärenden, en enhet för tillsynsärenden samt ett sekretariat för
information, intern utbildning samt ekonomi och personaladministrativa
uppgifter.
I fråga om motiveringen till anslagsyrkandet hänvisas till budgetpropositionen
i aktuell del.
Motionerna
1 motionen 1975:69 hemställs ”3. att riksdagen ger regeringen till känna
vad i motionen anförts beträffande e) ekonomiska resurser till datainspektionen”.
I motionen anförs att det är nödvändigt att datainspektionen ges sådana
ekonomiska resurser att den blir i stånd att genom uppsökande verksamhet
övervaka upprättade personregister och föranstalta om åtgärder när så är
befogat och framförallt innan allvarlig skada för enskilda personers integritet
har uppstått.
Motionärerna anför vidare att det bl. a. av hänsyn till medborgarnas förtroende
för inspektionens funktion som allmänhetens dataombudsman är
viktigt att ärendebalansen håller kortaste möjliga tidsrymd. Motionärerna
förordar att datainspektionen ges sådana ekonomiska och personella resurser
att frågan om tillstånd för de register som anmälts senast den 31 december
1974 skall vara avslutad inom ett år därefter.
I motionen 1975:1006 hemställs ”1. att riksdagen som sin mening ger
KU 1975:11
23
regeringen till känna vad som i motionen anförts i avsnittet Information,
3. att riksdagen begär att regeringen låter utreda möjligheterna att överföra
kostnaderna för datainspektionens verksamhet på datortillverkare
och/eller datorinnehavare i enlighet med vad som i motionen anförts i
avsnittet Utredning om kostnadsbärare".
1 motionen anförs att datainspektionens informationskampanj från föregående
år angående medborgarnas rättigheter enligt datalagen måste fortsättas.
De resurser som enligt datainspektionens budgetäskande för 1975/76
beräknas för informationskostnader innebär enligt motionären en helt otillräcklig
ambitionsnivå.
I motionen anförs vidare att datoriseringen av samhället drar med sig
kostnader som skattebetalarna får bestrida över statsbudgeten. Enligt motionären
är det rimligt att i stället datortillverkare och användare får bära
kostnaderna för att upprätthålla kontroll över verksamheten så att inte enskilda
drabbas av systemets negativa sidor.
Datainspektionen
Datainspektionen anför i sitt remissyttrande att tillströmningen av ärenden
blivit större än beräknat. Fram till årsskiftet 1974/1975 inkom sammanlagt
drygt 14 000 ärenden, varav merparten var ansökningar om tillstånd för
eller anmälningar av personregister. Ansökningarna enligt datalagen har
i mer än 12 000 fall gjorts enligt det s. k. förenklade förfarandet. Antalet
register som är av särskilt integritetskänslig karaktär uppskattas av datainspektionen
till ca 2 000. Fram till årsskiftet 1974/1975 har omkring 2 000
ansöknings- eller anmälningsärenden handlagts. Beträffande tidsplanen för
bedömningen av de hittills anmälda tillståndsärendena anför datainspektionen
följande:
Många av tillståndsärendena kräver kompletteringar innan de kan avgöras.
Detta gäller naturligtvis i första hand ansökningarna angående personregister
med djup och bred information, men även många av dem som omfattas
av det förenklade ansökningsförfarandet. Under förutsättning att detta kompletteringsarbete
flyter någorlunda smidigt samt att nuvarande resursfördelning
mellan tillstånds- och tillsynsenheterna kan bibehållas bör merparten
av balansen kunna avarbetas under 1975.1 vart fall gäller detta ansökningarna
enligt det förenklade förfarandet. Beträffande de mer omfattande registren
krävs ofta långa och ingående diskussioner med de registeransvariga. Dessutom
är det vanligt att dessa register fortlöpande utvecklas vidare, vilket
medför att de registeransvariga under handläggningen en eller flera gånger
kompletterar ansökningarna.
Det är emellertid tveksamt om nuvarande resursfördelning mellan tillstånds-
och tillsynsenheterna bör bibehållas. F. n. disponerar tillståndsenheten
70-80 procent av resurserna. Avsikten med det förenklade förfarandet
är att för de från integritetssynpunkt mindre intressanta personregistren undvika
onödigt besvär för de registeransvariga och en i flertalet fall onödig
byråkrati som skulle kunna uppkomma vid det principiellt gällande mera
omfattande ansökningsförfarandet. Den prövning som sker är alltså och
KU 1975:11
24
bör vara ganska summarisk. Av detta skäl finns det anledning att i proportionellt
sett fler fall än beträffande övriga personregister låta dessa register
bli föremål för tillsyn.
Beträffande yrkandet i motionen 1975:1006 angående en ökning av datainspektionens
informationsverksamhet anför inspektionen att det här är
fråga om en avvägning dels i förhållande till andra angelägna arbetsuppgifter,
eftersom informationsåtgärder kräver personalinsatser, dels i förhållande till
behovet av information på andra samhällsområden. Enligt inspektionens
uppfattning krävs det omfattande information gentemot allmänheten i datafrågor,
och inspektionen uppger sig med uppmärksamhet följa frågan om
informationsbehovet.
Att på sätt som diskuteras i motionen 1975:1006 överföra kostnaderna
för tillsynen enligt datalagen på de olika registerinnehavarna, t. ex. genom
årliga avgifter, synes enligt datainspektionen bli administrativt ohanterligt.
Det finns f. n. närmare 15 000 personregister av de mest varierande slag.
Befintliga register förändras fortlöpande eller upphör och nya tillkommer
hela tiden.
Regionalisering av dataverksamheten
Motionen
I motionen 1975:69 hemställs ”2. att riksdagen beslutar uppdra åt regeringen
att utreda och komma med förslag till en decentraliserad organisationsform
för dataverksamheten i landet i enlighet med vad som i motionen
anförts. 3. att riksdagen ger regeringen till känna vad i motionen
anförts beträffande a) inrättandet av regionala ansvarsnämnder”.
I motionen anförs att dataverksamheten i landet bör ges en organisation
som så långt det är möjligt är ägnad att oberoende av den tekniska utvecklingen
motverka varje hot om minskat skydd för den personliga integriteten.
Enligt motionerna uppnås detta skydd bäst i en decentraliserad
organisation. Organisationen bör bygga på regionalt avgränsade system, där
särskild nyckel måste krävas för att få fram databehandlat material från
en annan region. Det måste enligt motionen slås fast att en terminal innehållande
personuppgifter om samtliga medborgare i riket inte kan tillåtas.
Enligt motionärerna talar även kostnadsskäl för små, regionalt avgränsade
enheter.
I motionen föreslås vidare att ett särskilt regionalt organ, en ansvarsnämnd,
skall inrättas för varje region med uppgift att utöva den medborgarkontroll
som måste krävas när regiongränser skall överskridas.
Remissinstanserna
DASK avstyrker motionsyrkandet om en utredning av en decentraliserad
organisationsform för dataverksamheten i landet. Utredningen, som i januari
KU 1975:11
25
1975 avgivit promemorian ”Samordning av statliga adminstrativa ADBsystem,
” anför att en regionalisering av de statliga riksomfattande administrativa
ADB-systemen i huvudsak endast kan avse en regional uppdelning
av själva driften innebärande att driftspersonal och datorutrustning förläggs
till regionala enheter. Det finns nämligen enligt DASK:s mening avgörande
skäl för central systemutveckling även i framtiden vad gäller denna typ
av register. En regional utveckling av system för varje region för sig skulle
bl. a. innebära ett avsevärt dubbelarbete samtidigt som lagstiftning och materiella
regler är gemensamma för hela landet.
DASK ifrågasätter också om en regionalisering av datasystemen skulle
innebära lägre kostnader. Vad gäller konsekvenserna för integritetsfrågorna
av en decentralisering av dataverksamheten anför DASK:
Frågan om decentralisering av dataverksamheten tas i motionen främst
upp från integritetssynpunkt. DASK redogör därför något utförligare för
denna aspekt. (Följande är en sammanfattning av vad som sägs i DASK:s
ovan nämnda promemoria, avsnitt 6.7) Tillspetsat kan sägas att riskerna
blir större ju fler data om ett informationsobjekt (en individ, ett företag
o. d.) som samlas till ett ställe, ju mer data i olika ADB-system kompletterar
varandra i fråga om innehåll och ju mer ”kompatibla” ADB-systemens
databehandlingsutrustningar är. Det kan å andra sidan i vissa avseenden
bli enklare och mindre kostnadskrävande att åstadkomma ett effektivt skydd
om databehandlingen koncentreras till ett fåtal anläggningar. Detta skydd
kan avse såväl att omge lokaler och utrustning med anordningar, som säkerställer
att obehöriga personer inte kan komma åt exempelvis magnetband
och utdataprodukter, som att bygga in kontroller och spärrar i systemets
maskin- och programvaror.
I de nuvarande riksomfattande administrativa ADB-systemen - med
undantag främst för systemet för folkbokföring och beskattning-är lagringen
och bearbetningen av data antingen samlad till en i huvudsak egen anläggning
hos en myndighet eller annat organ eller förlagd till en datamaskincentral
där systemen ofta delar datorutrustning med andra system och
rutiner. Systemen innehåller data för hela landet. Systemens datainnehåll
är i regel relativt begränsat till sin ”bredd”, dvs. det avser bara vissa förhållanden
t. ex. data som behövs inom en viss förvaltningssektor såsom
socialförsäkringsområdet eller data rörande ett visst objekt såsom fastighet
eller bil.
Vid en likformig regionalisering av flera administrativa ADB-system till
gemensamma regionala databehandlingsorgan blir visserligen det geografiska
området och följaktligen antalet berörda personer mindre men data
som rör varje person blir i gengäld betydligt flera och täckande flera egenskaper
och förhållanden. Särskilt om berörda system är samordnade tekniskt
och utnyttjar gemensamma datorer bör alternativet likformig regionalisering
snarast vara sämre från integritetssynpunkt än den nuvarande ordningen,
i vilken innehållsmässigt avgränsade och lokalt åtskilda system med centraliserad
databehandling dominerar. Eftersom man vid regionalisering dessutom
kommer att behöva åtminstone vissa referensregister, blir det lätt
att ta reda på var uppgifter om en sökt person finns. Uppdelning av databehandlingen
på regionala enheter medför sålunda inte något faktiskt integritetsskydd
på det sätt som t. ex. var fallet med de tidigare länsvis förda,
manuella körkortsregistren.
KU 1975:11
26
Under förutsättning att en likformig regionalisering inte innebär gemensam
lagring och bearbetning av data för flera riksomfattande statliga administrativa
ADB-system och inte heller innebär att man fritt förfogar över
data i dessa system även för samhällsplaneringen vill DASK för sin del
emellertid inte tillmäta integritetsfrågorna någon avgörande betydelse i detta
sammanhang.
Datainspektionen ifrågasätter möjligheten att pröva decentraliseringsfrågan
generellt för alla dataregister. Inspektionen anför beträffande denna fråga
bl. a.:
För vissa ändamål är det både nödvändigt och rationellt med centrala
register och sådana kan då också anordnas utan risk för otillbörligt intrång
i personlig integritet. Som exempel kan nämnas datainspektionens hos regeringen
framlagda förslag om inrättande av ett centralt uppdateringsregister.
Vidare skulle ett decentraliserat system med avgränsade regioner vara i
det närmaste ohanterligt i de fall där de personer som bör vara registrerade
för ett visst ändamål är spridda över hela landet. Detta är mycket vanligt
i fråga om det stora antal personal-, kund- och medlemsregister som förekommer
inom både den offentliga och privata sektorn. Avgränsade regioner
skulle i dessa fall medföra byråkrati och kostnader utan motsvarande
gagn för integritetsskyddet.
Datainspektionen anser således att decentraliseringsfrågan bör bedömas
beträffande varje ADB-system för sig.
Tillståndskrav för manuella register
Motionerna
I motionen 1975:69 hemställs ”3. att riksdagen ger regeringen till känna
vad i motionen anförts beträffande c) anmälningsplikt för innehavare
av maskinella personregister som utnyttjas såsom dataregister”.
I motionen anförs att den tekniska utvecklingen gör det möjligt att
utarbeta tekniska system för personregistrering, t. ex. det s. k. mikrofichesystemet
som inte omfattas av datalagens bestämmelser. Om inte datalagen
kompletteras så att även sådana nya system omfattas av denna kan riskerna
för människors personliga integritet snabbt öka i takt med att nya tekniska
metoder utarbetas. 1 motionen föreslås att en anmälningsplikt införs även
för maskinellt uppgjorda personregister. Enligt motionärerna bör en anmälningsplikt
också gälla vid patentsökning av nya registersystem hos patentoch
registreringsverket. Motionärerna föreslår att DASK genom tilläggsdirektiv
får i uppgift att genomföra den nödvändiga översynen av datalagen
i detta ämne.
I motionen 1975:991 hemställs med hänvisning till vad som anförts i
motionen 1975:1362 ”att riksdagen hos regeringen begär att ett lagförslag
utarbetas, syftande till att ett likartat skydd mot ovidkommande personregistrering
skall gälla för alla slags register, såväl datororienterade som andra”.
I motionen 1975:1362 anförs att datalagen snarast bör utvidgas så att
den omfattar samtliga personbundna register, dvs. även sådana som ej är
KU 1975:11
27
tillgängliga för omedelbar automatisk databehandling. Enligt motionen kan
dagens och framförallt morgondagens informationsbehandlingsmetodik utnyttja
elektroniska hjälpmedel utan att register av den art som f. n. täcks
av datalagen är nödvändiga.
Remissinstanserna
DASK avstyrker yrkandet i motionen 1975:69 angående tilläggsdirektiv
till DASK med motiveringen att utredningens arbete inte tagit sikte på
integritetsfrågorna.
JK anför i sitt yttrande vad gäller dataregistrering med hjälp av mikrofichesystem
och liknande:
Jag vill inte bestrida, att den snabba tekniska utvecklingen kan ge anledning
till oro från integritetsskyddssynpunkt. För närvarande torde dock
ett utnyttjande av mikrofiche-systemet eller annat likvärdigt system som
alternativ till ett stort ADB-system knappast vara lönsamt, varför problemet
nu är mer teoretiskt än praktiskt. Frågan förtjänar dock redan nu uppmärksamhet,
särskilt på grund av möjligheterna att kombinera ADB-teknik och
mikrofiche-teknik. Lämpligen skulle frågan kunna övervägas inom ramen
för en sådan allmän översyn av datalagen som ovan förutskickats skall
komma.
Datainspektionen redogör i sitt remissyttrande för den tekniska utvecklingen
på detta område. Vad gäller möjligheterna att lagstifta på detta område
anför inspektionen:
Lagtekniskt föreligger följande svårigheter. Det tillståndssystem, som f. n.
råder enligt datalagen, kan inte rimligen göras tillämpligt på alla andra typer
av register, stora som små. Att i lag åstadkomma en rimlig avgränsning
av tillståndspliktiga manuella och andra register torde vara en omöjlig uppgift.
Däremot vore det kanske möjligt att under tillståndstvång lägga alla
icke-ADB-register som på något sätt har samband med ADB-register; det
kan också övervägas tillståndstvång för icke-ADB-register i vissa branscher
eller för vissa ändamål. En lösning är att inte införa tillståndstvång för
alla register men i stället ge tillsynsmyndigheten laglig befogenhet att ingripa
med föreskrifter eller förbud mot icke-ADB-register, om i särskilda fall risk
för otillbörligt integritetsintrång föreligger eller sådant intrång ägt rum.
Datainspektionen överväger fortlöpande, mot bakgrunden av framväxande
erfarenheter, behovet av kontroll över de personregister som inte förs
med ADB. När tillräckligt underlag föreligger kommer inspektionen att förelägga
regeringen erforderliga förslag.
Risker för s. k. databrott
Motionen
I motionen 1975:95 hemställs ”11. att riksdagen som sin mening ger
regeringen till känna vad i motionen anförts om förebyggande av brottsrisker
i samband med användningen av elektroniska betalningsmedel och
affärsdokument, 12. att riksdagen begär att regeringen låter genomföra nog
-
KU 1975:11
28
grann granskning av säkerhetsproblemen innan ett allmänt datanät upprättas,
så att man inte därigenom släpper lös en rad nya möjligheter till
förmögenhetsbrott och industrispionage”.
I motionen föreslås att varje beslutad eller påtänkt utvidgning av användningen
av elektroniska betalningsmedel eller affärsdokument skall åtföljas
av en noggrann utredning om hur sårbarheten för nya typer av förmögenhetsbrott
därigenom ökas och vad man kan göra för att förhindra
detta. Motionärerna anser också att man innan ett allmänt datanät sätts
i gång måste tillfredsställande lösa alla säkerhetsfrågor, så att inte en rad
nya möjligheter till förmögenhetsbrott och industrispionage skapas.
Datainspektionen
Vad gäller de i motionen 1975:95 aktualiserade frågorna angående risken
för s. k. databrott i samband med att ett allmänt datanät upprättas samt
i samband med användningen av elektroniska betalningsmedel och affärsdokument
anför datainspektionen att det är angeläget att diskussioner om
datanätets egenskaper och dess eventuella konsekvenser intensifieras och
förs i en bred krets av experter, användare och beslutsfattare. Det enligt
inspektionen främsta skälet till vaksamhet och beredskap inför det nya utvecklingssteg
som datanätet representerar är de nya och enligt yttrandet
svåröverskådliga möjligheter till sammankoppling av information från olika
databanker som det nya nätet på sikt kommer att erbjuda.
Datainspektionen anför också att den i motionen önskade granskningen
av säkerhetsproblemen i samband med det allmänna datanätet torde kunna
ske genom samarbete mellan televerket och inspektionen samt övriga intressenter.
Datainspektionen anser inte att tillkomsten av ett allmänt datanät innebär
någon principiell skillnad såvitt rör förebyggande och avslöjande av databrott.
I datainspektionens fortlöpande tillsyn av befintliga register tas frågorna
om skydd mot brott av här diskuterat slag ofta upp med de registeransvariga.
Behovet av internationellt datasamarbete
Motionen
I motionen 1975:69 hemställs ”3. att riksdagen ger regeringen till känna
vad i motionen anförts beträffande h) behovet av internationellt samarbete
på datateknikens område”.
Motionärerna anför att det är av utomordentligt stor betydelse att internationella
konventioner kommer till stånd på datateknikens och det därmed
sammanhängande integritetsskyddets område. Enligt motionen måste
dessa konventioner i första hand vara inriktade på att stärka skyddet för
de enskilda medborgarnas integritet, men därutöver är det väsentligt att
ett internationellt skydd mot avtappning (obehörig åtkomst) av data
åstadkommes.
KU 1975:11
29
Remissinstanserna
DASK anför vad gäller behovet av internationella konventioner på datateknikens
område:
DASK delar uppfattningen att det är angeläget att få till stånd internationella
konventioner på datateknik- och datakommunikationsområdet.
Som antyds i motionen måste man dock räkna med att detta kommer att
ta relativt lång tid bl. a. på grund av att andra länder i allmänhet inte ägnat
samma intresse som Sverige åt att reglera användningen av datatekniken
för att skydda den personliga integriteten. Frågorna om internationella konventioner
har uppmärksammats i bl. a. OECD:s arbete i vilket Sverige aktivt
medverkar. Bl. a. har inom OECD bildats en arbetsgrupp, i vilken datainspektionen
ingår, i syfte att få fram internationella konventioner vad gäller
integritetsfrågorna i samband med ADB. DASK räknar med att frågorna
i förekommande fall även kommer att uppmärksammas i statskontorets
säkerhetsprojekt. Vidare bevakas dessa frågor av televerket som har ett nära
samarbete med de övriga nordiska länderna - det gäller inte minst i fråga
om det planerade allmänna datanätet - och som aktivt deltar i det internationella
arbetet med dessa frågor. 1 det här sammanhanget kan även nämnas
det arbete som bedrivs på dataområdet inom de internationella standardiseringsorganisationerna
och i vilket Sverige på olika sätt deltager.
Datainspektionen redogör i sitt remissyttrande för de initiativ som tagits
till samarbete inom OECD och Europarådet. Inspektionen anför vidare att
lagstiftningsarbete inom dataområdet utreds eller planeras inom flera av
medlemsländerna i dessa organisationer. Inspektionen deltar aktivt i det
internationella samarbete som hittills kommit i gång. Datainspektionen anför
bl. a.
I avvaktan på internationella överenskommelser har datainspektionen intagit
en synnerligen restriktiv hållning till frågor om medgivande till databehandling
utomlands (11 § datalagen). Endast enstaka ärenden har hittills
prövats, varvid några ansökningar bifallits och ett par avslagits. Ytterligare
ärenden skall inom kort behandlas. De avser bl. a. kundregister, personalregister,
reskontrarutiner och forskningsregister. Upplysningsvis skall också
nämnas att ansökningar om tillstånd att föra personregister inkommit från
en del utländska företag som utför sin databehandling i Sverige.
Datainspektionen förutsätter att någon svensk anslutning inte sker till
det nordiska eller det europeiska datanät, som planeras bli genomfört till
slutet av 1970-talet, innan giltiga konventioner föreligger. Konventionstexten
bör inte bara omfatta regler till skydd för integriteten gentemot databanker
utan också regler om kontroll av i vilken omfattning och på vilka
grunder ADB-baserad personinformation får föras över gränser och lagras
i andra länder än det där registrerad person är bosatt.
Datainspektionen vill kraftigt understryka vad som framgår av den här
lämnade redogörelsen, nämligen att förhållandena utomlands på dataområdet
har direkt betydelse för det integritetsskydd som vi i vårt land vill
tillförsäkra medborgarna genom datalagen och att detta samband fortlöpande
ökar i betydelse. Internationella initiativ från Sverige på detta område är
därför också ett påtagligt nationellt svenskt intresse vid sidan av de allmänna
intressen som ligger till grund för Sveriges medverkan i internationellt arbete.
Redan nu kan nämnas att ett fortlöpande arbete med jämförande studier
KU 1975:11
30
av lagstiftning och lagförslag samt viss datateknik i olika länder samt utarbetande
av utkast på grundval härav borde påbörjas snarast om Sverige
anses böra vara initiativtagare i fråga om internationella överenskommelser.
Datainspektionen känner sig ansvarig för att sådana initiativ aktualiseras
och kommer i mån av förmåga att hos statsmakterna föreslå de åtgärder
och därav föranledda resurser som behövs.
De anställdas inflytande över dataverksamheten
Motionen
I motionen 1975:95 hemställs ”9. att riksdagen begär förslag av regeringen
om sådan lagändring att företagsnämndens yttrande skall åtfölja begäran
om tillstånd hos datainspektionen om att få inrätta personregister över anställda,
10. att riksdagen begär att regeringen i det pågående arbetet med
fördjupad arbetsdemokrati även uppmärksammar hur de anställda skall få
större inflytande över datoriseringen på arbetsplatserna samt hjälp med information
och utbildning för att kunna hävda sina synpunkter.”
Motionärerna anför i motiveringen att de anställda bör ha rätt till aktiv
medverkan vid varje mera genomgripande datorisering av arbetsplatsen via
deras lokala fackorganisation som en del av dess normala arbete.
Datainspektionen
Datainspektionen anför beträffande dessa motionsyrkanden bl. a.
Enligt 3 S andra stycket datalagen åligger det datainspektionen att i tillståndsärende
särskilt beakta den inställning till registret som föreligger eller
kan antas föreligga hos dem som kan komma att registreras. För att detta
skall kunna ske har datainspektionen hittills regelmässigt i ärenden om
register över anställda inhämtat yttrande från dessas organisationer. Inspektionen,
i vars styrelse ingår företrädare för LO och TCO, har också samrått
med LO, TCO och SACO om hur detta remissförfarande bör anordnas.
Det råder enighet mellan organisationerna och datainspektionen om att remissen
bör ställas till de centrala organisationerna. Dessa, som har särskilda
sakkunniggrupper för dessa frågor, tar därvid erforderliga kontakter med
sina lokala organ innan yttrande avges. Verksamheten är ännu i sin begynnelse
men det står redan klart att ett stort behov av information gentemot
organisationernas medlemmar föreligger. Organisationerna är inställda på
att efter förmåga tillgodose detta behov; nämnas må vidare att exempel
finns på att sådan information lämnats i företagsnämnder och i större företags
personaltidningar.
Fog kan finnas för uppfattningen att remisserna till de anställdas organisationer
bättre motsvarar kravet i 3 8 datalagen än yttrande från företagsnämnden,
i vilken ju ingår företrädare även för det företag som söker
tillståndet. Skulle emellertid riksdagen anse att företagsnämndens yttrande
bör inhämtas, torde lagändring inte erfordras; datainspektionen är självfallet
beredd att anpassa sin remisspraxis efter det uttalande som riksdagen gör
i frågan.
KU 1975:11
31
Försäljning av datalagrade personuppgifter för kommersiellt bruk
Motionerna
1 motionen 1975:69 hemställs ”3. att riksdagen ger regeringen till känna
vad som i motionen anförts beträffande b) förbud mot försäljning av
dataregister för kommersiellt bruk”.
I motionen anförs att det är angeläget att hushållen och enskilda personer
skyddas mot den typ av direktreklam t. ex. genom förledande dataskrivna
reklambrev som möjliggörs genom att företag kan köpa och utnyttja
personregister. Motionärerna förordar en översyn av datalagen så att
försäljning av personregister för kommersiellt bruk förbjuds. Ett sådant förbud
får inte utformas så att det strider mot TF.
I motionen 1975:125 hemställs ”2. att riksdagen begär att regeringen låter
undersöka hur man skall kunna ge den enskilde rätt att slippa kommersiell
direktreklam, som utsänds med hjälp av länsstyrelsernas dataregister, utan
att för den skull bli utan samhällsinformation med hjälp av samma register”.
1 motionen framhålls att de personer som begär att inte behöva förekomma
på de listor ur länsstyrelsens personregister som lämnas ut för att
utnyttjas till direktreklam också går miste om sådan selektiv reklam som
kommun, landsting och statliga myndigheter kan vilja sända ut, t. ex.
om rätt till bostadsbidrag m. m. Motionären föreslår att en skillnad görs
mellan samhällelig och kommersiell reklam i detta hänseende, så att medborgarna
kan be att få slippa den ena sorten utan att samtidigt gå miste
om den andra.
Frågans behandling vid 1974 års riksdag
Vid 1974 års riksdag begärdes i motionen 1974:1181 av herrOiof Johansson
i Stockholm (c) att riksdagen skulle begära översyn av datalagen i syfte
att omöjliggöra försäljning av personregister för kommersiellt bruk. Utskottet
anförde med anledning av motionen följande:
Utskottet vill i detta sammanhang erinra om att företagens möjligheter
att få del av person- och adressregister som finns hos myndigheter är en
följd av offentlighetsprincipen. Den i 2 kap. 8 8 tryckfrihetsförordningen
stadgade rättigheten för envar att mot fastställd avgift erhålla avskrift av
allmänna handlingar är, beträffande handling som ej skall hållas hemlig,
i princip obegränsad. Med handling jämställs upptagning för ADB. Som
datainspektionen anfört i sitt remissyttrande går en sådan ändring i datalagen
som åsyftas i motionen sålunda inte att förena med den i tryckfrihetsförordningen
stadgade offentlighetsprincipen. Utskottet vill emellertid i detta
sammanhang understryka att myndighet enligt den ändring i tryckfrihetsförordningen
som träder i kraft den 1 juli i år inte är skyldig att lämna
ut själva datamediet utan endast utskrift av de uppgifter som finns lagrade
i registren. Vid prövningen av ansökningar om att utfå magnetbandkopior
och andra datamedier har myndigheterna därigenom möjlighet att ta hänsyn
till den tänkta användningen av uppgifterna. En restriktiv praxis från myndigheternas
sida i fråga om utlämnande av datamedier är enligt utskottets
KU 1975:11
32
mening angelägen. Därmed kan i överensstämmelse med motionens önskemål
en icke önskvärd kommersiell användning av de personregister som
finns hos myndigheterna i praktiken förhindras.
I vad gäller den i motionen upptagna frågan om s. k. selektiv direktreklam
vill utskottet framhålla att ingripanden mot otillbörlig reklam av detta slag
i vissa fall kan ske inom ramen för lagstiftningen om otillbörlig marknadsföring.
I de fall selektiv direktreklam kan anses utgöra otillbörligt intrång
i den personliga integriteten ger också, som datainspektionen framhållit,
datalagen och bestämmelserna i 13 ii sekretesslagen möjligheter till skydd
häremot.
1 en reservation (vpk) yrkades dels att riksdagen skulle begära förslag
till de lagändringar som krävs för att omöjliggöra försäljning av personregister
för kommersiellt bruk, dels att utskottets yttrande i denna del bort
ha följande lydelse:
Utskottet anser att det är angeläget att ett förbud mot handel med personregister
införs. Företagens möjligheter att få del av person- och adressregister
som finns hos myndigheter är en följd av offentlighetsprincipen.
Den i 2 kap. 8 ii tryckfrihetsförordningen stadgade rättigheten för envar
att mot fastställd avgift erhålla avskrift av allmänna handlingar är, beträffande
handling som ej skall hållas hemlig, i princip obegränsad. För att
tillgodose syftet i motionen att omöjliggöra försäljning av datalagrade personregister
torde därför också krävas ändring i tryckfrihetsförordningen.
Med hänvisning till det anförda anser utskottet att riksdagen hos Kungl.
Maj:t bör begära förslag till de lagändringar som krävs för att förhindra
en kommersiell användning av de personuppgifter som myndigheterna insamlat
för helt andra ändamål.
Riksdagen beslöt i enlighet med utskottets förslag.
Remissinstanserna
Datainspektionen anför i sitt remissyttrande att inspektionen vid tillståndsgivningen
enligt datalagen har utvecklat en praxis som i princip innebär
att inga personregister tillåts omfatta andra personer än som svarar
mot myndigheternas, företagens eller organisationernas arbetsuppgifter
och verksamhetsområden. För företag och organisationer medför denna
princip att tillstånd inte meddelas att med hjälp av ADB föra adressregister
över presumtiva kunder. I fråga om adressregister över medlemmar och
kunder meddelar datainspektionen alltid vid tillstånd den föreskriften att
personer, som till de registeransvariga anmäler att de inte önskar erhålla
direktadresserad reklam, skall gallras bort innan registren används för detta
ändamål. Datainspektionen anför vidare bl. a.
Den praxis som här beskrivits har tillämpats vid de tillstånd för ADBregister
som hittills meddelats. För myndigheter har föreskrivits att utlämnande
av personuppgifter endast får ske för fullgörande av myndigheternas
skyldigheter enligt TF att tillhandahålla utskrifter av allmänna handlingar
och att utlämnande av uppgifter på datamedium (magnetband, hålremsa
etc) inte får ske till andra mottagare än sådana som erhållit tillstånd av
datainspektionen att föra personregister med hjälp av ADB. Sådant tillstånd
KU 1975:11
33
har hittills vad avser utlämnande från länsstyrelserna, som är de viktigaste
myndigheterna i detta sammanhang, endast meddelats ett företag och i
detta fall har tillståndet begränsats att gälla under viss skälig avvecklingstid.
Företaget har sedermera överklagat datainspektionens beslut och ärendet
har när detta skrivs inte prövats. Vidare förekommer i förhållandet mellan
länsstyrelserna och den berörda branschen vissa inskränkningar vid utlämnande
av uppgifter, bl. a. innebärande att urval inte bör bestämmas med
ledning av en eller flera mycket personspecifika uppgifter, att reklam innebärande
kommersiella erbjudanden inte bör adresseras till personer under
16 år samt att länsstyrelserna efter samråd med beställarna inte skall lämna
ut adresser för direktreklamändamål avseende personer som till länsstyrelserna
anmäler att de ej önskar erhålla direktadresserad reklam.
Datainspektionen anser att den praxis inspektionen tillämpar uppfyller
de krav på skydd för intrång i den personliga integriteten som kan ställas
mot bakgrund av TF:s bestämmelser om tillhandahållande av allmänna
handlingar och företagens legitima behov av aktiva marknadsföringsåtgärder.
JK redogör i sitt yttrande för datainspektionens möjligheter att inom ramen
för datalagens bestämmelser begränsa direktreklamverksamheten. JK
fortsätter
En ytterligare begränsning torde kunna nås om det centrala statliga uppdateringsregistersom
datainspektionen föreslagit i skrivelse till Kungl. Maj:t
den 16 september 1974 inrättas. I anledning av skrivelsen har Kungl. Majit
den 15 november 1974 uppdragit åt datasamordningskommittén att inom
ramen för pågående utredningsarbete i frågor rörande samordning av datainsamling,
inrättande av s. k. basregister m. m. efter samråd med statskontoret
och riksskatteverket belysa de tekniska, ekonomiska och organisatoriska
konsekvenserna av datainspektionens förslag (Fi 5486/74).
Genom ett sådant register skulle vara möjligt att inte bara begränsa bredden
och djupet av den registrerade informationen utan även styra informationsuttaget
på sätt som motiveras av integritetshänsyn. Detta torde vara
av särskild betydelse för uttag för direkt reklam.
Utskottet
Den snabba utvecklingen på databehandlingsområdet under de senaste
20 åren har möjliggjort betydande administrativa rationaliseringar inom såväl
den offentliga som den privata sektorn. Även inom forskningen och samhällsplaneringen
har utvecklingen av ADB-tekniken inneburit stora framsteg.
Datorerna har i dag medfört en så radikal omvandling av informationsbehandlingen
och fått en sådan betydelse förden industriella och samhälleliga
utveckligen att de inte längre kan undvaras. Den fortsatta utvecklingen
kan antas leda till ytterligare datorisering av forskning, administration
och samhällsplanering.
Samtidigt som utvecklingen inom ADB-området inneburit stora fördelar
för samhället har den också väckt farhågor och oro i olika hänseenden.
Framför allt har uppmärksammats de ökade risker som skapas för enskildas
KU 1975:11
34
integritet genom möjligheterna att centralt registrera stora mängder av information
om enskilda personer.
Dessa problem har också uppmärksammats av statsmakterna. 1971 erhöll
offentlighets- och sekretesslagstiftningskommittén genom tilläggsdirektiv
i uppdrag att överväga frågan om lagstiftning rörande personorienterad ADBinformation.
Utredningen presenterade sitt arbete i denna del i ett betänkande
1972 och under vårsessionen 1973 antog riksdagen ett förslag till
särskild datalag (prop. 1973:33, KU 1973:19, rskr 1973:131).
Enligt datalagen (1973:289), som trädde i kraft den 1 juli 1974, får dataregister
som innehåller personuppgifter inte inrättas eller föras utan tillstånd
av datainspektionen. Detta gäller dock inte registersom inrättas genom
beslut av regeringen eller riksdagen. Beträffande sådana register krävs i stället
att yttrande inhämtas från datainspektionen före beslutet. I samband med
att datainspektionen beviljar tillstånd till ett personregister skall den också
meddela alla de föreskrifter som behövs för att förebygga otillbörligt integritetsintrång.
Datainspektionen utövar också tillsyn över registren och
kan i efterhand ingripa med nya eller ändrade föreskrifter. I sista hand
kan inspektionen återkalla meddelat tillstånd. Enskild har rätt att på begäran
en gång per år kostnadsfritt få upplysning om de uppgifter som finns om
honom i ett visst dataregister. Datalagen innehåller vidare bl. a. föreskrifter
om tystnadsplikt samt straff- och skadeståndsskyldighet. Tillståndssystemet
för personregister började gälla den 1 juli 1974. I princip är emellertid även
register som upprättats tidigare underkastade datainspektionens tillståndsprövning.
Datainspektionens beslut kan överklagas till regeringen. JO har
tillsyn över datainspektionens verksamhet på samma sätt som över varje
annan myndighet, bl. a. dem som för personregister. JK har enligt datalagen
rätt att föra talan mot datainspektionens beslut för att tillvarata allmänna
intressen.
Datainspektionen inrättades den 1 juli 1973. Inspektionen leds av en styrelse
i vilken finns representanter för de politiska partierna. Inom inspektionen
finns en enhet för tillståndsärenden, en enhet för tillsynsärenden
samt ett sekretariat för information m. m.
När datalagen antogs blev Sverige det första land som fick en datalagstiftning
som täcker såväl den privata som den offentliga sektorn. Datalagen
har också väckt stor uppmärksamhet i andra länder. I dag förekommer
lagstiftnings- och utredningsarbete på detta område i ett flertal länder.
I propositionen 1973:33 med förslag till datalag framhöll departementschefen
att varje reglering som införs på det under stark utveckling stadda
datahanteringsområdet måste ses som ett provisorium. I den mån regleringen
i något avseende blev onödigt betungande eller hämmande för utvecklingen
måste enligt propositionen ändringar och kompletteringar kunna genomföras.
Även konstitutionsutskottet betonade i sitt av riksdagen godkända
betänkande att datalagen utgjorde ett förstlingsverk på ett nytt och komplicerat
lagstiftningsområde. Utskottet ansåg med hänsyn härtill att tilllämpningen
fick visa om lagstiftningen tillgodosåg de olika anspråk som
KU 1975:11
35
måste ställas på den. Utskottet framhöll att det primära syftet måste vara
att tillgodose den enskildes behov av skydd för den personliga integriteten.
Samtidigt måste lagstiftningen värna om offentlighetsprincipens tillämpning
också på ADB-området. Utskottet framhöll att målet måste vara att på ett
riktigt sätt tillgodose och mot varandra väga dessa olika intressen. Som
JK framhållit i sitt remissyttrande över nu aktuella motionsyrkanden måste
tillämpningen av datalagen i många stycken också innebära en avvägning
mellan samhällets behov av uppgifter t. ex. för samhällsplaneringsändamål
och allmänhetens intresse av skydd för sitt privatliv.
Med hänsyn till den snabbhet som präglar utvecklingen på datateknikens
område är det enligt utskottets mening väsentligt att en allmän utvärdering
av datalagen kommer till stånd så snart tillräckligt erfarenhetsmaterial föreligger.
Datainspektionen har nu arbetat under snart två år och datalagen trädde
som nämnts i kraft den 1 juli 1974. Erfarenheter av den nya lagstiftningen
växer nu snabbt fram. Redan i dag är det t. ex. klart att antalet personregister
är betydligt större än beräknat, något som ställer stora krav på datainspektionens
resurser och handläggningsrutiner. Inom datainspektionen planeras
under året en genomgång och redovisning av de erfarenheter som inspektionen
hittills vunnit av tillämpningen av datalagen, inom offentlighetsoch
sekretesslagstiftningskommittén har övervägts frågorna rörande sekretesskydd
för statistisk information. Inom datasamordningskommittén,
statskontoret och statistiska centralbyrån studeras bl. a. säkerhetsfrågor i
samband med olika personregister. Inom SCB övervägs vidare i samarbete
med riksarkivet och datainspektionen sådana frågor som gall ringsbestämmelser,
förstöring, avidentifiering och kryptering av datorlagrad personinformation.
I olika sammanhang pågår alltså utredningsarbete med anknytning
till datalagen och användningen av datorlagrad personinformation. Det
är enligt utskottet värdefullt att datainspektionen, som framgått, påbörjat
ett omfattande utredningsarbete på detta område. Detta bör, liksom det
arbete i övrigt för vilket redogjorts, nu möjliggöra en samlad översyn av
datalagen. Med hänsyn härtill finner utskottet lämpligt att en särskild parlamentarisk
utredning med företrädare för de i riksdagen representerade
politiska partierna tillsätts med uppgift att göra en sådan allmän översyn.
Självfallet kommer den nämnda genomgången och redovisningen av datainspektionens
erfarenheter av datalagens tillämpning att utgöra ett viktigt
arbetsmaterial förden förordade utredningen. Det är enligt utskottets mening
därför väsentligt att arbetet inom inspektionen i detta avseende inte fördröjs
utan drivs vidare och redovisas som planerat.
I förevarande motioner (1975:69, 93 p. 1 och 2, 95 utom p. 6, 125, 669,
991, 1006 och 1017) behandlas olika frågor med anknytning till datalagen
och till användningen av datorlagrade personuppgifter m. m. Utskottet har
inhämtat remissyttranden i frågorna från datainspektionen, JK, DASK och
SCB. I samband med en sådan allmän översyn av datalagen som utskottet
i det föregående förordat bör ett stort antal av de frågor som aktualiserats
KU 1975:11
36
i motionerna komma att övervägas. Dit hör t. ex. frågor rörande sekretessregler
för datorlagrade personregister av olika slag, bestämmelserna rörande
långtidsförvarade personregister hos SCB och andra registerförare, informationen
till intervjuade vid intervjuundersökningar, användningen av
mjukdata, rätten för registrerade att erhålla registerutdrag, utvidgning av
datalagen till att omfatta även manuellt förda register och frågor rörande
försäljning av datorlagrade personuppgifter för kommersiellt bruk.
1 motionerna 1975:69,1975:95 och 1975:1017 aktualiseras handläggningen
av sådana personregister som inrättas genom beslut av regeringen eller riksdagen.
Dessa register omfattas som framgått av det föregående inte av datainspektionens
tillståndsprövning. I stället har föreskrivits att yttrande skall
inhämtas från inspektionen före beslut att inrätta sådant register. 1 motionen
1975:69 anförs att det är angeläget att förstärka datainspektionens ställning
så långt det är möjligt även för dessa register. Enligt motionärerna är det
av avgörande betydelse att riksdagen får ta ställning till sådana fall där
regeringen trots datainspektionens avstyrkande vill inrätta ett personregister.
I motionen 1975:1017 föreslås att datalagen ändras så att principgodkännande
från datainspektionen skall krävas innan regeringen slutgiltigt beslutar att
inrätta personregister.
Vid behandlingen vid 1974 års riksdag av motionsyrkanden med anknytning
till datalagstiftningen kom utskottet även in på frågan om handläggningsordningen
för personregister som inrättas genom beslut av regeringen.
I sitt av riksdagen godkända betänkande föreslog utskottet i denna del att
regeringen skulle närmare utreda en handläggningsordning beträffande dessa
register av innebörd att den myndighet som skall ansvara för registret konsekvent
först ges i uppdrag att söka principtillstånd hos datainspektionen.
När datainspektionens beslut föreligger får myndigheten - om beslutet är
positivt - föra saken vidare till regeringen för ställningstagande till anslagsfrågan
för det tilltänkta registret. Skulle datainspektionen avslå myndighetens
ansökan om principtillstånd kan myndigheten genom besvär föra
frågan under regeringens prövning. Regeringen har då att överväga om det
finns skäl för en annan syn på integritetsfrågorna än den som kommit till
uttryck i datainspektionens beslut. En ordning av detta slag torde i och
för sig inte kräva någon ändring av datalagens bestämmelser. Utskottet
finner det emellertid naturligt att de närmare överväganden i denna del
som utskottet förutsatte förra året sker i nära anslutning till den allmänna
översyn av datalagen som utskottet i det föregående förordat. Även denna
fråga bör därför omfattas av direktiven för den ifrågavarande utredningen.
Vad utskottet anfört beträffande en allmän översyn av datalagen bör ges
regeringen till känna.
I motionen 1975:69 anförs att det är av stor betydelse att internationella
konventioner kommer till stånd på datateknikens och det därmed sammanhängande
integritetsskyddets område. Enligt motionärerna måste dessa
konventioner i första hand vara inriktade på att stärka skyddet förde enskilda
KU 1975:11
37
medborgarnas integritet men därutöver är det väsentligt att ett internationellt
skydd mot avtappning (obehörig åtkomst) av data åstadkommes. Av remissinstanserna
har såväl DASK som datainspektionen understrukit det
angelägna i att internationella konventioner kommer till stånd inom datateknik-
och datakommunikationsområdet. Som framhållits i remissyttrandena
har dessa frågor aktualiserats inom Europarådet och OECD. Bl. a. har
inom OEDC bildats en arbetsgrupp, i vilken datainspektionen ingår, i syfte
att få fram internationella konventioner vad gäller integritetsfrågor i samband
med ADB. DASK anför att dessa frågor också bevakas av televerket, som
har ett nära samarbete med de övriga nordiska länderna bl. a. när det gäller
planeringen av ett allmänt datanät. Utskottet är ense med motionärerna
att ett internationellt samarbete på datalagstiftningsområdet måste tillmätas
stor vikt. Utvecklingen av ett sådant samarbete bör underlättas av att lagstiftnings-
och utredningsarbete inom dataområdet påbörjas i allt fler länder.
Utskottet förutsätter att i första hand datainspektionen men också andra
på området verksamma organ även fortsättningsvis följer utvecklingen på
detta område och därvid tar de initiativ som kan visa sig nödvändiga.
Redan när förslaget till datalag behandlades under våren 1973 togs frågan
upp om att inrätta en särskild s. k. dataombudsman. Frågan återkom i motionsyrkanden
även vid 1974 års riksdag. Utskottet anförde därvid i sitt
betänkande att såväl JO som JK enligt gällande ordning har vittgående
befogenheter med avseende på tillsyn och kontroll inom ADB-området.
Med hänsyn härtill och till att datainspektionen i remissyttrande anfört att
dess verksamhet i stor utsträckning inriktas på att inspektionen skall fungera
som en ”allmänhetens dataombudsman”, avstyrkte utskottet förslaget i avvaktan
på erfarenheter av den nya lagstiftningen. Yrkandet om dataombudsman
återkommer nu i motionen 1975:95. Datainspektionen anför i sitt
remissyttrande med anledning av årets motioner att inspektionen nu anser
sig ha än bättre grund för att konstatera att den nu gällande ordningen
väl motsvarar de anspråk som med fog kan ställas i fråga om rättsäkerhet,
kontroll, tillsyn och besvärsrätt samt att organisatoriska förändringar sannolikt
skulle försvåra den verksamhet hos inspektionen som nu kommit
i gång på ett tillfredsställande sätt. Utskottet har inte funnit anledning att
ändra sitt ställningstagande i frågan sedan föregående år. Härvid vill utskottet
särskilt framhålla att riksdagens JO-utredning avser att inom kort redovisa
sina överväganden beträffande JO-ämbetet. I avvaktan på behandlingen av
utredningens betänkande bör enligt utskottets mening inte nu aktualiseras
några ytterligare förändringar med anknytning till JO:s uppgifter och arbetsförhållanden.
Utskottet avstyrker med hänsyn till det anförda motionen
1975:95 såvitt nu är i fråga.
I motionen 1975:95 begärs att de anställdas inflytande i samband med
införandet av dataregistrering i företagen skall stärkas. Bl. a. krävs en lagändring
av innebörd att företagsnämndens yttrande skall krävas vid begäran
om tillstånd hos datainspektionen att få inrätta personregister över anställda.
KU 1975:11
38
Enligt 3 § datalagen skall vid tillståndsprövning särskilt uppmärksammas
den inställning till registret som föreligger eller kan antas föreligga hos dem
som kan komma att registreras. Datainspektionen anför i sitt yttrande att
inspektionen regelmässigt i ärenden om register över anställda inhämtar
yttranden från de anställdas organisationer. Inspektionen har samrått med
LO, TCO och SACO om hur detta remissförfarande bör anordnas. Enligt
inspektionen råder enighet mellan organisationerna och datainspektionen
om att remisserna bör ställas till de centrala organisationerna. Utskottet
delar datainspektionens uppfattning att den praxis som hittills tillämpats
bättre motsvarar kravet i 3 § datalagen än yttrande från företagsnämnden,
i vilken, som inspektionen framhåller, även ingår företrädare för det företag
som söker tillståndet. Även i denna del avstyrker utskottet således motionen
1975:95.
Den ökade användningen av elektroniska betalningsmedel och affärsdokument
skapar liksom utvecklingen på datatransmissionsområdet risker
för olika slag av s. k. databrott. I motionen 1975:95 föreslås att varje beslutad
eller påtänkt utvidgning av användningen av elektroniska betalningsmedel
eller affärsdokument skall åtföljas av en utredning om hur sårbarheten för
nya typer av förmögenhetsbrott därigenom ökas. Motionärerna anser också
att man innan ett allmänt datanät tas i bruk måste tillfredsställande lösa
alla säkerhetsfrågor så att inte nya möjligheter skapas till förmögenhetsbrott
och industrispionage. Dessa frågor är enligt utskottets mening väsentliga.
De har också uppmärksammats i olika sammanhang. Säkerhetsfrågorna i
vid mening omfattas bl. a. av datasamordningskommitténs direktiv. DASK
har, som utskottet anförde förra året, för dessa frågor etablerat ett samarbete
med statskontoret, som skapat en särskild organisation för detta arbete med
expertis från statsförvaltningen och från leverantörer av datasystem. Inom
detta arbete har bl. a. studerats problem i samband med den fysiska säkerheten
(t. ex. byggnader och regler för tillträde till lokaler), metoder för
att skydda data (t. ex. genom kryptering och andra metoder), funktionssäkerhet
(t. ex. åtgärder i händelse av strömavbrott och brand) samt frågor
angående datas kvalitet. Datainspektionen anför i sitt yttrande att den vid
sin fortlöpande tillsyn av befintliga dataregister ofta tar upp problem av
de slag som berörs i motionen med de registeransvariga. Utskottet utgår
ifrån att de i motionen aktualiserade frågorna är så väsentliga för datoranvändare
och registeransvariga att de även utan särskilt riksdagsuttalande
beaktas vid det fortlöpande arbetet med utvecklingen av olika datasystem.
I motionen 1975:69 begärs att riksdagen skall uppdra åt regeringen att
utreda och komma med förslag till en decentraliserad organisationsform
för dataverksamheten i landet. Denna fråga är, som utskottet anförde förra
året, en av DASK:s huvuduppgifter. Utredningen har under 1975 sammanställt
promemorian ”Samordning av statliga administrativa ADB-system”
(DS Fi 1975:1). DASK planerar att avlämna sitt slutbetänkande under hösten
1975. Utredningsarbetet är alltså i ett slutskede. Enligt utskottets mening
KU 1975:11
39
bör utredningens arbete inte föregripas. Med hänsyn härtill bör riksdagen
inte nu ta något sådant initiativ som begärs i motionen i denna del. Motsvarande
bedömning bör göras med avseende på vad som i motionen anförs
om regionala ansvarsnämnder.
I motionen 1975:93 begärs att vad som i motionen anförts under rubriken
Demokrati och integritet skall överlämnas till 1973 års fri- och rättighetsutredning
för beaktande. Vidare hemställs att riksdagen skall uttala att,
i avvaktan på att ett förbättrat skydd för medborgarnas integritet skapas,
stark restriktivitet bör iakttagas i vad gäller planering och ianspråktagande
av dataanläggningar för registrering av personinformation. Enligt motionärerna
bör vidare övervägas att införa en bestämmelse i grundlag som
allmänt begränsar myndigheternas möjligheter att med datateknik registrera
annat än enklare former av personinformation. Fri- och rättighetsutredningen
planerar att avlämna sitt slutbetänkande under sommaren 1975. Enligt
utskottets mening är det inte ändamålsenligt att fördröja utredningens arbete
genom att i slutskedet tillföra den nya arbetsuppgifter. Vid den allmänna
översyn av datalagen som utskottet i det föregående förordat bör frågan
om myndigheternas möjligheter att utnyttja datatekniken för registrering
av personinformation självfallet komma att beröras. En kommande utrednings
överväganden i denna del bör enligt utskottets mening inte föregripas
genom ett riksdagsuttalande. I avvaktan på utredningens arbete
finns enligt utskottets mening ingen anledning att frångå den restriktiva
praxis som hittills tillämpats i här aktuellt avseende.
I budgetpropositionen (bilaga 4 p. A 9) hemställs att riksdagen till datainspektionen
för budgetåret 1975/76 skall anvisa ett förslagsanslag av
3 318 000 kr. I motionen 1975:69 framhålls att det är nödvändigt att datainspektionen
ges sådana ekonomiska resurser att den blir i stånd att genom
uppsökande verksamhet övervaka upprättade personregister. 1 motionen
1975:1006 uttalas att de resurser som i budgetpropositionen begärts för informationsinsatser
innebär en otillräcklig ambitionsnivå. I motionen begärs
vidare att regeringen skall utreda möjligheterna att överföra kostnaderna
för datainspektionens verksamhet på datortillverkare och/eller datorinnehavare.
Datainspektionen har beträffande sistnämnda yrkande anfört att
det synes praktiskt ogenomförbart. Utskottet ansluter sig till denna uppfattning.
I övrigt framgår av inspektionens yttrande att de medel som beräknats
för verksamheten under budgetåret 1975/76 bör vara tillräckliga
för att inspektionen på avsett sätt skall kunna fullgöra sina uppgifter. Utskottet
tillstyrker med hänsyn härtill det i budgetpropositionen upptagna
anslaget till datainspektionen.
Med hänsyn till vad sålunda anförts hemställer utskottet
att riksdagen
1. med bifall till propositionen 1975:1 i denna del till Datainspektionen
för budgetåret 1975/76 under andra huvudtiteln anvisar
ett förslagsanslag av 3 318 000 kr.
KU 1975:11
40
2. a. avslår motionen 1975:69 yrkandena 2 och 3 a,
b. avslår motionen 1975:95 yrkandet 9,
c. avslår motionen 1975:95 yrkandena 11 och 12,
d. avslår motionen 1975:95 yrkandet 13,
e. avslår motionen 1975:1006 yrkandena 1 och 3,
f. avslår motionen 1975:93 yrkandet 1,
3. med anledning av motionerna 1975:69 och 1975:1006, båda såvitt
de inte behandlats under 2, samt 1975:93 yrkandet 2,1975:95 yrkandena
1-5,7,8,10 och 14,1975:125,1975:669,1975:991 och
1975:1017 som sin mening ger regeringen till känna vad utskottet
anfört beträffande en allmän översyn av datalagen.
Stockholm den 10 april 1975
På konstitutionsutskottets vägnar
HILDING JOHANSSON
Närvarande: herrar Johansson i Trollhättan (s), Boo (c), fru Thunvall (s),
herrar Werner i Malmö (m), Mossberg (s), Svensson i Eskilstuna (s), Jonnergård
(c), Bergqvist (s), Björck i Nässjö (m), Karlsson i Malung (s), Nordin
(c), Måbrink (vpk). Olsson i Edane (s), Kindbom (c) och Lindahl i Harnburgsund
(fp).
Reservationer
1. av herrar Boo (c), Jonnergård (c). Nordin (c) och Kindbom (c), vilka ansett
dels att den del av utskottets yttrande som börjar på s. 38 med orden
"I motionen 1975:69” och slutar på s. 39 med orden ”om regionala ansvarsnämnder”
bort ha följande lydelse:
I motionen 1975:69 hemställs att riksdagen skall uppdra åt regeringen
att utreda och komma med förslag till en decentraliserad organisationsform
för dataverksamheten i landet. 1 motionen anförs att den snabba tekniska
utvecklingen på dataområdet och uppbyggandet av nya dataregister gör det
angeläget att ständigt se över vilka ytterligare åtgärder som kan vidtas för
att förstärka skyddet för den enskildes integritet. De frågor som tas upp
i motionen i denna del har under årets riksdag ytterligare aktualiserats genom
propositionen 1975:57 om ett nytt system för automatisk databehandling
inom folkbokförings- och beskattningsområdet. 1 denna proposition, vilken
remitterats till skatteutskottet, föreslår regeringen att riksdagen skall godkänna
vissa riktlinjer för det fortsatta utredningsarbetet med ADB-systemen
inom dessa områden.
Utskottet delar motionärernas uppfattning att det är angeläget att dataverksamheten
i landet ges en organisation som så långt det är möjligt
KU 1975:11
41
är ägnad att oberoende av den tekniska utvecklingen motverka varje hot
om minskat skydd lorden personliga integriteten. Som motionärerna anför
uppnås detta bäst genom en decentraliserad organisation. Organisationen
bör bygga på regionalt avgränsade system, där särskild nyckel måste krävas
för att få fram databehandlat material från en annan region. Det är därvid,
som motionärerna framhåller, viktigt att någon terminal innehållande personuppgifter
om samtliga medborgare i hela riket inte får skapas. Frågorna
om systemstrukturen för de statliga ADB-registren omfattas av DASK:s
direktiv. Av allt att döma kommer dock inte de frågor som berörs i motionen
i denna del att tas upp inom DASK:s arbete. Enligt utskottets mening är
det därför väsentligt att den utredning som förordas i motionen kommer
till stånd.
1 motionen anförs vidare att det är svårt att finna lämpliga former för
kontroll av dataprogrammens tekniska utformning. En sådan kontroll är
emellertid enligt motionärerna nödvändig för att skydda den enskildes personliga
integritet. Utskottet är ense med motionärerna att det bör övervägas
att inom varje region skapa ett särskilt regionalt organ, en ansvarsnämnd,
med uppgift att utöva den medborgarkontroll som måste krävas när regiongränser
skall överträdas.
Vad utskottet anfört beträffande regionala ansvarsnämnder bör ges regeringen
till känna.
dels att utskottet under 2 a bort hemställa
att riksdagen
2. a. med bifall till motionen 1975:69, yrkandena 2 och 3 a, dels
begäran regeringen utreder och för riksdagen framlägger förslag
till en decentraliserad organisationsform för dataverksamheten
i landet i enlighet med vad som anförts i motionen, dels ger
regeringen till känna vad i motionen anförts beträffande inrättande
av regionala ansvarsnämnder.
2. av herrar Werner i Malmö (m), Björck i Nässjö (m) och Lindahl i Hamburgsund
(fp) som ansett
dels att den del av utskottets yttrande som börjar på s. 37 med orden
"I motionen 1975:95" och slutar på s. 38 med orden "således motionen
1975:95” bort ha följande lydelse:
1 motionen 1975:95 begärs att de anställdas inflytande i samband med
införandet av dataregistrering skall stärkas.
Enligt utskottets mening är det viktigt att de anställda ges en rätt till
aktiv medverkan vid varje mer genomgripande datorisering av arbetsplatsen.
Det är därvid särskilt väsentligt att denna medverkan sker på det lokala
planet och som ett led i de lokala fackliga organisationernas normala arbete.
Med hänsyn till det anförda tillstyrker utskottet förslaget i motionen
1975:95 att företagsnämndens yttrande alltid skall åtfölja begäran om till
-
KU 1975:11
42
stånd hos datainspektionen att få inrätta personregister. Med en sådan bestämmelse
garanteras att alla föreslagna personregister över anställda underställs
företagsnämnden innan de sätts i verket.
dels att utskottet under 2 b bort hemställa
att riksdagen
2. b. med bifall till motionen 1975:95, yrkandet 9, begär förslag
av regeringen om en sådan lagändring att företagsnämndens
yttrande skall åtfölja begäran hos datainspektionen om tillstånd
att få inrätta personregister över anställda.
3. av herr Lindahl i Hamburgsund (fp), vilken ansett
dels att den del av utskottets yttrande på s. 38 som börjar med orden
"Den ökade användningen” och slutar med orden ”av olika datasystem”
bort ha följande lydelse:
Den ökade användningen av elektroniska betalningsmedel och affärsdokument
skapar liksom utvecklingen på datatransmissionsområdet ökade
risker för olika slag av s. k. databrott. I motionen 1975:95 anförs att den
elektroniska förvaltningen av penningmedel snabbt blir av allt större betydelse
i vårt samhälle liksom i den globala miljön och att det inte är möjligt
att låta den rättsliga utvecklingen ligga alltför långt efter. 1 motionen föreslås
att varje beslutad eller påtänkt utvidgning av användningen av elektroniska
betalningsmedel eller affärsdokument skall åtföljas av en utredning om hur
sårbarheten för nya typer av förmögenhetsbrott därigenom ökas och om
vad man kan göra för att förhindra detta.
Enligt föreliggande planer skall ett allmänt separat datanät vara tillgängligt
för kommersiell drift omkring 1978. I motionen krävs att innan ett sådant
allmänt datanät sätts i gång måste alla säkerhetsfrågor vara tillfredsställande
lösta så att inte därigenom en rad nya möjligheter till förmögenhetsbrott
och industrispionage skapas.
Utskottet delar motionärernas syn på dessa frågor. Utskottet tillstyrker
därför yrkandet i motionen att riksdagen skall begära att regeringen låter
genomföra en noggrann granskning av säkerhetsproblemen innan ett allmänt
datanät upprättas. Vad i motionen i övrigt anförts om förebyggande av
brottsrisker i samband med användningen av elektroniska betalningsmedel
och affärsdokument bör ges regeringen till känna.
dels att utskottet under 2 c bort hemställa
att riksdagen
2. c. med bifall till motionen 1975:95, yrkandena 11 och 12, dels
ger regeringen till känna vad i motionen anförts om förebyggande
av brottsrisker i samband med användning av elektroniska
betalningsmedel och affärsdokument, dels begär att regeringen
låter genomföra en noggrann granskning av säkerhetsproblemen
innan ett allmänt datanät upprättas.
KU 1975:11
43
4. av herrar Werner i Malmö (m), Björck i Nässjö (m) och Lindahl i Hamburgsund
(fp) som ansett
dels att den del av utskottets yttrande på s. 37 som börjar med orden
”Redan när förslaget” och slutar med orden ”är i fråga” bort ha följande
lydelse:
I motionen 1975:95 hemställs att riksdagen skall begära förslag av regeringen
om inrättande av en särskild dataombudsman med uppgift att
övervaka efterlevnaden av datalagstiftningen och därvid besvärsvägen tillvarata
den enskildes rätt till integritet. Motionärerna anför att allmänheten
med nuvarande ordning har tre olika instanser att vända sig till i dessa
frågor - datainspektionen, JO och JK. Det är därför svårt för den enskilde
att veta vilken som vid ett bestämt tillfälle är den rätta. Utskottet delar
motionärernas uppfattning att det vore mer tillfredsställande för allmänheten
att kunna framföra frågor och klagomål över inspektionens arbete med integritetsfrågorna
till en fristående institution än att behöva gå till detta ämbetsverk
självt. Det gäller särskilt som datainspektionen i växande utsträckning
löpande deltar i utformningen av stora datasystem i samarbete med
bl. a. myndigheter som upprättar sådana.
Med hänsyn till de invecklade och svåröverskådliga problem som kan
uppstå när dataregister på olika sätt sammanförs och bringas att samarbeta
- och där bl. a. en inte obetydlig kunskap om datateknikens möjligheter
och begränsningar är nödvändig för den som skall handlägga hithörande
ärenden - är det vidare, som motionärerna framhåller, orimligt att begära
att JO och JK skall samla tillräcklig erfarenhet och sakkunskap för att fullgöra
sina uppgifter med granskning av ärenden också på dataområdet.
Enligt utskottets mening bör med hänsyn till det anförda den i motionen
föreslagna dataombudsmannen nu inrättas.
dels att utskottet under 2 d bort hemställa
att riksdagen
2. d. med bifall till motionen 1975:95, yrkandet 13, begär förslag
av regeringen om inrättande av en dataombudsman med uppgift
att övervaka efterlevnaden av datalagstiftningen och därvid
besvärsvägen tillvarata den enskildes rätt till integritet.
Särskilt yttrande
av herr Lindahl i Hamburgsund (fp):
Trots datalagens tillkomst och datainspektionens arbete kvarstår betydande
brister i både det lagliga och det tekniska skyddet av uppgifter om
den enskilde. I motion 1975:95 av herr Helén m. fl. (fp) behandlas dessa
brister utförligt. En rad konkreta förslag till förbättringar förs fram. De har
bl. a. följande tre huvudsyften:
KU 1975:11
44
1. Den enskilde mäste skyddas bättre mot att myndigheter samlar pä sig, utbyter
och använder omfattande personinformation frän en rad olika register. Tvärtom
måste myndigheter ha en noggrannare reglerad och hårdare prövning innan
de utlämnar uppgifter om en person till andra myndigheter. Uppgifter
som används för administrativa ändamål på ett håll skall inte - i varje
fall inte utan att den enskilde får veta det - kunna användas också för
helt andra ändamål.
2. Man bör i högre grad avpersonifera register med känslig information om den
enskilde, sä att uppgifterna inte kan återföras till bestämda individer. Allmänhetens
oro över datateknikens användning gäller i hög grad att en stor
mängd information samlas om den enskilde hos myndigheterna utan att
man i dag vet hur denna information kan komma att brukas i en framtid.
Bl. a. bör tidigare folk- och bostadsräkningar, som uttryckligen gjorts för
statistiska ändamål, avpersonifieras.
3. De berörda mäste fä ett betydligt större inflytande över hur datasystem utformas,
vilken information som skall samlas om dem och för vilka syften. De brister
som finns i skyddefrav den enskilde och den snabba utveckling som sker
på dataområdet gör det angeläget att få en total översyn, som bl. a. kommer
att omfatta de huvudfrågor jag här pekat på. Riksdagen och lagstiftningen
får inte passeras av utvecklingen. Det är mycket tillfredsställande att utskottet
nu föreslår riksdagen att begära en sådan översyn och att den utredning
som tillsätts tar vara på den värdefulla utvärdering av hittillsvarande
erfarenheter som görs av datainspektionen.
Jag har därför inte funnit anledning att reservera mig för de konkreta
krav i motionen 1975:95 som nu kommer att prövas av den föreslagna
utredningen.
Jag vill emellertid framhålla att vissa uppenbara brister bör kunna åtgärdas
snabbt. Det gäller bl. a. det otillräckliga sekretesskyddet av känsliga personuppgifter,
som bör kunna prövas av riksdagen i samband med behandlingen
våren 1976 av förslag till ny sekretesslag m. m. Det gäller också
handläggningsordningen för personregister som inrättas genom beslut av
regeringen, där riksdagen redan 1974 uttalade sig för en modell som datainspektionen
föreslagit. Det gäller likaså avidentifiering av gamla folkoch
bostadsräkningar.
L
Kli 1975:11
45
Bilaga
Sammanställning av hemställan i motionerna
1975:69 av herr Fälldin m. fl. (c)
1. att riksdagen beslutar att besvärshänvisning skall åtfölja det registerutdrag
som begärs med stöd av 10 § datalagen,
2. att riksdagen beslutar uppdra åt regeringen att utreda och komma med
förslag till en decentraliserad organisationsform för dataverksamheten i landet
i enlighet med vad som i motionen anförts,
3. att riksdagen ger regeringen till känna vad i motionen anförts beträffande
a) inrättandet av regionala ansvarsnämnder, b) förbud mot försäljning
av dataregister för kommersiellt bruk, c) anmälningsplikt för innehavare av
maskinella personregister som nyttjas såsom dataregister, d) användningen
av mjukdata, e) ekonomiska resurser till datainspektionen, 0 översyn av gällande
instruktion för datainspektionen, g) riksdagens roll vid prövning av
persondataregister upprättade av Kungl. Maj:t samt h) behovet av internationellt
samarbete på datateknikens område.
1975:93 av herr Bohman m. fl. (m) - kläm 1 och 2
att riksdagen
1. hos regeringen hemställer om att vad som i motionen anförts under
rubriken Demokrati och integritet överlämnas till 1973 års fri- och rättighetsutredning
för beaktande,
2. som sin mening ger till känna att, i avvaktan på att ett förbättrat
skydd för medborgarnas integritet skapas, stark restriktivitet bör iakttagas
i vad gäller planering och ianspråktagande av datoranläggningar för registrering
av personinformation,
1975:95 av herr Helén m. fl. (fp) (utom kläm 6)
1. att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförts om
- översyn av statistikproduktionen
- noggrannare reglerad och hårdare prövning innan myndighet utlämnar
uppgifter om den enskilde till annan myndighet
- anpassning av den s. k. statistiksekretessen enligt § 16 sekretesslagen
till de sekretessregler som gäller för registrerade personuppgifter i övrigt
- stark återhållsamhet med dataregistrering av s. k. mjukdata och att man
särskilt i fråga om sådana register har som grundprincip att data om den
enskilde, som insamlats av en myndighet för visst administrativt ändamål,
inte används för andra ändamål
- snara insatser för att lösa säkerhetsfrågorna hos SCB och andra stora
registerförare
- fastställande av gallringsbestämmelser för en rad register
- avpersonifiering av tidigare folk- och bostadsräkningar,
KU 1975:11
46
2. att riksdagen begär att regeringen låter utarbeta riktlinjer för registrering
av gruppdata som tar full hänsyn till den enskildes önskemål,
3. att riksdagen begär förslag av regeringen till sådan lagändring att det
vid frivilliga intervjuundersökningar där uppgifterna läggs på data skall krävas
en skriftlig förklaring av den intervjuade att han/hon är medveten om
att det inte föreligger någon skyldighet att svara på intervjuarens frågor,
4. att riksdagen begär förslag från regeringen om skyldighet för myndighet,
som lämnar uppgift från sitt dataregister om en person till annan
myndighet, att sända kopia av utlämnade uppgifter till den person de gäller,
5. att riksdagen begär att regeringen låter avpersonifiera de magnetband
statistiska centralbyrån har långtidsförvarade för opreciserade framtida forskningsbehov
eller i särskilda fall föranstaltar om annan åtgärd för att skydda
känsliga personuppgifter i dessa band,
7. att riksdagen begär att regeringen låter utarbeta ett hållbart system
för att koda personnummer och/eller andra identifierbara data, så att man
kan använda vissa persondata för forskningsändamål med bevarat skydd
för den enskildes integritet,
8. att riksdagen begär förslag av regeringen om sekretesskydd för s. k.
dataprogram,
9. att riksdagen begär förslag av regeringen om sådan lagändring att företagsnämndens
yttrande skall åtfölja begäran om tillstånd hos datainspektionen
om att få inrätta personregister över anställda,
10. att riksdagen begär att regeringen i det pågående arbetet med fördjupad
arbetsdemokrati även uppmärksammar hur de anställda skall få större inflytande
över datoriseringen på arbetsplatserna samt hjälp med information
och utbildning för att kunna hävda sina synpunkter,
11. att riksdagen som sin mening ger regeringen till känna vad i motionen
anförts om förebyggande av brottsrisker i samband med användning av
elektroniska betalningsmedel och affärsdokument,
12. att riksdagen begär att regeringen låter genomföra en noggrann granskning
av säkerhetsproblemen innan ett allmänt datanät upprättas, så att man
inte därigenom släpper lös en rad nya möjligheter till förmögenhetsbrott
och industrispionage,
13. att riksdagen begär förslag av regeringen om inrättande av en dataombudsman
med uppgift att övervaka efterlevnaden av datalagstiftningen
och därvid besvärsvägen tillvarata den enskildes rätt till integritet,
14. att riksdagen ger regeringen till känna vad i motionen anförts om
tydligt angivande i förslag till riksdagen av om förslaget förutsätter upprättande
av ett nytt dataregister.
1975:125 av fru Anér (fp)
1. att riksdagen begär att regeringen låter utarbeta riktlinjer för kodning
och registrering av s. k. mjukdata som ger en mer nyanserad bild av den
enskilde i enlighet med vad som anförts i motionen,
KU 1975:11
47
2. att riksdagen begär att regeringen låter undersöka hur man skall kunna
ge den enskilde rätt att slippa kommersiell direktreklam, som utsänds med
hjälp av länsstyrelsernas dataregister, utan att för den skull bli utan samhällsinformation
med hjälp av samma register,
3. att riksdagen begär att regeringen på lämpligt sätt utreder frågan om
patienters rätt att vägra låta sig dataregistreras inom sjukvården.
1975:669 av herrar Hugosson (s) och Pettersson i Lund (s)
att riksdagen måtte besluta att 16 § i lagen den 28 maj (nr 249) om inskränkning
i rätten att utbekomma allmänna handlingar (sekretesslagen)
får följande lydelse:
Handling innefattande uppgift, som inhämtats av statistiska centralbyrån
eller annan myndighet för statistiska ändamål, eller myndighets bearbetningar
av sådan uppgift skall hållas hemliga om uppgiften kan hänföras
till viss enskild person, viss organisation eller visst företag.
Vad i första stycket sägs utgör ej hinder mot utlämnande av handling
i enlighet med vad som föreskrivits i lag eller förordning eller meddelats
de berörda i samband med insamling av uppgifterna.
Handling får enligt denna paragraf hållas hemlig, såvitt rör ekonomiska
förhållanden, högst tjugo år från handlingens datum. I övrigt gäller att hemlighållande
får avse en tid av högst trettio eller - om särskilda skäl talar
därför - högst sjuttio år från handlingens datum.
1975:991 av herrar Gadd (s) och Alsén (s)
att riksdagen hos regeringen begär att ett lagförslag utarbetas, syftande
till att ett likartat skydd mot ovidkommande personregistrering skall gälla
för alla slags register, såväl datororienterade som andra.
1975:1006 av herr Olsson i Kil (fp)
1. att riksdagen som sin mening ger regeringen till känna vad som i
motionen anförts i avsnittet Information,
2. att riksdagen begär att regeringen låter utarbeta föreskrifter om att
vissa personregister åläggs skyldighet att med viss periodicitet till samtliga
registrerade skicka ut en kopia på de uppgifter som finns registrerade,
3. att riksdagen begär att regeringen låter utreda möjligheterna att överföra
kostnaderna för datainspektionens verksamhet på datortillverkade och/eller
datorinnehavare i enlighet med vad som i motionen anförts i avsnittet Utredning
om kostnadsbärare.
1975:1017 av herr Wijkman (m)
att riksdagen hos regeringen anhåller om skyndsamt förslag till sådan
ändring av datalagen att, för inrättande av statliga personregister, i fortsättningen
skall krävas behandling av datainspektionen om principgodkännande
innan slutligt ställningstagande fattas av regeringen.
GOTAB 75 9297 S Stockholm 1975