Dir. 1989:26
Beslut vid regeringssammanträde 1989-05-25.
Chefen för justitiedepartementet, statsrådet Freivalds, anför.
En särskild utredare tillkallas för att göra en översyn av datalagen
(1973:289, omtryckt 1982:446) från såväl saklig som lagteknisk synpunkt.
Med tanke på de frågor som en sådan översyn kan väntas omfatta anser jag
att parlamentarisk medverkan också behövs men att denna bör komma i ett
senare skede. Den särskilde utredaren bör identifiera vilka reformbehov
som finns och ange hur dessa kan tänkas bli tillgodosedda. Detta
inledande arbete bör kunna resultera i ett underlag för närmare
riktlinjer från regeringens sida för det fortsatta arbetet under
parlamentarisk medverkan.
Den särskilde utredaren bör ha stor frihet att bedöma vilka frågor som
behöver övervägas inom ramen för översynen av datalagen. Syftet med
översynen bör vara att med bibehållet gott skydd mot otillbörliga
intrång i den personliga integriteten skapa enkla och lättfattliga
regler. Dessa bör om möjligt utformas så att de inte anknyter till någon
viss datorteknik utan kan tillämpas också på förväntade användningar av
datorstödda informationssystem.
Datalagens grundbegrepp, t.ex. personregister, registeransvarig och
automatisk databehandling behöver övervägas och kanske förtydligas och
moderniseras.
En viktig fråga bör vara att överväga om den partiella övergången från
ett system med tillståndskrav till ett licenssystem som skedde år 1982
bör fullföljas för att i stället genom tillsynsåtgärder effektivisera
integritetsskyddet. I det sammanhanget bör undersökas möjligheten att
mera gå över till generella regler för olika typer av personregister.
Ett annat spörsmål som bör övervägas är i vilken utsträckning det finns
möjlighet att bygga på självreglering inom olika verksamhetsområden där
datorstödda informationssystem används. Sanktionssystemet behöver också
ses över liksom förhållandet till angränsande lagstiftning på
integritetsområdet. Bl.a. datoranvändning på forsknings- och
statistikområdet samt inom massmedieområdet kan ge upphov till särskilda
överväganden.
Internationella förhållanden bör uppmärksammas.
Datalagen tillkom år 1973 som den första lag av denna typ som hade
nationell räckvidd. Vid tillkomsten förutsattes att lagen skulle ses
över inom en snar framtid. År 1976 tillsattes datalagstiftningskommittén
(DALK) med ett sådant uppdrag. Kommittén avslutade emellertid sitt
arbete år 1984 utan att detta slutförts. Kommittén hade dock tidigare
lagt fram förslag som delvis genomförts. Särskilt kan nämnas att
riksdagen år 1982 beslutade ändringar i datalagen av innebörd att det
tidigare generella kravet på tillstånd av datainspektionen för att
inrätta och föra personregister ersattes med ett anmälningssystem med
licenser och med bibehållet tillståndskrav endast för särskilt
integritetskänsliga register.
Lagen har i sin nuvarande utformning lagtekniska brister och framstår
som ett provisorium med delvis ganska svåröverskådligt innehåll.
Samtidigt ställer den ökande användningen av datorer inom olika sektorer
av samhället starkare krav än förut på enkla och lättöverskådliga
regler.
En översyn av lagen har emellertid fått anstå eftersom en kommitté med
uppgifter på angränsande områden men också inom datalagens ram
tillsattes år 1984. Kommittén, som antog namnet data- och
offentlighetskommittén (DOK), har nyligen avslutat sitt arbete genom att
avge sitt femte betänkande (SOU 1988:64) Integritetsskyddet i
informationssamhället 5, Offentlighetsprincipens tillämpning på
upptagningar för automatisk databehandling. Detta remissbehandlas för
närvarande.
Datainspektionen har i en framställning till regeringen begärt att
datalagen ses över såväl formellt som materiellt. Framställningen har
remissbehandlats tillsammans med synpunkter på en översyn av datalagen
som datainspektionen framfört till regeringen.
Den lagtekniska översyn av datalagen som behövs, eftersom DALK:s arbete
aldrig avslutades, bör nu komma till stånd. Även lagens materiella
innehåll bör naturligtvis tas upp vid en sådan översyn. Inte minst den
tekniska utvecklingen, som lett till en alltmer omfattande användning av
datorer inom så gott som alla samhällssektorer, gör att man måste ställa
frågan om den reglering som lagen innehåller svarar mot dagens och
morgondagens behov.
Jag föreslår därför att det görs en sådan översyn som jag har skisserat.
Med tanke på de frågor som en sådan utredning kan väntas omfatta anser
jag att parlamentarisk medverkan krävs för de överväganden som behövs
men att denna bör komma i ett senare skede. I det första skedet bör
därför en särskild utredare få i uppdrag att mot bakgrund av de
erfarenheter som nu finns inom dataområdet söka beskriva den förväntade
utvecklingen och därvid identifiera vilka problem som är förenade med
nuvarande lagstiftning och vilka reformbehov som finns. Han bör vidare
ange hur problemen kan lösas och hur behoven kan tänkas bli
tillgodosedda.
Ett sådant inledande arbete bör ge underlag för det fortsatta arbetet
under parlamentarisk medverkan. Den särskilde utredaren bör därför
anmäla till regeringen när arbetet har kommit så långt och i samband med
det presentera resultatet av denna del av utredningsarbetet. Regeringen
bör därefter ange inriktningen på den fortsatta översynen.
Den särskilde utredaren bör ha stor frihet att ta upp de frågor som
behöver övervägas inom ramen för den översyn av datalagen som alltså bör
ske. Jag skall emellertid ange några utgångspunkter för arbetet och ge
exempel på frågor som kan kräva överväganden. Andra exempel finns i
remissyttrandena över datainspektionens framställning om en
datalagsutredning, vilka bör överlämnas till utredaren.
Den lagtekniska översynen bör syfta till att skapa enkla och
lättbegripliga regler. Regelsystemet bör anpassas till den tekniska
utveckling som hittills har skett och den som kan överblickas i
framtiden men bör om möjligt utformas så att det inte anknyter till
någon viss datorteknik. Syftet bör även i fortsättningen vara att lagen
skall förebygga otillbörligt intrång i enskildas personliga integritet i
samband med användningen av datorstödda informationssystem.
Lagstiftningen får emellertid inte medföra större ingrepp i offentlig
eller enskild verksamhet än som är motiverat med hänsyn till detta
intresse. Både de risker som lagen skall motverka och de administrativa
konsekvenserna för myndigheter, företag och andra som kan bli följden av
en ny reglering måste därför belysas.
Datalagens grundbegrepp behöver övervägas. Jag tänker bl.a. på begreppet
registeransvarig, som t.ex. i stora system med många användare vållar
problem. En möjlighet som kan diskuteras är att ge utrymme för att
bestämma vilken av flera användare av ett informationssystem som skall
vara ensam registeransvarig trots att andra användare har tillgång till
systemet och förfogar över detta helt eller delvis.
Man kan också ställa frågan om begreppet personregister behöver
moderniseras och om det bör göras en närmare definition av begreppet
automatisk databehandling (ADB). Bl.a. kan det behöva undersökas om
modern databasteknik föranleder svårigheter vid tillämpning av
registerbegreppet, t.ex. vid användningen av elektroniska postsystem.
Uttrycket personlig integritet som föremål för det skydd som datalagen
skall ge har flera gånger behandlats i syfte att det skall preciseras
vad som menas med det (se bl.a. prop. 1987/88:57 om grundlagsfäst
integritetsskydd). Enligt min mening visar de försök att ange innebörden
i begreppet som har gjorts att detta är en svår arbetsuppgift, men
utredaren bör på nytt ta upp denna definitionsfråga. På motsvarande sätt
bör utredaren med utgångspunkt i hittillsvarande erfarenheter undersöka
om det går att närmare beskriva vad som skall anses vara otillbörligt
intrång i den personliga integriteten. I varje fall synes det vara
lämpligt att begreppen alltjämt bildar grundvalen för regleringen.
I detta sammanhang kan jag nämna att en viktig regel i datalagen är den
som avser det ändamål för vilket personregister förs (5 §). Denna regel
kan ge anledning till överväganden om det behövs förtydliganden eller
kompletteringar för att ge den en mera konkret betydelse.
En fråga med anknytning till ändamålsbestämningen är den vid vilken
tidpunkt uppgifter i personregister skall gallras. Integritetsskäl talar
oftast för att uppgifter gallras när de inte längre behövs för sitt
ursprungliga syfte. De intressen som bär upp offentlighetsprincipen gör
å andra sidan att uppgifter i allmänna handlingar bör bevaras under
relativt lång tid. Arkiveringshänsyn medför också ett intresse av att
uppgifter bevaras, t.ex. för forskning. Den intresseavvägning som bör
göras mellan skälen för bevarande och motivet att personuppgifter
gallras när det ändamål för vilket de insamlats är uppfyllt, får ökad
aktualitet i och med att allt större mängder information lagras på
ADB-medium. I regeringskansliet bereds för närvarande dessa frågor med
anledning av de förslag som lagts fram i betänkandena (SOU 1987:8) Arkiv
för individ och miljö och (SOU 1988:11) Öppenhet och minne, Arkivens
roll i samhället. Utredaren bör hålla sig underrättad om detta arbete
och anpassa sina förslag till resultatet av det pågående arbetet.
Ett centralt inslag i datalagens regelsystem är principen om rätt till
insyn i personregister för de registrerade (10 §). Denna princip bör
alltjämt gälla, men det kan finnas anledning att överväga dess närmare
reglering i lagen. Rätten till insyn förutsätter för att den skall kunna
utnyttjas på rätt sätt att det är möjligt för den enskilde att skaffa
sig kunskap om existerande personregister. Det kan finnas skäl att
överväga vilka förbättringar det går att åstadkomma på detta område utan
alltför betungande krav på de registeransvariga.
Utredaren bör också överväga om det behövs särskilda regler för de
personregister som arbetsgivare för och som innehåller uppgifter om
arbetstagare. Utredaren bör i denna del beakta vad som redovisas i
rapporten (Ds 1989:24) Datatekniken och den personliga integriteten i
arbetet -- en kartläggning, vilken har utarbetats av en arbetsgrupp inom
arbetsmarknadsdepartementet.
En annan viktig grundpelare i lagen är skyldigheten för
registeransvariga att rätta oriktiga personuppgifter. Lagstiftningen har
i denna del skärpts ganska nyligen som ett resultat av DOK:s arbete
(prop. 1986/87:116, KU 5, rskr. 10, SFS 1987:990). Utredaren bör belysa
effekterna av denna lagändring. I samband därmed kan frågan om
ytterligare skärpningar av den registeransvariges skyldighet att rätta
felaktiga uppgifter bli aktuell.
Under DALK:s arbete behandlades frågan om datalagen bör ersättas med en
lag som gäller personregistrering generellt och inte bara avser
användning av ADB-teknik. För min del drar jag den slutsatsen av den
spridning av datorteknik som skett och som kan förväntas fortsätta att
det inom överskådlig tid är användningen av datorteknik som skapar behov
av en integritetsskyddslagstiftning av datalagens typ. Jag anser därför
att frågan om en generell personregisterlag bör övervägas på nytt endast
om det framkommer särskilda skäl för det. Uppgifter som finns
dokumenterade i annan form än på datormedium men som ansluter till ett
datorlagrat material bör emellertid omfattas av lagstiftningen även
fortsättningsvis. Utredaren har därför anledning att söka klarlägga
vilken gräns som bör dras mellan sådant material som inte lagras på
datormedium men som skall omfattas av datalagens regler och annan
information.
Från olika håll har förts fram tanken att datalagen skall kompletteras
med ett skydd för juridiska personer vilket skulle motsvara det som i
dag finns för enskilda individer. För egen del är jag av den
uppfattningen att ett integritetsskydd bör gälla enbart fysiska
personer. Jag vill här hänvisa till att riksdagen helt nyligen har
avslagit motionsyrkanden om en utredning om behovet av
integritetsskyddsåtgärder för företagen (1988/89:KU28 s. 8 f., prot.
105). Jag vill också erinra om de uttalanden i denna riktning som
gjordes i samband med att det i regeringsformen efter förslag av DOK
infördes en grundlagsregel om integritetsskydd (prop. 1987/88:57 s. 10,
KU 19 s. 2 f., rskr. 117). Jag anser därför att utredaren inte bör ta
upp denna fråga.
En viktig uppgift för utredaren bör vara att överväga om den partiella
övergång från ett system med generellt tillståndskrav till ett
licenssystem som skedde år 1982 bör fullföljas för att effektivisera
integritetsskyddet vid en alltmer ökande ADB-användning i samhället. I
det sammanhanget bör uppmärksammas möjligheten att mera gå över till
generella regler för olika typer av personregister i enlighet med ett
förslag som datainspektionen nyligen lagt fram. I avvaktan på
datalagsöversynen föreslår datainspektionen att vissa ändringar
genomförs i datalagen redan nu som gör det möjligt för inspektionen att
i vissa fall efterge kravet på tillstånd och i stället meddela generella
föreskrifter. Ett genomförande av dessa ändringar skulle emellertid
föregripa resultatet av denna utredning. Det är därför enligt min mening
inte lämpligt att nu lägga fram några förslag till ändringar i datalagen
av materiell natur.
Ett annat spörsmål är i vilken utsträckning man kan bygga på
självreglering inom olika verksamhetsområden där datorteknik används.
Att helt gå ifrån krav på att datainspektionen skall ta ställning till
frågan om vissa personregister med särskilt känsligt innehåll skall få
inrättas och föras kan synas alltför långtgående. Utredaren bör
emellertid överväga frågan förutsättningslöst.
Ett syfte med att minska omfattningen av datainspektionens
tillståndsgivning skulle vara att ge ökat utrymme för tillsyn från
inspektionens sida över de personregister som finns. Det kan också
finnas anledning att studera nya metoder för en effektiv tillsyn, t.ex.
medverkan från andra organ.
En omläggning av datainspektionens verksamhet mot ökad tillsyn kan ge
anledning till en översyn av inspektionens organisation. Även med delvis
ändrade förutsättningar bör inspektionen kunna ha ungefär den storlek
den har nu. I det sammanhanget bör övervägas om det finns anledning att
ge inspektionen en mer utpräglad karaktär av dataombudsmannainstitution
än för närvarande.
Till följd av 1982 års ändringar har det uppstått vissa brister i
sanktionssystemets effektivitet genom att datainspektionen inte annat än
med stöd av 18 § datalagen kan meddela straffsanktionerade föreskrifter
i fråga om de personregister för vilka tillstånd inte längre krävs.
Detta är sannolikt inte tillfredsställande utan bör rättas till. En
övergång till en ordning där tillståndsgivningen minskar eller upphör
till förmån för ökad tillsynsverksamhet hos datainspektionen stryker
ytterligare under betydelsen av frågan om hur sanktionssystemet skall
bli effektivare. Också andra sanktioner än straff och skadestånd kan
tänkas behövas, särskilt om den sanktion som ligger i att ett meddelat
tillstånd återkallas minskar i betydelse vid en begränsad
tillståndsgivning.
När man överväger frågan om tillståndssystemets omfattning finns det
anledning att se på datainspektionens roll när det gäller s.k.
statsmaktsregister. Därmed avses sådana register som inrättas med stöd
av beslut av riksdagen eller regeringen och som nu är undantagna från
tillståndsplikt men där inspektionen skall avge yttrande (2 a §).
Utredaren bör undersöka hur den ordning som gäller i dag har fungerat
och se om den behöver förbättras.
I detta sammanhang bör uppmärksammas datalagens förhållande till s.k.
registerlagar och motsvarande författningar på regeringsnivå som
reglerar särskilda personregister, t.ex. det centrala skatteregistret
och det statliga person- och adressregistret (jfr DOK:s förslag i denna
del i SOU 1987:31).
Vidare finns skäl att ta upp frågan om datalagen bör samordnas med annan
lagstiftning på integritetsskyddets område, särskilt sådan som reglerar
områden där datorteknik används och personregistrering sker. Ett exempel
på ett sådant område är lagstiftningen om TV-övervakning, vilken för
närvarande ses över efter ett förslag som utredningen om TV-övervakning
m.m. lagt fram i betänkandet (SOU 1987:74) Optisk-elektronisk
övervakning.
Den situation som uppkommer när en registeransvarig förlorar
förfoganderätten över sina personregister på grund av en myndighets
beslut, t.ex. genom tvångsmedelsanvändning, behöver klarläggas. Detta
torde komma att falla inom ramen för den översyn rörande bl.a.
datorteknikens konsekvenser inom det straffprocessuella området (se
prop. 1988/89:124 s. 23 f., jfr prop. 1987/88:65 s. 59) som just nu
planeras inom regeringskansliet.
Den nu nämnda översynen avses omfatta också det straffrättsliga området.
I det sammanhanget blir det aktuellt att se över de straffbestämmelser
som kan ha samband med användning av datorteknik. Då är ansvarsregeln om
dataintrång i 21 § datalagen av intresse.
Utredaren bör hålla sig informerad om detta arbete.
I fråga om särskilda sektorer där datorteknik utnyttjas kan det finnas
anledning att överväga behovet av speciella regler i datalagen.
Ett exempel på ett sådant område som har diskuterats i detta hänseende
under ganska lång tid är forskningsområdet (se bl.a. direktiven till den
forskningsetiska utredningen U 1988:03). Utredaren bör följa detta
arbete och beakta de ändringar i datalagstiftningen som kan bli följden
av den forskningsetiska utredningens arbete. Om det bedöms lämpligt med
särskilda regler för forskningsregistren bör utredaren lämna förslag
till sådana. En fråga av intresse i samband med detta är möjligheten att
använda sig av krypterade forskningsregister och ha nyckelfilen
deponerad hos någon annan än den registeransvarige i de fall det inte
går att bygga registren på s.k. informerat samtycke eller arbeta med
avidentifierade uppgifter. En sådan ordning skulle få konsekvenser bl.a.
för den registeransvariges skyldigheter enligt 10 § datalagen. Liknande
frågor uppkommer på statistikområdet.
Ett annat område som har kommit i blickpunkten på senare tid är
massmedieområdet. I datalagen finns redan en bestämmelse som skall
reglera förhållandet mellan lagens föreskrifter och 2 kap.
tryckfrihetsförordningen med dess regler om offentlighetsprincipen
(6 §). Numera utnyttjas datorteknik som ett led i framställningen av
tidningar och andra tryckta skrifter. Därvid uppkommer frågan om hur
datalagen förhåller sig till de föreskrifter i tryckfrihetsförordningen
som avser sådana skrifter, t.ex. förbudet mot censur och andra hindrande
åtgärder som föregår tryckta skrifters utgivning (1 kap. 2 §
tryckfrihetsförordningen). Ett liknande problem har uppmärksammats när
det gäller förhållandet mellan brottet dataintrång (21 §) och den s.k.
anskaffarfriheten enligt 1 kap. 1 § fjärde stycket
tryckfrihetsförordningen (se 1988/89:LU30 s. 36). En angränsande fråga
som kan ställas på detta område är i vilken utsträckning massmediers
arkiv på datormedium skall falla under datalagens regler. Det kan finnas
andra sektorer där motsvarande problem kan uppkomma.
En fråga som sedan länge har varit omdebatterad är vilken instans som
skall pröva överklaganden av datainspektionens beslut. För närvarande är
det regeringen som har denna uppgift (25 §). Riksdagen har nyligen, med
hänvisning till att det ofta finns ett betydande politiskt inslag i den
bedömning som måste göras vid en överprövning av datainspektionens
beslut, avslagit två motioner med krav på att uppgiften skall föras över
till regeringsrätten (mot. 1987/88:K 43, 1988/89:K 442, KU28, prot.
105). Med hänsyn till att en översyn pågår inom regeringskansliet av
instansordningen i ärenden där Europakonventionens krav på tillgång till
domstolsprövning kan göra sig gällande (jfr prop. 1987/88:69 s. 18 och
30 samt prop. 1988/89:100 bil. 2 s. 10) finns det skäl att överväga
saken på nytt. Utredningen bör redovisa de motiv som talar för eller
emot den ena eller andra lösningen och ge sina synpunkter på vilken som
bör väljas. Av intresse i detta sammanhang är den lösning som valts i
fråga om avslag på begäran om att ta del av allmänna handlingar,
nämligen att enskilda skall överklaga till regeringsrätten och statliga
myndigheter till regeringen (se 15 kap. 7 och 8 §§ sekretesslagen
1980:100).
I en tid där utvecklingen går mot alltmer ökad internationalisering är
det viktigt att överväga hur den svenska datalagen förhåller sig till
andra jämförbara länders motsvarande lagstiftning. Här kan särskilt
pekas på våra nordiska grannländer och länderna inom den europeiska
gemenskapen (jfr dir. 1988:43). På det internationella planet kan vidare
framhållas Europarådets arbete som bl.a. har resulterat i den europeiska
konventionen om skydd för enskilda vid automatisk databehandling av
personuppgifter och i ett flertal rekommendationer inom olika sektorer
där datorstödda informationssystem används för personregistrering.
Slutligen kan i detta sammanhang erinras om de riktlinjer som har
antagits inom OECD.
Det är givetvis nödvändigt att Sverige uppfyller sina internationella
åtaganden på detta område. Skilda utländska lagar i jämförbara länder
och europarådsdokument kan ge idéer. Det finns också ett intresse av att
lagstiftningen i Sverige inte skiljer sig alltför mycket från den i
andra länder med vilka vi har ett utbyte och som innebär att
personuppgifter behöver föras över mellan länderna.
Utredningen bör följa utvecklingen både på det tekniska området och inom
lagstiftningen. I det senare hänseendet vill jag bl.a. peka på de
resultat som DOK:s olika betänkanden kan leda till.
Utgångspunkten bör vara att förslagen inte skall leda till några ökade
kostnader. Jag vill erinra om de direktiv (dir. 1984:5) till samtliga
kommittéer och särskilda utredare angående utredningsförslagens
inriktning som regeringen beslutade i februari 1984. I dessa berörs vad
som skall gälla rörande finansiering av reformer.
Datainspektionens kostnader täcks i dag genom avgifter som betalas bl.a.
av dem som erhållit licens och av dem som ansöker om tillstånd.
Avgifterna får nedsättas eller efterges om det föreligger särskilda
skäl. Utredningen kan ha anledning att ta upp frågan om avgifternas
konstruktion för att se om några förändringar behöver göras.
Datainspektionens verksamhet bör dock även i fortsättningen vara helt
självfinansierad.
Den första delen av utredningen bör vara klar vid halvårsskiftet år
1990. Detta inledande arbete bör också kunna ligga till grund för de
myndighetsspecifika direktiv som skall beslutas inför den fördjupade
anslagsframställning som inspektionen skall avge år 1992. Det är därför
angeläget att tidsplanen hålls. Den andra delen av utredningsarbetet bör
kunna vara avslutad ungefär ett och ett halvt år efter det att den
första delen slutförts.
Med hänvisning till vad jag nu har anfört hemställer jag att regeringen
bemyndigar chefen för justitiedepartementet
att tillkalla en särskild utredare -- omfattad av kommittéförordningen
(1976:119) -- med uppdrag att göra en översyn av datalagen samt
att besluta om sakkunniga, experter, sekreterare och annat biträde åt
utredaren.
Vidare hemställer jag att regeringen beslutar att kostnaderna skall
belasta andra huvudtitelns anslag Utredningar m.m.
Regeringen ansluter sig till föredragandens överväganden och bifaller
hennes hemställan.
(Justitiedepartementet)