På 1970-talet ansågs Sverige vara ett föregångsland när
det gällde att upprätthålla rimlig balans mellan personlig
integritet och dataregistrering. Sedan dess har mycket hänt.
Inget annat land har så mycket information om enskilda
individer samlade på dataregister. Inget annat land tillåter
samkörning mellan olika register i samma omfattning. Inget
annat land har ett registersystem som är så tillgängligt för
vem som helst som det svenska. I vårt land säljer
myndigheter information som i andra länder betraktas som
ytterst personlig och i behov av integritetsskydd.
Sverige framstår som den totala dataregistreringens
förlovade land. Ständigt växer antalet dataregister och
oupphörligt ställer myndigheter krav på att få samla in
uppgifter och information om medborgarna.
Visst kan det uppfattas som positivt att slippa sitta med
den krångliga allmänna självdeklarationen, som också har
blivit allt mera invecklad. Många människor känner säkert
en stor lättnad över att sedan ett par år tillbaka få använda
den förenklade deklarationsblanketten. Det gäller miljoner
svenskar.
Hur många tänker på att detta blivit möjligt tack vare
myndigheters allt större insyn i människors privatliv?
Datorer tar över, och i centrala och regionala register finns
sedan uppgifter lagrade. Hur mycket insyn i sitt privata liv
och i sina personliga förhållanden tål egentligen det svenska
folket?
Moderata samlingspartiet har starkt varnat för
utvecklingen som lett fram till den situation där
medborgarnas integritet allt mer urholkas. Vi har föreslagit
åtgärder avsedda att stärka den enskilda människans
position. Våra förslag har syftat till att människor skall få
disponera en större personlig sfär, att utrymmet för den
personliga integriteten skall öka.
Våra förslag i denna motion har samma syfte. Vi
redovisar här våra principiella ståndpunkter i ett antal
frågor av stor betydelse för medborgarnas integritet och för
deras situation i förhållande till myndigheter.
Ny teknik väcker oro
Ny teknik väcker alltid oro hos en del människor.
Fruktan för förändringens eventuella negativa sidor ställer
ibland krav på kontroll som kan leda till att utvecklingens
möjligheter försummas.
I ett land som Sverige med västvärldens mest omfattande
offentliga sektor är risken för detta betydande.
Datatekniken ses av vissa snarare som ett medel för
kollektivets kontroll och planering av samhället, än som ett
medel för att stärka medborgarnas möjligheter att både
kunna kontrollera den offentliga makten och utnyttja ett
ökat växande utrymme för den egna kreativiteten.
Detta har gett Sverige en i vissa delar bakvänd politik i
frågor som rört datateknikens användning. I stället för att
stifta lagar till skydd för den enskildes rättssäkerhet och
integritet, har statsmakterna inte bara utnyttjat
datatekniken till att ytterligare utvidga ett redan
omfattande uppgiftsinsamlande och registrerande utan
också till att underblåsa en föreställning om att det åvilar
statsmakterna att planera för datoranvändandet i det
svenska samhället. Datatekniken har snarare använts för
centralisering än för det decentraliserade och öppna
samhälle den ger möjlighet till.
Det finns betydande skäl att vända sig emot en sådan
utveckling. Statsmakternas uppgift bör primärt vara att
tillse att ny teknik -- det må vara såväl datorteknik som
annan ny teknik -- inte inkräktar på medborgarnas rätt till
liv, egendom eller integritet. Det är huvudsakligen inom
dessa områden som vi i denna motion för fram konkreta
krav på förändringar.
Offentlighetsprincipen och sekretessen
Det är angeläget att skapa en ökad förutsebarhet vad
gäller innehållet i ADB-baserade offentliga handlingar
genom att hårdare än i dag knyta myndigheternas ADB-
hantering till ändamålet för de insamlade uppgifterna.
Detta kan ske på följande sätt:Genom registerlagar kan
de enskilda myndigheternas ADB-register och ADB-
hantering regleras. Genom att myndighetens ADB-
hantering i lag preciseras till myndighetsutövningen
begränsas myndighetens möjlighet att sammanställa nya
handlingar. Denna begränsning gäller givetvis mot den
enskilde om den också gäller gentemot myndigheten.
Datainspektionen bör genom föreskrifter reglera vilka
handlingar och samkörningar som en myndighet får göra.
Dessa föreskrifter kan komplettera registerlagar, eller i
vissa fall ersätta dem.Insamlade uppgifter skall användas
av den myndighet som insamlat dem. Ändamålsknytningen
bör leda till att utbytet av information mellan myndigheter
begränsas. Sekretesslagen bör skärpas i detta avseende.
Myndigheter bör som princip själva samla in de uppgifter de
behöver för sin myndighetsutövning i stället för att använda
sig av den offentlighetsprincip som skall vara medborgarnas
möjlighet att kontrollera myndigheterna.
Det finns enligt vår mening starka skäl för att en
myndighet skall inhämta personuppgifter direkt från den
enskilde och inte från andra myndigheter. Detta bör framgå
i berörda myndigheters instruktioner. Vad som här anförts
angående en mer precis knytning av myndigheters
dataanvändning till den egna myndighetsutövningen och
ändamålet med insamlade personuppgifter bör riksdagen
som sin mening ge regeringen till känna.
Det finns utöver detta anledning att diskutera formerna
för hur sekretessbelagd information på data skyddas samt
under vilka former sekretessbelagd information lämnas ut.
De tekniska möjligheterna till intrång ger anledning till
oro. Vid ett antal olika fall har det funnits anledning att
rikta kritik mot vissa myndigheters sätt att hantera
sekretesslagen, när de lämnar ut sekretessbelagda uppgifter
till olika register.
Hälso- och sjukvårdssekretessen ställer krav på en
menbedömning för varje person som man lämnar ut
uppgifter om. Detta sker uppenbarligen inte i de fall då
stora informationsmängder överförs från ett register till ett
annat.
Den mest uppseendeväckande nonchalansen av de krav
som sekretesslagen ställer är delar av den uppgiftslämning
som idag sker till socialstyrelsens forsknings- och
statistikregister från landstingen. Sedan data- och
offentlighetskommittén i sitt betänkande SOU 1986:24
påtalat att den uppgiftsöverföring det här gäller inte är
förenlig med sekretesslagen, har inget påtagligt skett från
vare sig regeringens eller myndigheternas sida.
Dock förs ej längre nya uppgifter till det
slutenvårdsregister vid socialstyrelsen till vilket uppgifter
tidigare insamlades från landstingen. Uppgiftsinsamlingen
upphörde sedan först Älvsborgs och därefter ytterligare
landsting protesterat mot förfarandet.
Uppgiftslämnandet inom och mellan hälso- och
sjukvårdens olika myndigheter måste följa gällande
sekretesslag. Regeringen bör därför omgående ta initiativ
till nya informationsrutiner mellan socialstyrelsen och
sjukvårdens olika myndigheter. En förutsättning för
centrala register av det slag det här gäller bör vara att de har
stöd i en särskild registerlag.
Enligt budgetpropositionen 1991 avses en proposition
om sekretess inom och mellan myndigheter på vårdområdet
läggas fram under 1991. P.g.a. den tid som förflutit sedan
det klargjordes att delar av landstingens uppgiftslämnande
till socialstyrelsen inte är förenligt med sekretesslagen, är
det nu nödvändigt att detta arbete sker skyndsamt och att
människors berättigade intresse av personlig integritet
tillvaratas. Riksdagen bör ge regeringen till känna vad som
här anförts.
Den bristande överensstämmelsen mellan sekretesslag
och tillämpning i detta fall -- där verksamheten är
organiserad och noga planlagd och utredd -- ger anledning
att misstänka att en bristande överensstämmelse föreligger
även i andra fall, där bedömningen görs från fall till fall i en
betydligt svårare beslutssituation i det vardagliga arbetet.
I detta sammanhang skall noteras att det kan finnas vissa
nödvändiga sekretessgenombrottskrav inom hälso- och
sjukvården. Det kan exempelvis gälla när sekretessen
skyddar läkemedelsmissbrukare från att få avbrott i sin
läkemedelsförsörjning.
Regeringen bör ta initiativ till en översyn av hur svenska
myndigheter tillämpar sekretesslagstiftningen. Det finns två
viktiga skäl till detta. Dels skulle en sådan översyn leda till
en bättre tillämpning, dels skulle regering och riksdag få en
bättre bild av hur den sekretess fungerar som ibland är en
förutsättning för inrättandet av vissa datasystem. Vad som
här sagts om en översyn av myndigheternas tillämpning av
sekretesslagstiftningen bör riksdagen som sin mening ge
regeringen till känna.
Kryptering
Det finns emellertid ytterligare ett problem som följer av
kommunikationen i stora datasystem och sekretessbelagda
informationer.
Risken för att hemliga uppgifter kan tappas ur olika
dataregister kommer troligtvis aldrig att kunna förebyggas
helt samtidigt som vissa register måste finnas till. Frågan om
kryptering av sådan känslig information är därvid av stort
intresse. Inom statistiska centralbyrån har man arbetat med
att utveckla olika ''säkra'' krypteringsmetoder.
Enligt vår mening är emellertid säker och trovärdig
kryptering endast en metod för bättre säkerhet. Kryptering
kan därför inte användas som argument för inrättandet av
fler register och insamlande av fler uppgifter. Däremot bör
sådana metoder användas när de kan ge större säkerhet åt
information som finns insamlad i befintliga register. Det bör
inte nödvändigtvis gälla enbart forsknings- och
statistikregister. Ett alternativ till kryptering är utgallring av
känsliga uppgifter efter en viss tid eller när myndigheten
inte längre behöver uppgiften i sådana verksamheter som
inte främst rör traditionell myndighetsutövning utan där
den enskilde snarare står i ett slags kundförhållande till
myndigheten. Den typen av register bör i görligaste mån
avidentifieras när så är möjligt. Ett exempel på denna typ
av register är biblioteksverksamheten. Utlåningsregister
bör sekretessbeläggas och gallras kontinuerligt.
Ytterligare ett alternativ för att skydda känsliga
personuppgifter är att den enskilde bär dem med sig. Inte
minst inom sjukvården skulle detta kunna vara ett alternativ
med hjälp av s.k. smart cards.
Ett förfarande där sådana elektroniska kort blir bärare
av vissa patientuppgifter skulle kunna kombineras med
datasystem som är decentraliserade för varje
sjukvårdsklinik. Genom ett sådant system skulle de som är
närmast berörda i vården av en patient -- patienten och den
aktuella kliniken -- ha en kontroll över patientjournalens
uppgifter. Samtidigt skulle man genom ett system med
elektronisk post -- men med beaktande av sekretesslagens
krav -- möjliggöra överföring av information till och från
kliniker.
Formerna för uppgiftslämnandet enligt sekretesslagen
lämnar ur den enskildes perspektiv mycket i övrigt att
önska. Beslut om uppgiftslämnande fattas av myndigheten
utan möjlighet för den registrerade -- som lämnat uppgifter
i tron att dessa skall stanna hos myndigheten -- att reagera.
Det finns därför anledning att överväga dels en
underrättelse till den registrerande, dels en besvärsrätt, så
att prövning kan ske av annan instans än den utlämnande
myndigheten. Vad som i frågan om underrättelse till enskild
och besvärsrätt anförts bör ges regeringen till känna.
Datalagen räcker inte!
Den nuvarande datalagen trädde i kraft 1973. Den är
avsedd att vara ett skydd gentemot otillbörliga intrång i den
enskildes integritet vad avser ADB-baserade
personregister. Lagen slår bl.a. fast vad gäller begreppet
otillbörligt intrång att inställningen, som föreligger eller kan
antas föreligga, hos dem som kan registreras skall beaktas
vid bedömningen av vad som är otillbörligt intrång.
Den svenska datalagstiftningen bygger i grunden på att
det allmänna anses ha en rätt att insamla information om
den enskilde och lagra samt sprida denna information på det
sätt som det allmänna anser vara i den enskildes eller i det
allmännas intresse. Den enskildes integritetsskydd bygger
på principen att ett offentligt organ -- datainspektionen --
slår vakt om den enskildes intresse och uttolkar vad som är
att betrakta som otillbörligt intrång.
Denna lagstiftning skiljer sig från en lagstiftningssyn som
bygger på att den enskilde ges en rätt att själv avgöra hur
personliga uppgifter skall hanteras. Denna syn har i stället
kommit att dominera internationell debatt om t.ex.
forskningens tillgång till känslig information. Informerat
samtycke har som begrepp sina rötter i en rättighetsbaserad
integritetssyn som skiljer sig från den i Sverige
dominerande.
Den oro och den debatt som präglat diskussionen om
dataanvändning har inte bara sin grund i att det i Sverige
finns många centrala datasystem utan också i att den
enskilde faktiskt inte har någon rätt som han själv kan utöva
annat än rätten till s k
§
10-utdrag. Det skydd datalagen ger den enskildes
integritet har i praktiken genom utvecklingen mot allt fler
stora register och en alltmer omfattande offentlig
registrering försvagats i sådan omfattning att den inte
fungerar som ett skydd för den enskildes integritet längre.
Datalagens bristande förmåga att ge ett skydd för den
enskildes integritet leder till att utrymmet för den enskildes
integritet och personliga sfär steg för steg blir allt mindre.
Myndigheternas kunskaper om den enskildes privatliv är
redan i dag större i Sverige än i något annat land. Orsaken
till detta är att den normale medborgaren för den större och
den viktigare delen av sin välfärd är beroende av den
offentliga sektorns utformning och dess fördelning av
välfärden.
Enligt datainspektionens bedömningar uppgick redan
för något år sedan det totala antalet personregister i
kommunal regi till 8 000. Dessa register innehåller till en
mycket stor del integritetskänsliga uppgifter.
Landets socialnämnder har t.ex. 1 500 register,
skolstyrelserna 1 200. Det handlar om inkomster,
förmögenheter, sociala problem, flyktingars förhållanden,
elevers betyg och mycket mer. Landstingen har register för
sjukvården, omsorgsverksamheten och tandvården.
Syftena är administration, den medicinska vården eller
omsorgen som sådan samt forskning, planering och
statistik.
Av allt att döma kommer personregistreringen på bara
det landstingskommunala och kommunala området att
expandera kraftigt. Under perioden 1/7 1987 till mars 1988
fick datainspektionen 170 ansökningar om tillståndspliktiga
register. Det gäller alltså här register som innehåller
uppgifter som enligt datalagen är att anse som
integritetskänsliga.
Datainspektionen konstaterar i sin redovisning av
tillsynsprojektet ''Personregister i kommuner och
landstingskommuner 1987'' att detta motsvarar en årlig
tillväxt av 210 integritetskänsliga register i landet.
Detta är dock bara en del av den offentliga
registeruppbyggnaden. En lång rad olika centrala register
är under uppbyggnad eller drift.för ett par år sedan
lagstiftades om kronofogdemyndigheternas
utsökningsregister, som ger terminalåtgång över hela landet
med ett delat registeransvar mellan riksskatteverket och de
enskilda kronofogdemyndigheternafritidsbåtsregistret
har till dyra kostnader -- som överstiger intäkterna -- tagits i
driftsocialstyrelsens centrala slutenvårdsregister för hela
riket väntar på ett klarteckeninom riksförsäkringsverket
driver man på för att få ta i bruk ett yrkesregister över hela
befolkningenstarka krafter är i gång för att tillskapa ett
lägenhetsregister över befolkningen inom ramen för
centralnämnden för fastighetsdata. Avsikten är att
folkbokföringen i fortsättningen ska kunna föras på
lägenhetinom landstingssidan är en uppbyggnad av
patientadministrativa register under gång, vilka i många fall
medför att journaluppgifter inte längre står under den
enskilda klinikens kontroll
Inom i stort sett varje samhällssektor är centrala register
under fortsatt uppbyggnad. Det sker utifrån en situation där
vi i Sverige redan i dag torde ha världens mest omfattande
personregistrering.rättsväsendet har ett omfattande
rättsinformationssystem, som bland annat innefattar
databehandling av domar och beslut i brottmål, uppgifter
om misstänkta för brottpolisväsendet har numera bland
annat polisens förspaningsregisterinom försvaret finns
register för inskrivning och redovisning av värnpliktig
personalvid våra universitet och högskolor finns bland
annat ett system för studiedokumentation, statistik och
lokal antagning, STUDOK, som liksom STIS (studiestödets
informationssystem) innehåller uppgifter i betydande
uppfattning om de studerandestatens person- och
adressregister (SPAR) innehåller 22 olika uppgifter
förutom namn och innefattar i princip landets alla
medborgare. Registret har som ändamål att så mycket som
möjligt sprida personuppgifter som kommit in som en följd
av olika myndigheters verksamhet. Registret finns nämligen
enbart för kommersiella syften.inom den allmänna
försäkringen finns hos riksförsäkringsverket register för
bidrag, pensioner och sjukförsäkring. På grund av de olika
bidragssystemens komplexitet finns en betydande mängd
uppgifter registrerade.
Från dessa register lämnas kontinuerligt uppgifter
genom ADB bl.a. till:
arbetsmarknadsstyrelsen, Bankgirocentralen,
bostadsstyrelsen, centrala studiestödsnämnden,
civilförsvarsstyrelsen, DAFA, Kommun-Data Aktiebolag,
kommuner och landsting, Kommunernas pensionsanstalt,
kriminalvårdsstyrelsen, skattemyndigheter,
socialförvaltningar och ett 20-tal andra myndigheter och
organisationer.
Det finns förutom de här angivna registren ett ytterligare
stort antal andra. I mycket stor utsträckning bygger de på
att uppgifter förs från ett register till ett annat. De bildar
därmed ett nästintill oöverskådligt nätverk som för den
enskilde är i det närmaste ogenomträngligt. Statens
försäljning av personuppgifter ökar spridningen av dessa
uppgifter, som ursprungligen insamlats för helt andra
ändamål.
Registrens syfte är framförallt kontroll
Syftet med alla dessa register, och de informationssystem
som de i olika konstellationer skapar, är i huvudsak kontroll
och administration. I betydande utsträckning används de
också för att bygga upp forsknings- och statistikregister.
Inom SCB finns till exempel många olika personregister
för statistik och forskning. Det gäller undersökningen om
levnadsförhållanden (ULF), register om skatter och
inkomster, förmögenheter eller utbildningsnivåer. De
regelbundna folk- och bostadsräkningarna finns också med
som en viktig del i uppbyggnaden av statistikregister.
Felaktig föreställning
Listan på register kan göras betydligt längre. Det finns
emellertid inget ont uppsåt i alla dessa register som
definitionsmässigt skadar den enskildes integritet. I de allra
flesta fall leder de till att en nödvändig hantering av
information görs på ett effektivt och säkert sätt. De bygger
däremot på den i grunden principiellt felaktiga
föreställningen om att medborgarna skall kontrolleras och
att deras välfärd skall administreras.
De bidrar därmed till framväxten av ett välfärdssystem
som bygger på planering och politisk hushållning under
former som i grunden ingen längre tror på -- inte ens vad
gäller effektiviteten -- och som ytterligt få vill ha.
Medborgarnas inställning till den ständiga utbyggnaden
av stora register är enkel och klar. En mycket stor majoritet
uppger vid olika opinionsundersökningar att de känner en
olust eller känner sig skrämda inför myndigheternas
register.
Datalagens brister
Samtidigt som datalagen uppenbarligen inte förmår
skydda den enskilde mot ständigt nya krav leder den också
till absurda effekter som står i en motsats till en förnuftig
och rimlig databehandling. Diskussionen om huruvida
Dagens Eko skulle få lov att ha ett sändningsregister på data
är ett sådant exempel.Den moderna text- och
ordbehandlingen leder i praktiken till att ständigt nya
personregister uppstår utan att detta rimligtvis kan skapa
intrång i enskildas integritet. Problemet är att datalagen
hanterar den omöjliga uppgiften att reglera hur en viss
teknik skall användas.I stället för att precisera och
skydda den enskildes rätt anger datalagen snarare under
vilka former som tillstånd skall beviljas eller avslås. En
annan betydande svaghet är att datalagen inte skiljer mellan
den information som sprids som ett naturligt och självklart
led i det öppna samhället och de uppgifter som vi i
förtroende, för särskilda ändamål eller under tvång lämnar
ifrån oss.Datalagen ger inte den enskilde en rättslig
ställning i skyddet av sitt privatliv utan ger istället ett
beroende till datainspektionens, och i besvärsfall
regeringens, avvägningar mellan den enskildes och andras
intressen. Långsiktigt leder detta till att information om den
enskilde insamlas, behandlas och används för ett ständigt
växande antal ändamål.
Datalagen fungerar inte längre. Den ger inte det skydd
som den enskildes rätt och integritet kräver.
Lagar i motsatsställning
Ett tämligen färskt exempel av annat slag som visar att
datalagen inte fungerar -- och dessutom står i
motsatsställning till annan lagstiftning -- utgör
datainspektionens beslut under 1989 att ej medge
Vestmanlands Läns Tidning tillstånd att använda registret
''VLT Data-klipp'' som en databas för allmänhetens bruk.
Detta drabbar den enskilde medborgarens möjligheter att
orientera sig i samhällsdebatten på villkor som är likvärdiga
med journalisters och politiska makthavares motsvarande
möjligheter.
Eftersom datalagen här står i motsats till tryckfrihetsoch
yttrandefrihetsprincipen så måste datalagen ändras. I det
här fallet är det datatekniken som sådan och lagens
utgångspunkt just i denna teknik som förorsakar
konflikten.
Lagen måste i mindre utsträckning baseras på tekniken
och i högre grad inriktas på att ge enskilda människor
möjlighet att få tillgång till sådan information som yttrande-
och tryckfrihetslagstiftningen föreskriver.
Konsekvenserna av datainspektionens beslut är att den
enskilde får en sämre ställning i det framväxande
informationssamhället än vad massmedia och det politiska
etablissemanget kommer att ha. I praktiken kommer
beslutet att medföra att informationsdatabaser med modern
datateknologi inte kommer att vara möjliga i Sverige. Detta
anser vi vara till ett betydande men för svensk
samhällsdebatt och för svenska medborgares tillgång till
information.
Enligt vår mening strider datainspektionens beslut mot
ett betydande allmänintresse som i andra sammanhang
kommer till uttryck genom tryckfrihetens och
yttrandefrihetens principer. Datainspektionens beslut
innebär nämligen inte bara en begränsning av nya medias
möjligheter att med tryckfriheten och yttrandefriheten som
grund förmedla information. Beslutet kommer att försvåra
för den enskilde i informationssamhället utan att det för den
skull ger något egentligt integritetsskydd.
Det finns två skäl för varför datainspektionens beslut
inte kommer att medföra något egentligt integritetsskydd.
För det första innebär beslutet ingen begränsning vad gäller
tillgången till textdatabaser för den grupp som yrkesmässigt
kan ha anledning att samla information och i vissa fall
inhämta känsliga personuppgifter om enskilda medborgare,
och som har möjlighet att ge information vid spridning.
Beslutet berör inte den yrkesmässige publicisten, bara den
enskilde medborgaren.
För det andra är innehållet i tidningarnas textdatabaser
material som redan tidigare har publicerats inom ramen för
tryckfrihetslagstiftningen. Det innebär att det är
offentliggjort och allmänt känt. Till skillnad från offentliga
personregister bygger uppgifterna inte på personuppgifter
som den enskilde obligatoriskt haft att lämna ifrån sig,
under lagligt tvång eller under vissa förutsättningar. De
uppgifter som publicerats, är till den allra största delen
uppgifter, som över huvud taget inte har med den enskildes
integritet att göra. Tvärtom handlar det till den största delen
om uppgifter som naturligen eller frivilligt blivit offentliga,
t.ex. genom intervjuer, artiklar, anföranden eller referat
från offentliga arrangemang.
Det är en paradox att sådana uppgifter, som den enskilde
tvingas lämna ifrån sig, kan komma att bli offentligt
tillgängliga -- inom ramen för offentlighetsprincipen -- t.ex.
i statens person- och adressregister (SPAR) medan
statsministerns offentliga löften om skattetryck och
momshöjningar kan komma att skyddas av datalagen från
enskilda medborgares insyn.
För oberoende grupper och för enskilda medborgare,
som står utanför de etablerade institutionerna i vårt
samhälle, kommer denna tillämpning av datalagen att
medföra ett underläge som enligt vår mening strider mot
väsentliga allmänna intressen. Dessa allmänintressen är av
den betydelsen att datainspektionen borde ha beviljat
tillstånd för Vestmanlands Läns Tidning även i den del som
gäller allmänhetens tillgång till databasmaterialet.
Tryckfrihetsprincipen och yttrandefriheten måste
nämligen anses vara tyngre vägande i sådant här fall än
datalagens bestämmelser. Skyddet av känsliga
personuppgifter kan åstadkommas genom föreskrifter som
i dessa fall begränsar sökbarhet och som anger när gallring
skall ske. Detta kan göras på motsvarande sätt som görs
gentemot tidningens egna användare. Då kommer den
enskilde medborgaren inte i en sämre ställning vad gäller
tillgången till information än massmedia och offentliga
makthavare.
Vad är integritet?
Begreppet integritet i dess snävare perspektiv, så som
det används vid diskussionen om data och integritet, löper
parallellt med begreppets egentliga betydelse. Hoten mot
den enskildes dataintegritet uppkommer ju därför att hans
integritet i vidare bemärkelse är inskränkt vad gäller hans
förmåga att själv styra över sin välfärd. När den enskilde
blir ett objekt för det offentligas värderingar och åtgärder
ställs krav på information och offentlig insyn i privatlivet.
Denna insyn blir ett intrång i medborgarens integritet.
Den omvända bevisbörda som registerlösningar leder till
försätter den enskilde i underläge. Ovissheten om vad andra
vet skapar rädsla för en Storebror som vet allt. Beroendet
av den offentligt fördelade välfärden och beroendet av att
leva upp till vissa kriterier för att få del av välfärden är
intrång i den personliga integriteten.
Det är emellertid ofrånkomligt att integriteten til
syvende og sidst är en subjektiv upplevelse. Vad som kan
kännas kränkande och känsligt för en kan vara likgiltigt för
en annan. Mot den bakgrunden kan man för de
sammanhang som här avses definiera integriteten som:
graden av den enskildes förmåga att själv avgöra andras
insyn i den personliga sfären samtgraden av den enskildes
möjlighet att kontrollera var lämnade uppgifter -- lämnad
insyn -- tar vägen och vem som därmed tar del av dem.
Med denna definition är det enkelt att se att frågan om
den enskildes integritet inte nödvändigtvis beror av
datatekniken som sådan, även om denna sätter viktiga
frågeställningar i fokus.
Det är formerna för överföringen från den enskilde och
behandlingen av uppgifter som är det intressanta, inte
tekniken och programmen. Kommunikationen mellan
myndigheter av olika uppgifter är till exempel mer relevant
att diskutera än den teknik som uppgifterna är lagrade på,
även om vi kan konstatera att denna kommunikation inte
hade kunnat ske utan datatekniken.
En lag som reglerar tekniken blir för trubbig. Den kan
inte skydda tillräckligt samtidigt som den hindrar sådan
användning av datatekniken som knappast kan anses vara
ett hot mot den enskildes personliga sfär. Uppgifter på data
blir inte integritetskränkande bara för att de förs på data.
Datalagen behöver därför ersättas med en integritetslag.
En ny integritetslag
Det verkar i dag finnas en utbredd medvetenhet om att
datalagen i dess nuvarande form inte längre fungerar. Inte
minst utvecklingen av datatekniken har gjort lagen
svårhanterlig. Enligt vår mening räcker det inte med att
reformera datalagen. Istället bör den ersättas av en vidare
integritetslag. En ny integritetslag bör bygga på följande
element:
Reglera den enskildes rätt
En ny integritetslag bör i första hand ta sikte på att
reglera den enskildes rätt över den information som han i
olika sammanhang lämnar ifrån sig. Den bör därför göra
skillnad på normala personuppgifter som exponeras för
andra genom vardagslivets normala aktiviteter eller genom
det offentliga livets villkor och sådana personliga uppgifter
som den enskilde lämnar under vissa förutsättningar och för
ett visst ändamål.
Det är viktigt att användningen av uppgifter av det förra
slaget regleras utan att yttrandefrihet och tryckfrihet sätts ur
spel i datoriserade informationssystem. En författare eller
journalist måste inom ramen för vår tryckfrihetslagstiftning
kunna hantera allmänt känd personinformation även med
den nya informationsteknologin utan att han för den skull
bryter mot lagen.
Det skydd som datalagen i dag ger vad gäller registrering
av uppgifter av mer känslig och privat natur bör givetvis
finnas även i en integritetslag. Skyddet bör framförallt ta
sikte på spridningen och tillgängligheten av sådana
uppgifter och avse såväl privata som offentliga
registeransvariga. Register med uppgifter av denna typ bör
i princip enbart förekomma om de reglerats i lag eller byggts
upp genom informerat samtycke.
Uppgifter som den enskilde själv lämnat ställer däremot
andra krav på den enskildes rättsliga ställning. Sådana
uppgifter som den enskilde lämnar ifrån sig lämnas under
vissa förutsättningar, det må vara inom ramen för avtal, ett
förtroende eller myndighetsutövning. De bör kunna ses
som hans ''egendom'' och han bör kunna ha en stark
ställning i frågan om hur sådana uppgifter skall användas.
Ändamålet skall styra användningen
Oavsett om uppgifter lämnats till privat eller offentlig
verksamhet bör det ursprungliga ändamålet vara styrande
för hur uppgiften får användas och behandlas. Datalagens
nuvarande ändamålsstyrning bör i en ny integritetslag vara
central och betydligt fastare än i dag ange hur insamlade
uppgifter får användas.
Informerat samtycke
Information skall endast få användas på annat sätt än det
ursprungliga ändamålet under förutsättning att den enskilde
samtycker eller om det föreskrivs i lag. I
forskningssammanhang skall passivt samtycke under vissa
förutsättningar kunna användas.
Uppgifter direkt från medborgaren
En klarare ändamålsstyrning leder till att myndigheter
inte som i dag får utbyta uppgifter om den enskilde om det
inte anges i lag. Principen bör vara att den som skall
använda uppgifter -- i privat eller i offentlig verksamhet --
också skall samla in dem från medborgarna.
Användarens ansvar
Användarens ansvar för att insamlade uppgifter används
för ändamålet och inget annat bör stärkas. Statlig
försäljning av personuppgifter bör till exempel inte kunna
vara möjlig.
Den enskildes rätt
Den enskildes rätt att själv bestämma över hur
personliga uppgifter används och sprids måste bli större.
Den enskilde bör till exempel ha rätt att överklaga
utlämnandet av egna personuppgifter om de är
sekretessbelagda eller om utlämnandet sker myndigheter
emellan. Han skall också kunna vidtaga rättsliga åtgärder
mot registeransvariga i den enskilda sektorn, som använder
insamlade uppgifter för ett annat ändamål och utan
samtycke.
En ny integritetslag bör bygga på datalagens
grundläggande principer och syften. Den bör syfta till att ge
den enskilde en stark rättslig ställning i det moderna
informationssamhället i stället för att som i dag vara
beroende av avvägningar som görs av andra. Vad som här
anförts angående en ny integritetslag bör riksdagen ge
regeringen till känna.
Förändringar i nuvarande lagstiftning
Vi vill i det följande peka på åtgärder som vi, i avvaktan
på en ny integritetslag, bedömer som angelägna i syfte att
anpassa datalagen och annan lagstiftning till de problem
som idag möter skyddet av den enskildes integritet.
Begränsa uppgiftslämnandet
Det avgörande hotet mot den enskildes integritet är när
han eller hon tvingas lämna ifrån sig personliga uppgifter.
När uppgifterna väl är lämnade har den enskilde inte längre
någon kontroll eller egentlig kunskap om hur de används.
Ny lagstiftning kan t.ex. tillkomma som medger nya
användningsområden av insamlade uppgifter. Intrång i
integriteten kan ske genom att sekretesskyddet fungerar
dåligt. Tillstånd till nya samkörningar mellan olika
dataregister kan lämnas. Behörighetssystem kan vara
bristfälliga. Sekretess som tidigare har rått, kan hävas. Mot
denna bakgrund är det nödvändigt att minska
myndigheternas rätt att insamla, registrera, lagra och
vidarebefordra personuppgifter.
Regeringen bör därför tillsätta en delegation med
uppgift att föreslå minskningar i medborgarnas
uppgiftsskyldigheter.
Grundlagsskydd
Ett grundlagsskydd för den enskildes integritet infördes
1988 i 2 kap. 3 § regeringsformen. Den överenskommelse
som regeln bygger på skulle enligt vår mening kunnat vara
mer långtgående vad gäller att styra användningen av
insamlade uppgifter i ett register till det ändamål de
insamlats för. Det finns dock ett betydande symbolvärde
och även en praktisk betydelse i regeln som motiverar vår
uppslutning bakom den.
Undantag från tillståndskravet
Datainspektionen har i särskild skrivelse till regeringen
lämnat förslag till vissa ändringar i datalagen syftande till
undantag från kravet på tillstånd i sådana fall där såväl
tillstånd som föreskrifter meddelas enligt praxis. Enligt vår
uppfattning skall dessa undantag göras av riksdagen genom
ändringar i datalagen och ej genom att regering eller
datainspektion ges rätt att bevilja undantag från datalagens
tillämpning. Vi återkommer i denna fråga i den mån
regeringen lämnar riksdagen förslag om sådana undantag.
Särskilda och synnerliga skäl
Samtidigt vill vi påpeka att det idag finns skäl att utnyttja
den praxis som utvecklats sedan datalagens tillkomst till att
precisera datalagen och därmed ge den en starkare
ställning.
Detta kan ske genom att man bättre än idag definierar
begreppen särskilda och synnerliga skäl för tillstånd enligt
datalagen. Härigenom kan man på en gång uppnå en bättre
ändamålsstyrning och samtidigt vinna en ökad klarhet i
datalagen. Sådana förändringar av datalagen kan ske
samtidigt som riksdagen beslutar om undantag från
tillståndskravet.
Prövning av datainspektionens beslut
Vad gäller prövningen av datainspektionens beslut
menar vi att denna bör ske strikt enligt datalagen utan
politiska avvägningar. Det finns idag en sådan erfarenhet
och praxis av datalagens tillämpning att regeringsrätten och
inte regeringen bör vara besvärsinstans. Datalagens skydd
av den enskildes integritet blir starkare om prövningen av
datainspektionens beslut enbart sker efter datalagen, utan
de politiska värderingar en regering tenderar att göra.
Registerlagar
Regeringen har nyligen i proposition 1990/91:60,
Offentlighet, integritet och ADB, uttalat att på sikt bör
vissa myndighetsregister regleras i särskilda registerlagar.
Något förslag framläggs emellertid inte från regeringens
sida.
Vi har tidigare pekat på det angelägna i särskilda
registerlagar, som dels ger det lagliga stödet till
uppgiftsinsamlingen som sådan och dels beskriver under
vilka former de insamlade uppgifterna får registreras och
användas. Genom ett system med registerlagar får
riksdagen kontroll över utvecklingen inom området.
I sådana registerlagar kan anges om uppgifterna får
lämnas ut utan den enskildes informerade samtycke och om
uppgifterna får samköras med andra register utan
informerat samtycke.
Begränsa personnummeranvändningen
Personnumret har för många kommit att bli en symbol
för ett datasamhälle där den enskilde anonymiseras och blir
till ett nummer utan namn, ständigt utsatt för myndigheters
kontroll och insyn, utan någon annan identitet än sitt
personnummer. Förekomsten av denna känsla behöver inte
överdrivas. Den är ändå ett skäl till försiktighet med
personnummeranvändningen.
Det finns också betydligt mer konkreta skäl att begränsa
personnummeranvändandet. Som identifikationsbegrepp
har personnumret en särställning. Den utbredda
användningen av personnumret -- där personnumret
faktiskt i många fall fått ersätta namnet -- leder till att den
enskilde i en mängd sammanhang lämnar efter sig ett unikt
identifikationsbegrepp, tillsammans med känsliga eller
okänsliga personuppgifter, när namn och adress hade räckt
för det syfte man lämnar uppgifterna till. Genom att detta
unika identifikationsbegrepp används inom alla
samhällsområden skapas en möjlighet till insyn, kontroll
och spårning av enskilda personer som ur många perspektiv
är skrämmande. Detta är inte en följd av personnumrets
tekniska uppbyggnad utan av dess effektivitet att helt
entydigt identifiera en individ.
Personnumret ger dessutom tekniska förutsättningar
som underlättar samkörning även om det inte alltid är en
förutsättning för detta. Det är betecknande att de som
starkast understryker hur lätt det är att samköra med andra
identifikationsbegrepp ofta samtidigt pekar på de
svårigheter en begränsning av personnummeranvändningen
skulle innebära.
Enligt vår mening är det inte fråga om att avskaffa
pesonnumret utan att begränsa dess användning. Det är ett
effektivt identifikationsbegrepp som ska användas där den
typen av säker identifikation är nödvändig. En begränsning
av personnummeranvändningen bör i stället bygga på att
endast vissa registeransvariga, genom särskilt lagstöd, får
kräva personnummer. I övrigt bör användningen av
personnummer vara frivillig.
I den ovan nämnda propositionen har regeringen nyligen
föreslagit en ytterligare reglering beträffande användningen
av personnummer. Regeringens förslag är emellertid vagt
och kommer inte att leda till den begränsning av
personnummeranvändning som vi menar är nödvändig. Ett
bättre alternativ är att utgå från det lagförslag om
användning av personnummer som lades fram av data- och
offentlighetskommittén 1987 (SOU 1987:31). Lagförslaget
bör bli föremål för granskning av lagrådet och därefter
prövas av riksdagen.
Försäljning av personuppgifter
Stat och kommun ägnar sig idag åt att aktivt sprida
insamlade uppgifter genom att kommersiellt försälja dem.
Vi anser det principiellt felaktigt att det offentliga på
detta vis säljer delar av enskilda medborgares privatliv.
Offentlighetsprincipen ger inget stöd för en sådan
försäljning. Tvärtom riskerar försäljningsverksamheten att
skapa en ''lyxklass'' där vissa medborgare kan köpa
offentliga handlingar i en form som offentlighetsprincipen
inte ger den enskilde möjlighet att kräva.
Data- och offentlighetskommittén har lämnat förslag om
en begränsning av försäljningen ur personregister.
Begränsningen innebär i själva verket en legalisering av
nuvarande försäljningsverksamhet. Genom att man inte
tagit ställning till offentlighetsprincipens handlingsbegrepp
innebär kommitténs förslag varken någon begränsning eller
kontroll av vilka uppgifter och vilken information som får
säljas.
I den ovan nämnda propositionen har regeringen nyligen
lagt fram ett förslag i syfte att ''strama upp'' försäljningen av
personuppgifter från myndigheter. Förslaget är emellertid
helt otillräckligt. Det kommer när det genomförts att endast
i mindre omfattning påverka den omfattande försäljningen
av uppgifter.
Det är enligt vår mening ytterst betänkligt att
myndigheter försäljer uppgifter som insamlats för speciella
myndighetsändamål.
För det första innebär försäljningen att myndigheten
ägnar sig åt en verksamhet som inte ingår i själva
myndighetsuppgiften.
För det andra leder försäljningen till en uppenbar risk att
man blandar ihop behovet av uppgifter för
myndighetsutövningen med den efterfrågan försäljningen
ger. Det finns påtagliga integritetshot i detta, samtidigt som
denna risk negativt kan påverka medborgarnas förtroende
för myndigheten och dess sätt att hantera insamlade
uppgifter.
För det tredje strider försäljningen mot syftet med
datalagens ändamålsparagraf. Insamlade personuppgifter
ska enbart användas för de ändamål de insamlats för.
Existensen av SPAR-registret -- som har stöd i datalagen --
och försäljningen ur andra register strider mot denna
paragrafs syfte att skydda den enskildes integritet.
Försäljningen ur myndigheters personregister bör därför
inte tillåtas. Riksdagen bör ge regeringen detta till känna.
Statens person- och adressregister bygger på uppgifter
som insamlats för helt andra ändamål än försäljning. SPAR-
registret är ett av de mer integritetskänsliga registren i
Sverige. Försäljningen ur detta register i dess nuvarande
form bör därför inte få ske.
Därmed försvinner motivet för detta registers
särställning. Behovet av ett register för t.ex. uppdatering
kan fyllas genom att SPAR omvandlas till ett renodlat
adressregister som i vanlig ordning lyder under datalagen.
Riksdagen bör därför fatta beslut om att avveckla SPAR i
dess nuvarande form.
Skydd av företagsuppgifter
Den svenska integritetsdebatten har nästan uteslutande
rört de enskilda individerna och det hot som
datoriseringen -- främst hos myndigheterna -- inneburit för
intrång i den personliga integriteten. Det mycket
omfattande ADB-stöd som numera är en normal del i
myndighetsutövningen, innebär av samma skäl som ovan
redovisats en fara vad avser den enskilde medborgarens
integritet.
Det förekommer idag ett omfattande
uppgiftsinsamlande från företagen till den offentliga
sektorn. Uppgiftsinsamlandet har under åren vuxit till
oerhörda volymer. Enligt beräkningar, som gjordes för flera
år sedan, sänder näringslivet in mer än 50 miljoner
blanketter till olika myndigheter under ett år. Volymen har
snarare ökat än minskat sedan dess. Insamlandet syftar till
att tillgodose samhällsapparatens underlag för styrning,
kontroll och statistik. Hanteringen av dessa oerhörda
volymer av data är endast möjlig med hjälp av ADB-teknik
hos myndigheterna.
Lagringen av dessa data i myndigheternas databaser
representerar de facto en potentiell risk för oförutsedda och
obehöriga informationsuttag. Dessa risker måste
elimineras. En första förutsättning för att nå detta mål är
att man i högre grad än för närvarande är medveten om de
sårbarhets- och integritetsrisker som dessa baser medför.
Myndigheternas insamling av företagsuppgifter medför
emellertid även ytterligare risker, som i första hand
sammanhänger med hur insynsreglerna enligt
offentlighetsprincipen och de gällande reglerna i
sekretesslagen tillämpas.
Som ovan redovisats kommer t.ex. det skydd som
sekretesslagen är tänkt att ge vad gäller
uppgiftsöverföringar från en myndighet till en annan att i
stor utsträckning sättas ur spel genom nuvarande praxis
enligt tryckfrihetsförordningen och sekretesslagen --
framför allt genom tillämpningen av informationsbegreppet
''potentiell handling'' vid uppgiftslagring på ADB-medium.
Denna utveckling av praxis är ännu så länge bara inledd,
men den kan leda till ytterst obehagliga konsekvenser om
den tillåts fortsätta.
För skyddet av företagens integritet krävs emellertid
också andra särskilda åtgärder. I första hand bör dessa avse
insatser för att begränsa det uppgiftsinsamlande, som nu
förekommer hos ambitiösa myndigheter som i detta
avseende givits ganska fria händer genom den s.k.
ramlagstiftningstekniken. Uppgiftsinsamlandet borde i
mycket större utsträckning förutsätta direkt och tydligt stöd
i lag för att få förekomma. För kontrolländamål borde t.ex.
endast stickprov göras även om datatekniken gör det billigt
för den uppgiftsinsamlande myndigheten att bearbeta
uppgifter från den totala populationen.
Det borde också klarare slås fast -- såsom gäller för
uppgifter om enskilda individer -- att uppgifter som
insamlats för ett bestämt ändamål inte skall få användas för
andra ändamål än som avsågs vid uppgiftsinsamlingen, vare
sig hos den insamlande myndigheten eller annan
myndighet.
I de fall då det blir aktuellt att överlämna uppgifter
rörande ett visst företag från t.ex. en myndighet till en
annan -- och detta inte kunnat förutses vid
uppgiftsinsamlandet -- bör regler övervägas som skyddar
företagen genom att dessas samtycke skall inhämtas.
Det synes också vara nödvändigt att tillförsäkra
företagen en laglig insynsrätt med avseende på de uppgifter
som registrerats om dessa hos någon myndighet.
Insynsrätten skulle kunna utformas med ledning av den
särskilda paragraf i datalagen som tillförsäkrar
medborgarna en insynsrätt av detta slag.
Det är också angeläget att överväga
integritetsskyddsregler som förhindrar att företagen
avtvingas uppgifter om affärsidéer, planer och liknande
företagshemligheter som i orätta händer skulle kunna lända
företaget till skada.
Behovet av skydd av företagshemligheter bör utredas i
särskild ordning. Riksdagen bör ge regeringen detta till
känna.
I motionen läggs förslag till lagändringar. Det bör
ankomma på vederbörande utskott att utforma erforderlig
författningstext.
Hemställan
Med hänvisning till det anförda hemställs
1. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om en knytning av myndigheternas
dataanvändning till myndighetsutövningen,
2. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om informationsrutiner mellan
socialstyrelsen och sjukvårdens olika enheter,
3. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om översyn av myndigheters
tillämpning av sekretesslagstiftningen,
4. att riksdagen hos regeringen begär en redovisning av
användning av kryptering i enlighet med vad i motionen
anförts,
5. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om utgallring och
sekretessbeläggning av uppgifter i register som inte nyttjas
för myndighetsutövning,
6. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om besvärsrätt vid utlämnande av
uppgift,
7. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om datalagens motsatsförhållande
till tryckfrihets- och yttrandefrihetslagstiftning och därav
följande behov av förändringar i lagstiftningen,
8. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om behovet av en ny integritetslag,
9. att riksdagen hos regeringen begär tillsättande av en
delegation i syfte att föreslå minskningar av
uppgiftslämnandet i enlighet med vad i motionen anförts,
10. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om prövning av datainspektionens
beslut,
11. att riksdagen, med avslag på proposition 1990/91:60 i
denna del, antar en lag om användning av personnummer i
enlighet med vad i motionen anförts,
12. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om försäljning av uppgifter från
statliga dataregister,
[att riksdagen hos regeringen begär förslag till avveckling
av SPAR i enlighet med vad i motionen anförts,1]
13. att riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om behovet av skydd för
företagshemligheter.
Stockholm den 25 januari 1991
Anders Björck (m)
Hans Nyhage (m)
Elisabeth Fleetwood (m)
Stig Bertilsson (m)
Birger Hagård (m)
Göran Ericsson (m)
Göran Åstrand (m)
Gunnar Hökmark (m)