FÖRKORTNINGAR
ADB | Automatisk databehandling |
CLA | Centrala läkarhandlingsarkivet |
Dir. | Direktiv |
Ds | Departementsserien |
EG | Europeiska gemenskapen |
EU | Europeiska unionen |
FFS | Försvarets författningssamling |
KU | Konstitutionsutskottet |
OECD | Organisation for Economic |
(Organisationen för ekonomiskt samarbete och utveckling) | |
PliktverketTotalförsvarets Pliktverk | |
PLIS | Pliktverkets informationssystem |
Prop. | Proposition |
Riksarkivets författningssamling | |
RF | Regeringsformen |
Rskr. | Riksdagsskrivelse |
SOU | Statens offentliga utredningar |
TF | Tryckfrihetsförordningen |
YGL | Yttrandefrihetsgrundlagen |
ÖCB | Överstyrelsen för civil beredskap |
SAMMANFATTNING
Bakgrund
Totalförsvarets personalförsörjning tryggas genom en plikt för svenska medborgare och för utlänningar som är bosatta i riket att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter. Tjänstgöringen fullgörs som värnplikt, civilplikt eller allmän tjänsteplikt. För uttagning av pliktpersonal med värnplikt och civilplikt samt för redovisning av denna och övrig personal med uppgifter inom totalförsvaret svarar Totalförsvarets pliktverk (Pliktverket). Förutom pliktpersonal finns inom totalförsvaret olika personalkategorier av anställda och frivilliga.
För att klara uppgifterna med uttagning och redovisning har Pliktverket ett omfattande datorstöd med
Uppdraget
Behovet av en författningsreglering av Pliktverkets personregister uppmärksammades redan i samband med att lagen (1994:1809) om totalförsvarsplikt arbetades fram. Regeringen valde då emellertid att avvakta tills det stod klart vilka uppgifter som i framtiden borde finnas med i registret. I direktiven för vår utredning som lades fram under våren 1996 angavs att tiden nu var mogen för att lagreglera ett av landets största befolkningsregister. Uppdraget har — kort sammanfattat — bestått i att lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Pliktverket. Arbetet har i stora delar gått ut på att finna en lämplig avvägning mellan, å ena sidan, kraven på en ändamålsenlig och effektiv verksamhet och, å andra sidan, den enskildes intresse av skyddad personlig integritet.
Betänkandet
I detta betänkande lägger vi fram förslag till en lag om behandling av personuppgifter om totalförsvarspliktiga. Med totalförsvarspliktiga jämställes i lagen de som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt. De överväganden och förslag vi redovisar rör främst:
— ändamålen med behandlingen av personuppgifterna,
—vilka uppgifter som skall få behandlas,
—vem som skall få tillgång till uppgifterna och på vilket sätt,
—ansvar för att uppgifterna är korrekta och aktuella m.m.,
—vilka sökbegrepp som skall få användas i Pliktverkets register över totalförsvarspliktiga,
—gallring av registeruppgifterna samt
—sekretess.
Förslagen
Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga bygger på det förslag till persondatalag som nyligen lagts fram av Datalagskommittén i betänkandet Integritet — Offentlighet — Informationsteknik (SOU 1997:39). Persondatalagen, som i sin tur bygger på
Persondatalagen reglerar inte, till skillnad från datalagen, enbart
Lagen om behandling av personuppgifter om totalförsvarspliktiga är — med ett par undantag — endast tillämplig i Pliktverkets verksamhet. Lagen ger t.ex. i princip inga föreskrifter om vad den som emottar personuppgifter från Pliktverket har att iaktta. I konsekvens med detta anges i lagen Pliktverket som ansvarigt (persondataansvarigt) för den behandling av personuppgifterna som verket utför. Hur ansvaret kan vara fördelat bland andra som behandlar samma uppgifter tar vi inte ställning till. Svaret på den frågan får sökas i persondatalagen i varje särskilt fall.
Enligt den nya ordning som kommer att bli gällande i och med persondatalagen krävs inte längre tillstånd för registrering (eller för annan behandling) av personuppgifter. Vi föreskriver därför inte att Pliktverket får behandla personuppgifter för vissa ändamål utan anger istället vad som gäller när Pliktverket behandlar personuppgifter för vissa ändamål. Ändamålen med behandlingen — som enligt persondatalagens bestämmelser skall anges redan då personuppgifterna samlas in — avgränsar därmed lagens tillämpningsområde och uttrycks i lagen med utgångspunkt i Pliktverkets arbetsuppgifter med att mönstra (motsv.), skriva in, krigsplacera och redovisa personal för totalförsvaret. För dessa ändamål, som bärs upp av ett mycket starkt kollektivt intresse, bör Pliktverket ha rätt att behandla de personuppgifter som krävs och då även — i den mån det är nödvändigt — känsliga personuppgifter som t.ex. uppgifter om hälsa och religiös övertygelse. Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga följer detta resonemang. När det gäller frågan om vilka uppgifter som skall få antecknas i Pliktverkets
innehåll. Att uppgifterna ordnas i ett
I övrigt innehåller vårt lagförslag en erinran om sekretesslagens bestämmelser, en bestämmelse som innebär viss inskränkning av Datainspektionens (tillsynsmyndighetens) befogenheter vid den tillsyn inspektionen skall utöva enligt persondatalagen samt föreskrifter som medför att persondatalagens bestämmelser om rättelse m.m. av personuppgifter och om skadestånd blir tillämpliga även när uppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd därav.
Vi föreslår att lagen skall träda i kraft samma dag som persondatalagen (den 1 januari 1999).
Slutligen lämnar vi förslag till ändringar i sekretesslagen och till vissa sekretessbrytande bestämmelser i andra författningar, allt för att personuppgifterna om de totalförsvarspliktiga skall vara lagligen skyddade mot att obehöriga får del av dem medan de som behöver uppgifterna skall kunna få ut dem utan hinder av sekretessen.
Föreskrifter i förordningsform
Vi har föreslagit att regeringen skall ha möjlighet att utfärda närmare föreskrifter i följande fall.
—Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i
—Regeringen får föreskriva att annan än Pliktverket får ha terminalåtkomst till
—Regeringen får föreskriva att annan än Pliktverket får föra in och rätta uppgifter i ADB- register över totalförsvarspliktiga samt i vilken omfattning.
—Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.
—Regeringen får föreskriva kortare tid för gallring samt undantag från skyldigheten att gallra personuppgifter när det gäller bevarande av material för forskningens behov.
FÖRFATTNINGSFÖRSLAG
1 Förslag till lag om behandling av personuppgifter om totalförsvarspliktiga
Härmed föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Totalförsvarets pliktverk bedriver för att
1.ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,
2.redovisa personal med uppgifter inom totalförsvaret,
3.säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret,
4.tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,
5.tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig och
6.planera, följa upp och utvärdera den verksamhet som anges i
I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av annan än Totalförsvarets pliktverk.
Lagen gäller endast om behandlingen är helt eller delvis automatisk eller om personuppgifterna ingår i eller är avsedda att ingå i ett register.
Med totalförsvarspliktiga jämställes vid tillämpningen av denna lag personer som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.
Definitioner
2 § Med behandling, blockering, register, den registrerade, persondataansvarig, personuppgifter, känsliga personuppgifter, tillsynsmyndigheten och tredje man förstås i denna lag detsamma som i persondatalagen (1998:000).
Med utredning avses i denna lag mönstring och annan utredning om den totalförsvarspliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt samt särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.
Med
Förhållandet till persondatalagen
3 § Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd härav, tillämpas persondatalagen vid behandling av personuppgifter om totalförsvarspliktiga.
Ändamålen med behandlingen
4 § Personuppgifter som samlats in av Totalförsvarets pliktverk skall anses insamlade för de ändamål som anges i 1 § första stycket om inte Totalförsvarets pliktverk vid insamlingen ut-
tryckligen angett att denna sker för andra ändamål.
Behandling av känsliga personuppgifter
5 § Känsliga personuppgifter får behandlas om det är nödvändigt för de ändamål som anges i 1 § första stycket.
Första stycket gäller även kommuner, landsting, kyrkliga kommuner och de statliga myndigheter som anges i 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt, om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden med stöd av 2 kap. 1 § lagen om totalförsvarsplikt.
Ansvaret för behandlingen
6 § Totalförsvarets pliktverk är persondataansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför.
Registerinnehåll
7 § I
1.är aktuell för utredning enligt 2 § andra stycket,
2.genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,
3.skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret,
4.av en redan registrerad uppgetts som närstående eller
5.nämns bland de uppgifter som antecknas med stöd av 8 § första stycket 13.
Uppgifter om en person som avses i första stycket 4, får antecknas i registret endast vid höjd beredskap.
Utan hinder av vad som sägs i första stycket får personuppgifter antecknas i registret om den som fattat beslut eller handlagt ärende rörande den registrerade hos Totalförsvarets pliktverk eller hos annan som utför utredning som avses i 2 § andra stycket. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret.
8 § I
1.personnummer, namn, adress, telefonnummer och folkbokföringsort,
2.hinder för genomförande av utredning som avses i 2 § andra stycket, för utbildning och för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3.boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets pliktverk skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalförsvarspliktiga,
4.utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
5.fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,
6.om den registrerade är svensk medborgare eller inte,
7.utgången i mål om ansvar för brott mot totalförsvarsplikten,
8.att den registrerade har dömts till påföljd för brott som anges i 19 § femte stycket polisregisterkungörelsen (1969:38),
9.att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,
10.vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,
11.krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap,
12.tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna samt
13.personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller
hennes tjänstgöring inom totalförsvaret.
Utan hinder av vad som sägs i första stycket får beslut som rör totalförsvarsplikten, tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter antecknas.
Beträffande den som antecknas i registret med stöd av 7 § första stycket 4, får endast namn, adressuppgifter och relation till den som uppgett honom eller henne som närstående föras in i registret.
Beträffande handläggare och andra personer som avses i 7 § tredje stycket får endast namn, titel och tjänsteställe antecknas.
9 § Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i
Terminalåtkomst
10 § Totalförsvarets pliktverk har terminalåtkomst till
Registrering av uppgifter
11 § Regeringen får föreskriva att även annan än Totalförsvarets pliktverk får föra in och och rätta personuppgifter i
Sökbegrepp
12 § Personuppgifter som avses i 8 § första stycket
För åtkomst av personuppgifter om närstående till en totalförsvarspliktig, om den som handlagt ärende, fattat beslut eller gjort journalanteckning får endast den totalförsvarspliktiges personnummer användas som sökbegrepp. Detsamma gäller för åtkomst av personuppgifter som antecknats med stöd av 8 § första stycket 13.
Utan hinder av vad som sägs i första och andra styckena får nödvändigt sökbegrepp användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.
Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.
Gallring
13 § En personuppgift i ett
derår den registrerade fyller 70 år, om inte han eller hon även därefter har en uppgift inom totalförsvaret vid höjd beredskap. Uppgifter om närstående, beslutsfattare, handläggare, den som gjort journalanteckning samt om personer som nämns bland vad som antecknats med stöd av 8 § första stycket 13 skall härvid anses som uppgifter om den totalförsvarspliktige. Regeringen får föreskriva kortare tid för gallring än vad som följer av detta stycke.
Regeringen får föreskriva undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Sådana uppgifter skall dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.
Sekretess
14 § För utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som följer av sekretesslagen (1980:100).
Inskränkning i tillsynsmyndighetens befogenheter
15 § Tillsynsmyndigheten får inte förbjuda Totalförsvarets pliktverk att behandla personuppgifter om totalförsvarspliktiga.
Korrigering av uppgifter
16 § Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, om sådana åtgärder skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som utfärdats med stöd av denna lag.
Skadestånd
17 § Persondatalagens bestämmelser om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som meddelats med stöd av denna lag.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 1999. Vid sådan behandling av personuppgifter för vilken lagen gäller och som redan pågår vid ikraftträdandet skall persondatalagens bestämmelser tillämpas utan hinder av vad som sägs i 2 p i övergångsbestämmelserna till den lagen.
Bestämmelsen i 5 § andra stycket i denna lag skall emellertid inte börja tillämpas förrän den 1 oktober 2001.
2. De personer, som vid lagens ikraftträdande har varit föremål för sådan utredning som avses i 2 § andra stycket men som inte tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, får utan hinder av vad som sägs i 7 § antecknas i ett
2 Förslag till lag om ändring i sekretesslagen (1980:100)
Härigenom föreskrivs att 7 kap. 12 § sekretesslagen (1980:100) skall ha följande lydelse.
7 kap. Sekretess med hänsyn främst till skyddet för enskilds personliga förhållanden
avbrott i sådan tjänstgöring. Sekretessen gäl- 12 § ler dock inte beslut i ärende som avses i detta
stycke.
Föreslagen lydelse
Sekretess gäller i ärende om utredning om totalförsvarspliktigas personliga förhållanden, i ärende om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar samt i ärende om inskrivning och krigsplacering av totalförsvarspliktiga för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten,
skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller dock inte
beslut i ärende som avses i detta stycke.
Sekretess gäller inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds person-
liga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelä-
genheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.
Sekretess gäller inom verksamhet som avser utbildning för totalförsvarsändamål med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos befattningshavare som har till uppgift att ut-
bilda den totalförsvarspliktige, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.
Denna lag träder i kraft den 1 januari 1998.
3 Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt
Härigenom föreskrivs att det i 3 kap. 15 § skall införas en ny paragraf med följande lydelse.
3 kap. Uppgiftsskyldighet
Utbildningsenheter inom totalförsvaret
15 §
De organisatoriska enheter där grundutbildning genomförs för värnplikt eller civilplikt med längre grundutbildning än 60 dagar skall, senast då den totalförsvarspliktige rycker ut, lämna journalhandlingar som upprättats under utbildningen till Totalförsvarets pliktverk.
Denna förordning träder i kraft den 1 januari 1998.
4Förslag till förordning om ändring i förordningen (1995:648) med instruktion för totalförsvarets pliktverk
Härigenom föreskrivs att 3 § förordningen (1995:648) med instruktion för Totalförsvarets pliktverk skall ha följande lydelse.
Nuvarande lydelse | Föreslagen lydelse |
3 § | ett landsting eller en kyrklig kommun, där |
grundutbildningen skall genomföras. | |
Totalförsvarets pliktverk skall i samband med | Totalförsvarets pliktverk skall i samband med |
att en totalförsvarspliktig rycker in för värn- | att en totalförsvarspliktig rycker in för värn- |
plikt eller civilplikt med längre grundutbild- | plikt eller civilplikt med längre grundutbild- |
ning än 60 dagar lämna de journalhandlingar | ning än 60 dagar lämna de journalhandlingar |
som upprättats vid mönstringen till hälso- | som upprättats vid mönstring eller särskild |
och sjukvårdspersonalen vid den organisa- | antagningsprövning enligt lagen (1994:1810) |
toriska enhet hos en myndighet, en kommun, | om möjlighet för kvinnor att fullgöra värn- |
plikt eller civilplikt med längre grundutbildning till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.
Totalförsvarets pliktverk skall vid samma tidpunkt och till samma enheter som anges i första stycket lämna uppgifter om den totalförsvarspliktiges psykiska funktionsför-
gåvning och hälsotillstånd till befattningshavare som måga,har tillfysiskauppgiftarbetsförmåga,att utbilda honomallmännaeller behenne. Uppgifterna skall anges kortfattat.
Denna förordning träder i kraft den 1 januari 1998.
I INLEDNING
1 Uppdraget
Genom beslut den 15 februari 1996 bemyndigade regeringen chefen för Försvarsdepartementet att utreda och lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Totalförsvarets pliktverk. I direktiven (dir. 1996:14) anförs bl.a. följande.
Totalförsvarets personalförsörjning tryggas genom en totalförsvarsplikt som gäller för varje svensk medborgare från början av det kalenderår när han eller hon fyller sexton år till slutet av det kalenderår när han eller hon fyller sjuttio år. Totalförsvarsplikten gäller också under motsvarande tid för var och en som utan att vara svensk medborgare är bosatt i Sverige. För att hantera och bearbeta all information om de som är totalförsvarspliktiga har Totalförsvarets pliktverk ett omfattande datorstöd. På grund av att totalförsvarsplikten omfattar i stort sett hela befolkningen och av att alla svenska män i åldern arton till och med tjugofyra års ålder är skyldiga att mönstra är Totalförsvarets pliktverks register ett av landets största befolkningsregister. Behovet av författningsreglering av detta register uppmärksammades redan i samband med arbetet med den nya pliktlagstiftningen. Tiden är nu mogen för en sådan åtgärd. De uppgifter som registreras om de totalförsvarspliktiga kan vara av mycket känslig karaktär, vilket ställer särskilda krav på integritetsskydd. Ju mer information som behövs och kan bearbetas och lagras desto större blir risken för intrång i den enskildes integritet. Det bör därför uppdras åt en särskild utredare att utarbeta förslag till de författningsregler som behövs.
Utgångspunkten för utredarens arbete skall vara att den enskilde skall tillförsäkras ett fullgott integritetsskydd samt att register som innehåller ett stort antal registrerade personer och har ett integritetskänsligt innehåll skall vara författningsreglerade. Intresset av ett starkt integritetsskydd får inte hämma användningen av ny teknik och möjligheterna för Totalförsvarets pliktverk att så effektivt och ändamålsenligt som möjligt bedriva sin verksamhet. Personregistreringen får dock inte medföra en otillbörlig kränkning av den enskildes personliga integritet. Konsekvenserna för andra intressen som insynsbehov, rättssäkerhet, forskning och totalförsvarets behov måste också beaktas.
Utredaren bör främst lämna förslag till reglering av följande frågor som direkt hänger samman med den personliga integriteten:
—registerändamål
—registerinnehåll
—registeransvar och förfoganderätt
—terminalåtkomst
—uppgiftslämnande på
—bevarande och gallring
—begränsningar av bearbetningsmöjligheter
—krav på krypteringssystem eller andra skyddsmekanismer för viss användning.
Utredaren skall i de förslag som lämnas också beakta att skydd för uppgifter som omfattas av sekretess enligt 2 kap. 2 § sekretesslagen (1980:100) kan förekomma i aktuellt personregister. Utredaren skall i sitt arbete utgå ifrån den erfarenhet som Totalförsvarets pliktverk och dess föregångare Värnpliktsverket har byggt upp.
Utredningens direktiv finns i sin helhet intagna som bilaga 1.
2 Utredningsarbetet
Vi påbörjade vårt arbete i maj 1996 och inledde med att kartlägga den gällande regleringen för personregisterverksamhet enligt nationella författningar och internationella konventioner. Samtidigt undersökte vi Totalförsvarets pliktverks arbetssätt och behov av personuppgifter om de totalförsvarspliktiga. I augusti företog vi ett studiebesök vid Totalförsvarets pliktverks huvudkontor i Karlstad, bl.a. för att skaffa oss en bild av hur mönstringsförrättningar är uppbyggda och av hur personuppgifterna hanteras i praktiken. Vi tog i ett tidigt skede kontakt med Datainspektionen, Riksarkivet (Krigsarkivet) och Socialstyrelsen, vilka myndigheter vi kontinuerligt fört dialog med och lämnat tillfälle att komma med synpunkter.
Vårt förslag har under arbetets gång kommit att inriktas på att följa det förslag till en ny persondatalag som utarbetats av Datalagskommittén (SOU 1997:39). Vi har haft regelbundna kontakter med kommittén, dels på sekretariatsnivå och dels genom sammanträffanden med kommitténs ordförande och sekreterare i anslutning till ett par av våra sammanträden. Vi har genom sekretariatets försorg vidare hållit oss underrättade om Registerutredningens (dir. 1995:38) arbete och överväganden.
II NUVARANDE ORDNING OCH PÅGÅENDE UTVECKLING
3 Inledning — Personregister och den enskildes integritet
Det allmänna har i olika sammanhang behov av att samla in, registrera, behandla och bevara uppgifter om enskildas förhållanden. Uppgifterna används i verksamheter som t.ex. folkbokföring, skattläggning, bidragsberäkning, sjukvård och placering av totalförsvarspliktiga. Polis, åklagare, domstolar och kriminalvårdsväsende är av effektivitets- och rättssäkerhetsskäl beroende av att vissa uppgifter om misstänkta och dömda personer kontinuerligt finns tillgängliga. Även privata subjekt, t.ex. företag och föreningar, behöver ha tillgång till uppgifter om anställda, kunder, medlemmar m.fl. Uppgifter om enskilda utgör också en viktigt del av den statistik och forskning som behövs för kartläggning av vilka behov som finns och kommer att finnas i samhället och som utgör underlag för planeringen av det allmännas verksamhet. Den enskilde å sin sida har ett intresse av att hans privata sfär — hans personliga integritet — är skyddad från insyn och inblandning från det offentliga och från andra.
Den grundläggande bestämmelsen om skydd för den enskildes personliga integritet återfinns i 1 kap. 2 § tredje stycket regeringsformen (RF), vari bl.a. sägs att det allmänna skall värna om den enskildes privatliv och familjeliv. Bestämmelsen har inte karaktären av en rättsligt bindande föreskrift utan utgör ett målsättningsstadgande för den offentliga verksamheten. I samband med att bestämmelsen infördes uttalade föredragande statsrådet att grundsatsen om den enskildes rätt till en fredad sektor var av så väsentlig betydelse i en demokratisk stat att den borde komma till uttryck i regeringsformen (prop. 1975/76:209 s. 131). Av förarbetena framgår vidare att integritetsskyddet vid dataregistrering var i blickpunkten vid bestämmelsens tillkomst (SOU 1975:75 s. 168 f.).
Någon rättslig definition av vad som avses med personlig integritet finns inte. Begreppet har diskuterats bl.a. i de utredningar som behandlat datalagstiftningen. Sammanfattningsvis kan sägas att det är svårt att ge begreppet en exakt definition men att utgångspunkten är just
den enskildes rätt till en fredad sektor av privatlivet. En sådan rätt kan dock inte vara absolut. Den enskilde måste, med hänsyn till samhällets krav på honom själv och till principer om yttrandefrihet och tryckfrihet, acceptera vissa intrång i integriteten. Frågan gäller vilka intrång som skall tillåtas och vilka som skall anses som otillbörliga. Något allmängiltigt svar på denna fråga ges inte av lagstiftaren. (En översikt av tidigare utredningars och andras uttalanden om otillbörlighet i detta avseende ges i Datalagsutredningens slutbetänkande SOU 1993:10 s. 150— 158.) Det finns inte heller någon rättsligt bindande föreskrift som ger ett allmänt integritetsskydd. I stället regleras detta skydd genom flera olika bestämmelser i grundlag, vanliga lagar, förordningar och föreskrifter. Skyddets omfattning varierar beroende på situationen. Av stor betydelse vid bedömningen av om en åtgärd som innebär integritetsintrång skall tillåtas, är naturligtvis ändamålet med åtgärden. En avvägning mellan den enskildes och andras intressen måste alltid göras.
Datalagen (1973:289) innehåller regler om integritetsskydd vid personregistrering som utförs med hjälp av automatisk databehandling (ADB). Lagen anger under vilka förutsättningar sådana register skall få föras, vad den registeransvarige har för skyldigheter när det gäller att skydda uppgifterna m.m. (se nedan under avsnitt 4.1). Datalagen (3 § andra stycket) anger omständigheter som är av särskild betydelse vid bedömningen av om otillbörligt intrång i den registrerades personliga integritet kan uppkomma. Förutom ändamålet med registreringen skall arten och mängden av uppgifter, hos vem uppgifterna registreras och hur de används, liksom den enskildes inställning till registreringen beaktas. Utfallet av bedömningen ligger till grund för Datainspektionens beslut i tillståndsfrågor (3 § första stycket datalagen). Datalagen kommer inom en snar framtid att ersättas av en ny persondatalag enligt vilken tillstånd till
Efter förslag av Data- och offentlighetskommittén (DOK, Ds Ju 1987:8) infördes år 1989 i 2 kap. 3 § andra stycket regeringsformen följande bestämmelse:
Varje medborgare skall i den utsträckning som närmare angives i lag skyddas mot att hans personliga integritet kränkes genom att uppgifter om honom registreras med hjälp av automatisk databehandling.
Enligt 2 kap. 22 § första stycket 2 regeringsformen är utlänning här i riket likställd med svensk medborgare i detta avseende.
Bestämmelsen tillkom efter det att datalagen trätt i kraft och innebar att det skydd som redan fanns genom bl.a. denna lag gavs grundlagsförankring. Enligt uttalande i propositionen (prop. 1987/88:57 s. 11) slår den nya regeln fast, att det skall finnas en datalagstiftning till skydd för den personliga integriteten men att den närmare omfattningen av skyddet får regleras i vanlig lag. Här föreligger en skillnad i utformningen gentemot flertalet övriga fri- och rättighetsregler i 2 kap. regeringsformen som anger att varje medborgare är skyddad mot åtgärder från det allmännas sida som t.ex. kroppsvisitation, husrannsakan och hemlig avlyssning, men att skyddet under vissa förutsättningar får begränsas genom lag, dvs. åtgärderna får i vissa fall vidtas om lagstöd finnes. Skillnaden består i att regeln om skydd mot dataregistrering inte kan tillämpas direkt av myndigheterna, den kräver ytterligare lagstiftning. Bestämmelser som ger integritetsskyddet innehåll återfinns i första hand i datalagen, sekretesslagen (1980:100) och i särskilda registerlagar. Regler om insyn och kontroll när det gäller allmänna handlingar
— varmed avses även
melser om myndigheternas arkiv i arkivlagen (1990:782). Dessa regler beskrivs närmare nedan. Kort sammanfattat kan det sägas att varje beslut om att inrätta ett
och med beaktande av de konventioner på området som Sverige tillträtt.
4 Gällande reglering
4.1 Datalagen
4.1.1Lagens tillämpningsområde och vissa definitioner
Datalagen (1973:289, omtryckt 1992:446) har till syfte att hindra att hantering av personregister som förs med hjälp av automatisk databehandling medför otillbörligt intrång i den enskildes personliga integritet. Lagen skyddar endast fysiska personer och gäller enbart för ADB- baserade register. Juridiska personer och register som förs med annan teknik än ADB faller utanför lagens tillämpningsområde. En utgångspunkt i lagen är att personregister skall få föras men endast under vissa förutsättningar och med iakttagande av vissa regler.
I 1 § definieras personuppgift som upplysning som avser enskild person medan personregister anges vara register, förteckning eller andra anteckningar som förs med hjälp av ADB och som innehåller personuppgift som kan hänföras till den som avses med uppgiften.
En personuppgift kan ge upplysning om namn, personnummer, nationalitet, utbildning, familj, bostadsförhållanden,
banktillgodohavanden, fastighets- eller bilinnehav m.m. En personuppgift kan härledas till en viss person antingen direkt genom uppgiften i sig eller med hjälp av en identitetsuppgift som också framgår av registret. Även register som innehåller identitetsuppgifter av sådan art att endast den invigde kan tolka dem omfattas av datalagen enligt lagmotiven (prop. 1973:33 s. 118). Registerbegreppet kan enligt definitionen synas inbegripa all
För att ett register skall anses föreligga måste det emellertid direkt eller indirekt vara fråga om behandling från informationssynpunkt av faktiska uppgifter. Ett
Datalagsutredningen, som hade till uppgift att se över datalagen från såväl saklig som lagteknisk synpunkt (dir. 1989:26), framhöll att begreppet register är föråldrat och att varje försök att avgränsa ett rättsligt begrepp som personregister med hänsyn till förekomsten av tekniska rekvisit är dömt att misslyckas redan med hänsyn till den utvecklingstakt som
informationsteknologin uppvisar. Utredningen föreslog att datalagens tillämpningsområde istället skulle bestämmas med hänsyn till de tekniska möjligheterna att genom
1 § Syftet med denna lag är att skydda den enskilde mot att hans personliga integritet kränks genom att personuppgifter behandlas.
3 § Med behandling avses varje åtgärd som vidtas med personuppgifter genom automatisk databehandling.
Med behandling förstås även insamling av personuppgifter, om ytterligare åtgärder skall vidtas med uppgifterna genom automatisk databehandling.
6 § Denna lag gäller inte vid behandling av personuppgifter om ändamålet med behandlingen är att behandlingen eller uppgifterna skall
1.utgöra ett direkt tekniskt hjälpmedel för framställning av tryckta skrifter eller yttranden som avses i yttrandefrihetsgrundlagen,
2.utgöra en förteckning över dem som har lämnat meddelande enligt 1 kap. 1 § tryckfrihetsförordningen eller 1 kap. 2 § yttrandefrihetsgrundlagen,
3.utgöra arkiv för material som har varit publicerat i periodisk skrift eller som har förekom-
mit i program i ljudradio eller television,
4.ingå i sådana uppgiftssamlingar som lagrade uppslagsverk, ordböcker eller liknande referensmaterial, eller
5.ingå i löpande text.
Utredningens förslag innebar att syftet med behandlingen av personuppgifterna blev direkt avgörande för om lagen är tillämplig eller inte. Regering och riksdag har dock, i avvaktan på slutlig utformning av EG:s direktiv om personuppgifter (se nedan avsnitt 5.5), inte tagit ställning till Datalagsutredningens förslag i nu presenterade delar (jfr prop. 1993/94:217 s. 11).
Registrerad är enligt 1 § datalagen enskild person beträffande vilken förekommer personuppgifter i personregister och registeransvarig den för vars verksamhet personregister föres, om han förfogar över registret. Enligt förarbetena till datalagen (prop. 1973:33 s. 76, 119) skall man anses förfoga över ett register om man har befogenhet och möjlighet att överföra registret till läsbar form. Även den som har rätt att gå in i ett register, själv eller genom annan, och påverka innehållet anses enligt praxis förfoga över detsamma. Enligt lagmotiven skall definitionen tillämpas på sådant sätt att alltid någon kan konstateras vara registeransvarig. Man får från fall till fall avgöra vem eller vilka som skall vara ansvariga för ett register.
4.1.2Licens och tillstånd till inrättande och förande avpersonregister
Huvudregeln är att personregister endast får inrättas och föras av den som har anmält sig hos Datainspektionen och erhållit licens (2 § första stycket datalagen). Med inrättande förstås även insamling av uppgifter som skall ingå i registret (samma bestämmelse fjärde stycket). Datainspektionen granskar inte anmälan i sak utan ger endast den registeransvarige ett bevis om att anmälan gjorts och ett särskilt licensnummer samt för in beviset (licensen) i myndighetens eget licensregister. Registret används sedan i Datainspektionens tillsyns- och informationsverksamhet samt som underlag för uppbörd av de särskilda licensavgifter som den registeransvarige är skyldig att erlägga, se närmare
För att inrätta och föra personregister som skall innehålla särskilt integritetskänsliga uppgifter om enskilda personer krävs förutom licens även särskilt tillstånd av Datainspektionen (2 § andra stycket 1 och 2 med hänvisning till 4 och 6 §§). Som särskilt känsliga anses t.ex.
uppgifter om att någon misstänks för eller har dömts för brott eller har avtjänat straff eller undergått annan påföljd för brott, uppgifter om någons sjukdom, hälsotillstånd eller sexualliv, uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten och uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt.
Tillstånd av Datainspektionen krävs också för personregister som skall innehålla uppgifter om personer som saknar sådan anknytning till den registeransvarige som följer av medlemskap, anställning, kundförhållande eller något därmed jämförligt förhållande eller personuppgifter som inhämtas från något annat personregister (s.k. samkörning) om inte registreringen av uppgifterna eller utlämnandet av dessa sker med stöd av författning, Datainspektionens beslut eller den registrerades medgivande (2 § andra stycket 3 och 4). För de två sist nämnda kategorierna gäller alltså tillståndsplikt oavsett om uppgifterna kan anses vara känsliga ur integritetssynpunkt eller inte.
Undantagna från licens- och tillståndsplikt är personregister som en enskild person inrättar eller för uteslutande för personligt bruk (2 § tredje stycket). Vidare krävs enligt 2 a § första stycket inte tillstånd — dock licens — från Datainspektionen för personregister vars inrättande beslutas av riksdagen eller regeringen (s.k. statsmaktsregister) eller för personregister som ofta förekommer inom en viss verksamhet för ett visst ändamål och som inrättas och förs enligt föreskrifter som meddelats av regeringen eller Datainspektionen. Den sist nämnda bestämmelsen infördes den 1 januari 1995 och som exempel på register som kan komma i fråga anges i lagmotiven (prop. 1993/94:217 s. 16) sjukhusens patientregister, forskningsregister, direktreklamregister samt register inom försäkringsbranschen och bankväsendet. Tillstånd krävs enligt nämnda lagrum inte heller för personregister som tagits emot av en arkivmyndighet för förvaring. Vidare behöver inte vissa sammanslutningar, myndigheter inom hälso- och sjukvården eller inom socialtjänsten, läkare och tandläkare samt arbetsgivare tillstånd för personregister av den anledningen att de innehåller vissa, för respektive verksamhet naturliga, integritetskänsliga uppgifter (2 a § andra stycket). I angivet lagrum preciseras vilka uppgifter det är frågan om och för vilket ändamål personregistren får föras för att tillstånd ej skall krävas.
Vid sin tillståndsprövning skall Datainspektionen ta ställning till om det finns anledning att anta att otillbörligt intrång i registrerads personliga integritet skall uppkomma. Bedömningen skall göras med hänsyn till vilka villkor (föreskrifter) som skall gälla för personregistret och tillstånd skall meddelas om det saknas anledning att anta att otillbörligt integritetsintrång skall uppkomma (3 § första stycket). Vid prövningen skall inspektionen särskilt beakta arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Vidare skall särskilt beaktas att inte andra uppgifter eller andra personer registreras än vad som står i överensstämmelse med ändamålet med registret (3 § andra stycket). Särskilda skäl krävs för att tillstånd skall kunna meddelas för inrättande och förande av personregister som omfattar andra än medlemmar, anställda eller kunder hos den registeransvarige eller personer som har annan därmed jämställd anknytning (3 a §). Särskilda skäl krävs också för tillstånd till registrering av uppgifter om någons ras, politiska uppfattning, religiösa tro eller övertygelse i övrigt (4 § tredje stycket) samt, för annan än myndighet som enligt lag eller annan författning har att föra förteckning över sådana uppgifter, för tillstånd till registrering av uppgifter om någons sjukdom, hälsotillstånd eller sexualliv eller uppgift om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (4 § andra stycket). För att andra än myndigheter, som enligt lag eller annan författning har att föra förteckning över sådana uppgifter, skall kunna erhålla tillstånd att inrätta och föra personregister som innehåller uppgifter om att någon misstänks
eller har dömts för brott, avtjänat straff eller varit föremål för vissa andra närmare angivna tvångsingripanden krävs synnerliga skäl.
I lagmotiven ges exempel på vad som kan utgöra särskilda respektive synnerliga skäl i de aktuella avseendena. I sakens natur ligger enligt motiven att allmänna organ har uppgifter som gör det nödvändigt eller i varje fall befogat att föra relativt omfattande personregister. Även behoven av register för statistik- och forskningsändamål framhålles.
Som nämnts ovan faller statsmaktsregistren utanför Datainspektionens tillståndsprövning. Av motiven till datalagen framgår emellertid att frågan huruvida ett personregister kan medföra otillbörligt integritetsintrång skall bedömas efter likartade grunder, oavsett om registret inrättas efter tillstånd av Datainspektionen eller efter beslut av statsmakterna (prop. 1973:33 s. 120). I propositionen sägs att Datainspektionen därför, när den skall yttra sig över ett tilltänkt statsmaktsregister, skall anlägga samma synpunkter som vid en tillståndsprövning så långt det är möjligt. Den särskilda skyldighet som tidigare fanns för statsmakterna att inhämta yttrande från Datainspektionen inför inrättande av personregister som beslutats av riksdagen eller regeringen togs emellertid bort genom ändring av 2 a § per den 1 januari 1995 (lag 1994:1485). Ändringen som bl.a. motiverades med att den medförde arbetsbesparing för Datainspektionen torde dock inte innebära någon begränsning av integritetsskyddsprövningen i dessa fall (se prop. 1993/94:217).
Vid tillståndsgivning skall Datainspektionen meddela föreskrift om ändamålet med registret. Föreligger särskilda skäl får tillståndet begränsas till viss tid (5 §). Lämnas tillstånd skall Datainspektionen vidare, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för registret om
1.inhämtande av uppgifter för personregistret,
2.vilka personuppgifter som får ingå i personregistret,
3.utförandet av den automatiska databehandlingen,
4.den tekniska utrustningen,
5.de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling,
6.underrättelse till berörda personer,
7.de personuppgifter som får göras tillgängliga,
8.utlämnande och annan användning av personuppgift,
9.bevarande och gallring av personuppgift,
10.kontroll och säkerhet samt
11.rättelse och andra åtgärder i fråga om oriktiga och missvisande uppgifter.
(Ang. p. 8 och dess förhållande till offentlighetsprincipen, se nedan under avsnitt 4.4)
Vid bedömandet av om en föreskrift behövs skall Datainspektionen särskilt beakta huruvida registret innehåller personuppgift som utgör omdöme eller annan värderande upplysning om den registrerade (6 §).
Datainspektionens skyldighet att förebygga otillbörliga integritetsintrång genom föreskrifter gäller även statsmaktsregister om inte regeringen eller riksdagen redan meddelat föreskrifter i samma hänseende (6 a §). Som framgår av lagtexten i 3 § (se ovan) skall redan vid bedömningen av om huruvida tillstånd kan lämnas med hänsyn till risken för integritetsintrång de föreskrifter beaktas som skall gälla för registret. Ett register som utan föreskrifter skulle kunna medföra ett otillbörligt integritetsintrång kan alltså tillåtas om det förenas med erforderliga föreskrifter.
4.1.3Den registeransvariges skyldigheter och Datainspektionens tillsyn
Den eller de som är ansvariga för registret har enligt bestämmelser i
till att registret inrättas och föres så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. Bestämmelserna medför bl.a. ett ansvar för att registret förs för ett bestämt ändamål, att uppgifterna i registret överensstämmer med ändamålet och att de är riktiga. Vi- dare finns regler om hur registret skall hanteras och skyddas mot obehörig insyn, spridning och förstörelse, om skyldighet för den registeransvarige att på begäran upplysa den registrerade om vilka uppgifter registret innehåller beträffande denne, om när uppgifter skall utgå ur registret och om tystnadsplikt för den registeransvarige och för annan som tagit befattning med registret eller uppgifter som insamlats för detta. För det allmännas verksamhet regleras dock tystnadsplikten i sekretesslagen (1980:100) varom mera nedan. Den registeransvariges skyldigheter gäller med något undantag såväl för register som förs med tillstånd från Datainspektionen som för icke tillståndspliktiga register.
Datainspektionens övergripande ansvar upphör inte i och med att tillstånd med erforderliga föreskrifter givits. Datainspektionen har därefter, i enlighet med bestämmelserna i 15- 18 §§ att utöva kontinuerlig tillsyn över att automatisk databehandling inte medför otillbörligt intrång i någons personliga integritet. Tillsynsplikten omfattar även statsmaktsregister. För detta ändamål har Datainspektionen rätt att erhålla tillträde till lokaler där ADB utförs eller datautrustning m.m. förvaras samt vidare att få del av relevanta handlingar. Inspektionen får även föranstalta om körning av datamaskin. Den registeransvarige eller den som för hans räkning handhar personregister skall lämna Datainspektionen de uppgifter som begärs för tillsynen. Om tillträde till lokal eller tillgång till handling inte lämnas kan Datainspektionen utfärda vitesföreläggande (24 §). Om Datainspektionen finner att otillbörligt intrång i personlig integritet förekommit eller kan uppkomma, kan inspektionen meddela eller ändra föreskrifter eller — om tillräckligt skydd inte kan åstadkommas på annat sätt — förbjuda fortsatt förande av registret eller återkalla meddelat tillstånd. Beträffande statsmaktsregister får Datainspektionen meddela eller ändra föreskrifter endast om åtgärden inte står i strid med beslut av regeringen eller riksdagen. Statsmaktsregister får inte förbjudas av Datainspektionen.
4.1.4Övriga bestämmelser
Datalagen innehåller vidare bestämmelser om straff och skadestånd vid överträdelser av gällande bestämmelser för personregister och för handhavandet av uppgifterna i dessa
Datainspektionens beslut överklagas hos allmän förvaltningsdomstol. Om det är en statlig myndighet som är registeransvarig skall talan dock föras direkt hos regeringen. Justitiekanslern (JK) får överklaga ett beslut för att tillvarata allmänna intressen (25 §).
I
Kompletterande bestämmelser om bl.a. licensanmälan, tillståndsansökan m.m. ges i dataförordningen.
4.2 Särskilda registerförfattningar
Personregister om vars inrättande riksdagen eller regeringen beslutar, de s.k. statsmaktsregistren, är enligt 2 a § datalagen undantagna från kravet på tillstånd från Datainspektionen. Datainspektionen kan dock meddela beslut om villkor även för dessa register, i den mån inte regeringen eller riksdagen har meddelat villkor i samma hänseende (6 a och 18 §§ datalagen). Vidare gäller datalagens bestämmelser om den registeransvariges skyldigheter, om Datainspektionens tillsyn samt om straff och skadestånd även för statsmaktsregistren.
Det finns numera ett stort antal personregister som regleras genom särskilda registerförfattningar. Författningarnas innehåll varierar beroende på vid vilken tidpunkt de kommit till och den uppfattning om vad som borde regleras som då var rådande. En del
registerförfattningar fanns redan när datalagen infördes. Dessa äldre författningars primära mål var inte att värna om den enskildes integritet. De innehåller främst regler om vad som skall registreras och hur information får spridas. Nyare registerförfattningar kompletterar dock, eller ersätter delvis, datalagens integritetsskydd och innehåller bestämmelser om registerändamål, registeransvar, sökbegrepp (dvs. eventuella begränsningar i sökmöjligheterna), utlämnande av uppgifter och gallring m.m. Som exempel på sådana senare författningar kan nämnas lagen (1994:1517) om socialförsäkringsregister, förslaget till lag om vissa personregister inom kriminalvården (Ds 1996:19) och förslaget till lag om personregister för forskning och utvecklingsarbete inom rättspsykiatrin (SOU 1996:72).
Registerförfattningarna ersätter sålunda inte datalagen fullt ut. Datalagen skall fortfarande tillämpas beträffande dessa personregister i de delar bestämmelser inte finns i den särskilda registerförfattningen.
4.3 Offentlighet och sekretess
4.3.1 Inledning
Den enskildes intresse av integritetsskydd skall i förevarande sammanhang inte bara ställas mot myndigheters och andras behov av personregister för olika typer av verksamheter. Även den i vårt land rådande offentlighetsprincipen, som ger allmänheten rätt till insyn i statlig och kommunal verksamhet, måste beaktas. Offentlighetsprincipen innebär bl.a. att medborgarna har rätt att ta del av allmänna handlingar (handlingsoffentligheten) och att de har rätt att närvara vid domstolsförhandlingar och vid sammanträden i beslutande statliga och kommunala församlingar (förhandlingsoffentligheten). Som ett utslag av offentlighetsprincipen kan också regeringsformens föreskrifter om yttrande- och informationsfrihet betraktas. (Vad gäller tryckfrihet och motsvarande frihet att yttra sig i radio och television m.m. finns särskilda bestämmelser i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Dessa bestämmelser behandlas inte i denna framställning.) Avvägningen mellan den enskildes integritet och offentlighetsprincipen berördes i propositionen om offentlighet, integritet och ADB där föredragande statsrådet uttalade följande (prop. 1990/91:60 s. 14):
Offentlighetsprincipen ställs naturligtvis ofta mot önskemålet att skydda den enskildes integritet. Det är i regel lätt att motivera undantag från offentlighetsprincipen vilka för enskilda situationer kan te sig välgrundade. Man måste emellertid alltid hålla det övergripande värdet av offentlighetsprincipen i minnet när man gör den avvägning som är nödvändig mellan offentlighet och integritetsskydd och akta sig för att genom de många små stegens utveckling göra alltför stora undantag från principen.
Man måste också komma ihåg att själva offentlighetsprincipen utgör ett viktigt inslag i skyddet för den enskilda individen mot rättsövergrepp och annat som skulle kunna ske genom brist på insyn i det allmännas verksamhet.
Det är också viktigt att framhålla att lika litet som offentlighetsprincipen kan vara undantagslös kan något fullständigt skydd för den enskildes privata sfär upprätthållas.
Grundläggande bestämmelser om offentlighetsprincipen finns i tryckfrihetsförordningen (TF). Där uttrycks medborgarnas rätt att ta del av allmänna handlingar (2 kap. 1 §) och där anges allmänt av vilka skäl begränsningar får göras i denna rätt, dvs. i vilken utsträckning handlingar får hållas hemliga. Av möjliga skäl till begränsningar kan redan här nämnas hänsyn till skyddet för enskilds personliga eller ekonomiska förhållanden. Närmare bestämmelser om begränsningar i rätten att ta del av allmänna handlingar, liksom i rätten att röja vissa uppgifter m.m., återfinns i sekretesslagen (1980:100). Framställningen närmast nedan behandlar översiktligt gällande regler om offentlighet och sekretess med koncentration på de delar som är relevanta för utredningsuppdraget. I avsnitt 6.9 redovisas de ändringar av bl.a. tryckfrihetsför-
ordningen och sekretesslagen som av Datalagskommittén ansetts påkallade i samband med införandet av
Vissa för uppdraget aktuella sekretessfrågor genomgås ytterligare i avsnittet om utredningens överväganden.
4.3.2Begreppet allmän handling
Med handling förstås enligt 2 kap. 3 § första stycket tryckfrihetsförordningen framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Handlingsbegreppet omfattar alltså inte bara papper med text eller bild på utan också t.ex. bandupptagningar och upptagningar för ADB. En handling är enligt samma lagrum allmän om den förvaras hos en myndighet och enligt särskilda regler härom anses inkommen eller upprättad där. När det gäller handlingar i traditionell mening, varmed här förstås papper med skrift eller bild på, är det som regel inga problem att avgöra om den förvaras hos myndigheten eller inte. Beträffande
... anses förvarad hos myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.
Med begreppet ”tekniskt hjälpmedel som myndigheten själv utnyttjar” avses — vad gäller
Enligt 2 kap. 10 § tryckfrihetsförordningen är en handling — dvs. även en
En handling anses enligt huvudregeln ha kommit in till en myndighet när handlingen anlänt till myndigheten eller tagits emot av behörig person. Upprättad är en handling i princip när den fått sin slutliga utformning hos myndigheten antingen genom att den då expedieras eller, beträffande handlingar som inte skall expedieras, när det ärende den hör till är slutbehandlat hos myndigheten. Det finns flera särskilda regler om när olika typer av handlingar skall anses inkomna eller upprättade som innebär avsteg från de nu nämnda principerna (se 2 kap.
4.3.3Allmänt om sekretessbestämmelserna och deras uppbyggnad
Utgångspunkten är att allmänna handlingar är offentliga och skall lämnas ut till den som begär det. Det finns dock områden där behovet av skydd mot insyn anses väga tyngre än offentlighetsprincipen. I 2 kap. 2 § första stycket tryckfrihetsförordningen räknas de fall upp i vilka allmänna handlingar får hållas hemliga, nämligen om det är påkallat med hänsyn till:
1.rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation,
2.rikets centrala finanspolitik, penningpolitik eller valutapolitik,
3.myndighets verksamhet för inspektion, kontroll eller annan tillsyn,
4.intresset att förebygga eller beivra brott,
5.det allmännas ekonomiska intresse,
6.skyddet för enskilds personliga eller ekonomiska förhållanden,
7.intresset att bevara djur- eller växtart.
Uppräkningen är uttömmande. Begränsningar av rätten att ta del av allmänna handlingar skall anges noga i särskild lag, dvs. sekretesslagen, eller annan lag dit sekretesslagen hänvisar. Syftet är att man i varje särskilt fall skall kunna se i sekretesslagen om en allmän handling är hemlig. Regeringen kan, efter bemyndigande i lag, ge kompletterande föreskrifter vad gäller en sekretessbestämmelses tillämplighet. Vidare kan regering och riksdag i samma ordning tilläggas befogenheter att medge dispens från sekretess.
Enligt sekretesslagen förstås med sekretess förbud att röja uppgifter, vare sig det sker muntligen eller genom att allmän handling lämnas ut eller på annat sätt. Förbudet att röja uppgifter gäller alltså varje form av röjande och innefattar därmed såväl handlingssekretess som tystnadsplikt (1 kap. 1 §). Sekretesslagen gäller för all verksamhet som bedrivs av det allmänna, i första hand hos myndigheter men även hos vissa andra organ som skall jämställas med myndigheter vid tillämpningen av sekretesslagen samt hos bolag, föreningar och stiftelser, där kommuner eller landsting utövar ett rättsligt bestämmande inflytande (se närmare 1 kap. 8 och 9 §§ sekretesslagen). Lagen innehåller inte bara bestämmelser om sekretess i förhållande till enskilda utan också bestämmelser om sekretess mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom en och samma myndighet. Lagens uppbyggnad följer uppräkningen i tryckfrihetsförordningen av de fall då allmänna handlingar får sekretessbeläggas
Bestämmelser som skyddar den enskildes integritet återfinns i första hand i sekretesslagens
Skaderekvisiten är av två slag. Det raka skaderekvisitet innebär att sekretessfrågan i första hand inte behöver knytas till en skadebedömning i det enskilda fallet. Avgörande är i stället om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för den enskilde. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, skall den alltså normalt anses falla utanför sekretessen. I förarbetena nämns uppgifter om adress eller civilstånd som exempel på uppgifter av detta slag. Skulle uppgiften vara sådan att den lätt kan komma att missbrukas, t.ex. om den rör någon mera ”känslig” personuppgift om den enskilde, skall den i stället anses omfattas av sekretessen. Ett exempel på en bestämmelse med rakt skaderekvisit ges i 7 kap. 8 § sekretesslagen:
Sekretess gäller hos myndighet, som har till särskild uppgift att verka för arbetarskydd, i ärende enligt lagstiftningen om arbetsskadeförsäkring, arbetsmiljön eller reglering av arbetstid eller annars i ärende om arbetarskydd, för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den enskilde lider men om personuppgiften röjs.
Det omvända skaderekvisitet utgår från att sekretess är huvudregel. Sekretess gäller om det inte står klart att uppgiften kan röjas utan skada. Detta innebär att tillämparen har ett ganska begränsat utrymme för sin bedömning. I praktiken innebär detta att en myndighet många gånger inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften. 7 kap. 4 § första stycket sekretesslagen innehåller en sekretessregel med omvänt skaderekvisit:
Sekretess gäller inom socialtjänsten för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men.
Sekretesslagen innehåller flera bestämmelser med generella undantag från sekretessens tillämplighet. Sekretess gäller t.ex. som regel inte i förhållande till den enskilde själv (14 kap. 4 §). Sekretess hindrar enligt huvudregeln ”aldrig” att part i mål eller ärende tar del av dom eller beslut i målet eller ärendet eller fråntas sin i rättegångsbalken stadgade rätt att få del av alla omständigheter som läggs till grund för avgörandet av ett mål eller ärende (14 kap. 5 § andra stycket. Jfr dock 7 kap. 17 § som i sin tur anger undantag från undantaget!). Handlingssekretessen är ofta tidsbegränsad vilket anges i anslutning till de särskilda bestämmelserna om sekretess för olika sorters uppgifter. Vad gäller uppgifter om enskildas personliga förhållanden gäller sekretessen för uppgift i allmän handling normalt i 50 eller 70 år.
4.3.4Sekretess rörande totalförsvarspliktiga
I 7 kap. 12 § sekretesslagen stadgas att sekretess gäller i ärende om inskrivning av totalförsvarspliktiga och i ärenden om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs.
Bestämmelsen är i första hand tillämplig för Totalförsvarets pliktverk (Pliktverket) som ansvarar för och handlägger mönstring och andra utredningar beträffande de totalförsvarspliktiga och fattar beslut om inskrivning m.m.
Som framgår skall ett rakt skaderekvisit tillämpas. Som exempel på vad som kan sekretessbeläggas kan nämnas uppgifter som kommer fram vid de hälsoundersökningar som sker vid mönstringen och uppgifter om t.ex. viss utbildning m.m. som lämnas till Pliktverket från andra myndigheter (angående överföring av sekretess mellan myndigheter, se nedan avsnitt
4.3.9). Uppgifter från de medicinska undersökningar av hälsotillstånd och fysiska kvalifikationer i övrigt som äger rum vid mönstringen (eller motsvarande utredning) har ett starkare skydd än vad som framgår av 12 §, eftersom även bestämmelserna i 7 kap. 1 § sekretesslagen skall tillämpas. Dessa stadgar sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet som t.ex. rättsmedicinsk och rättspsykiatrisk undersökning för uppgifter om enskilds hälsotillstånd eller personliga förhållanden i övrigt om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. ”Annan medicinsk verksamhet” omfattar t.ex. hälsoundersökning vid mönstring och för dessa uppgifter gäller sålunda ett omvänt skaderekvisit.
Vidare har regeringen, med stöd av 7 kap. 15 § första stycket 1 p. sekretesslagen förordnat, att sekretess generellt skall gälla för Pliktverkets register över totalförsvarets personal (se 1 b § sekretessförordningen (1980:657)). Denna möjlighet har regeringen tillagts beträffande verksamheter som avser registrering av betydande del av befolkningen. Skyddet är emellertid svagare än enligt de tidigare under detta avsnitt nämnda sekretessbestämmelserna eftersom sekretess endast gäller för uppgifter om enskildas personliga förhållanden om det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs.
4.3.5Sekretess för personuppgift i personregister
Sekretess gäller enligt 7 kap. 16 § första stycket sekretesslagen för personuppgift i personregister som avses i datalagen om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot datalagen. Bestämmelserna är tillämpliga vid sådana myndigheter som är registeransvariga eller som annars har tillgång till personuppgifter i personregister. Förbudet gäller oavsett på vilket sätt uppgifterna lämnas ut, genom ADB- medium eller genom utskrifter på vanligt papper. Med de skaderekvisit som används i paragrafen innefattar sekretessen inte någon tystnadsplikt i egentlig mening. Risk för skada som anges aktualiseras nämligen bara vid massuttag i någon form av uppgifter från registret. Det är viktigt att hålla i minnet att andra bestämmelser om sekretess kan vara tillämpliga beträffande uppgifterna i registret.
Sekretess gäller vidare enligt 9 kap. 7 § sekretesslagen i myndighets verksamhet för enbart teknisk bearbetning eller teknisk lagring för annans räkning av personregister, för uppgift om enskilds personliga eller ekonomiska förhållanden.
4.3.6Försvarssekretess
Sekretess gäller enligt 2 kap. 2 § sekretesslagen för uppgift som angår verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Som framgår av ordalydelsen omfattar det sekretessbelagda området alla verksamheter som är av betydelse för landets samlade försvar. Sekretessen är inte begränsad till att avse uppgifter hos en viss myndighet utan gäller inom det allmännas hela verksamhet.
4.3.7Sekretess vid framställning av statistik
Enligt 9 kap 4 § sekretesslagen gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser enskildas personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Denna sekretess är absolut, dvs. den är inte beroende av någon skadeprövning. Enligt paragrafen har regeringen möjlighet att
föreskriva samma sekretess för sådana uppgifter i annan med statistikframställning jämförbar undersökning som utförs av myndighet. Så har skett genom 3 § sekretessförordningen bl.a. i fråga om vissa medicinska och beteendevetenskapliga eller samhällsvetenskapliga studier hos utbildningsanstalter och forskningsinrättningar. Dessutom har uppgifter om enskildas personliga förhållanden som framkommer i vissa statliga utredningars verksamhet, t.ex. utredningar om praxis i asylärenden och bidragsfusk, sekretessbelagts med stöd av dessa bestämmelser. Enligt 9 kap. 4 § sekretesslagen gäller fem undantag från regeln att sekretessen skall vara absolut. Uppgift får i dessa fall lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon som står honom nära lider skada eller men. Ett av undantagen gäller uppgifter som behövs för forskningsändamål. Ett annat undantag gäller uppgifter som inte genom namn, annan identitetsbeteckning eller därmed jämförligt förhållande är direkt hänförliga till den enskilde. Med uttrycket ”jämförbart förhållande” åsyftas bilnummer, telefonnummer, anställningsnummer o.d. men inte uppgifter som genom s.k. bakvägsinformation kan hänföras till viss person.
4.3.8Sekretess mellan myndigheter
I princip gäller sekretessreglerna även mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom samma myndighet. Myndigheterna kan alltså sägas vara jämställda med enskilda personer när det gäller att få ta del av uppgifter och allmänna handlingar från andra myndigheter. En rad undantag finns dock från denna huvudregel.
Enligt 1 kap. 5 § sekretesslagen utgör sekretess inte hinder mot att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Som exempel på fall där denna bestämmelse kan vara tillämplig har i lagmotiven nämnts att en myndighet behöver ge en annan myndighet del av hemlig information till grund för ett remissyttrande. Av motiven framgår dock också att bestämmelsen skall tillämpas restriktivt och att den inte får åberopas för att hjälpa en annan myndighet — t.ex. den mottagande — att fullgöra sin verksamhet. Om en myndighet enligt lag eller förordning har skyldighet att lämna vissa uppgifter till annan myndighet gäller inte sekretessen (14 kap. 1 § sekretesslagen). Som exempel kan nämnas 3 kap. förordningen (1995:238) om totalförsvarsplikt som ålägger skattemyndigheten, Kriminalvårdsstyrelsen, Socialstyrelsen, Statens skolverk, Vägverket m. fl. myndigheter att lämna uppgifter till Pliktverket om totalförsvarspliktigas förhållanden. Bestämmelser om sekretess hindrar (enligt samma lagrum i sekretesslagen) inte att uppgifter lämnas till regeringen eller riksdagen. Enligt 14 kap 2 § hindrar inte heller sekretess uppgiftslämnande från en myndighet till en annan i vissa särskilt uppräknade fall, som då uppgiften behövs vid förundersökning i brottmål, rättegång, omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer eller tillsyn eller revision hos denna myndighet m.m. I 14 kap 3 § första stycket sekretesslagen återfinns den s.k. generalklausulen som stadgar att sekretessbelagd uppgift får lämnas till myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda. I andra stycket undantas flera sekretessbestämmelser till skydd för den enskildes personliga och ekonomiska förhållanden från generalklausulens tillämpningsområde, bl.a. den ovan nämnda sekretessregeln inom hälso- och sjukvården. Vidare anges att generalklausulen inte heller får tillämpas om utlämnandet strider mot lag eller förordning eller, såvitt angår uppgift i personregister enligt datalagen, föreskrifter som meddelats med stöd av den lagen.
Sekretess till skydd för en enskild kan enligt 14 kap. 4 § första stycket helt eller delvis efterges av den enskilde själv. En myndighet kan alltså efter samtycke från den enskilde lämna ut uppgifter om denne till en annan myndighet. Även tysta sk. presumerade samtycken som framgår av den enskildes beteende får godtas. Som nämnts ovan finns undantag från
tillämpligheten av bestämmelserna i 14 kap. (se t.ex. 7 kap. 17 §).
4.3.9Överföring av sekretess
Sekretessen följer inte en hemlig uppgift som lämnas ut om inte det finns en särskild regel om detta. Sekretess som till följd av en sådan regel förs över till en annan myndighet brukar kallas för sekundär sekretess hos den mottagande myndigheten. Den sekundära sekretessen innebär att en handling som är hemlig hos en utlämnande myndighet också är hemlig hos den myndighet som tar emot handlingen. Den sekundära sekretessen gäller också i fråga om handling till vilken har förts över uppgifter från den överlämnade handlingen.
I sekretesslagens
Om sekretess till skydd för samma intresse ändå är tillämplig hos den mottagande myndigheten har denna företräde. Sekretess förs då inte över från den myndighet som lämnar uppgifterna, vilket innebär att skyddet kan förstärkas eller försvagas vid ett överlämnande.
Om en sekretessbelagd uppgift lämnats ut till enskild har denne inte tystnadsplikt om det inte följer av särskilda föreskrifter (se t.ex. lagen [1975:689] om tystnadsplikt för vissa tolkar och översättare) eller utlämnandet förenats med förbehåll som inskränker rätten att föra uppgiften vidare (se 14 kap. 9 och 10 §§ sekretesslagen).
4.3.10 Meddelarfrihet
För lämnande av uppgifter för offentliggörande i tryckt skrift eller för framställning i film eller radio gäller särskilda regler enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Här är, något förenklat uttryckt, utgångspunkten att uppgiftslämnande — utom såvitt avser utlämnande av en hemlig handling — är tillåtet även om uppgiften är sekretessbelagd. 16 kap. 1 § sekretesslagen anger i vilka fall tystnadsplikten har företräde framför sådan meddelarfrihet.
4.4 Kort om förhållandet mellan datalagstiftningen, tryckfrihetsförordningen och sekretesslagen
Informationsflödet mellan myndigheter, den enskildes rätt till skyddad integritet och rätt till insyn i det offentligas verksamhet regleras genom ett flertal författningar och föreskrifter av olika slag. Regelverket är inte okomplicerat och stundtals kan konflikter mellan olika regler uppkomma. Nedan ges en mycket kort beskrivning av förhållandet mellan de i rubriken angivna författningarna jämte de föreskrifter Datainspektionen kan utfärda. Vad som nedan sägs framgår i huvudsak redan av texten ovan i detta kapitel.
Datalagen har till syfte att hindra att hantering av personregister som förs med hjälp av ADB medför otillbörligt intrång i den enskildes integritet. Lagen anger i vilka situationer och under vilka villkor den enskilde får finna sig i att vara registrerad. Strängare villkor gäller generellt då det är fråga om registrering av för den enskilde ”känsliga” personuppgifter. Datalagen kompletteras och ersätts i vissa delar av särskilda registerlagar för statsmaktsregistren,
dvs. de register som beslutats av regeringen eller riksdagen. Datalagstiftningen — varmed här avses såväl datalagen som de särskilda registerlagarna — behandlar dock inte sekretess i det allmännas verksamhet. En myndighet som för ett personregister har främst att söka ledning i sekretesslagen när det gäller frågor om utlämnande av uppgifter ur registret. Som tidigare redovisats innebär ett förbud för en myndighet att överföra viss upptagning (t.ex.
Enligt datalagen skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrift för personregister om bl.a. utlämnande och annan användning av personuppgift (6 § datalagen, se ovan 4.1.2). Enligt lagmotiven (prop. 1973:33 s. 129 f.) är det i många fall uppenbarligen påkallat att meddela föreskrift om utlämnande och annan användning av personuppgifter. Datainspektionen kan härvid begränsa de ändamål för vilka uppgifter får användas i den registeransvariges verksamhet och föreskriva skyldighet för denne att ställa villkor i fråga om användningen av uppgifter som lämnas ut till någon annan. I 6 § tredje stycket anges uttryckligen att Datainspektionens föreskrifter inte får inskränka en myndighets skyldigheter enligt tryckfrihetsförordningen. Datainspektionen kan därmed inte meddela ett förbud mot utlämnandet av allmänna handlingar (om inte förbudet är begränsat till utlämnande på datormedium eller via terminalanslutning eller liknande). Om de aktuella uppgifterna är belagda med sekretess skall förutom föreskrift från Datainspektionen naturligtvis de särskilda bestämmelserna om sekretess tillämpas. Härvid kan bl.a. 7 kap. 16 § sekretesslagen bli aktuell, som föreskriver sekretess för personuppgifter i personregister om det kan antas att utlämnande skulle medföra att uppgiften används för ADB i strid mot datalagen, t.ex. av någon utan erforderligt tillstånd.
I den ovan behandlade sk. generalklausulen (14 kap 3 § sekretesslagen), anges som ett undantag för dess tillämpning att utlämnandet skulle strida mot lag eller förordning eller, såvitt avser personregister, föreskrift som meddelats med stöd av datalagen. Har det t.ex. i lag föreskrivits att en viss myndighet för sin verksamhet på angivna villkor kan få ta del även av hemliga uppgifter hos en annan myndighet kan det inte komma i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället. Datainspektionen kan inte meddela föreskrifter som står i strid med särskilda lagar och förordningar om utlämnande av uppgifter myndigheter emellan. Däremot bör hinder inte möta mot en föreskrift som bara innebär att utrymmet för registerföraren att tillämpa generalklausulen krymps eller utesluts helt (jfr prop. 1979/80:2, del A, s. 328).
Datalagsutredningen har pekat på problem som kan uppstå då personuppgifter behandlas på områden där tryckfrihetsförordningen och yttrandefrihetsgrundlagen (YGL) är tillämpliga. Enligt utredningen kan konflikter uppstå vid tillämpningen av de båda grundlagarna och datalagstiftningen, dels genom att den senare kan verka försvårande för framställningen av olika yttranden och dels till följd av grundlagarnas regler om anonymitetsskydd. För närmare studier av dessa frågor hänvisas till Datalagsutredningens slutbetänkande (SOU 1993:10 s. 113— 147).
4.5 Bevarande och gallring
Grundläggande regler om offentliga arkiv finns i arkivlagen (1990:782) och i arkivförordningen (1991:446). Bestämmelserna omfattar arkiv hos såväl statliga som kommunala myndigheter och författningarna innehåller regler om vad som ingår i en myndighets arkiv, vård av arkiv och gallring av arkiv. Arkivlagens utgångspunkt är att allmänna handlingar skall bevaras. I
arkivlagens 3 § uttalas att myndigheternas arkiv är en del av det nationella kulturarvet och att arkiven skall bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov. Av 10 § framgår emellertid att allmänna handlingar får gallras, dvs. förstöras (som förstöring räknas även överförande till andra ”databärare” om överföringen medför informationsförlust, se Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter
Prövningen av gallringsfrågor beträffande uppgifter i personregister som regleras genom särskilda registerlagar följer därmed teoretiskt följande modell:
—Utgångspunkten enligt arkivlagen är att handlingar som behövs för de i lagen uppräknade syftena skall bevaras.
—Om det i den särskilda registerlagen angetts att materialet skall förstöras efter viss tid gäller dock denna bestämmelse före arkivlagen.
—Beträffande material som behövs för forskningsändamål kan i den särskilda registerlagen ges bemyndigande för regeringen eller myndighet som regeringen bestämmer att meddela undantag från gallringsplikten. Om sådana bestämmelser meddelats gäller dessa. I annat fall gäller den särskilda registerlagens bestämmelser om gallringsplikt även detta material.
Ett exempel på gallringsbestämmelse i en registerlag utgörs av 10 § i förslaget till lag om vissa personregister inom kriminalvården (Ds 1996:19):
En uppgift i ett kriminalvårdsregister skall gallras så snart uppgiften inte längre behövs och senast fem år efter det att den senast registrerade kriminalvårdspåföljden eller åtgärden till
fullo verkställts eller annars har upphört. Regeringen får i förordning bestämma kortare tid för gallring.
Regeringen eller den myndighet som regeringen bestämmer får föreskriva undantag från första stycket i fråga om bevarande av ett urval av material för forskningens behov. Sådant material skall överlämnas till arkivmyndighet.
Den myndighet som av regeringen utses att utfärda särskilda bestämmelser om gallring i dessa fall är som regel Riksarkivet.
För de register som inte är statsmaktsregister gäller delvis en annan ordning. Här måste man skilja på register som enbart kräver licens (licensregister) och sådana som kräver såväl licens som tillstånd från Datainspektionen (tillståndsregister). Enligt 12 § datalagen skall personuppgift utgå ur registret då uppgiften inte längre behövs med hänsyn till ändamålet med registret, om inte uppgiften även därefter skall bevaras på grund av bestämmelse i lag eller annan författning eller enligt myndighets beslut som meddelats med stöd av författning. Enligt uttrycklig bestämmelse i arkivlagen (10 §) gäller arkivlagens bestämmelser om gallring före 12 § datalagen. Detta innebär att licensregister hos myndigheter därmed skall gallras enligt arkivlagens normsystem, dvs. huvudregeln är att uppgifterna skall bevaras i de delar det krävs för de i arkivlagen angivna syftena. För tillståndsregisternas del skall Datainspektionen, i den mån det behövs för att förebygga risk för otillbörligt intrång i den personliga integriteten, meddela föreskrift om bevarande och gallring av personuppgifter (6 § första stycket 9 datalagen). Datainspektionens föreskrifter, som enligt 12 § dataförordningen skall lämnas efter samråd med Riksarkivet, blir då gällande, dvs. bestämmelsen i 6 § datalagen gäller före arkivlagens regler (se närmare prop. 1989/90:72 s. 48 ff.).
5 Internationella överenskommelser
5.1 Inledning
Den enskildes behov av skydd för den personliga integriteten behandlas i flera internationella överenskommelser och rekommendationer. Som följer av framställningen nedan liknar bestämmelserna i de olika internationella dokumenten om behandling av personuppgifter varandra i hög grad. Det rör sig om regler som tar sikte på att registrering och annan behandling av uppgifter om enskildas personliga förhållanden skall vara begränsad till situationer då sådana åtgärder framstår som befogade ur samhällets eller den enskildes perspektiv. Vissa känsliga uppgifter erhåller regelmässigt särskilt skydd. Vidare intar bestämmelser om att uppgifterna skall vara korrekta och om den enskildes rätt till insyn en central roll.
Europarådets dataskyddskonvention och OECD:s rekommendation och riktlinjer för dataskydd har länge utgjort en grund för den svenska data- och registerlagstiftningen.
— Informationsteknik) samt förslag till de ändringar i tryckfrihetsförordningen, regeringsformen, sekretesslagen och arkivlagen som av kommittén bedömdes motiverade för att regleringen skall vara anpassad till
aktuella avsnittet, i kursiv stil, t.ex: Datalagskommittén, avsnitt x.x.x)
5.2 Europarådets dataskyddskonvention
År 1980 antog Europarådets ministerkommitté en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionen trädde i kraft år 1985 och har tillträtts av Sverige. Syftet med konventionen är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Konventionen gäller för automatiserade personregister och för automatisk databehandling av personuppgifter i allmän och enskild verksamhet. En central del av konventionen innehåller bestämmelser om krav på beskaffenheten av de personuppgifter som undergår automatisk databehandling. Kraven innebär bl.a. att uppgifterna skall hämtas in och behandlas på ett korrekt sätt och vara relevanta med hänsyn till ändamålet. Vissa typer av uppgifter får inte undergå automatisk databehandling om inte nationell lagstiftning ger ett ändamålsenligt skydd. Detta gäller uppgifter om ras, politiska åsikter, religiös tro eller annan övertygelse, hälsa, sexualliv samt brott. Lämpliga åtgärder skall vidtas för att skydda personuppgifter gentemot oavsiktlig eller otillåten förstörelse m.m. Det föreskrivs också vissa ytterligare skyddsåtgärder för registrerade personer, bl.a. att alla som är registrerade i ett personregister skall ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade. Vissa undantag från kraven på uppgifternas beskaffenhet får dock göras om de har stöd i nationell lagstiftning och om undantagen är nödvändiga i ett demokratiskt samhälle för att skydda statens säkerhet e.d. eller för att skydda den registrerade personen eller andra personers fri- och rättigheter. Rätten till insyn och rättelse får också i vissa fall inskränkas i fråga om personregister för statistikändamål eller forskningsändamål.
5.3 OECD:s rekommendation och riktlinjer för dataskydd
Organisationen för ekonomiskt samarbete och utveckling (OECD) har utarbetat vissa riktlinjer för integritetsskyddet och persondataflödet över gränserna. Medlemsländerna, däribland Sverige, har åtagit sig att följa den rekommendation som antogs tillsammans med riktlinjerna av OECD:s råd år 1980. Medlemsländerna skall enligt rekommendationen i sin lagstiftning beakta de principer om personlig integritet och individens grundläggande rättigheter som anges i riktlinjerna. De grundläggande riktlinjerna liknar bestämmelserna i Europarådets dataskyddskonvention (liksom bestämmelserna i
5.4 Europarådets rekommendationer
Inom Europarådet har det tagits fram ett antal rekommendationer om dataskydd för personuppgifter inom olika områden. Som exempel kan nämnas rekommendationerna om skydd för personuppgifter vid forskning och framställning av statistik (Recommendation No. R [83] 10) och om skydd för personuppgifter för anställningsändamål (Recommendation No. R [89] 2)
samt rekommendationen om utlämnande av personuppgifter som innehas av det allmänna (”public bodies”) till tredje man (Recommendation No. R [91] 10).
5.5
Den 24 oktober 1995 antogs inom EU Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. (Fortsättningsvis
Enligt ingressen till direktivet skall det fria flödet av personuppgifter inom gemenskapen underlättas till gagn för den inre marknaden med fri rörlighet för varor, personer, tjänster och kapital. Detta skall ske genom att det i samtliga medlemsstater skapas en likvärdig, hög skyddsnivå när det gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv. När de enskilda medlemsländernas lagstiftning på området harmoniserats skall staterna inte längre kunna hindra det fria flödet av personuppgifter inom gemenskapen med hänvisning till skyddet för enskilda personers fri- och rättigheter. Direktivet om behandling av personuppgifter är alltså inte av det slaget att det uppställer en miniminivå för den enskildes skydd. Det är inte tillåtet att föreskriva eller behålla vare sig ett sämre eller bättre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av direktivet. Medlemsstaterna ges dock ett visst spelrum vid införandet av direktivet i nationell rätt. Bl.a. är det därvid — enligt Datalagskommittén — möjligt att ta hänsyn till principen om allmänhetens rätt att ta del av allmänna handlingar (Datalagskommittén, kap. 9).
Direktivet gäller för behandling av personuppgifter som helt eller delvis företas på automatisk väg oavsett om uppgifterna ingår i ett register eller ej. Direktivet omfattar också ickeautomatisk behandling av personuppgifter men då endast om uppgifterna ingår i eller är avsedda att ingå i ett register. Med behandling av personuppgifter avses varje åtgärd eller serie av åtgärder som vidtas beträffande uppgifterna, oavsett om det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, sammanställning, förstöring eller utlämnande. Med register avses varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Direktivet gäller inte behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten. Som exempel anges verksamhet som avses i avdelning V och VI i Fördraget om Europeiska unionen (bestämmelser om en gemensam utrikes- och säkerhetspolitik respektive bestämmelser om samarbete i rättsliga och inrikes frågor — unionsfördragets andra och tredje ”pelare”). Vidare anges uttryckligen att direktivet inte gäller behandlingar som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
Medlemsstaterna får under vissa närmare angivna omständigheter, t.ex. om undantag är nödvändiga med hänsyn till försvaret, allmän säkerhet eller förebyggande av brott, begränsa omfattningen av vissa av bestämmelserna i direktivet. Detta gäller bl.a. bestämmelserna om vissa grundläggande krav på uppgiftsbehandlingen.
Medlemsstaterna skall vidare besluta om undantag och avvikelser från bestämmelser i direktivet för behandling av personuppgifter som sker uteslutande för journalistiska ändamål och konstnärligt eller litterärt skapande.
I direktivet föreskrivs ett anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. När det gäller
handlingar av personuppgifter är det tillåtet för medlemsstaterna att föreskriva ett förenklat anmälningsförfarande. Den svenska regeringen har beslutat att utse Datainspektionen till svensk tillsynsmyndighet.
Medlemsstaterna är skyldiga att anpassa sina respektive nationella lagar och förordningar till direktivet senast per den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som då redan pågår skall denna bringas i överensstämmelse med direktivet — och den nya nationella lagstiftningen — senast tre år därefter, dvs. senast den 24 oktober 2001. Vissa längre frister gäller för det faktiska genomförandet av delar av direktivet.
Bestämmelser i
6 Datalagskommitténs förslag till persondatalag m.m.
6.1 Inledning
Datalagskommittén lämnade sitt betänkande i mars 1997 (SOU 1997:39). Betänkandet, som är omfattande, innehåller förslag till den nya lag — persondatalagen — genom vilken EG- direktivet om personuppgifter skall implementeras i svensk rätt. Lagen, som noga följer EG- direktivet, ersätter på sikt datalagen. Datalagskommittén föreslår också ändringar i tryckfrihetsförordningen, yttrandefrihetsgrundlagen, regeringsformen, sekretesslagen och arkivlagen. I denna framställning lämnas inte någon fullständig redovisning av Datalagskommitténs överväganden. Här ges en översikt över den nya ordningen med koncentration på de delar som bedömts vara centrala för utredningsuppdraget. Våra egna förslag utgår ifrån att förslaget till persondatalag kommer att bli gällande rätt i Sverige inom en snar framtid. De närmare analyser av persondatalagens bestämmelser som därmed är nödvändiga redovisas under våra överväganden i kap. 9 och framåt.
Förslaget till persondatalag bifogas till detta betänkande som bilaga 2. Hänvisningar till aktuella avsnitt i Datalagskommitténs betänkande ges kursiverat i framställningen nedan (ex;
Datalagskommittèn, avsnitt/kap. x.x.x)
6.2 En generell och teknikoberoende lag
Den föreslagna persondatalagen omfattar all automatisk behandling av personuppgifter samt även annan behandling om personuppgifterna ingår i eller är avsedda att ingå i ett register (5 §). Med behandling avses varje åtgärd som vidtas med uppgiften (3 §). Lagens till-
ämpningsområde blir därmed vida större än datalagens som i princip ”bara” gäller vid registrering av personuppgifter med ADB. Vad som avses med ”automatisk” definieras varken i EG- direktivet eller i persondatalagen.
6.3 Förutsättningar för att behandling av personuppgifter skall vara tillåten
Datalagen bygger på ett system med licenser och tillstånd. Register med integritetskänsliga personuppgifter kräver regelmässigt Datainspektionens tillstånd medan det i andra fall är tillräckligt för den ansvarige att lösa licens. För statsmaktsregistrens del ges tillstånd genom beslut av regering eller riksdag om ett registers inrättande. Den föreslagna persondatalagens system är ett annat. Licens eller formellt tillstånd krävs inte för behandling (inkl. registrering) av personuppgifter. Persondatalagen anger under vilka förutsättningar behandling av personuppgifter är tillåten och vad den som behandlar uppgifterna skall iaktta. Den som avser att behandla personuppgifter har — enligt huvudregeln — att ange ett ändamål för sin behandling, anmäla sin verksamhet till Datainspektionen samt därefter hålla sig inom de ramar som persondatalagen och anknytande författningar och andra föreskrifter anvisar.
Huvuddragen i persondatalagens bestämmelser om när och på vilket sätt personuppgifter får behandlas är följande (Datalagskommittén, kap. 12, se särskilt
Behandling av personuppgifter får endast ske när den enskilde lämnat sitt samtycke eller när behandlingen är nödvändig för vissa uppräknade ändamål, t.ex. för att en arbetsuppgift av allmänt intresse skall kunna utföras (10 §). Behandling av vissa uppgifter, i persondatalagen benämnda känsliga personuppgifter, är förbjuden (13 §). Det rör sig t.ex. om uppgifter som avslöjar religiös eller filosofisk övertygelse eller som rör hälsa eller sexualliv. Från förbudet mot behandling av sådana uppgifter finns en rad undantag. Behandling är t.ex. tillåten om den enskilde samtycker, eller om behandlingen är nödvändig för hälso- och sjukvård eller för forsknings- och statistikändamål
När uppgifter behandlas får detta i princip endast ske för de ändamål för vilka uppgifterna samlades in, och endast den behandling som är nödvändig är tillåten (9 §). Den ansvarige är skyldig att tillse att inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen och att uppgifterna inte heller bevaras längre än nödvändigt med hänsyn till dessa ändamål. En behandling för historiska, statistiska och vetenskapliga ändamål skall inte anses oförenlig med de ändamål för vilka uppgifterna samlades in. För sådana ändamål får uppgifter också bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka de ursprungligen insamlades.
Behandlingar som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen eller som annars sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande omfattas inte av bestämmelserna om när och på vilket sätt uppgifter får behandlas (7 §) och bestämmelserna i persondatalagen skall över huvud taget inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (8 §).
6.4 Ansvaret för behandlingen och den ansvariges skyldigheter
Enligt förslaget till persondatalag är den som ensam eller tillsammans med andra bestämmer
ändamålen med och medlen för behandlingen av personuppgifter persondataansvarig (3 §) (Datalagskommittén, avsnitt 12.2.6).
Som huvudregel bör — enligt Datalagskommittén — bara fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige kunna betraktas som persondataansvariga, inte andra ”organ” (som saknar rättskapacitet). Av definitionen följer att flera kan vara persondataansvariga för samma behandlingsåtgärd.
Persondataansvaret innebär bl.a. att den ansvarige skall tillse (9 §):
—att personuppgifter behandlas bara när det är lagligt,
—att personuppgifter alltid behandlas på ett korrekt sätt,
—att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,
—att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilka uppgifterna samlades in,
—att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
—att inte flera personuppgifter behandlas än vad som är nödvändigt med hänsyn till ända-
målen med behandlingen,
—att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
—att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen och
—att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Det åligger vidare den persondataansvarige:
—att lämna information till den registrerade rörande behandlingen
—att på begäran av den registrerade, rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med persondatalagen
(28 §),
—att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter
som behandlas (31 §) och
— att anmäla automatisk behandling av personuppgifter till Datainspektionen (36 §). (Det finns dock undantag från denna skyldighet, se nedan under avsnitt 6.6)
Den persondataansvarige är skyldig att ersätta den registrerade för den skada som en lagstridig behandling av personuppgifter fört med sig (Datalagskommittén, avsnitt 12.13). Den persondatansvarige kan dock undgå skadeståndsskyldighet om han eller hon kan visa att felet inte berodde på honom eller henne (43 §).
Den persondataansvarige skall utfärda instruktioner för de personer som arbetar under hans eller hennes ledning liksom för persondatabiträden (den som behandlar personuppgifter för den persondatansvariges räkning, 3 §) och dem som arbetar under biträdenas ledning (30 §) (Datalagskommittén, avsnitt 12.10.2).
6.5 Arkivering och gallring
Den i förra avsnittet berörda regeln om att uppgifter inte får behandlas för ändamål som är oförenliga med dem för vilka de samlades in skulle kunna tolkas som att uppgifterna i princip måste förstöras när ändamålet är uppfyllt eller behovet i förhållande till ändamålet annars upphör. Behandling för historiska, statistiska och vetenskapliga ändamål skall emellertid inte anses oförenlig med de ändamål för vilka uppgifterna insamlades (se ovan, avsnitt 6.3) och enligt Datalagskommittén (Datalagskommittén, avsnitt 9.4 och 12.4.6.2) kan ändamål som myndighetsarkiv skall tillgodose hänföras just under ”historiska, statistiska och vetenskapliga ändamål”. Det är därmed inte nödvändigt att myndigheter, redan när personuppgifterna samlas in, uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Datalagskommittén har föreslagit en uttrycklig bestämmelse i persondatalagen som anger att lagen inte hindrar att en myndighet bevarar sina allmänna handlingar eller att en arkivmyndighet tar hand om arkivmaterial (8 § 2 st).
6.6 Anmälan och tillsyn
Den föreslagna persondatalagen kräver inte — till skillnad från datalagen — att tillstånd inhämtas för viss hantering av personuppgifter. Persondatalagen bygger i stället på ett system med skyldighet för den persondataansvarige att anmäla behandling av personuppgifter till en tillsynsmyndighet (Datainspektionen) som också utövar tillsyn över verksamheter där behandling av personuppgifter förekommer (Datalagskommittén, avsnitt
Behandling av personuppgifter som är helt eller delvis automatisk skall enligt huvudregeln skriftligen anmälas till Datainspektionen (36 § 1 st.). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock föreskriva undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten (36 § 2 st.). Vidare behöver anmälan till Datainspektionen inte göras om den persondataansvarige utser ett persondataombud och offentliggör vem det är (37 §). Ett persondataombud har till uppgift att övervaka och se till att den persondataansvarige behandlar personuppgifter på ett korrekt och lagligt sätt och påpeka eventuella brister för denne. Om den persondataansvarige inte vidtar rättelse efter påpekande skall persondataombudet anmäla förhållandet till Datainspektionen (38 §). Bland persondataombudets uppgifter ingår även att hjälpa enskilda att få rättelse av felaktiga och ofullständiga uppgifter (40 §). Ett persondataombud kan enligt Datalagskommittén vara anställd hos den persondataansvarige men får inte ha en ”alltför underordnad ställning” med hänsyn till att persondataombudet måste kunna agera självständigt (Datalagskommittén, avsnitt 12.12.2.4).
Datainspektionens verksamhet kommer efter persondatalagens ikraftträdande i huvudsak att bestå i renodlad tillsyn. Datainspektionen kommer enligt förslaget till persondatalag dock även — om regeringen bestämmer det — att ha möjligheter att utfärda närmare föreskrifter bl.a. om (51 §):
—i vilka fall behandling av personuppgifter är tillåten,
—vilka krav som ställs på den persondataansvarige vid behandling av personuppgifter,
—vilken information som skall lämnas till den registrerade och hur lämnandet av information skall gå till samt
— anmälan till Datainspektionen och förfarandet när anmälda uppgifter har ändrats.
Vid sin tillsyn har Datainspektionen i princip samma befogenheter som myndigheten har enligt datalagen i dag, dvs. rätt att få del av handlingar, tillträde till lokaler m.m. (45 §). Om Datainspektionen upptäcker oegentligheter skall inspektionen i första hand söka åstadkomma rättelse genom påpekanden. Om det är brådskande eller om rättelse inte går att få på annat sätt får Datainspektionen vid vite förbjuda den persondataansvarige att behandla uppgifterna på annat sätt än genom att lagra dem (47 §). Om uppgifter behandlats på ett olagligt sätt får Datainspektionen ansöka hos länsrätt om att uppgifterna skall utplånas (49 §).
6.7 Kompletterande reglering
Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.1.2) är avsikten att persondatalagen skall innehålla alla grundläggande regler, principer och undantagsmöjligheter och att regeringen och Datainspektionen inom den ramen — och med beaktande av vad
En uppställning över aktuella bestämmelser ser ut så här:
Regeringen eller myndighet som regeringen bestämmer får:
—föreskriva undantag från förbudet att behandla känsliga personuppgifter (20 §),
—föreskriva undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål (21 §),
—föreskriva undantag från huvudregeln att det är förbjudet att föra över personuppgifter till tredje land (tredje land= en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet) (35 §),
—föreskriva undantag från skyldigheten att anmäla behandling av personuppgifter till Datainspektionen (36 §) och
—meddela närmare föreskrifter om i vilka fall behandling av personuppgifter är tillåten och vilka krav som ställs på den persondataansvarige m.m. (51 §).
Regeringen får:
— föreskriva att vissa behandlingar som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen för förhandskontroll (41 §).
Datainspektionen får:
— besluta om vilka skyddsåtgärder den persondataansvarige skall vidta för att skydda de personuppgifter som behandlas (32 §).
(Datalagskommitténs närmare överväganden i författningstekniska frågor redovisas i avsnitt 12.1 i deras betänkande.)
6.8 Ikraftträdande och övergångsbestämmelser
Enligt
När den nya lagen träder i kraft bör enligt Datalagskommittén de tillstånd och föreskrifter som Datainspektionen kan ha meddelat beträffande behandlingar som tidigare omfattades av datalagen (dvs.
De övergångsbestämmelser Datalagskommittén föreslagit i övrigt, som bl.a. rör personuppgifter som arkiverats och samtycken som lämnats före persondatalagens ikraftträdande samt tillämpligheten av skadeståndsbestämmelsen, framgår av bilaga 2 till detta betänkande. (Se även Datalagskommittén, avsnitt 12.15.)
6.9 Datalagskommitténs övriga förslag till författningsändringar
6.9.1Regler i datalagen som föreslås flyttade till andra lagar
Datalagskommittén har föreslagit (Datalagskommittén, kap 13):
— att datalagens bestämmelse (14 §) om att myndigheter som använder upptagning för ADB för handläggning av mål eller ärende skall överföra upptagningen till läsbar form och tillföra den till handlingarna i målet eller ärendet, överförs till 15 kap. sekretesslagen, — att datalagens bestämmelse om straff för dataintrång (21 §) överförs till brottsbalken samt
— att datalagens bestämmelser om det statliga person- och adressregistret (SPAR,
6.9.2Tryckfrihetsförordningen och yttrandefrihetsgrundlagen
Datalagskommittén föreslår en ny begreppsapparat i tryckfrihetsförordningen (Datalagskommittén, kap 16). Offentlighetsinsynen skall inte längre vara knuten till myndighetenshandlingar utan till dess uppgifter. Förändringen innebär enligt Datalagskommittén inte något nytt i grunden utan en anpassning till en ny teknik där det inte längre är självklart att uppgifter finns att hämta i handlingar i ordets traditionella betydelse. Med uppgift menas varje sakupplysning som kan uppfattas av en människa, antingen direkt eller med hjälp av tekniska hjälpmedel. En uppgift är enligt förslaget allmän om den förvaras hos en myndighet och förekommer i en handling (pappershandling eller elektronisk handling) eller i en databas. En handling skall ha ett bestämt innehåll varmed avses ett en gång för alla bestämt innehåll. Det som är typiskt för en databas är att den inte har ett på förhand bestämt innehåll. Exempel på databaser är journaler, register, dagboksblad och andra förteckningar där det förs in uppgifter efter hand. En databas kan precis som en handling vara manuell eller ha elektronisk form. Liksom en handling kan den bestå av en enda uppgift. För att uppgifterna i en handling eller databas
skall vara allmänna krävs, liksom vad gäller för sådana handlingar som tryckfrihetsförordningen omfattar enligt gällande rätt, att de kan göras uppfattbara med hjälp av den utrustning som myndigheten själv förfogar över. Liksom enligt gällande rätt innebär eventuella sökbegränsningar för myndigheten i lag eller annan författning att också allmänhetens rätt att ta del av uppgifterna omfattas av en sådan begränsning. För frågor om när en uppgift skall anses förvarad hos en myndighet, när den skall anses inkommen, hur den skall lämnas ut m.m. enligt de nya teknikanpassade bestämmelserna hänvisas till Datalagskommitténs betänkande (för en sammanfattning se Datalagskommitténs författningskommentar).
För att anpassa även yttrandefrihetsgrundlagen till den nya ordningen föreslås en ändring i 5 kap. 3 § första stycket 2 i den lagen, som behandlar oriktigt utlämnande av uppgifter (handlingar, enligt nuvarande lydelse) via radioprogram, film eller ljudupptagning.
6.9.3Regeringsformen
Enligt 8 kap. 7 § regeringsformen kan regeringen efter bemyndigande i lag genom förordning meddela föreskrifter om bl.a. skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling. Datalagskommittén föreslår att regeringen i stället ges rätt att meddela föreskrifter om skydd för personlig integritet vidbehandling av personuppgifter. Syftet är att regeringen (och Datainspektionen om regeringen så bestämmer) skall kunna meddela föreskrifter på hela det område som omfattas av den föreslagna persondatalagen (Datalagskommittén, författningskommentaren och avsnitt 12.1.2).
6.9.4Sekretesslagen
I konsekvens med att persondatalagen reglerar behandling av personuppgifter föreslår Datalagskommittén att sekretessbestämmelsen i 7 kap. 16 § sekretesslagen ändras till att avse sekretess för personuppgifter om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med persondatalagen (jfr avsnitt 4.3.5 ovan). Vidare föreslås att andra stycket i paragrafen upphävs eftersom det redan av persondatalagen framgår vilka förutsättningar som gäller för överföring av personuppgifter till tredje land (se aktuellt lagrum samt
Beträffande den ändring av 9 kap. 6 § sekretesslagen som föreslås hänvisas till Datalagskommitténs betänkande (Datalagskommittén, författningskommentaren och avsnitt 12.14.1.3). I övrigt är de föreslagna ändringarna i sekretesslagen i huvudsak föranledda av den nya begreppsapparat och terminologi som föreslås för tryckfrihetsförordningen.
6.9.5Arkivlagen
De föreslagna ändringarna i arkivlagen syftar i huvudsak till att begreppen och terminologin (allmänna uppgifter i handlingar och databaser) skall överensstämma med vad som föreskrivs tryckfrihetsförordningen enligt föreslagna ändringar i denna.
7 Totalförsvaret och dess personal
7.1 Totalförsvarspliktens innebörd och omfattning
Begreppet totalförsvar, som finns definierat i 1 § första stycket lagen (1992:1403) om totalförsvar och höjd beredskap, avser den verksamhet som behövs för att förbereda Sverige för krig (jfr även beredskapsförordningen [1993:242]). Totalförsvaret består av det militära försvaret
— vars huvuduppgift är att möta väpnade angrepp mot Sverige — och det civila försvaret, som bl.a. skall värna civilbefolkningen under krig, trygga nödvändig försörjning och även i övrigt
upprätthålla viktiga samhällsfunktioner. För det militära försvaret ansvarar i huvudsak Försvarsmakten, medan ansvaret för det civila försvaret åvilar statliga myndigheter, kommuner, landsting, företag, organisationer och enskilda.
Sedan den 1 juli 1995 gäller lagen (1994:1809) om totalförsvarsplikt (prop. 1994/95:6). Genom denna lag har de grundläggande bestämmelserna om tjänstgöringsskyldighet inom landets totalförsvar samlats i en författning. Totalförsvarsplikten innebär en skyldighet för varje svensk medborgare — och i viss utsträckning för utländska medborgare som är bosatta i Sverige — att tjänstgöra inom totalförsvaret i den omfattning som hans eller hennes kroppskrafter och hälsotillstånd tillåter. Skyldigheten gäller från och med det kalenderår då personen fyller 16 år till utgången av det år när han eller hon fyller 70 år. Tjänstgöringen kan fullgöras som värnplikt, civilplikt eller allmän tjänsteplikt. Värnplikt och civilplikt omfattar grundutbildning, repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. (I vissa fall kan en totalförsvarspliktig skrivas in för civilplikt och krigsplaceras utan grundutbildning om det är uppenbart att utbildningsbehov saknas). Den allmänna tjänsteplikten innebär endast en skyldighet för den som är totalförsvarspliktig att tjänstgöra under höjd beredskap. Höjd beredskap är, enligt lagen om totalförsvar och höjd beredskap, antingen skärpt beredskap eller högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då skall bedrivas.
Värnplikten fullgörs hos Försvarsmakten. Skyldigheten att fullgöra sådan plikt omfattar endast svenska män och gäller från början av det kalenderår de fyller 19 år till slutet av det kalenderår de fyller 47 år. De som är ianspråktagna med värnplikt utgör den helt dominerande delen av de totalförsvarspliktiga som genomgår grundutbildning och repetitionsutbildning.
Alla mellan 16 och 70 år, som inte är ianspråktagna med värnplikt, är skyldiga att efter anmodan fullgöra civilplikt. Det är emellertid endast svenska män som är skyldiga att fullgöra civilplikt med längre grundutbildning än 60 dagar. Civilplikten kan, enligt bilaga till förordningen (1995:238) om totalförsvarsplikt, för närvarande fullgöras i följande verksamheter:
A. Verksamheter i det civila försvaret
1.Polisverksamhet
2.Befolkningsskydd
3.Hemskydd
4.Räddningstjänst inklusive räddningstjänst vid flygplatserna
5.Hälso- och sjukvård
6.Tandvård
7.Kommunal tillsyn inom miljö- och hälsoområdet
8.Underhåll och reparationer av järnvägar och vägar
9.Veterinärverksamhet
10.Flyktingmottagning
11.Drift och underhåll inom elproduktion och nätverksamhet
12.Kommunal teknisk verksamhet
13.Kommunal informationsverksamhet
14.Barn- och familjeomsorg
15.Handikapp- och äldreomsorg
16.Själavård och sociala insatser
17.Begravningsverksamhet
B. Verksamheter i Försvarsmakten
1.Hälso- och sjukvård
2.Tandvård
3.Veterinärverksamhet
4.Posthantering
5.Gränsövervakning
6.Väghållning
7.Flygtrafikledning
Det är att märka att civilplikten kan fullgöras såväl inom det civila som inom det militära försvaret. Civilplikten får dock inte omfatta annan verksamhet som är förenad med egentliga stridsuppgifter än ordnings- eller bevakningsuppgifter.
När det råder höjd beredskap får regeringen ge föreskrifter om allmän tjänsteplikt, om det behövs för att verksamhet som är av särskild vikt för totalförsvaret skall kunna upprätthållas. Allmän tjänsteplikt gäller alla mellan 16 och 70 år (som inte redan är krigsplacerade med stöd av lagen om totalförsvarsplikt) och innefattar en skyldighet att tjänstgöra i en ordinarie anställning eller fullfölja ett uppdrag, eller att efter anvisning av en myndighet utföra vissa uppgifter. Regeringen eller den myndighet som regeringen bestämmer (Arbetsmarknadsstyrelsen eller, efter bestämmande av Arbetsmarknadsstyrelsen, en länsarbetsnämnd) skall besluta hos vilka arbetsgivare som allmän tjänsteplikt skall fullgöras och vilka arbetstagare och uppdragstagare som skall omfattas av allmän tjänsteplikt. Statliga myndigheter där allmän tjänsteplikt skall fullgöras beslutar dock själva om vilka arbetstagare och uppdragstagare som skall omfattas av tjänsteplikten. De närmare föreskrifterna om tjänsteplikten kan tas in i anställningsavtalet med den enskilde. Ett beslut om att en totalförsvarspliktig skall fullgöra allmän tjänsteplikt får inte omfatta den som redan är krigsplacerad med stöd av lagen om totalförsvarsplikt.
Kvinnor är inte skyldiga att göra värnplikt eller att fullgöra civilplikt som kräver längre grundutbildning än 60 dagar. Kvinnor har dock möjlighet att fullgöra värnplikt eller civilplikt med längre grundutbildning om de så önskar och bedöms lämpliga. Till grundutbildning för värnplikt eller civilplikt med längre grundutbildning än 60 dagar får kvinnor antas som är svenska medborgare och som vid den antagningsprövning som skall göras har fyllt 18 år. Om en kvinna efter ansökan och prövning skrivs in för värnplikt eller civilplikt med längre grundutbildning omfattas hon av samma bestämmelser som en man som med stöd av lagen om totalförsvarsplikt skrivits in för motsvarande utbildning. Hon blir således enligt lag skyldig att fullgöra dels grundutbildning, dels repetitionsutbildning, beredskapstjänstgöring och krigstjänstgöring. Dessa särskilda bestämmelser om kvinnor i totalförsvaret ges i lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning och förordningen (1995:240) med samma namn.
I samband med att lagen om totalförsvarsplikt och lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning infördes, upphävdes bl.a. värnpliktslagen (1941:967), allmänna tjänstepliktslagen (1959:83) och lagen (1980:1021) om militär grundutbildning för kvinnor. Dessutom upphävdes lagen (1981:292) om tjänsteplikt för hälso- och sjukvårdspersonal samt veterinärpersonal m.m. Skyldigheten enligt den senast nämnda lagen för vissa personalkategorier att delta i utbildning och övning för tjänstgöring under höjd beredskap regleras därmed inte längre i en särskild lag. De av hälso- och sjukvårdspersonalen som är anställda i verksamheter som skall upprätthållas under höjd beredskap (t.ex. landstingens sjukvård) deltar i utbildnings- och övningsverksamhet i enlighet med vad som anges i deras anställningsavtal. Utbildning och övning för dessa personer sker genom arbetsgivarens försorg. I de fall något anställningsförhållande inte föreligger mellan det bemanningsansvariga
organet och den hälso- och sjukvårdspersonal som detta organ önskar ta i anspråk för övning och utbildning, kan inskrivning med civilplikt i stället tillämpas. Inskrivning med civilplikt kan bli aktuell bl.a. beträffande dem ur hälso- och sjukvårdspersonalen som är anställda inom den privata sektorn eller som slutat arbeta men alltjämt omfattas av totalförsvarsplikten.
Även lagen (1966:413) om vapenfri tjänst upphävdes då lagen om totalförsvarsplikt infördes. Vapenfri tjänstgöring äger nu istället rum inom ramen för civilplikten. Enligt 3 kap. 16 § lagen om totalförsvarsplikt skall en totalförsvarspliktig efter ansökan få rätt att vara vapenfri om han eller hon kan antas ha ”en så allvarlig personlig övertygelse rörande bruk av vapen mot annan att övertygelsen är oförenlig med en tjänstgöring som är förenad med bruk av vapen”. Närmare bestämmelser om prövningen i dessa fall ges i 3 kap.
7.2 Utredningar om de totalförsvarspliktigas förhållanden
7.2.1 Inledning
För att de totalförsvarspliktigas möjligheter att fullgöra värnplikt eller civilplikt skall kunna bedömas och för att de skall kunna placeras på ”rätt ställe” inom totalförsvaret krävs att beslutsfattarna har ett underlag som innefattar uppgifter om de enskildas förhållanden i olika avseenden. Uppgifter som är relevanta är bl.a. sådana som rör hälsotillstånd och civil utbildning. Uppgifterna inhämtas i princip på två sätt. Dels genom den enskilde själv, dels genom att myndigheter och andra — t.ex. skolor och vårdinrättningar — lämnar uppgifter till den som har att fatta beslut om den enskilde. Den enskilde är enligt generella bestämmelser i lagen om totalförsvarsplikt skyldig att medverka i utredning om sina personliga förhållanden och att lämna uppgifter om sig själv (1 kap. 3 § 1 och 2 kap. 1 §) Ansvaret för att samla in personuppgifter och att på grundval av dessa ta beslut om de totalförsvarspliktiga åvilar i första hand Totalförsvarets pliktverk (nedan Pliktverket).
7.2.2Mönstring, annan mindre omfattande utredning och antagningsprövning
En man som är svensk medborgare är skyldig att mönstra om det inte är uppenbart att han saknar förutsättningar att fullgöra såväl värnplikt som civilplikt. Skyldigheten inträder det kalenderår mannen fyller 18 år eller, för den som förvärvar svenskt medborgarskap senare, från och med den dag han blir svensk medborgare. Om det inte finns särskilda skäl, är ingen skyldig att genomgå mönstring efter det kalenderår när han fyller 24 år. Den som är skyldig att mönstra skall inställa sig personligen vid något av Pliktverkets kontor för medicinska och psykologiska undersökningar samt annan utredning om personliga förhållanden (2 kap. lagen om totalförsvarsplikt). Pliktverket har med stöd av 9 kap. 1 § förordningen (1995:238) om totalförsvarsplikt utfärdat närmare föreskrifter om vad som skall ske vid mönstringen enligt följande (2 kap.
Vid mönstringen skall den totalförsvarspliktige uppmanas att lämna uppgifter om
1.boende- och familjeförhållanden,
2.utbildning, studieinriktning och arbetslivserfarenhet,
3.idrotts- och fritidsintressen,
4.kunskap i telegrafering, maskinskrivning, fotografering, teckning, simning samt intresse för sjukvård och matlagning,
5.vana att använda fordon och arbetsmaskiner,
6.fjäll- och sjövana samt vana att vistas i skog och mark,
7.språkkunskaper,
8.särskilda kunskaper och färdigheter i övrigt,
9.deltagande i frivillig försvarsutbildning och militärt praktikantläger och
10.föreningsuppdrag.
Den medicinska undersökningen skall syfta till att utreda den totalförsvarspliktiges fysiska förutsättningar att fullgöra värnplikt eller civilplikt och får omfatta
1.kontroll av hörsel, syn och färgseende,
2.bedömning av bullerskaderisk,
3.bestämning av förekomst av socker, äggvita eller blod i urinen,
4.kontroll av blodtryck och hjärtverksamhet under vila,
5.vägning, mätning av längd och muskelkraft och
6.annan undersökning som är nödvändig för att bedöma tjänstbarheten.
Den psykologiska undersökningen skall syfta till att utreda den totalförsvarspliktiges begåvning, personlighet, anlag, intressen och önskemål samt hans psykiska funktionsförmåga, tjänstbarhet och ledarförmåga. Den psykologiska undersökningen får omfatta
1.psykologiska test,
2.inhämtande av uppgifter om den totalförsvarspliktiges personliga förhållanden och
3.intervju med den totalförsvarspliktige
Dessutom får den totalförsvarspliktige fotograferas som underlag för legitimations- och resehandlingar.
Enligt 2 kap. 9 § i nyss nämnda föreskrifter kan Försvarsmakten eller Överstyrelsen för civil beredskap (ÖCB) anmäla behov av ytterligare utredning (förnyad mönstring) av den totalförsvarspliktige om någon av myndigheterna finner att placering i viss befattning förutsätter detta.
Ansvaret för att mönstring genomförs åvilar Pliktverket. Mönstring (eller — för kvinnor
— antagningsprövning, se nedan) är en förutsättning för att någon skall tas ut till värnplikt eller civilplikt med längre grundutbildning än 60 dagar.
På grundval av en mindre omfattande utredning än mönstring kan en totalförsvarspliktig tas i anspråk för civilplikt med grundutbildning under högst 60 dagar. En sådan utredning kan vara begränsad till att den totalförsvarspliktige efter anmaning lämnar uppgifter om sig själv eller genom att uppgifter om honom eller henne inhämtas från olika register e.d. Huvudansvaret ligger även beträffande denna utredningsverksamhet på Pliktverket. Utredningen kan dock efter överenskommelser mellan Pliktverket och kommuner, landsting eller kyrkliga kommuner utföras hos någon av de sist nämnda (se prop. 1994/95:6 s. 130). Enligt 2 kap. 1 § lagen om totalförsvarsplikt jämförd med 4 kap. 5 § andra stycket förordningen om totalförsvarsplikt är den totalförsvarspliktige också skyldig att lämna uppgifter om sina personliga förhållanden till länsstyrelserna, Rikspolisstyrelsen, Försvarsmakten, Post- och telestyrelsen, Banverket, Vägverket, Luftfartsverket, Statens Jordbruksverk, Statens invandrarverk, Närings- och teknikutvecklingsverket samt Affärsverket svenska kraftnät. På grundval av dessa och andra uppgifter kan därmed en mindre omfattande utredning än mönstring utföras även hos de nu uppräknade myndigheterna. Om en annan myndighet än Pliktverket genomfört utredningen skall kopior av handlingar som inkommit till den myndigheten tillställas Pliktverket (tillsammans med begäran om att den totalförsvarspliktige skrivs in) enligt 3 kap. 3 § Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt. Av 2 kap. 12 § nämnda föreskrifter framgår att en mindre omfattande utredning kan genomföras skriftligen, per telefon eller vid en personlig inställelse samt att utredningen inte skall vara mer omfattande än vad som behövs för att den
totalförsvarspliktiges förutsättningar att fullgöra civilplikt i en viss befattning skall kunna bedömas.
En kvinna som ansökt om att få fullgöra värnplikt eller civilplikt med längre grundutbildning skall genomgå en antagningsprövning vid Pliktverket som motsvarar den för svenska män obligatoriska mönstringen (3 § lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning samt 1 § förordningen härom).
7.2.3Inhämtande av uppgifter om den enskildes personliga förhållanden från myndigheter m.fl.
Uppgifterna från mönstringen eller antagningsprövningen behöver kompletteras med uppgifter inhämtade i andra sammanhang för att en så fullständig och korrekt bild som möjligt av den totalförsvarspliktige skall kunna erhållas. Det finns vidare ett behov för ansvariga myndigheter att kontinuerligt hålla sig informerade om förändringar av redan inskrivna totalförsvarspliktigas förhållanden. Lagen om totalförsvarsplikt och förordningen härom innehåller därför bestämmelser om skyldighet för myndigheter och andra att förse Pliktverket med relevant information i dessa avseenden.
2 kap. 4 § lagen om totalförsvarsplikt tar sikte på den information som behövs vid mönstringen, vid annan mindre omfattande utredning eller vid antagningsprövningen och stadgar att kommuner, landsting och enskilda vårdinrättningar skall lämna de uppgifter till Pliktverket om en totalförsvarspliktigs hälsotillstånd och personliga förhållanden i övrigt som behövs för att bedöma hans eller hennes förutsättningar för att fullgöra värnplikt eller civilplikt.
3 kap. förordningen om totalförsvarsplikt innehåller en uppräkning av myndigheter och andra som är skyldiga att lämna uppgifter till Pliktverket:
Skattemyndigheten skall före den 1 juli varje år lämna uppgift om varje svensk man som är folkbokförd i länet och som under året fyller 17 år (1 §). Uppgifterna utgör underlag för kallelser till mönstring.
När en skattemyndighet har registrerat en uppgift som är av betydelse för inskrivning eller redovisning av dem som är skyldiga att mönstra eller som skrivits in för värnplikt eller civilplikt eller i utbildningsreserven (se nästa avsnitt), skall Pliktverket underrättas om uppgiften (3 §).
Den eller de nämnder i ett landsting eller i en kommun som ansvarar för verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade samt chefsöverläkare vid en vårdinrättning där vård meddelas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård, skall före den 1 juni varje år lämna uppgifter om varje svensk man som under året fyller 17 år och som den 15 maj erhöll viss insats enligt lagen om stöd och service till vissa funktionshindrade, eller var intagen på vårdinrättning med stöd av de nämnda lagarna om psykiatrisk vård (5 §).
Samma skyldighet åligger den som förestår vården vid hem som avses i 12 § lagen (1990:52) om vård av unga beträffande där intagna män (6 §).
Uppgifterna som lämnas enligt dessa bestämmelser kan medföra att vissa inte kallas till mönstring, nämligen om det av uppgifterna framgår att vederbörande saknar förmåga att fullgöra värnplikt eller civilplikt.
Kriminalvårdsstyrelsen skall lämna uppgifter, enligt kungörelsen (1970:517) om rättsväsendets informationssystem, om intagning eller avgång från kriminalvårdsanstalt (7 §).
Socialstyrelsen och Statens jordbruksverk skall på begäran lämna uppgifter om totalförsvarspliktigas examina och legitimationer (8 §).
Statens skolverk, Högskoleverket och rektorn för en utbildningsanstalt eller skola som drivs av staten, en kommun eller ett landsting skall på begäran lämna uppgift om totalförsvars-
pliktigas studieförhållanden (9 §).
Vägverket skall på begäran lämna uppgifter ur körkortsregistret (10 §).
Post- och telestyrelsen skall på begäran lämna uppgifter om utfärdade certifikat inom radioområdet (11 §).
Sjöfartsverket skall på begäran lämna uppgifter ur sjömansregistret om adresser till totalförsvarspliktiga samt om deras olika behörighet och tjänstgöring på fartyg (12 §).
Luftfartsverket skall på begäran lämna uppgifter om utfärdade certifikat inom luftfartens område (13 §).
Kommuner, landsting och vårdgivare som bedriver enskild verksamhet skall på begäran lämna de uppgifter om anställd hälso- och sjukvårdspersonal som behövs för Pliktverkets planeringsarbete (14 §).
Även vissa andra författningar innehåller bestämmelser om uppgiftslämnande till Pliktverket:
Allmänna domstolar har skyldighet att sända lagakraftvunna domar rörande brott mot totalförsvarsplikten m.m. till Pliktverket (7 kap. 5 § förordningen om totalförsvarsplikt)
Rikspolisstyrelsen skall enligt 17 § polisregisterkungörelsen (1969:38) under vissa förutsättningar lämna utdrag av sina register på framställning av Pliktverket (även på framställning av Försvarsmakten) i fråga om totalförsvarspliktiga som skrivs in för värnplikt. I utdragen får inte tas med uppgifter om andra brott än de som särskilt uppräknas (våldsbrott, tillgreppsbrott, narkotikabrott, brott mot vapenlagen m.m.). Angående de närmare förutsättningarna se
7.3 Åtgärder efter utredning — Inskrivning, grundutbildning och krigsplacering
Om den totalförsvarspliktige efter mönstring eller motsvarande utredning bedömts ha förutsättningar att tjänstgöra inom totalförsvaret skall han eller hon skrivas in av Pliktverket, som handhar registreringen av all pliktpersonal. Om resultatet av mönstringen visar att den totalförsvarspliktige saknar förutsättningar att fullgöra värnplikt och civilplikt skall Pliktverket besluta att han inte är skyldig att fullgöra sådan tjänstgöring.
Män som mönstrat och bedömts ha erforderliga förutsättningar skall skrivas in för värnplikt eller civilplikt eller i en utbildningsreserv.
Den som endast genomgått en mindre omfattande utredning än mönstring får skrivas in för civilplikt som förutsätter grundutbildning under högst 60 dagar.
Kvinnor som genomgått antagningsprövning för värnplikt eller civilplikt med längre grundutbildning kan efter samtycke skrivas in för värnplikt eller civilplikt. De kan också efter samtycke skrivas in i utbildningsreserven. Samtycket skall i samtliga fall vara skriftligt.
Vid inskrivningen skall det, för den som skrivs in med värnplikt eller civilplikt, bl.a. bestämmas vilken befattning eller befattningsgrupp han eller hon skall placeras i, tid och plats för grundutbildningen och utbildningens längd.
Efter avslutad grundutbildning skall den som förvärvat tillräckliga kunskaper och färdigheter för en krigsuppgift krigsplaceras i en befattning eller i en viss verksamhet som han eller
hon är lämplig för. Den som inte krigsplaceras får i stället skrivas in för civilplikt utan grundutbildning eller med en grundutbildning som inte överstiger 60 dagar. Beslut om krigsplacering enligt lagen om totalförsvarsplikt fattas av Pliktverket efter framställning från statliga myndigheter, kommuner, landsting, kyrkliga kommuner, bolag, föreningar, samfälligheter eller andra enskilda. En totalförsvarspliktigs krigsplacering kan komma att ändras flera gånger under den tid han eller hon omfattas av totalförsvarsplikten.
Bestämmelser om inskrivning och krigsplacering av pliktpersonal återfinns i 3 kap. lagen om totalförsvarsplikt och i 4 kap. förordningen om totalförsvarsplikt.
7.4 Personal inom totalförsvaret som inte är ianspråktagen med värnplikt eller civilplikt
Totalförsvarspliktens omfattning framgår av avsnitt 7.1 ovan. De som är inskrivna med värnplikt eller civilplikt eller är placerade i utbildningsreserv brukar benämnas ”pliktpersonal”. Pliktpersonalen utgör huvuddelen av den grupp som Pliktverket hanterar uppgifter om och det är endast beträffande dessa personer verket fattar beslut om inskrivning och krigsplacering m.m. Avsnitt 7.2 och 7.3 behandlar i första hand pliktpersonalen.
Övrig personal inom totalförsvaret kan vara krigsplacerad eller på annat sätt ianspråktagen för totalförsvaret på grund av anställningsavtal, avtal med frivilliga försvarsorganisationer eller andra avtal som grundar sig på frivillighet. Regler härom återfinns bl.a. i förordningen (1994:524) om frivillig försvarsverksamhet, förordningen (FFS 1987:8) om frivillig tjänstgöring vid Försvarsmakten, förordningen (FFS 1987:12) om krigsfrivilliga vid Försvarsmakten, hemvärnskungörelsen (1970:304), beredskapsförordningen och i lagen (1994:1720) om civilt försvar. Yrkesofficerarna tillhör dem som tjänstgör inom totalförsvaret med skyldighet att göra detta enligt
Det finns vidare personer som har ålagts vissa begränsade uppgifter vid höjd beredskap, utan att skyldigheten att fullgöra dessa är knuten till totalförsvarsplikten. Det gäller t.ex. dem som skall ställa egendom till förfogande enligt förfogandelagen. Enligt förordningen (1992:391) om uttagning av egendom för totalförsvarets behov skall förfogandet i vissa fall förberedas i fred genom uttagning av egendom som kommer att behövas vid bl.a. krig eller krigsfara.
8 Närmare om Totalförsvarets pliktverk och dess verksamhet
8.1 Inledning
Lagen om totalförsvarsplikt och den nya förvaltningsmyndigheten Totalförsvarets pliktverk (Pliktverket) har inneburit en koncentration av inskrivningsförfarandet. Pliktverket har övertagit uppgifter vad gäller pliktpersonal som tidigare skötts av bl.a. Värnpliktsverket, Vapenfristyrelsen, Räddningsverket och länsstyrelserna. Pliktverket har en i huvudsak verkställande roll gentemot de myndigheter och andra organ som ansvarar för bemanningen av totalförsva-
ret. De centrala uppgifterna består i att pröva, välja ut, placera och på olika sätt redovisa pliktpersonal. Försvarsmakten fastställer de befattningstyper för vilka grundutbildning med värnplikt skall ske, vilka krav som skall gälla för de olika befattningarna och utbildningstidens längd. På motsvarande sätt fastställer Överstyrelsen för civil beredskap, efter hörande av berörda myndigheter, befattningstyper m.m. avseende de totalförsvarspliktiga som skall tjänstgöra med civilplikt. Försvarsmakten och andra funktionsansvariga myndigheter avgör själva, inom ramen för statsmakternas beslut, hur många som skall grundutbildas per år för olika befattningar. De bemanningsansvariga organen; Försvarsmakten, kommuner, landsting, m.fl. fastställer behovet av (krigsplacerad) personal för sin respektive krigsorganisation och ”beställer” personal, eller som det uttrycks i 3 kap. 2 § Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt; underrättar Pliktverket om hur många och till vilka befattningar totalförsvarspliktiga skall skrivas in för värnplikt eller civilplikt.
8.2 Pliktverkets organisation
Pliktverket är en central förvaltningsmyndighet under Försvarsdepartementet och består av den centrala ledningen, med säte i Karlstad, samt fem regionkontor. Den centrala ledningen utgörs av verkschefen och hans ställföreträdare, en produktionsledning som planerar, samordnar och leder verkets produktion och samverkar med andra myndigheter på central nivå samt av staber för ekonomi och personal. Regionkontoren i Norrland (Östersund och Boden), Karlstad, Stockholm, Göteborg och Kristianstad svarar för arbetet med mönstring och inskrivning, stöd till de bemanningsansvariga under tjänstgöringen och personalredovisning. De geografiska områdena för inskrivning och personalredovisning är inte identiska. Inskrivningsområdena är anpassade till var de mönstrande bor och redovisningsområdena till hur Sverige skall skyddas eller försvaras i händelse av olyckor, kris eller krig. Regionkontoret i Norrland har platskontor för stöd under grundutbildning samt för personalredovisning både i Östersund och Boden. Pliktverket har cirka 400 personer anställda (ca 350 heltidstjänster).
8.3 Pliktverkets uppgifter
Enligt 2 § förordningen (1995:648) med instruktion för Totalförsvarets pliktverk skall verket mönstra, skriva in och krigsplacera totalförsvarspliktiga. Denna verksamhet har redovisats ovan i avsnitten 7.2 och 7.3. Pliktverket skall också, enligt 1 § nämnda instruktion, svara för att myndigheter och andra som har bemanningsansvar (=skyldighet att se till att krigsorganisationen är uppfylld med personal som kan lösa tilldelade uppgifter under höjd beredskap) inom totalförsvaret får stöd och service i frågor avseende bemanning med totalförsvarspliktiga som skrivs in för värnplikt eller civilplikt och i fråga om totalförsvarspliktigas tjänstgöring. Det framgår inte närmare av instruktionen på vilket sätt Pliktverket skall lämna de bemanningsansvariga stöd och service. I denna del är Pliktverkets uppgifter till stor del avhängiga vad som överenskommes med de bemanningsansvariga. Generellt kan sägas att samarbetet mellan Pliktverket och övriga myndigheter och andra organ inom totalförsvaret är omfattande.
Fram till och med att den totalförsvarspliktige krigsplacerats utför Pliktverket uppgifter som att:
— tillsammans med de berörda myndigheterna ta fram planeringsunderlag för inskrivningsverksamheten,
—kalla de totalförsvarspliktiga till mönstring eller annan utredning av de totalförsvarspliktigas förmåga att fullgöra värnplikt eller civilplikt,
—genomföra mönstringen alternativt annan utredning (mindre omfattande utredning kan genomföras av annan, se ovan avsnitt 7.2.2.),
—i förekommande fall fatta beslut om rätt för den enskilde att vara vapenfri,
—genom beslut om inskrivning placera de totalförsvarspliktiga i lämplig befattningsgrupp m.m.,
—utfärda inkallelse till grundutbildning,
—hantera uppskovsärenden, frågor om tillgodoräknande av tjänstgöringstid, m.fl. frågor som rör den enskilde t.o.m. genomförd grundutbildning,
—ta fram statistik och utföra analyser avseende grundutbildningen, bl.a. såvitt gäller avgångar (avbruten utbildning eller avhopp mellan inskrivningen och grundutbildningen) samt
—fatta beslut om den totalförsvarspliktiges krigsplacering efter genomförd grundutbildning.
Efter grundutbildningen svarar Pliktverket för stöd och service genom att utföra uppgifter som att:
—ta fram planeringsunderlag och statistik samt utföra analyser i olika former till stöd för de bemanningsansvarigas förbättringsåtgärder m.m.,
—utfärda inkallelser till repetitionsutbildning,
—redovisa pliktpersonal (genom att lämna uppgifter till de bemanningsansvariga om vilken personal som finns disponibel),
—omfördela pliktpersonal vid behov.
Pliktverket skall enligt myndighetens instruktion även lämna stöd och service till de bemanningsansvariga i fråga om redovisning av annan personal inom totalförsvaret än dem som skrivs in med värnplikt eller civilplikt (1 §). Sådan personal är t.ex. de som är fast anställda inom Försvarsmakten och medlemmar i frivilligorganisationer.
Pliktverket svarar vidare för information till andra myndigheter och till allmänheten om frågor som rör plikttjänstgöring m.m. samt för viss utbildning.
Vid höjd beredskap tillkommer uppgifter för Pliktverket som t.ex. — i krig — registrering och rapportering av krigsfångar.
8.4 Registerverksamheten
8.4.1 Inledning
Pliktverkets arbete med att mönstra, skriva in, krigsplacera och vid olika tillfällen redovisa totalförsvarets personal förutsätter att verket ständigt har ordnad och aktuell information om
dessa personer. Pliktverket har därför behov av att föra relativt omfattande personregister. Registerverksamheten vid Pliktverket befinner sig i ett övergångsskede mellan två olika ADB- system. Det äldre systemet, som övertogs från Värnpliktsverket, omfattar fyra personregister:
Inskrivningsarkivregistret med uppgifter från mönstring m.m., Avgångsarkivregistret med sammanställningar av personuppgifter vilka upprättats i samband med att en person avregistrerats, Statistikregistret med personuppgifter för statistiska ändamål, samt Arkivregistret med uppställning över den enskildes tjänstgöringstillfällen och eventuella förordnanden. Den nya ordningen innebär, enligt Pliktverkets planering, att uppgifterna om de totalförsvarspliktiga samlas i ett enda register. Den beskrivning som ges nedan avser det nya systemet; PLIS — Pliktverkets informationssystem, som i vissa delar redan tagits i bruk på prov, parallellt med det äldre. Det nya systemet innebär också att ”pappershanteringen” på sikt kan minska genom att fler handlingar läggs in direkt i datorn samt genom att informationsutbytet med andra myndigheter m.fl. kan ske via terminal.
Samtliga Pliktverkets register förs med tillstånd av Datainspektionen.
Eftersom totalförsvarsplikten omfattar en mycket stor del av befolkningen kommer PLIS att vara ett av landets största personregister. Mängden uppgifter om varje person blir också betydande eftersom registret förutom att tjäna som källa för enkel information om namn, ålder och adress etc. skall utgöra underlag för olika lämplighetsbedömningar och därför innehåller material från undersökningar och prov liksom uppgifter från hälso- och sjukvårdsmyndigheter m.fl. Registret är därmed också känsligt ur integritetssynpunkt.
I PLIS registreras beträffande pliktpersonalen vad som framkommer vid de utredningar om de enskildas personliga förhållanden som beskrivits ovan i avsnitt 7.2, uppgifter från deras utbildning inom försvaret samt beslut som rör deras tjänstgöring, t.ex. om inskrivning för viss befattning, krigsplacering etc. Typen och mängden av uppgifter som registreras om varje person varierar naturligen något, beroende på vilken kategori av pliktpersonal han eller hon tillhör. Av avsnitt 7.2 och 7.3 ovan framgår vilka utredningar som kan göras, vilken information som i dessa sammanhang kan hämtas in och vilka beslut som kan tas beträffande den totalförsvarspliktige enligt gällande författningar. Nedan i detta kapitel ges en beskrivning av verksamheten i praktiken med utgångspunkt i den kontinuerliga registrering av personuppgifter som sker om den totalförsvarspliktiges personliga förhållanden och av omständigheter som rör hans eller hennes tjänstgöring inom totalförsvaret. Först dock en redovisning av vilka närmare föreskrifter som gäller för Pliktverkets register.
8.4.2Datainspektionens tillstånd och föreskrifter för PLIS
Datainspektionen meddelade den 26 juni 1996 tillstånd för Pliktverket att inrätta och föra personregistret PLIS. Datainspektionen fastställde ändamålet med registret enligt följande:
Registret skall utgöra ett hjälpmedel i administrationen av personalförsörjningen för totalförsvarets behov
Beslutet förenades med följande föreskrifter:
Registret får endast innehålla uppgifter av den art som angivits i (Pliktverkets) ansökan
(personnummer, namn, adressuppgifter, mönstringsdata, medicinska testdata, psykologiska testdata, kunskapsdata, skola/förband, utbildningstider, vitsord, bevakningsuppgifter, ärendetyp och beslut samt — enligt tjänsteanteckning som bifogats beslutet — uppgifter från Riksförsäkringsverket, vårdinrättningar, kriminalvårdsmyndighet, Rikspolisstyrelsen, Vägverket, Skolverket, Statistiska centralbyrån och Socialstyrelsen samt från utbildningsförbanden och skolorna.)
Enligt kompletterande beslut av Datainspektionen, den 8 januari 1997 får även fotografi för utfärdande av legitimations- och resehandling registreras. Fotografiet skall dock gallras
”vid tidpunkt då värnpliktig ryckt in till grundutbildning”. (Pliktverket har hos Datainspektionen ansökt om att gallringstidpunkten för fotografier ändras till; ”då grundutbildningen slutförts”.)
Åtkomsten av uppgifterna skall begränsas till de personer som enligt arbetsordning har att behandla uppgifterna.
För åtkomst av uppgifter i hälsodeklaration och därtill kopplat läkarintyg får endast personnummer användas som sökbegrepp förutom för framställning av statistik.
Inhämtande och utlämnande av uppgifter får ske med hjälp av automatisk databehandling till respektive från de myndigheter som angivits i bilaga till beslutet (Riksskatteverket, Riksförsäkringsverket, vårdinrättningar, kriminalvårdsmyndighet, Rikspolisstyrelsen, Vägverket, Skolverket, Statistiska centralbyrån, Socialstyrelsen och Räddningsverket. I bilagan anges förutom myndigheter även utbildningsförband/skolor samt
Den registeransvarige skall på lämpligt sätt informera den registrerade om förekomsten av registret, dess ändamål och huvudsakliga innehåll samt rätten till utdrag enligt 10 § datalagen.
Härutöver har Datainspektionen lämnat föreskrifter om vad som skall iakttas beträffande
8.4.3Beträffande vilka personer kan uppgifter registreras i PLIS?
PLIS kan enligt nuvarande föreskrifter från Datainspektionen i princip innehålla uppgifter om samtliga personalkategorier inom totalförsvaret. Den stora gruppen registrerade utgörs av dem som mönstrar, genomgår antagningsprövning (kvinnor) eller annan utredning för inskrivning, dvs. de som prövas för tjänstgöring med värnplikt eller civilplikt. Totalt mönstrade cirka 50 000 personer år 1995. Härav skrevs cirka 33 000 in för värnplikt och närmare 2 000 för civilplikt med lång grundutbildning medan cirka 14 000 placerades i utbildningsreserven. Av de senare var cirka 12 000 endast lämpliga för civilplikt med kortare grundutbildning. Om- kring 1 000 av dem som mönstrar varje år har sådan hälsa att de inte är tjänstgöringsskyldiga, vare sig med värnplikt eller civilplikt. I enlighet med Pliktverkets uppgift att också redovisa annan personal inom totalförsvaret än pliktpersonal innehåller registret också uppgifter om anställda inom Försvarsmakten, anställda i olika civila verksamheter som på grund av sina anställningsavtal är skyldiga att delta i övningar och utbildning för försvarsändamål och/eller är ianspråktagna av sina arbetsgivare för deras respektive krigsorganisation samt medlemmar i frivilligorganisationer m.fl. Totalt kan PLIS komma att innehålla uppgifter om närmare 2 miljoner människor som på grund av bestämmelser i författningar eller till följd av ingångna avtal har uppgifter att sköta under höjd beredskap.
8.4.4Typer av personuppgifter i registret och flödet av uppgifter
Uppgifter om svenska män som mönstrar är dominerande i PLIS. Beskrivningen närmast nedan avser detta typfall. Den är summarisk och bygger på direkt information från Pliktverket om förfarandet. (Jfr avsnitt 7.2 0ch 7.3.)
— Pliktverket får varje år uppgift från Riksskatteverket om namn, personnummer, adress och medborgarskap på de män som är bosatta i Sverige och som under året fyller 17 år. Uppgifterna registreras av Pliktverket och utgör underlag för kallelser till mönstring. Riksskatteverket aviserar därefter adressändringar, förändrat medborgarskap, dödsfall m.m. varje vecka till Pliktverket, som med ledning härav uppdaterar registret. Aviseringar sker också från Kriminalvårdsstyrelsen (intagning i eller avgång från kriminalvårdsanstalt om fråga är om längre fängelsestraff), Vägverket (körkortsuppgifter) samt från vissa vårdinrättningar (bl.a. uppgifter om intagna).
— Inför mönstringen tillställs den enskilde ett frågeformulär angående sin medicinska hälsa (Medicinsk hälsodeklaration). Formuläret ges in vid mönstringen där den enskilde också genomgår en medicinsk prövning för bedömning av hans förutsättningar att fullgöra värnplikt eller civilplikt, jämte en psykologisk prövning för fastställande av bl.a. hans psykiska tjänstbarhet. Härutöver utförs ett s.k. inskrivningsprov för bedömning av den mönstrandes begåvning och anlag. Han får också lämna uppgifter om färdigheter, intressen, utbildning m.m. Den prövning som utförs omfattar datoriserade frågeformulär och samtal med såväl läkare som psykolog. Resultaten översätts till kapacitetssiffror avseende förmåga och lämplighet i olika avseenden. Såväl själva provresultaten som kapacitetstalen registreras, liksom relevanta uppgifter om färdigheter, utbildning m.m. (t.ex. uppgifter om körkortsinnehav, telegraficertifikat, förarintyg för segel- eller motorbåt, fartygsmekanikerbrev, avlagd skepparexamen, genomförd militär ungdomsutbildning m.m.). En nyhet i PLIS i förhållande till äldre system är att journalhandlingar med läkar- och psykologutlåtanden kan läggas in direkt i dataregistret, liksom att ifyllda blanketter kan skannas (optiskt läsas in) in i detsamma.
— Mönstringen avslutas med att den enskilde har ett personligt samtal med en inskrivningsförrättare. Inskrivningsförrättaren har tillgång till de dittills insamlade uppgifterna om den enskilde och redogör mot bakgrund av provresultat m.m. för lämpliga befattningar för denne. Efter en diskussion, där den enskilde får framföra sina synpunkter och önskemål, fattar inskrivningsförrättaren ett beslut om inskrivning — placering i befattningsgrupp och typ av befattning, bestämmande av utbildningsenhet och ungefärlig tid för inryckning m.m. — vilket registreras.
—När den enskilde sedan rycker in till grundutbildningen får den utbildningsansvarige, utöver basdata som adress, personnummer osv., tillgång till de uppgifter om honom som rör kompetens, hälsa och tjänstbarhet m.m. Uppgifterna lämnas i dag i form av ett grundutbildningskort jämte utskrivna journalhandlingar men kan i framtiden göras tillgängliga för den utbildningsansvarige genom direkt terminalåtkomst till relevanta delar av PLIS.
—Under grundutbildningen kompletteras registeruppgifterna med uppgifter om under utbildningen förvärvad kompetens, innefattande uppgifter om ev. befordran, fullgjorda tjänstgöringsdagar m.m., samt slutligen med lämnade vitsord. Dessa uppgifter sammanfattas i dag på en skriftlig utryckningsrapport som tillställs Pliktverket. Rapporten kan i framtiden ersättas med
att den utbildningsansvarige själv — via egen terminal — för in uppgifterna i PLIS.
—Efter grundutbildningen krigsplaceras den totalförsvarspliktige genom beslut av Pliktverket. Krigsplaceringen registreras.
—Uppgifter från repetitionsutbildningstillfällen registreras i enlighet med vad som sker efter genomförd grundutbildning.
När det gäller pliktpersonal med kortare utbildning är de registrerade uppgifterna i princip av samma natur som de nyss beskrivna men av naturliga skäl är de oftast inte lika omfattande. Den enskilde har t.ex. då inte alltid genomgått mönstring. Informationen i registret om
de fast anställda inskränker sig till rena basdata som namn, personnummer och adress samt uppgifter om befattning, utbildning m.m. vilka konkret anknyter till anställningen och krigsplaceringen. Beträffande dem som förekommer i registret enbart av den anledningen att de tillhör en frivilligorganisation finns endast uppgifter om namn, personnummer etc. samt om den organisation vederbörande är medlem i.
8.4.5Åtkomst och skydd
Personuppgifterna hanteras till övervägande del inom Pliktverket och då som underlag när verket skall ta beslut om inskrivning och placering av totalförsvarspliktiga eller redovisa personal inom totalförsvaret. Grundprincipen för hanteringen av uppgifterna inom Pliktverket är att endast de befattningshavare som i sitt arbete har behov av personuppgifterna har tillgång till PLIS och då endast till de för arbetsuppgifterna relevanta delarna av registret. PLIS är uppbyggt så att användarna — som ”loggar in” i systemet med en personlig kod — tilldelas en ”användarroll”, knuten till den personliga koden, vilken öppnar de delar av systemet som de anses behöva för att lösa sin uppgift. Som exempel kan nämnas att den som planerar resor för mönstring endast får tillgång till information om personnummer, namn, adress och andra basuppgifter om den enskilde som han behöver för att kalla denne till förrättningen medan en inskrivningsförrättare — som skall ta beslutet om inskrivning — i princip har obegränsad tillgång till den mönstrandes personuppgifter. Den personliga koden kan också spåras i systemet så att det kan utläsas vem som gjort sökningar, genomfört ändringar m.m.
Utanför Pliktverket är det i första hand de utbildnings- och bemanningsansvariga myndigheterna inom det militära och civila försvaret som kan ha ett befogat intresse av uppgifterna i PLIS mot bakgrund av ändamålet med registret. Härutöver kan andra myndigheter ha behov av vissa uppgifter. T.ex. lämnas uppgifter om in- och utryckningstider till Riksförsäkringsverket.
8.4.6Information till den enskilde
Den enskilde får efter genomförd mönstring del av inskrivningsbeslutet i form av en skriftlig handling där förutom själva beslutet vissa provresultat finns redovisade. Utformningen av inskrivningsbeslutet är under övervägande inom Pliktverket. Om den enskilde begär information om vad registren innehåller om honom eller henne handläggs denna begäran enligt särskilda rutiner.
8.4.7Bevarande och gallring
Riksarkivet har, efter förslag från Krigsarkivet, tidigare utfärdat föreskrifter om bevarande och gallring för uppgifter i Värnpliktsverkets olika register. Föreskrifterna gäller enligt särskilda beslut för Pliktverket beträffande de register som ”övertagits” från Värnpliktsverket. Olika föreskrifter gäller för de olika registren och för olika typer av uppgifter i dessa. Huvudprincipen beträffande Inskrivningsarkivregistret (med bl.a. uppgifter från mönstringen) är att uppgifterna skall föras över till mikrofilm efter viss tid (vanligen 5 år) och därefter gallras ur databasen. Två exemplar av mikrofilmen skall sändas till Krigsarkivet medan ett exemplar behålles av Pliktverket så länge verket behöver uppgifterna för sin verksamhet.
För PLIS saknas särskilda föreskrifter från arkivmyndighet eller annan vad gäller arkivering och gallring av personuppgifter, vilket innebär att arkivlagens generella bestämmelser är tillämpliga.
8.4.8Socialstyrelsens register över hälso- och sjukvårdspersonal i krig — INTEGER
Socialstyrelsen är enligt beredskapsförordningen (1993:242) funktionsansvarig myndighet för hälso- och sjukvården (framgår av bilagan till förordningen). I denna funktion har Socialstyrelsen, i enlighet med ett regeringsuppdrag som gavs år 1988, upprättat ett register över hälso- och sjukvårdspersonal (INTEGER). Registret är ett personalförsörjningsregister för krig och innehåller uppgifter om läkare, tandläkare, sjuksköterskor,
personnummer, namn, anställningsform och kompetens lämnas till Socialstyrelsen från sjukvårdshuvudmännen. Socialstyrelsen ansvarar för att registret kompletteras med folkbokföringsuppgifter, uppgifter om utbildning och legitimation samt om disponibilitet (dvs. uppgifter om huruvida den registrerade är ianspråktagen för försvarsändamål eller inte).
Enligt regeringens beslut av den 1 februari 1996 skall Socialstyrelsen alltjämt svara för att det finns ett erforderligt register över hälso- och sjukvårdspersonalen i krig. Regeringen uppdrog emellertid åt Socialstyrelsen att, under förutsättning att godtagbara ekonomiska villkor kan uppnås, träffa överenskommelse med Pliktverket om driften av registret.
Enligt den överenskommelse som sedermera träffats skall INTEGER överföras till PLIS och utgöra en integrerad del av detta system. Det skall finnas möjligheter att skilja ut INTE-
III ÖVERVÄGANDEN OCH FÖRSLAG
9 Inledande ställningstaganden och allmänna utgångspunkter
9.1Förslaget till persondatalag och Pliktverkets registerverksamhet
Bedömning: Regleringen av Pliktverkets verksamhet, såvitt avser hanteringen av personuppgifter, bör anpassas till bestämmelserna i den föreslagna persondatalagen och utformas så att den kan fungera i samspel med dessa. Detta innebär bl.a. att våra förslag utgår från persondatalagens tillämpningsområde, begrepp och terminologi.
9.1.1Förhållandet mellan
Införlivandet av
En närmare beskrivning av Datalagskommitténs förslag till persondatalag ges ovan i kap.
6.
Enligt punkt 12 i ingressen till
Pliktverkets hantering av personuppgifter syftar till att tillgodose det svenska totalförsvarets behov av pliktpersonal och att möjliggöra redovisning av denna och övrig personal inom total-
försvaret. Det faller som ovan nämnts utanför EG:s kompetens att reglera sådan verksamhet. I artikel 3.2 anges dessutom särskilt att direktivet inte under några omständigheter gäller för behandling av personuppgifter som rör försvar. Teoretiskt kan därför bortses från direktivet vid utformningen av bestämmelser för behandling av personuppgifter om totalförsvarspliktiga.
En generell författningsföreskrift om att persondatalagens bestämmelser inte är tillämpliga på Pliktverkets registerverksamhet är tillåten och fullt möjlig. Enligt vår uppfattning finns det emellertid ingen anledning att välja en sådan lösning. Det finns flera tungt vägande skäl för att även författningar som reglerar hantering av personuppgifter inom sådan verksamhet som inte omfattas av
Den gällande datalagen förutsätter i princip att kompletterande bestämmelser för respektive registerverksamhet ges genom föreskrifter av Datainspektionen, såvitt avser de tillståndspliktiga registren. Datalagens bestämmelser är till stora delar riktade till Datainspektionen och anger i vilka situationer tillstånd skall ges, hur bedömningen skall gå till och vilka föreskrifter som kan och skall meddelas. Med persondatalagens införande upphävs kravet på tillstånd och bestämmelserna i persondatalagen anger i stället direkt när och hur personuppgifter får behandlas, vilka förbud som gäller etc. Persondatalagen är därmed omedelbart tillämpbar för den som avser att behandla personuppgifter i sin verksamhet. Något tillstånd av myndighet eller i särskild författning krävs ej.
Som skäl för tidigare införda särskilda registerlagar har inte sällan åberopats uttalanden från riksdagen om nödvändigheten av sådan lagstiftning (se Konstitutionsutskottets betänkande 1990/91:KU11 som behandlar prop. 1990/91:60 om offentlighet, integritet och ADB. Utskottets betänkande godtogs av riksdagen, se rskr. 1990/91:160). Dessa uttalanden förlorar dock i och med persondatalagens införande mycket i aktualitet, eftersom de i huvudsak gjordes mot bakgrund av att vissa stora statsmaktsregister då i princip var oreglerade. Persondatalagen är tillämplig även på sådana register och avhjälper till stor del den uppmärksammade bristen med sin — i förhållande till datalagen — direkta reglering av behandlingen av personuppgifter. Persondatalagen är emellertid mindre utförlig än de särskilda registerförfattningarna.
Det kan mot bakgrund av vad som nu konstaterats med visst fog ifrågasättas om det kommer att finnas behov av särskilda registerlagar efter persondatalagens ikraftträdande. Klart torde stå att behovet blir mindre efter denna tidpunkt. Persondatalagen är emellertid en generell produkt avsedd att passa all slags verksamhet där behandling av personuppgifter utförs och det finns därför anledning att undersöka om inte preciseringar och särregleringar är nödvändiga på många områden. Detta gäller särskilt verksamhet som inte omfattas av
vet och när fråga är om behandling av känsliga personuppgifter. Också Datalagsutredningen förutsatte att särskilda bestämmelser skulle komma att erfordras vid sidan av dem som direkt införs från
Vår uppfattning är att viss särskild reglering vid sidan av persondatalagen är nödvändig. Persondatalagen förutsätter också närmast att sådan reglering sker, i vart fall i vissa situationer. Det finns dock anledning att överväga vilken omfattning särregleringen skall ha och i vilken form den skall ges.
9.1.2Persondatalagens normer bör tjäna som utgångspunkt
Det är en självklarhet att de avvikelser från allmänt gällande bestämmelser om integritetsskydd och från centrala regler om den enskildes rättigheter och den ansvariges skyldigheter, som är påkallade inom viss verksamhet, endast aktualiseras som undantag. Det är naturligt och lämpligt att bestämmelserna i persondatalagen tjänar som utgångspunkt när särskilda författningar som rör hantering av personuppgifter utformas. Avvikelser från persondatalagens bestämmelser bör göras endast om det finns goda skäl härför. Det skall här åter erinras om vad som sägs i punkt 11 i ingressen till
— har inte tillkommit därför att de rådande värderingarna på området ändrats utan främst för att ytterligare harmonisera EU:s medlemsstaters bestämmelser. Även om den föreslagna persondatalagen innehåller många nyheter på området för hantering av personuppgifter så överensstämmer den med grundläggande principer om integritetsskydd i svensk rätt.
9.1.3Ett samspel mellan central lagstiftning och särskilda författningar som reglerar hanteringen av personuppgifter bör eftersträvas
Statsmaktsregistren kräver inte Datainspektionens tillstånd. Dessa register kan i stället — såvitt avser frågor om registerändamål, registerinnehåll, fastställande av registeransvar m.m. — regleras genom särskilda författningar. Bestämmelserna i de särskilda författningarna, som i stora delar motsvarar Datainspektionens föreskrifter för de tillståndspliktiga registren, ersätter dock inte datalagen. Datalagens bestämmelser om den registrerades rättigheter, den registeransvariges skyldigheter, förutsättningarna för skadeståndsskyldighet och straffansvar samt om Datainspektionens tillsyn gäller i allt väsentligt även för statsmaktsregistren. Alternativet hade varit att de nu nämnda, mycket centrala och för behandlingen av personuppgifter i stort sett gemensamma bestämmelserna upprepades i varje särskild registerlag.
De särskilda registerförfattningar som finns i dag och som reglerar verksamhet som omfattas av
9.1.4Typen av hantering som regleras och terminologin bör vara desamma i en särskild författning som i persondatalagen
En av de stora skillnaderna mellan förslaget till persondatalag och datalagen är tillämpningsområdet. Medan datalagen endast gäller
fatta all behandling av personuppgifter som företas på automatisk väg liksom manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register (I
Som ovan redovisats (avsnitt 4.1.1) framhöll redan Datalagsutredningen att registerbegreppet var föråldrat och föreslog därför att den nya datalagens tillämpningsområde i stället skulle bestämmas med hänsyn till de tekniska möjligheter som finns att göra personuppgifter tillgängliga med
Det kan, som Datalagsutredningen anförde, inte anses ändamålsenligt att låta svaret på frågan huruvida en personuppgift ingår i ett register eller ej vara avgörande för på vilket sätt uppgiften skall få behandlas med
Förslaget till persondatalag innehåller — i enlighet med vad
De särskilda registerlagar som reglerar verksamhet som omfattas av direktivet kommer i framtiden att vara hänvisade till persondatalagens begreppsvärld. Om författningar som reglerar behandlingen av personuppgifter om totalförsvarspliktiga skall ha den koppling till persondatalagen som ovan förordats, krävs att grundläggande begrepp och terminologi är identiska, i annat fall blir samspelet onödigt komplicerat. Det skall anmärkas att anledning att behålla och använda datalagens begrepp och definitioner — annat än av skäl som att de är invanda — egentligen saknas eftersom den lagen skall upphöra att gälla.
9.1.5Datainspektionens tillsyn bör omfatta Pliktverkets hantering av personuppgifter
Enligt förslaget till persondatalag skall behandling av personuppgifter som är helt eller delvis automatisk anmälas till en särskild myndighet. Denna myndighet — i lagtexten kallad
tillsynsmyndigheten — skall också utöva tillsyn över tillämpningen av bestämmelser i lag eller annan författning om behandling av personuppgifter. Regeringen har beslutat att Datainspektionen skall vara tillsynsmyndighet. Skäl att undanta Pliktverkets verksamhet från Datainspektionens tillsyn saknas. Regleringen av Pliktverkets behandling av personuppgifter bör därför anpassas till tillsynssystemet i persondatalagen.
9.1.6Förslagen om reglering av Pliktverkets registerverksamhet bör anpassas till förslaget till persondatalag
På de skäl som ovan anförts anser vi att regleringen av Pliktverkets hantering av personuppgifter bör följa persondatalagens bestämmelser utom i de fall avvikelser är befogade på grund av verksamhetens särskilda karaktär. Persondatalagen föreligger för närvarande endast i förslagsform vilket egentligen talar emot vårt inledande ställningstagande. Vi har emellertid under utredningen, så som förutsätts i våra direktiv, följt Datalagskommitténs arbete och vi har lämnats tillfälle att diskutera lösningar med kommitténs ordförande och sekretariat. Detta gör att vi har kunnat anpassa våra förslag till den nya ordningen. Vi är medvetna om att den slutliga texten i den nya lagen kan komma att skilja sig ifrån Datalagskommitténs förslag, men vi gör den bedömningen att eventuella justeringar inte blir större än att vårt förslag kan anpassas till dessa utan alltför stora arbetsinsatser.
9.2 Författningsreglering av behandlingen av personuppgifter om totalförsvarspliktiga
Bedömning: Bestämmelser om behandling av personuppgifter om totalförsvarspliktiga bör i huvudsak ges i lag och vara utformade så att de utgår från persondatalagen och anger de undantag och preciseringar i förhållande till denna som är motiverade.
Det bör finnas särskilda bestämmelser i lagen som reglerar
9.2.1Författningsinnehåll
Förslaget till persondatalag innehåller grundläggande bestämmelser för behandling av personuppgifter och gäller i princip oavsett inom vilken typ av verksamhet behandlingen äger rum. Särskilda författningar som reglerar behandling av personuppgifter inom en viss verksamhet, bör endast innehålla sådana preciseringar, utfyllnader och undantag som är påkallade med hänsyn till de behov som följer av verksamhetens speciella karaktär. I annat fall skapas onödig dubbelreglering och risk för tillämpningssvårigheter.
Persondatalagen är, enligt föreliggande förslag, generell till sin utformning och avvikelser från dess bestämmelser är tillåtna endast om de har stöd i annan författning. Verksamhet som rör (total)försvaret omfattas emellertid inte av det
— bygger på europeisk rättstradition på integritetsskyddsområdet och avsteg från hävdvunna principer bör inte göras om det inte finns starka skäl.
Överväganden om innehållet i författningar som rör behandling av personuppgifter om totalförsvarspliktiga bör i första hand omfatta frågan om avvikelser eller preciseringar är motiverade i förhållande till persondatalagens bestämmelser om:
—när behandling av personuppgifter är tillåten,
—grundläggande krav på behandling av personuppgifter,
—förbud mot behandling av känsliga personuppgifter,
—villkor för behandling av uppgifter om lagöverträdelser och om personnummer,
—information till den registrerade,
—säkerheten vid behandlingen,
—den persondataansvariges skyldigheter,
—tillsynsmyndighetens uppgifter och befogenheter samt
—skadestånd.
Persondatalagens bestämmelser skall sålunda gälla även vid behandling av personuppgifter om totalförsvarspliktiga om inte annat följer av de särskilda författningar som reglerar just denna behandling.
Den föreslagna persondatalagen innehåller inga särskilda regler för register som förs med hjälp av ADB. Även om en personuppgift kan anses lika skyddsvärd om den behandlas helt manuellt som om den behandlas med datorteknik, är det svårt att bortse från de särskilda risker i integritetshänseende som automatiserade register för med sig. Möjligheterna att effektivt söka bland uppgifterna och på kort tid sammanställa stora mängder av information är oändligt mycket större om uppgifterna förekommer i ett
—registerinnehåll,
—terminalåtkomst (eller, med ett annat uttryck; direkt åtkomst),
—begränsningar av sökbegrepp,
—uppgiftslämnande på
—sambearbetning (samkörning) med andra register.
I en författning om behandling av personuppgifter om totalförsvarspliktiga bör också de ändamål för behandlingen anges som enligt persondatalagen skall uttryckas då uppgifterna samlas in. Dessutom bör i lagen pekas ut vem som är ansvarig (persondataansvarig) för behandlingen.
Efter persondatalagens ikraftträdande krävs inte tillstånd för registrering eller annan behandling av personuppgifter. Detta innebär bl.a. att någon bestämmelse om att ett register över totalförsvarspliktiga får föras endast om regeringen beslutat att inrätta ett sådant inte är aktuell.
9.2.2Författningsteknisk lösning
Normgivningskompetensen regleras i 8 kap. regeringsformen (RF). En skiljelinje går härvid mellan privaträttslig och offentligrättslig normgivning. Med privaträttslig normgivning menas föreskrifter om enskildas personliga ställning och inbördes ekonomiska och personliga förhållanden. Offentligrättslig normgivning avser dels föreskrifter om myndigheternas interna angelägenheter, dels föreskrifter om förhållandet mellan myndigheter och enskilda. På det privaträttsliga området skall föreskrifter meddelas genom lag, dvs. riksdagen har exklusiv normgivningsrätt (8 kap. 2 § RF). Vad gäller den offentligrättsliga normgivningskompetensen är bilden mer splittrad. Offentligrättsliga föreskrifter skall ha lagform om de innebär åligganden för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 3 § RF). Enligt 8 kap. 13 § första stycket 2 regeringsformen får regeringen genom förordning
besluta föreskrifter som ej skall meddelas genom lag. Härav följer att regeringen kan meddela offentligrättsliga föreskrifter om myndigheternas interna angelägenheter, som t.ex. bestämmelser om handläggning av ärenden. Regeringen kan också med stöd av denna sk. ”restkompetens” genom förordning meddela offentligrättsliga föreskrifter i övrigt så länge de inte är ”betungande” för den enskilde på sätt som anges i 8 kap. 3 § regeringsformen (se ovan).
Registerförfattningar syftar ofta till att skydda den enskildes integritet och föreskrifter med sådant skyddssyfte kan knappast anses som betungande för honom eller henne. I 2 kap. 3 § regeringsformen anges emellertid att medborgarna ”i den utsträckning som närmare angives i lag” skall skyddas mot att deras personliga integritet kränks genom att personuppgifter registreras med hjälp av ADB. Ordalydelsen ger utrymme för tolkningen att det är riksdagens sak att genom lagstiftning utfärda de erforderliga bestämmelserna. Av förarbetena framgår dock att syftet inte varit att hindra regeringen att meddela bestämmelser om dataskydd, utan endast att ange att riksdagen måste vara aktiv genom att stifta och vidmakthålla en dataskyddslagstiftning som utgör en verklig och allvarligt menad skyddslagstiftning (prop. 1987/88: 57 s. 11). Bestämmelser på det statliga området som syftar till att tillgodose integritetsskyddsintressen omfattas alltså av regeringens restkompetens. Av 8 kap. 13 § andra stycket regeringsformen framgår dock att detta inte innebär att regeringen har rätt att meddela föreskrifter som avser riksdagen eller dess myndigheter. Sådan rätt kan i stället ges till regeringen genom bemyndigande i lag. Möjligheten för riksdagen att delegera normgivningskompetensen i denna del infördes år 1994 genom en ny punkt 8 i 8 kap. 7 § första stycket regeringsformen, som anger att regeringen efter bemyndigande i lag kan meddela föreskrifter genom förordning såvitt avser skydd för personlig integritet vid registrering av uppgifter med hjälp av automatisk databehandling. Tillägget i 7 § tillkom närmast för att möjliggöra vidare delegation från regeringen till Datainspektionen av rätten att meddela föreskrifter även på det kommunala och landstingskommunala området samt för viss privat verksamhet (se prop. 1993/94:116). Datalagskommittén har föreslagit att lagrummet ändras till att avse skydd för personlig integritet vid behandling av personuppgifter.
Sammantaget har regeringen stora möjligheter, ofta redan utan bemyndigande från riksdagen, att i förordning meddela föreskrifter som rör behandling av personuppgifter. Utöver vad som ovan sagts om regeringens rätt att meddela föreskrifter om myndigheternas handläggning av ärenden och andra interna angelägenheter och föreskrifter om integritetsskydd har regeringen — vilket följer av 8 kap. 13 § första stycket 1 regeringsformen — rätt att meddela föreskrifter om verkställighet av lag. Möjligheten att meddela verkställighetsföreskrifter anses, även om rättsläget är långt ifrån klart, innebära en relativt långt gående rätt att ”fylla ut” lagar, och då även sådana lagar som innehåller regler på områden där riksdagen har exklusiv normgivningskompetens. Utfyllnaden får dock inte innebära att regleringen tillförs något väsentligen nytt genom den av regeringen beslutade föreskriften (se prop. 1973:90 s. 211).
Datalagskommittén har dragit slutsatsen att gällande rätt vad avser normgivningskompetensen inte hindrar att det överlåts till regeringen och Datainspektionen att precisera reglerna i persondatalagen. Kommittén förordar också en sådan lösning framför ”en ordning som innebär att varje liten justering i regelverket kräver en sedvanlig lagstiftningsprocess via regering och riksdag...” som, enligt kommittén, framstår som onödigt omständlig och ohanterlig. (Datalagskommitten, avsnitt 12.1.2)
En uppställning över Datalagskommitténs förslag till vilka föreskrifter som skall kunna meddelas av regeringen och/eller Datainspektionen, med hänvisning till lagrum i förslaget till
persondatalag, ges ovan i avsnitt 6.7.
Mot bakgrund av vad som nu anförts kan det konstateras att det skulle vara möjligt att ge en mycket stor del av de regler som bör gälla vid behandlingen av personuppgifter om totalförsvarspliktiga i förordningsform. Frågan är om detta också är lämpligt. När ovan berörd möjlighet till delegering av normgivningskompetensen infördes genom 8 kap. 7 § första stycket 8 regeringsformen uttalade föredragande statsrådet följande (prop. 1993/94:116 s. 16):
Regeringen vill poängtera att möjligheten till en delegerad normgivningskompetens på integritetsskyddsområdet inte kommer att förändra den nuvarande inriktningen i syfte att ta fram särskilda registerförfattningar för integritetskänsliga personuppgifter. I proposition 1990/ 91:60 om offentlighet, integritet och ADB uttalas att en målsättning bör vara att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i lag (prop. s. 58). När propositionen behandlades av konstitutionsutskottet i betänkandet 1990/91:KU11 anförde utskottet att det allmänt sett är av stor betydelse att en författningsreglering av
Registret över totalförsvarspliktiga kommer att bli ett av landets mest omfattande personregister och det kommer att innehålla många uppgifter av känslig karaktär. Persondatalagens tillkomst utgör inte tillräckligt skäl att frångå den uppfattning som riksdagen givit uttryck för; att stora personregister med känsliga uppgifter skall lagregleras. Av våra direktiv följer också att vi skall lämna förslag till lagreglering av frågor som registerinnehåll, terminalåtkomst, förfoganderätt m.m.
I en lag om behandling av personuppgifter om totalförsvarspliktiga bör de yttre gränserna för verksamheten dras upp i de fall dessa inte överensstämmer med vad som gäller redan enligt persondatalagen. Det bör emellertid överlåtas åt regeringen — eller i vissa fall åt Datainspektionen — att meddela de närmare föreskrifter som är påkallade till skydd för de registrerades personliga integritet. Bestämmelser av detaljkaraktär, som kan förutses bli omprövade med mer eller mindre täta mellanrum i takt med att samhället förändras och tekniken utvecklas, bör ges i annan form än lag, eftersom ändringar av lagtext är en relativt omständlig process.
I en lag som reglerar behandling av personuppgifter om totalförsvarspliktiga bör — i konsekvens med vad som utvecklats i avsnitt 9.2.1 — intas en bestämmelse som anger att persondatalagens bestämmelser skall vara tillämpliga om inget annat följer av lagen eller av föreskrifter som meddelats med stöd härav.
10 Lagens tillämpningsområde
10.1 Reglerna skall avse automatisk behandling av personuppgifter och annan behandling av personuppgifter som ingår i eller skall ingå i ett register
Förslag: Lagen om behandling av personuppgifter om totalförsvarspliktiga skall — liksom persondatalagen — gälla för sådan behandling som är helt eller delvis automatisk och för annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register.
Bakgrund: Med behandling av personuppgifter avses enligt definitionen i förslaget till persondatalag; varje åtgärd som vidtas beträffande sådana uppgifter (3 §). I
Persondatalagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatisk. Begreppet automatisk definieras inte i
Överväganden: En förändring som följer med införandet av
Det utvidgade integritetsskyddet bör gälla även vid behandling av personuppgifter om totalförsvarspliktiga. En föreskrift som tydligt anger att lagen gäller för sådan behandling som är helt eller delvis automatisk samt för annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register, bör därför tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga. Avgränsningen av tillämpningsområdet i det här avseendet är så central att en upprepning är att föredra framför en hänvisning till persondatalagen.
10.2 Reglerna skall avse Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och om andra personer med uppgifter inom totalförsvaret vid höjd beredskap
Förslag: Lagen skall tillämpas vid behandling av personuppgifter om totalförsvarspliktiga.
Med totalförsvarspliktiga jämställes personer som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.
Lagen skall vidare tillämpas i Pliktverkets verksamhet. För ett par fall, bl.a. vad gäller behandling av ”känsliga personuppgifter”, bör det dock övervägas om lagen skall innehålla bestämmelser för verksamhet som bedrivs av annan än Pliktverket.
Bakgrund: Pliktverket har enligt sin instruktion bl.a. till uppgift att mönstra, skriva in och krigsplacera totalförsvarspliktiga samt att svara för att de bemanningsansvariga får stöd och service i fråga om de totalförsvarspliktigas tjänstgöring. Pliktverket skall dessutom kunna redovisa annan personal inom totalförsvaret.
De personuppgifter som behövs för uttagning och placering m.m. av totalförsvarspliktiga kommer i relativt stor utsträckning Pliktverket tillhanda från andra organ, företrädesvis andra myndigheter. Efter Pliktverkets behandling skall vissa uppgifter lämnas vidare, t.ex. till de enheter inom försvaret som skall utbilda den enskilde. Det är således flera myndigheter och andra organ utanför Pliktverket som i sina respektive verksamheter behöver behandla uppgifter om totalförsvarspliktiga, även om Pliktverkets roll är helt central i sammanhanget.
Överväganden: Enligt våra direktiv skall vi lägga fram förslag om den författningsreglering av personregister över totalförsvarspliktiga som behövs för den verksamhet som skall bedrivas av Pliktverket. Denna verksamhet består i huvudsak i att mönstra (motsv.), skriva in och krigsplacera den personal som omfattas av värnplikt eller civilplikt. Totalförsvarspliktiga är emellertid alla svenska medborgare och utlänningar som är bosatta i Sverige, från och med det kalenderår de fyller 16 år till utgången av det år de fyller 70 år (ang. totalförsvarspliktens innebörd se avsnitt 7.1). I fredstid, och även i vissa fall vid höjd beredskap, grundas skyldigheten att tjänstgöra för en stor del av totalförsvarets personal på andra omständigheter än värnplikt och civilplikt. Detta gäller Försvarsmaktens fast anställda personal, arbetstagare som är ianspråktagna av sina arbetsgivare för uppgifter vid höjd beredskap, medlemmar i frivilligorganisationer och vissa personer med begränsade uppgifter, t.ex. enligt förfogandelagstiftningen. De sist nämnda är inte ”personal” i egentlig mening men de har uppgifter att lösa vid höjd beredskap — ibland tidigare — och de måste finnas förtecknade i någon typ av register för att det skall vara möjligt att ta deras tjänster i anspråk vid behov. Härtill kommer hälso- och sjukvårdspersonalen som Pliktverket, enligt överenskommelse med Socialstyrelsen, skall hålla ett personalförsörjningsregister över. Pliktverkets arbetsuppgifter enligt verkets instruktion förutsätter en möjlighet att behandla personuppgifter om all personal inom totalförsvaret, dvs. såväl pliktpersonal som personal vars skyldighet att tjänstgöra grundar sig på annat än totalförsvarsplikt.
För ett effektivt system för redovisning av totalförsvarets personal är det närmast nödvändigt att kunna ta fram uppgifter om de olika personalkategorierna i ett sammanhang. Mot bakgrund härav utformar vi vårt förslag så att lagens tillämpningsområde omfattar behandling av personuppgifter om totalförsvarets hela personal. Dock med den begränsningen att det skall vara fråga om personer som har en uppgift att lösa vid höjd beredskap. Till dessa personer räknas också hälso- och sjukvårdspersonalen även om de inte redan i fredstid är krigsplacerade eller motsvarande på särskild plats inom totalförsvaret. Eftersom den behandling av personuppgifter beträffande totalförsvarets personal som Pliktverket behöver kunna utföra till helt övervägande del avser pliktpersonal, föreslår vi den författningstekniska lösningen att personer som har en uppgift inom totalförsvaret vid höjd beredskap jämställes med totalförsvarspliktiga vid tillämpning av lagen om behandling av personuppgifter om totalförsvarspliktiga.
Anpassningen till persondatalagen medför att vårt förslag omfattar även annan behandling av personuppgifterna än registreringen av dem. Övergången från att reglera register till att reglera behandling medför att gränserna för uppdraget måste övervägas ytterligare något eftersom det — till skillnad för vad som gäller för själva registreringen av totalförsvarspliktiga — är många olika organ som behandlar uppgifterna. Dessutom är behandling ett i viss mån flytande begrepp såtillvida att flera aktörer kan vara inblandade samtidigt. Enligt definitionen av behandling i
verket (med undantag för att vissa kan ges möjlighet att lämna uppgifter till Pliktverket genom att själva lägga in dem direkt i Pliktverkets
En särställning intar de myndigheter och andra som utför mindre omfattande utredningar än mönstring i syfte att fastställa den totalförsvarspliktiges förmåga att fullgöra civilplikt med grundutbildning under högst 60 dagar (se avsnitt 7.2.2). Erhållna uppgifter (i form av kopior av handlingar) skall efter sådan utredning tillställas Pliktverket tillsammans med en begäran om att den totalförsvarspliktige skrivs in (3 kap. 3 § Totalförsvarets pliktverks föreskrifter om totalförsvarsplikt). Vad som sker i praktiken är att den utredande myndigheten tar fram ett underlag och föreslår ett inskrivningsbeslut med visst innehåll. Personuppgifterna som den utredande myndigheten härvid behandlar är inte så omfattande och inte heller av den känsliga natur som de som framkommer vid en mönstringsförrättning. Behandlingen hos de utredande myndigheterna är än så länge i huvudsak manuell. I den utsträckning automatisk behandling förekommer, kommer den i framtiden att omfattas av persondatalagens bestämmelser och därmed av Datainspektionens tillsyn. Persondatalagens bestämmelser — så som de är utformade enligt föreliggande förslag — och de föreskrifter som kan emotses från Datainspektionen, bör därvid enligt vår mening ge uppgifterna ett tillräckligt skydd vid den utredande myndigheten. Att det behövs en särskild lag för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga vid sidan av persondatalagen, beror främst på att Pliktverkets register är mycket omfattande med integritetskänsliga uppgifter och därför kräver tydliga föreskrifter i lagform och en hög skyddsnivå. Det saknas skäl till motsvarande särskild reglering för verksamheten hos de myndigheter som utför mindre utredningar och endast behandlar ett begränsat antal personuppgifter.
Bemannings- och utbildningsansvariga enheter inom totalförsvaret behandlar också personuppgifter om totalförsvarspliktiga. För uppgifter som dessa emottar från Pliktverket gäller — enligt den föreslagna persondatalagens bestämmelser — att de inte får behandlas på sätt som är oförenligt med de ändamål som angavs när Pliktverket samlade in uppgifterna. (Som framgår av kap. 11 nedan föreslår vi att dessa ändamål anges i lagtexten.) Denna begränsning, jämte vad som följer av persondatalagsförslaget i övrigt, bedömer vi som en tillfredsställande reglering för berörda enheters behandling av mottagna personuppgifter. Här skall också tilläggas att föreskrifter om hur uppgifter får lämnas från Pliktverket, vilka som får ha direkt åtkomst till registret via terminal m.m., är sådant som påverkar mottagarnas behandlingsmöjligheter. Överväganden beträffande sådana föreskrifter redovisas nedan i kap. 12.
Sammanfattningsvis är det inte — som utgångspunkt betraktat — motiverat att låta en lag om behandling av personuppgifter om totalförsvarspliktiga omfatta annan verksamhet än den som bedrivs av Pliktverket. Våra direktiv anger också att det är behoven i denna verksamhet som skall tillgodoses med våra förslag. Som anmärktes ovan är det främst anpassningen till persondatalagens behandlingsbegrepp som fått oss att överväga ett vidare tillämpningsområde än vad våra direktiv egentligen anvisar.
Slutsatsen att lagen skall tillämpas bara på Pliktverkets behandling av personuppgifter skall ses som en huvudprincip. För ett par situationer finns det anledning att överväga om lagen också skall innehålla bestämmelser som delvis rör verksamhet som utövas av annan. Det gäller främst frågor om undantag från persondatalagens bestämmelser om att behandlingen inte får vara oförenlig med de ändamål för vilka uppgifterna insamlades och om förbud mot behandling av vissa känsliga personuppgifter. Övervägandena i dessa delar återfinns nedan i avsnitt 11.2.2 och 11.3.
10.3 Tillämpningsområdet skall anknytas till ändamålen med behandlingen
Förslag: Lagen skall tillämpas vid behandling av personuppgifter för vissa i lagen angivna ändamål.
Pliktverket skall anses ha samlat in personuppgifterna för dessa ändamål om inte annat uttryckligen angivits av Pliktverket vid insamlingen.
Överväganden: Enligt förslaget till persondatalag skall ändamålen med behandlingen av personuppgifter vara uttryckligt angivna när uppgifterna samlas in. Uppgifterna får därefter
— enligt huvudregeln — inte behandlas för något ändamål som är oförenligt med dessa (9 § första stycket c och d). De sålunda angivna ändamålen utgör därmed en gräns för hur uppgifterna får behandlas. En bestämmelse som anger ändamålen är därför central och viktig vid särskild författningsreglering av behandling av personuppgifter inom en viss verksamhet. En sådan särskild författning bör inte vara utformad så att den hindrar den ansvarige att behandla personuppgifter för andra ändamål. Författningen kan därför inte uttömmande ange när och hur ett visst subjekt får behandla personuppgifter. Det skulle strida mot grunderna för persondatalagen, enligt vilken tillstånd till behandling av personuppgifter inte krävs. Den särskilda författningen skulle behöva ändras varje gång vederbörande behövde behandla personuppgifter för andra ändamål än de ursprungligen angivna, även om behandlingen var tillåten enligt persondatalagens bestämmelser och även om en särskild reglering av den nya behandlingen annars inte var påkallad.
En särskild lag om behandling av personuppgifter om totalförsvarspliktiga bör endast reglera vad som skall gälla vid den behandling av uppgifterna som sker för vissa i lagen angivna ändamål. Tillämpningsområdet för lagen bör därför knytas till dessa så att det framgår att lagen bara gäller vid behandling för dem. Vidare bör det framgå att Pliktverkets insamling av personuppgifter skall anses ha skett för de i lagen angivna ändamålen om inget annat uttryckligen uppgivits vid denna insamling. Detta för att tydligt visa att behandling för andra ändamål än dem som anges i lagen är tillåten, men endast om Pliktverket vid insamlingen av uppgifterna angett att de skall användas för dessa andra ändamål.
Vilka ändamål lagen om behandling av personuppgifter om totalförsvarspliktiga bör avse och hur dessa skall uttryckas behandlas i avsnitt 11.2.
10.4 Behandling som faller utanför tillämpningsområdet
Sammanfattningsvis föreslår vi att lagen om behandling av personuppgifter om totalförsvarspliktiga skall tillämpas i Pliktverkets verksamhet för vissa i lagen angivna ändamål, under förutsättning att behandlingen är helt eller delvis automatisk eller att personuppgifterna ingår i eller är avsedda att ingå i ett register. Skälen har redovisats ovan i avsnitt 10.1— 10.3. Det är viktigt att lagens tillämpningsområde är klart och tydligt angivet. Övergången från ett invant system med regler om
(Här finns anledning att erinra om att persondatalagens bestämmelser — så som förslaget till den lagen är utformat — skall gälla vid behandling av personuppgifter om inte annat följer
av lag eller annan författning, se ovan avsnitt 9.2.)
— Lagen om behandling av personuppgifter om totalförsvarspliktiga gäller inte manuell behandling av personuppgifter som inte ingår och inte heller är avsedda att ingå i ett register. Lagens tillämpningsområde följer i det här avseendet persondatalagens bestämmelser om vilka behandlingsåtgärder som omfattas. För Pliktverkets del torde det vara mycket få behandlingar av personuppgifter som kommer att falla utanför de bägge lagarnas tillämpningsområden på grund av den här begränsningen. I princip är alla uppgifter som inhämtas från den enskilde själv och från andra myndigheter m.fl. ämnade för registret över totalförsvarspliktiga. I den mån uppgifterna, på grund av föreskrifter om vilka uppgifter som får tas in i registret (se nedan avsnitt 12.2), inte kan antecknas där, ankommer det på Pliktverket att ta ställning till om uppgiften skall behandlas helt manuellt utanför registerverksamheten, så att vare sig persondatalagen eller lagen om behandling av personuppgifter om totalförsvarspliktiga blir tillämplig, eller om uppgiften t.ex. genom att tas in i ett manuellt register, skall underkastas viss del av regleringen i dessa lagar.
— Som utvecklats i avsnitt 10.2 föreslås att lagen om behandling av personuppgifter om totalförsvarspliktiga i princip endast skall gälla sådana behandlingar som utförs i Pliktverkets verksamhet. Myndigheter m.fl. som lämnar personuppgifter till eller tar emot personuppgifter från Pliktverket är underkastade persondatalagens bestämmelser, men inte vad som föreskrivs i den särskilda lagen om behandling av personuppgifter om totalförsvarspliktiga (se dock avsnitt 12.3 vad gäller möjligheter för dem som lämnar uppgifter till Pliktverket att göra detta genom att lägga in uppgifterna direkt i Pliktverkets register). Mottagande myndigheters möjligheter att behandla uppgifterna begränsas dock indirekt genom vad denna lag föreskriver, dels om ändamålen med behandlingen (eftersom behandling inte får ske för ändamål som är oförenliga med dem för vilka uppgifterna en gång insamlades) dels om sättet för utlämnande (skall mottagaren ha direkt åtkomst via egen terminal? etc.).
— Lagen gäller endast behandling av personuppgifter om totalförsvarspliktiga — och med dessa enligt lagen jämställda personer — i denna deras egenskap. Pliktverkets eventuella behandling av uppgifter om andra personer eller beträffande personer som i och för sig är totalförsvarspliktiga men där behandlingen inte grundas på detta förhållande, faller utanför lagens tillämpningsområde. Som exempel kan nämnas sådan registrering av krigsfångar som Pliktverket skall sköta under krigsförhållanden och eventuell behandling av uppgifter om den egna personalen, t.ex. för löneutbetalningar.
Fråga har uppkommit om behovet i vissa fall att registrera uppgifter om anhöriga till totalförsvarspliktiga. Våra överväganden i denna del återfinns i avsnitt 12.2.2. Här skall bara framhållas att även en uppgift om att den totalförsvarspliktige har en relation till en annan person är att anse som en personuppgift om den totalförsvarspliktige. Att uppgiften dessutom utgör en personuppgift om en annan person — den anhörige — innebär inte att behandlingen faller utanför tillämpningsområdet för lagen.
— Lagen gäller vidare endast då personuppgifter om totalförsvarspliktiga behandlas för vissa ändamål som också skall anges i lagen. Pliktverket kan samla in och behandla uppgifter för andra ändamål så länge åtgärderna är förenliga med persondatalagens bestämmelser och så länge Pliktverket också anger dessa ändamål vid insamlingen. För sådan behandling gäller inte lagen om behandling av personuppgifter om totalförsvarspliktiga.
— Persondatalagen innehåller, enligt förslaget, vissa bestämmelser som begränsar den lagens tillämpningsområde, utöver vad som angetts ovan i avsnitt 10.1; Den gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §) och den gäller bara för sådana persondataansvariga som är etablerade i Sverige eller — om den persondataansvarige är etablerad i tredje land — om denne använder sig av utrustning som finns i Sverige för behandling av personuppgifter (4 §).
Lagen om behandling av personuppgifter om totalförsvarspliktiga gäller enligt vårt förslag endast vid behandling för vissa ändamål i Pliktverkets verksamhet. Härav följer att inte heller den av oss föreslagna lagen gäller i verksamhet av privat natur eller för någon med persondataansvar utanför riket.
— Bestämmelserna i persondatalagen gäller, med vissa undantag som avser säkerheten vid behandlingen av personuppgifter, inte för spridning av personuppgifter och andra förfaranden som är skyddade enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen och inte heller för annan behandling som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §). Persondatalagens bestämmelser skall inte tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter (offentlighetsprincipen) (8 §).
Sådana behandlingsåtgärder som avses i 7 och 8 §§ i persondatalagen faller utanför tillämpningsområdet för vårt lagförslag så som vi dragit upp gränserna för detta. I den mån det blir aktuellt för Pliktverket att behandla personuppgifter om totalförsvarspliktiga för ändamål som skyddas av principer om tryckfrihet, yttrandefrihet och offentlighet gäller tryckfrihetsförordningens, yttrandefrihetsgrundlagens och sekretesslagens bestämmelser och inte — med de undantag som anges i 7 § i förslaget till persondatalag — persondatalagen eller lagen om behandling av personuppgifter om totalförsvarspliktiga.
11Behandling av personuppgifter om totalförsvarspliktiga — Avvikelser och preciseringar i förhållande till bestämmelserna i den föreslagna persondatalagen
11.1 Inledning
Som utvecklats ovan anser vi att en lag om behandling av personuppgifter om totalförsvarspliktiga i princip endast bör innehålla sådana preciseringar och undantag i förhållande till persondatalagens bestämmelser som motiveras av verksamheten. Vidare anser vi att det finns anledning att ge särskilda bestämmelser för behandlingen av personuppgifter i ADB- register över totalförsvarspliktiga, eftersom registrering med hjälp av
I detta kapitel redovisar vi de preciseringar av persondatalagsförslagets allmänt hållna bestämmelser och de avvikelser från förslaget som vi anser motiverade. I kapitel 12 redovisas våra överväganden vad gäller Pliktverkets register över totalförsvarspliktiga.
11.2 Ändamålen med behandlingen
Förslag: Ändamålen med Pliktverkets behandling av personuppgifter om totalförsvarspliktiga formuleras med utgångspunkt i Pliktverkets arbetsuppgifter och åligganden gentemot uppdrags-
givarna inom totalförsvaret enligt följande.
Lagen är tillämplig när ändamålen med behandlingen är:
—att ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,
—att redovisa personal med uppgifter inom totalförsvaret,
—att säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret,
—att tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,
—att tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig samt
—att planera, följa upp och utvärdera den verksamhet som nu nämnts.
11.2.1Pliktverkets behov av att behandla personuppgifter
Bakgrund: I 10 § i förslaget till persondatalag anges när behandling av personuppgifter är tillåten. Enligt bestämmelsen får personuppgifter behandlas bara om den registrerade lämnat sitt samtycke till behandlingen eller när behandlingen är nödvändig
a)för att fullgöra ett avtal med den registrerade,
b)för att på den registrerades begäran vidta åtgärder innan ett avtal träffas,
c)för att den persondataansvarige skall kunna fullgöra en rättslig skyldighet,
d)för att skydda vitala intressen för den registrerade,
e)för att utföra en arbetsuppgift av allmänt intresse,
f)för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut
skall kunna utföra en arbetsuppgift i samband med myndighetsutövning eller
g) för ändamål som rör ett berättigat intresse hos den persondataansvarige — eller hos sådana tredje män till vilka personuppgifterna lämnas ut — när detta intresse väger tyngre än den registrerades intresse.
Om inte samtycke från den enskilde inhämtats måste något av de övergripande ändamål som anges i punkterna
Den persondataansvarige skall själv ange konkreta ändamål för sin behandling av personuppgifterna. I 9 § första stycket c beskrivs detta så att den persondataansvarige skall se till att personuppgifter ”...samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,..”. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.4.3) innebär kravet på att ändamålen skall vara särskilda att en alltför allmänt hållen ändamålsangivelse inte godtas. Att ändamålen skall vara berättigade torde, enligt Datalagskommittén, inte innebära något annat än att ändamålen skall hålla sig inom de ramar persondatalagen och anknytande lagstiftning anvisar. Det finns inget krav på att ändamålen skall nedtecknas av den persondataansvarige.
Ändamålen med behandlingen så som de angivits av den persondataansvarige sätter gränser för hur uppgifterna får behandlas sedan de samlats in. I 9 § persondatalagen anges de grundläggande kraven på behandlingen av personuppgifter. Enligt detta lagrum skall den persondataansvarige bl.a. se till
d)att personuppgifter inte behandlas för något ändamål som är oförenligt med de för vilka uppgifterna samlades in,
e)att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
f)att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen
med behandlingen,
h)att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen och
i)att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn
till ändamålen med behandlingen.
Överväganden: Lagen om behandling av personuppgifter om totalförsvarspliktiga skall tillämpas i viss av Pliktverket bedriven verksamhet. De ändamål som denna verksamhet skall tjäna bör anges i lagen. Ändamålen bestämmer i visst avseende lagens tillämpningsområde (se ovan avsnitt 10.3) och gör att de ovan redovisade bestämmelserna i persondatalagens 9 § går att tillämpa. Våra förslag förutsätter att ändamålen är givna och det kan därför inte överlåtas åt Pliktverket eller annan att uttrycka dessa.
För att uppfylla persondatalagens krav på att ändamålen skall vara särskilda måste de vara preciserade. Samtidigt bör de inte vara så ”skräddarsydda” till rutinerna att de hindrar varje förändring av verksamheten. En lösning, som innebär att ändamålen formuleras med utgångspunkt i de uppgifter som det åligger Pliktverket att utföra, är enligt vår bedömning lämplig. Metoden innebär att ändamålen anges på ett heltäckande sätt och att detaljeringsnivån blir rimlig. Det är viktigt att de ändamål som uttrycks i lagtexten är tillräckliga och omfattar såväl de uppgifter som Pliktverket skall — dvs. är skyldiga att — utföra, som sådana uppgifter som Pliktverket efter begäran från organ inom totalförsvaret skall kunna — dvs. på mer eller mindre frivillig grund — åta sig inom ramen för sin allmänna servicefunktion. Som framgår av kap. 7 och 8 ovan har Pliktverket mer än en funktion att fylla, och behov av att kunna behandla information om de totalförsvarspliktigas och annan med dessa — enligt vårt lagförslag — jämställd personals förhållanden uppkommer i flera fall.
En genomgång av Pliktverkets verksamhet visar att personuppgifter behöver behandlas för de ändamål som anges nedan i punkterna
1. Behandling av personuppgifter för att ta fram underlag till beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret.
Under denna punkt faller till att börja med Pliktverkets huvuduppgift att mönstra, skriva in och krigsplacera totalförsvarspliktiga. Här ryms också Pliktverkets hantering av personuppgifter i samband med annan mindre omfattande utredning än mönstring enligt lagen om totalförsvarsplikt, och vid särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.
Pliktverkets personregister utgör i dag en källa till information även för de myndigheter och andra organ inom totalförsvaret som själva kan besluta om krigsplacering eller andra former av ianspråktagande av personal till sin organisation, för verksamhet under höjd beredskap. Här avses t.ex. frivilligorganisationer och myndigheter som är beredskapsmyndigheter. Även om det inte framgår direkt av Pliktverkets instruktion att verket skall förse andra myndigheter m.fl. med uppgifter till stöd för deras beslut om krigsplacering eller annat ianspråktagande av personal för totalförsvarsändamål, anser vi att de personuppgifter Pliktverket innehar skall kunna användas för detta ändamål om det begärs.
Här är det viktigt att framhålla att sekretesslagens bestämmelser ger ett skydd mot att information som är känslig lämnas ut av Pliktverket.
Syftet med
2. Behandling av personuppgifter för redovisning av personal med uppgifter inom totalförsvaret.
Pliktverket har enligt sin instruktion till uppgift att redovisa i princip all personal inom totalförsvaret. (Vad gäller annan personal än pliktpersonal förutsätter möjligheten att redovisa denna att det organ som förfogar över den enskilde anmält detta till Pliktverket.)
3. Behandling av personuppgifter för att säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret.
I sin verksamhet skall Pliktverket inte bara utreda och en gång för alla placera den enskilde inom totalförsvaret. Det är viktigt att uppgifter om hans eller hennes kunskaper och lämplighet i övrigt hålls aktuella i relevanta delar. För detta ändamål krävs en kontinuerlig behandling av personuppgifterna.
4. Behandling av personuppgifter för att tillse att den totalförsvarspliktige fullgör sina skyldigheter såvitt avser totalförsvarsplikten.
Personuppgifter behöver behandlas av Pliktverket för att kalla den enskilde till t.ex. mönstring och grundutbildning samt för att pröva frågor om hämtning, föreläggande av vite m.m., allt i avsikt att tillse att den totalförsvarspliktige fullgör vad som ankommer på honom eller henne enligt gällande bestämmelser.
5. Behandling av personuppgifter för att tillgodose den enskildes rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig.
Totalförsvarsplikten är inte enbart förenad med skyldigheter för den enskilde. Han eller hon har också rättigheter. Behandling av personuppgifter krävs även för att tillgodose dessa. Ofta är rättigheterna en spegelbild av skyldigheterna. Skyldigheten att tjänstgöra kan upphävas av en rättighet att befrias från plikttjänstgöring under vissa förutsättningar. Rätt till vapenfri tjänstgöring eller till uppskov kan föreligga i vissa fall, liksom rätt till ekonomiskt bistånd.
Sådan hälsoundersökning som utförs t.ex. vid mönstringen syftar till att utröna den totalförsvarspliktiges tjänstbarhet ur medicinsk synpunkt. Undersökningen sker inte enbart i försvarets intresse; ändamålet är i lika hög grad att tillse att den enskilde inte utsätts för påfrestningar under tjänstgöringen som han eller hon inte har förutsättningar att klara. Detsamma gäller den psykologiska undersökningen. Vid inryckningen tillställs sjukvårdspersonalen vid förbandet eller motsvarande utbildningsenhet uppgifter från undersökningarna. Detta sker bl.a. för att skapa garantier för att den enskilde blir behandlad på ett sätt som hans eller hennes hälsa och förmåga kräver samt för att ett medicinskt underlag finns i händelse av olycka eller om det annars skulle bli aktuellt med sjukvårdsinsatser.
6. Behandling av personuppgifter för att planera, följa upp och utvärdera sådan verksamhet som nämnts ovan.
Pliktverket behöver också använda personuppgifter t.ex. för att planera mönstringsförrättningar, undersöka om urvalsmetoderna fungerar m.fl. åtgärder som syftar till praktiska arrangemang för verksamheten och för analyser av om förändringar är påkallade. Dessa ändamål följer inte med självklarhet av vad som räknats upp i p.
De ovan angivna ändamålen avser att omfatta alla arbetsuppgifter som åligger Pliktverket eller som Pliktverket enligt sin instruktion bör kunna utföra på begäran och som förutsätter sådan behandling av personuppgifter som omfattas av den föreslagna persondatalagens be-
stämmelser. Mängden personuppgifter som Pliktverket måste hantera medför att annan behandling än automatisk i princip är utesluten. Vi bedömer att samtliga nu angivna ändamål är berättigade, i betydelsen att de inte står i strid med vad persondatalagen anger om när behandling av personuppgifter är tillåten (10 § förslaget till persondatalag, se ovan under Bakgrund). Behandlingen är nödvändig för att den verksamhet det åligger Pliktverket att bedriva skall kunna utföras. Denna verksamhet, som i huvudsak består i att mönstra (motsvarande), skriva in och krigsplacera totalförsvarspliktiga, lämna stöd till de bemanningsansvariga samt redovisa personal inom totalförsvaret, måste anses vara av allmänt intresse. Samtycke från den enskilde till att uppgifterna behandlas med automatik och/eller registreras krävs därför ej.
11.2.2Behandling för andra ändamål än dem som uppgifterna ursprungligen insamlades för
Bakgrund: Av 9 § första stycket d i förslaget till persondatalag följer att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
Pliktverket får i sin verksamhet personuppgifter från flera myndigheter och andra organ som samlat in uppgifterna för helt andra ändamål än dem som Pliktverket skall använda uppgifterna för (se avsnitt 7.2.3).
Överväganden: Datalagskommittén framhåller att även ett utlämnande till annan av personuppgifter måste vara förenligt med de ursprungligen angivna ändamålen. Det bör därför, enligt kommittén, inte vara möjligt att kringgå kravet på en fortsatt ändamålsenlig behandling genom att en persondataansvarig lämnar ut uppgifterna till en annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprungliga (Datalagskommittén, avsnitt 12.4.3). Den som lämnar ut uppgifterna skulle i denna situation — i vart fall med vetskap om mottagarens avsikter — göra sig skyldig till en otillåten behandling i och med utlämnandet. Konflikt kan här uppstå mellan persondatalagens bestämmelser om en alltigenom ändamålsenlig behandling och bestämmelser i andra författningar som föreskriver skyldighet för vissa myndigheter att lämna uppgifter till andra. (Motsvarande konflikt uppkommer inte vad gäller myndigheternas skyldighet att lämna ut uppgifter till allmänheten eftersom persondatalagen inte innebär någon inskränkning av offentlighetsprincipen. Se 8 § första stycket förslaget till persondatalag och avsnitt 6.3 ovan.) Bestämmelser om skyldighet för en myndighet att lämna uppgifter till en annan myndighet har ofta tillkommit för att sekretess som gäller för uppgiften skall brytas (se 14 kap. 1 § sekretesslagen och avsnitt 4.3.8, ovan). Bestämmelserna har däremot knappast föregåtts av några överväganden om huruvida mottagarens behandling är förenlig med de ändamål för vilka uppgiften ursprungligen samlats in. Datalagskommittén har uppmärksammat problemet och anfört, att bestämmelserna om skyldighet att lämna ut uppgifter måste ses över, något som kommittén inte har ansett att dess uppdrag omfattat (Datalagskommittén, avsnitt 8.2.2).
För Pliktverkets del skulle ovan redovisade problem kunna lösas genom en föreskrift om att personuppgifter får lämnas till Pliktverket för de i lagen om behandling av personuppgifter om totalförsvarspliktiga angivna ändamålen, även om uppgiften ursprungligen insamlats för andra ändamål. Eftersom bestämmelser i andra lagar och förordningar har företräde framför bestämmelserna i persondatalagen (se 2 § förslaget till persondatalag) innebär emellertid redan en föreskrift i författning om att en uppgift skall lämnas ut, att utlämnande också kan och skall ske, även om åtgärden skulle strida mot de ändamål för vilka uppgiften ursprungligen samlats in. Detta förhållande, jämte en sådan bestämmelse som vi föreslagit ovan om att de uppgifter som Pliktverket samlar in skall anses insamlade för de i lagen angivna ändamålen så länge inte annat uttryckligen angivits vid Pliktverkets insamling, medför att persondatalagens
bestämmelser om ändamålsenlig behandling inte hindrar vare sig utlämnande av uppgifter till Pliktverket, i de fall skyldigheten att lämna uppgiften följer av författning, eller Pliktverkets egen behandling av dessa uppgifter.
En särskild föreskrift om att utlämnande och behandling är tillåten i dessa situationer är därmed inte nödvändig. Det skall framhållas att den översyn av bestämmelserna om skyldighet att lämna ut uppgifter som Datalagskommittén förordar, och som också får anses påkallad allmänt sett, inte behöver omfatta de regler som föreskriver skyldighet att lämna personuppgifter till Pliktverket så länge skyldigheten motiveras av totalförsvarets behov eftersom bestämmelser som rör försvar inte behöver bringas i överensstämmelse med
Slutligen skall påpekas att det i dag inte går att säga var gränserna går för när en behandling blir ”oförenlig” med ändamålen. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.4.3) får detta bestämmas genom praxis och de mer preciserade regler som regeringen och Datainspektionen kan utfärda.
11.2.3Särskilt om behandling för forskning och statistik
Överväganden: Som nämnts ovan anses — generellt — inte behandling för historiska, statistiska och vetenskapliga ändamål oförenlig med de ändamål för vilka uppgifterna samlats in (avsnitt 6.3). Detta följer uttryckligen av 9 § andra stycket i förslaget till persondatalag. Personuppgifter från t.ex. mönstringsförrättningar utgör ett viktigt underlag för statistik och forskning och vi ser inga skäl att göra undantag från persondatalagens bestämmelser, eller på annat sätt begränsa eller förbjuda behandling av uppgifterna för sådana ändamål. De personuppgifter Pliktverket samlat in kan alltså användas för forskning och statistik trots att detta inte angivits vid insamlingen av uppgifterna. Någon särskild bestämmelse om detta i lagen om behandling av personuppgifter om totalförsvarspliktiga erfordras inte. Den lag vi föreslår reglerar inte behandling för forsknings- och statistikändamål. Vi föreslår emellertid vissa särbestämmelser när det gäller möjligheter till sökning av personuppgifter i Pliktverkets
11.3 Vilka personuppgifter skall få behandlas?
Förslag: Pliktverket skall få behandla känsliga personuppgifter om det är nödvändigt för något av de i lagen angivna ändamålen. Även de myndigheter och andra som kan utföra mindre omfattande utredningar om de totalförsvarspliktigas förhållanden enligt lagen om totalförsvarsplikt, skall få behandla känsliga personuppgifter om uppgifterna behövs i sådan utredningsverksamhet.
Bedömning: I övrigt är inga avvikelser från persondatalagens bestämmelser om vilka personuppgifter som får behandlas påkallade allmänt sett.
(De begränsningar vi föreslår av vilka uppgifter som skall få behandlas genom att registreras i Pliktverkets
Bakgrund: Enligt förslaget till persondatalag skall den persondataansvarige tillse att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket f.). Lagen innehåller också förbud mot behandling av vissa känsliga personuppgifter (13 §) och mot att andra än myndigheter behandlar personuppgifter om lagöverträdelser eller om domar och säkerhetsåtgärder i brottmål (21 §). Enligt 22 § får uppgifter om personnummer bara behandlas när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt skäl.
Pliktverket behöver i sin verksamhet kunna behandla såväl sådana uppgifter som enligt persondatalagens definition är känsliga, som uppgifter om lagöverträdelser och personnummer.
Överväganden: Vad gäller de personuppgifter om totalförsvarspliktiga som Pliktverket skall kunna behandla, är det, bortsett från de begränsningar som bör göras vad gäller ADB- registrering av uppgifterna, enligt vår bedömning tillräckligt med den föreslagna persondatalagens allmänt hållna bestämmelse om att inte fler uppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen. (I avsnitt 12.2 nedan anges vilka personuppgifter som bör få införas i Pliktverkets
Inte heller persondatalagens bestämmelser om behandlingen av uppgifter om lagöverträdelser m.m. och av personnummer, föranleder några förslag till undantag eller förtydliganden från vår sida. Uppgifter om lagöverträdelser kan tas in av Pliktverket från olika polisregister för att förhindra att en kriminellt belastad person hamnar i en från säkerhetssynpunkt olämplig befattning. Vidare får Pliktverket uppgifter från Kriminalvårdsstyrelsen om intagningar och avgångar från kriminalvårdsanstalter, främst som underlag för beslut om kallelser till mönstring och repetitionsövningar, och från domstolar om domar i mål om brott mot totalförsvarsplikten (se ovan, avsnitt 7.2.3.) Som myndighet har Pliktverket också rätt att behandla sådana uppgifter (så länge behandlingen är nödvändig med hänsyn till ändamålen). De villkor persondatalagen ställer för att personnummer skall få behandlas är uppfyllda i Pliktverkets verksamhet. Vikten av en säker identifiering är ett skäl till varför Pliktverket måste kunna behandla uppgifter om personnummer.
Persondatalagens bestämmelser om förbud mot behandling av känsliga personuppgifter föranleder emellertid närmare överväganden. I 13 § första stycket persondatalagen anges att det är förbjudet att behandla personuppgifter som avslöjar
a)ras eller etniskt ursprung,
b)politiska åsikter,
c)religiös eller filosofisk övertygelse,
d)medlemskap i fackförening.
Enligt andra stycket i 13 § är det också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv.
De nu uppräknade kategorierna av uppgifter betecknas med persondatalagens terminologi som känsliga (3 § persondatalagen). Det är en självklarhet att ett förbud mot behandling av dessa uppgifter inte kan vara absolut. Inte minst med hänsyn till den enskildes egna intressen måste även känsliga personuppgifter kunna behandlas i vissa fall, t.ex. inom sjukvården.
—efter den enskildes samtycke eller eget offentliggörande av uppgifterna,
—när behandlingen är nödvändig i vissa fall, t.ex. för att rättsliga anspråk skall kunna göras gällande,
—av ideella organisationer inom deras verksamhet såvitt avser medlemmar och vissa andra personer,
—inom hälso- och sjukvården samt
—för forskning och statistik.
Dessutom får regeringen eller myndighet som regeringen bestämmer föreskriva ytterligare undantag från förbudet mot behandling av känsliga personuppgifter, om det behövs med hänsyn till ett allmänt intresse.
Pliktverket behöver kunna behandla uppgifter om den enskildes hälsa i stor utsträckning. Resultaten från de medicinska och psykologiska undersökningar som föregår ett beslut om inskrivning av den totalförsvarspliktige utgör det viktigaste underlaget vid bedömningen av hans eller hennes tjänstbarhet. Även uppgifter om religiös eller filosofisk övertygelse tillhör sådant som Pliktverket i vissa fall behöver för att få underlag för beslut om hur den enskilde skall användas inom totalförsvaret. En allvarlig personlig övertygelse rörande bruk av vapen kan t.ex. grunda en rätt till vapenfri tjänstgöring och en anslutning till den religiösa sekten Jehovas vittnen kan innebära att den totalförsvarspliktige tills vidare inte skall kallas till mönstring (se 3 kap. 16 § och 10 kap. 8 § 2 lagen om totalförsvarsplikt samt 7 kap. 3 § förordningen om totalförsvarsplikt). Dessutom kan det förekomma att andra känsliga uppgifter åberopas av den enskilde själv som skäl för befrielse från tjänstgöring eller för särskild typ av tjänstgöring.
De undantag från förbudet mot behandling av känsliga personuppgifter som anges i persondatalagen omfattar inte Pliktverkets verksamhet i nu aktuellt avseende. Inte heller kan bestämmelser i andra författningar om att myndigheter och de totalförsvarspliktiga själva skall lämna känsliga uppgifter till Pliktverket, anses innebära att Pliktverket också har rätt att vidta åtgärder med uppgifterna i strid med persondatalagens förbud. Här är det viktigt att hålla i minnet att vad persondatalagen förbjuder inte är all sorts behandling av känsliga personuppgifter utan — vilket följer av lagens tillämpningsområde — behandling som helt eller delvis är automatisk samt även annan behandling om uppgifterna ingår i eller är avsedda att ingå i ett register. Pliktverket har således rätt att behandla känsliga uppgifter manuellt, förutom genom att registrera dem, utan särskilda föreskrifter om undantag från persondatalagens förbud.
Pliktverket behöver emellertid kunna registrera känsliga personuppgifter med hjälp av ADB och i viss utsträckning även i övrigt kunna behandla dem med automatik. Vi föreslår därför att en bestämmelse tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga som generellt medger Pliktverket att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till de ändamål som anges i lagen. Eftersom det inte går att förutse vilka uppgifter den enskilde själv kan komma att åberopa bör undantaget inte begränsas till vissa känsliga uppgifter.
Förbudet mot behandling av känsliga personuppgifter medför problem också för de myndigheter och andra organ som kan utföra annan mindre omfattande utredning än mönstring. (Se 2 kap. 1 § lagen om totalförsvarsplikt och 4 kap. 5 § andra stycket förordningen om totalförsvarsplikt samt avsnitt 7.2.2, ovan.) Även om en sådan utredning inte skall vara mer omfattande än vad som behövs för att den totalförsvarspliktiges förutsättningar att fullgöra civilplikt i en viss befattning skall kunna bedömas, utgör uppgifter om hälsotillstånd en del av det underlag som behövs. Det torde vara i det närmaste omöjligt att hantera uppgifterna utan att föra in dem i någon typ av — i vart fall manuellt — register och även om uppgifterna i dag vidarebefordras till Pliktverket per brev, är det rimligt att anta att försändelserna i en nära framtid kommer att ske i elektronisk form.
Det finns alltså ett behov av bestämmelser som ger de aktuella myndigheterna rätt att behandla känsliga personuppgifter. Det kan med visst fog invändas att den lag vi föreslår endast bör vara tillämplig på Pliktverkets verksamhet och att de avvikelser från persondatalagen som är motiverade för andras verksamhet bör undersökas särskilt och tas in i andra författningar. De mindre omfattande utredningarna tjänar emellertid samma syften som Pliktverkets egen utredningsverksamhet och är mycket nära förknippade med denna på sådant sätt att överenskommelser myndigheterna emellan om samordning ofta är nödvändig. Praktiskt går det inte sällan till så att en myndighet först ber Pliktverket om ett underlag som omfattar vissa uppgifter, varefter myndigheten själv kompletterar uppgifterna genom frågor till den totalförsvarspliktige. Underlaget tillställs därefter Pliktverket tillsammans med en begäran om
att den totalförsvarspliktige skall skrivas in. Pliktverkets och den andra myndighetens åtgärder kan därmed sägas vara förenade i samma utredningsärende. De undantag från persondatalagens bestämmelser som ärendet motiverar kan enligt vår uppfattning därför med fördel ges i samma författning, på samma sätt som reglerna för utredningar om den totalförsvarspliktiges förhållanden, för såväl Pliktverket som andra myndigheters vidkommande, ges i lagen om totalförsvarsplikt (och i förordningen därom). Vi föreslår att bestämmelser som ger de aktuella myndigheterna m.fl. rätt att behandla känsliga personuppgifter tas in i lagen om behandling av personuppgifter om totalförsvarspliktiga. I lagtexten bör markeras att detta är ett undantag från lagens tillämpningsområde i övrigt, och — vilket är en mycket viktig begränsning — att undantaget från persondatalagens förbud mot behandling av känsliga personuppgifter för de berörda myndigheterna endast gäller i deras verksamhet för att utreda totalförsvarspliktigas förhållanden som sker med stöd av bestämmelserna i lagen om totalförsvarsplikt.
Känsliga personuppgifter skall också kunna kommuniceras mellan Pliktverket och de enheter inom totalförsvaret som är ansvariga för pliktpersonalens utbildning. Pliktverket skall tillställa den utbildningsansvarige uppgifter om den enskildes hälsa i samband med att denne rycker in till grundutbildning. Efter avslutad grundutbildning skall Pliktverket få tillbaka uppgifterna, med eventuella tillägg som införts i den enskildes journal. Enligt 18 § andra stycket persondatalagen får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga personuppgifter. En förbandsläkare (motsvarande) är underkastad förbud att röja uppgifter om enskilds hälsotillstånd och andra personliga förhållanden i enlighet med sekretesslagens föreskrifter (7 kap. 1 och 3 §§), och får därmed enligt den föreslagna persondatalagen behandla de aktuella uppgifterna. Så länge det är hälso- och sjukvårdspersonal som behandlar känsliga personuppgifter hos den utbildningsansvarige behövs sålunda inte några särskilda bestämmelser som ger tillåtelse till behandlingen. Hos den utbildningsansvarige torde härutöver endast de som tar befattning med det grundutbildningskort som översänds i samband med inryckningen ha ett behov av att behandla känsliga personuppgifter (se ovan avsnitt 8.4.4). I grundutbildningskortet förekommer sifferkoder som anger hälsa och psykisk funktionsförmåga. Det torde redan nu finnas ett behov för den utbildningsansvarige att behandla grundutbildningskortet genom att ordna in det i någon form av register och det kan förutses bli vanligt att uppgifterna skickas elektroniskt från Pliktverket till den utbildningsansvarige. Skulle det anses nödvändigt med särskilda bestämmelser som anger att utbildningsansvariga enheter inom försvaret får behandla känsliga personuppgifter, bör dessa ges i annan författning än i lagen om behandling av personuppgifter om totalförsvarspliktiga. Det är här frågan om behandlingsåtgärder som behöver kunna utföras av Pliktverkets ”kunder”, sedan dessa tagit emot uppgifterna från Pliktverket. De bestämmelser som kan vara nödvändiga bör övervägas särskilt. Vårt uppdrag omfattar inte en sådan översyn, men vi vill framhålla att en översyn kan bli nödvändig i och med att användandet av datakommunikation ökar. En lösning som kan visa sig lämplig är att regeringen, med stöd av 20 § persondatalagen, ger en generell föreskrift om att behandling av känsliga personuppgifter är tillåten i verksamhet som avser utbildning av personal inom totalförsvaret.
11.4 Skydd för uppgifterna
Bedömning: Persondatalagsförslagets allmänna bestämmelser om skyddsåtgärder och om att Datainspektionen kan meddela närmare skyddsföreskrifter skall gälla även vid behandling av personuppgifter om totalförsvarspliktiga. Ytterligare föreskrifter i lag eller förordning om skydd för uppgifterna är inte påkallade.
Bakgrund: Enligt 31 § i förslaget till persondatalag skall den persondataansvarige vidta
lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a)de tekniska möjligheter som finns,
b)vad det skulle kosta att genomföra åtgärderna,
c)de särskilda risker som finns med behandlingen av personuppgifterna och
d)hur pass känsliga de behandlade personuppgifterna är.
Tillsynsmyndigheten får enligt 32 § besluta om vilka skyddsåtgärder som den persondataansvarige skall vidta. Tillsynsmyndighetens beslut kan förenas med vite (47 § persondatalagen).
Överväganden: Pliktverket behandlar en stor mängd personuppgifter, i betydande delar av känslig karaktär. Kraven på skydd för uppgifterna måste därför ställas högt. Personliga kort med tillhörande koder för varje befattningshavare, som ger åtkomst endast till de uppgifter som han eller hon får behandla och
Vi föreslår sålunda inga avvikelser från persondatalagen i denna del. Vi har vid detta ställningstagande förutsatt att Datainspektionen utnyttjar sina möjligheter och ger säkerhetsföreskrifter för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga.
11.5 Information till den registrerade och rättelse av felaktigt behandlade uppgifter
Bedömning: Den föreslagna persondatalagens bestämmelser om den persondataansvariges informationsplikt är tillräckliga. Några ytterligare föreskrifter för Pliktverkets behandling av personuppgifter om totalförsvarspliktiga behövs inte i detta avseende.
Förslag: Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man till vilken uppgifterna har lämnats ut om sådana åtgärder, skall gälla även då personuppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som utfärdats med stöd av den lagen.
Bakgrund: Bestämmelser om vilken information den registrerade har rätt till då personuppgifter beträffande honom eller henne behandlas ges i
a) uppgift om den persondataansvariges identitet,
b)uppgift om ändamålen med behandlingen och
c)all övrig information som behövs för att den registrerade skall kunna ta tillvara sina rättig-
heter, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information.
Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Den persondataansvarige är vidare skyldig att efter skriftlig ansökan lämna information, gratis en gång per kalenderår, om huruvida personuppgifter som rör sökanden behandlas eller
inte. Behandlas uppgifter om honom eller henne skall information också lämnas om
a)vilka uppgifter som behandlas
b)varifrån dessa uppgifter hämtats
c)ändamålen med behandlingen och
d)till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.
Regeringen eller myndighet som regeringen bestämmer (Datainspektionen) får enligt 51 § persondatalagen meddela närmare föreskrifter om vilken information som skall lämnas till den registrerade och hur detta skall gå till.
Bestämmelser om sekretess gäller före persondatalagens föreskrifter om informationsskyldighet och kan hindra att uppgifter lämnas ut till den registrerade (27 § persondatalagen).
Enligt 28 § persondatalagen är den persondataansvarige skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med lagen eller föreskrifter som utfärdats med stöd av den. (Blockering = varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen — se 3 § persondatalagen) Den persondataansvarige skall vidare, under vissa förutsättningar, också underrätta dem till vilka uppgifterna har lämnats ut om åtgärden.
Överväganden: För Pliktverkets del innebär reglerna om information till den registrerade bl.a. att sådan självmant skall lämnas vid mönstringen och vid motsvarande utredningar, där den totalförsvarspliktige själv lämnar uppgifterna till Pliktverket. Det torde inte vara förenat med några större svårigheter eller orimliga ansträngningar att t.ex. ordna det så att den mönstrande inför mönstringsförrättningen får den i förslaget till persondatalag föreskrivna informationen. Det torde inte vara tillräckligt att information lämnas först i samband med beslutet om inskrivning, dvs. efter det att uppgifterna samlats in och redan behandlats till viss del. Det kan vara lämpligt att Datainspektionen ger närmare föreskrifter om hur Pliktverket skall uppfylla sin informationsskyldighet.
Information om behandling av personuppgifter som Pliktverket hämtat från annan myndighet eller annat organ behöver inte ges till den registrerade om det framgår av lag eller förordning att dessa uppgifter skall lämnas ut till Pliktverket. Detta undantag från informationsskyldigheten följer av 24 § andra stycket i förslaget till persondatalag, som i sin tur grundar sig på artikel 11 p. 2 i
Sammantaget anser vi att det saknas skäl att göra undantag, vare sig genom utvidgning
eller genom inskränkning, från den informationsskyldighet gentemot den registrerade som föreskrivs i persondatalagen.
Reglerna i persondatalagen om rätt för den registrerade att få personuppgifter rättade, blockerade eller utplånade gäller enligt 28 § endast uppgifter som inte behandlats i enlighet med persondatalagen eller föreskrifter som meddelats med stöd av den lagen. Uppgifter som behandlats i strid mot föreskrifter i särskilda registerförfattningar omfattas sålunda inte om inte behandlingen också strider mot persondatalagen eller mot föreskrifter som meddelats med stöd av denna. Enligt vår uppfattning saknas skäl till att göra någon skillnad härvidlag. Den registrerade bör ha samma möjlighet att få personuppgifter rättade eller korrigerade på annat sätt om behandlingen strider mot bestämmelserna i en särskild registerförfattning som i andra fall. För att detta skall uppnås krävs, att det i lagen om behandling av personuppgifter om totalförsvarspliktiga tas in en bestämmelse om att persondatalagens regler i denna del gäller även då uppgifterna har behandlats i strid med förstnämnda lag eller föreskrifter som utfärdats med stöd av den lagen.
Det skall anmärkas att den persondataansvarige torde ha rätt att välja lämplig korrigeringsmetod (Datalagskommittén, avsnitt 12.8.2.3). Enligt Datalagskommitténs tolkning av EG- direktivet bör den persondataansvarige också kunna välja andra åtgärder för att ”läka” brott mot vissa föreskrifter (Datalagskommittén, avsnitt 12.8.2.1). Har personuppgifter behandlats utan att en nödvändig anmälan till tillsynsmyndigheten gjorts (se nedan, avsnitt 11.7.1), bör den persondataansvarige kunna undvika ”rättelse, utplånande eller blockering” av uppgifterna genom att skyndsamt lämna in en anmälan. På motsvarande sätt bör man, enligt Datalagskommittén, kunna resonera när personuppgifter har behandlats i strid med de bestämmelser som finns om en lämplig säkerhetsnivå vid behandlingen eller om den information om behandlingen som skall lämnas till den registrerade.
Det bör i sammanhanget uppmärksammas att den persondataansvarige har ett eget ansvar enligt persondatalagen (9 § första stycket h), att tillse att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen.
11.6 Ansvaret för behandlingen
Förslag: Pliktverket skall vara persondataansvarigt för de behandlingar av personuppgifter om totalförsvarspliktiga som verket utför. Pliktverket skall inte ansvara för behandling som annan utför innan Pliktverket mottagit uppgifterna eller sedan uppgifterna lämnats ut.
Bakgrund: Persondataansvarig är enligt den definition som ges i förslaget till persondatalag den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter (3 §). Av definitionen följer att fler än en person kan vara ansvarig för en behandlingsåtgärd. Persondataansvaret innebär:
1. Skyldighet för den persondataansvarige att se till (9 § första stycket):
a)att personuppgifter bara behandlas när det är lagligt, särskilt att samtycke inhämtas när så krävs,
b)att personuppgifter alltid behandlas på ett korrekt sätt,
c)att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ända-
mål,
d)att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in,
e)att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,
f)att inte flera personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,
g)att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella,
h)att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga, missvisande eller ofullständiga med hänsyn till ändamålen med behandlingen, och
i)att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn
till ändamålen med behandlingen.
2.Den persondataansvarige skall lämna information till den registrerade om behandlingen
3.Den persondataansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter som inte behandlats i enlighet med persondatalagen (28 §). (Se ovan, avsnitt 11.5.)
4.Den persondataansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 §). (Se ovan, avsnitt 11.4.)
5.Den persondataansvarige skall enligt huvudregeln anmäla all automatisk behandling av personuppgifter till Datainspektionen (36 §). (Se nedan, avsnitt 11.7.1.)
6.Den persondataansvarige skall ersätta den registrerade för den skada en lagstridig behandling av personuppgifter fört med sig (43 §). (Se nedan, avsnitt 15.1.)
Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.2.6) bör huvudregeln vara att endast fysiska personer, juridiska personer, utländska filialer eller myndigheter i Sverige skall kunna betraktas som persondataansvariga, inte några andra organ som saknar rättskapacitet.
Den persondataansvarige kan anlita någon som utför behandlingen av personuppgifter för hans eller hennes räkning. Denne är då att betrakta som persondatabiträde (3 § persondatalagen). I dessa situationer skall det, enligt 30 § andra stycket persondatalagen, upprättas ett skriftligt avtal om persondatabiträdets behandling av personuppgifter för den persondataansvariges räkning. I avtalet skall det särskilt föreskrivas att persondatabiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den persondataansvarige och att persondatabiträdet är skyldigt att vidta de skyddsåtgärder som följer av persondatalagen (se ovan, avsnitt 11.4). En persondataansvarig som anlitar ett persondatabiträde skall förvissa sig om att biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och också se till att denne verkligen vidtar åtgärderna (31 § persondatalagen).
Överväganden: Ändamålen med Pliktverkets behandling av personuppgifter bestäms enligt vårt förslag i en särskild lag om behandling av personuppgifter om totalförsvarspliktiga. I de fall behandling av personuppgifter inom viss verksamhet regleras i en särskild författning, bör också den persondataansvarige pekas ut där. Definitionen i förslaget till persondatalag av vem som är ansvarig — den som bestämmer ändamålen och medlen — kan annars leda tanken fel.
Vid behandling av personuppgifter i Pliktverkets verksamhet är det självklart Pliktverket som skall bära persondataansvaret. Någon annan som kan fullgöra de skyldigheter som följer med detta ansvar finns inte. Ansvaret kan emellertid endast omfatta Pliktverkets egen behand-
ling av personuppgifter. De myndigheter och andra som lämnar uppgifter till Pliktverket ansvarar för behandlingen till dess att uppgiften är överlämnad. På samma sätt är de organ inom totalförsvaret som erhåller uppgifter från Pliktverket ansvariga för sin behandling från det att de tagit emot uppgiften. I lagen bör därför anges att Pliktverket är persondataansvarigt för den behandling av personuppgifter om totalförsvarspliktigasom verket utför. Pliktverket skall alltså inte anses ansvarigt för sådan behandling av personuppgifterna som utförs av någon annan. Vare sig de som lämnar uppgifter till Pliktverket eller de som får uppgifter därifrån intar ställning som uppdragstagare (persondatabiträden) till Pliktverket. Det är inte Pliktverket som fastställer ändamål och medel för dessa myndigheters och andra organs behandling av uppgifterna.
Vi får i avsnitt 12.3 anledning att ta upp frågan om vissa organ skall ges möjlighet att lämna personuppgifter till Pliktverket genom att lägga in dem direkt i Pliktverkets register över totalförsvarspliktiga. Den som förfar på detta sätt har självfallet ett ansvar för att uppgiften är korrekt. När uppgiften är införd i registret ”behandlar” Pliktverket uppgiften genom att lagra den och har då också — i enlighet med den bestämmelse vi nyss föreslagit — ett persondataansvar vid den behandlingen. Detta förefaller rimligt eftersom Pliktverket har de praktiska möjligheterna att korrigera uppgiften, bevaka att den inte bevaras längre än nödvändigt, lämna information till den registrerade på begäran m.m. Pliktverkets ansvar i denna situation fråntar emellertid inte uppgiftslämnaren dennes ansvar. Denne har alltjämt en skyldighet att t.ex. skydda uppgifterna vid behandlingen vid sin egen terminal, vidta åtgärder för att rätta dem om det framkommer att de är felaktiga m.m. Detta behöver emellertid inte uttryckas särskilt i lagtexten. Bestämmelsen om att Pliktverket bär persondataansvaret för sina behandlingsåtgärder, syftar till att klarlägga att ingen annan ansvarar för vad Pliktverket gör med uppgifterna och att en registrerad alltid skall kunna vända sig till Pliktverket för att få information och för att få felaktigheter rättade m.m., såvitt avser uppgifter som Pliktverket behandlar. Bestämmelsen utesluter emellertid inte att annan bär ett ansvar för sin behandling av samma uppgift.
11.7 Anmälan och tillsyn
Förslag: Pliktverkets behandling av personuppgifter om totalförsvarspliktiga skall vara underkastad Datainspektionens tillsyn. Datainspektionen får dock inte förbjuda Pliktverket att behandla personuppgifter om totalförsvarspliktiga.
11.7.1 Anmälan till Datainspektionen
Bakgrund: Införandet av
om anmälningsskyldighet återfinns i
Regeringen eller Datainspektionen (efter regeringens bemyndigande) får föreskriva ytterligare undantag från anmälningsskyldigheten, bl.a. för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Datalagskommittén anger som exempel på vad som bör kunna undantas från anmälningsskyldighet genom föreskrifter som meddelas med stöd av denna bestämmelse sådana behandlingar som i dag endast omfattas av Datainspektionens generella föreskrifter eller föreskrifter om ett förenklat ansökningsförfarande (Datalagskommittén, avsnitt 12.12.2.3).
I de fall anmälan till Datainspektionen skall ske, ankommer det enligt 51 § f persondatalagen på regeringen eller myndighet som regeringen bestämmer (Datainspektionen) att meddela närmare föreskrifter om anmälan och om förfarandet när anmälda uppgifter ändras.
Enligt
a)den persondataansvariges (registeransvariges) och dennes eventuella företrädares namn och adress,
b)ändamålen med behandlingen,
c)en beskrivning av den eller de kategorier av registrerade som berörs och de uppgifter eller kategorier av uppgifter som hänför sig till dem,
d)mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut,
e)föreslagna överföringar av uppgifter till tredje land,
f)en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som vidtagits för att trygga säkerheten i behandlingen.
Överväganden: Att behandlingen av personuppgifter om totalförsvarspliktiga, enligt vårt
förslag, regleras i en särskild lag kan användas som ett argument för att Pliktverket skall befrias från skyldigheten att anmäla automatiska behandlingar till Datainspektionen. I denna lag regleras behandlingen av personuppgifterna relativt noggrant och eftersom verksamheten inte omfattas av
intresse av information tillgodoses emellertid även om Pliktverkets behandling undantas från anmälningsskyldighet. Enligt 42 § i förslaget till persondatalag skall nämligen den persondataansvarige, till var och en som begär det, skyndsamt och på lämpligt sätt lämna upplysningar om sådana automatiska eller andra behandlingar av personuppgifter som inte anmälts till Datainspektionen. Upplysningarna skall omfatta det som en anmälan annars skulle ha omfattat. Fördelarna med att Pliktverket lämnar in en anmälan till Datainspektionen synes därmed små. Ett sådant konstaterande utgör dock inte tillräckligt skäl för att persondatalagens huvudregel om anmälningsskyldighet skall frångås. Förutom den fördelen att Datainspektionen utan anmaning därom får uppgifter om Pliktverkets behandling av personuppgifter, torde en anmälningsskyldighet innebära ett incitament för Pliktverket att utse ett persondataombud. Om Pliktverket väljer att utse ett persondataombud bortfaller anmälningsskyldigheten, men persondataombudet skall föra en förteckning över de behandlingar som den persondataansvarige genomför och som skulle omfattats av anmälningsskyldighet om ombudet inte funnits. Förteckningen skall omfatta åtminstone de uppgifter som en anmälan skulle ha innehållit (39 § persondatalagen). Persondataombudet får — i enlighet med vad som beskrivits ovan — ställning som länk mellan Datainspektionen och Pliktverket och även mellan Pliktverket och de registrerade, vilket framstår som ett lämpligt sätt att samla kompetens i frågor som rör Pliktverkets behandling av personuppgifter om totalförsvarspliktiga. Enligt
Det ankommer på Pliktverket att avgöra om persondataombud skall utses eller inte. En sådan ordning framstår emellertid som fördelaktig såväl för Pliktverket som för de registrerade.
11.7.2 Datainspektionens tillsyn och befogenheter
Bakgrund: Artikel 28 i
I förslaget till persondatalag föreskrivs rätt för Datainspektionen att för sin tillsyn på begäran få tillgång till de uppgifter som behandlas, upplysningar och dokumentation rörande behandlingen av personuppgifter och säkerheten vid denna samt tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter (45 §). Om Datainspektionen inte efter sådan begäran kan få tillräckligt underlag för att konstatera att behandlingen är laglig, får myndigheten vid vite förbjuda den persondataansvarige att behandla personuppgifter på annat sätt än genom att lagra dem (46 §). Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, skall myndigheten genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på annat sätt eller är det riskfyllt att vänta, får myndigheten vid vite förbjuda den persondataansvarige att fortsätta behandla personuppgifterna på ett annat sätt än att lagra dem (47 §). Datainspektionen får också hos länsrätten i det län där myndigheten är belägen ansöka om att sådana personuppgifter som behandlats på ett olagligt sätt skall utplånas. Beslut om utplånande får inte meddelas om det är oskäligt (49 §). Datainspektionens beslut i tillsyns-
verksamheten får överklagas hos allmän förvaltningsdomstol. För att ett överklagande skall tas upp av kammarrätt krävs prövningstillstånd (50 §).
Datainspektionens möjligheter att meddela föreskrifter i olika avseenden, t.ex. säkerhetsföreskrifter har redovisats ovan. För en sammanställning se avsnitt 6.7.
Överväganden: Vi har ovan utgått från att Datainspektionen skall utöva tillsyn över Pliktverkets behandling av personuppgifter om totalförsvarspliktiga (se bl.a. avsnitt 9.1.5). Så är fallet i dag och något bärande skäl att i framtiden undanta denna verksamhet från Datainspektionens kontroll kan vi inte finna.
Enligt gällande datalag har Datainspektionen vid sin tillsyn rätt att erhålla tillträde till lokaler där ADB ”utföres”, att få tillgång till handlingar som rör ADB och föranstalta om ”körning av datamaskin”. Vidare skall den registeransvarige lämna de uppgifter rörande ADB som Datainspektionen begär för sin tillsyn (16 och 17 §§ datalagen). Inspektionens rättigheter enligt datalagen är alltså i stort sett desamma som föreskrivs i förslaget till persondatalag. Vad gäller Datainspektionens befogenheter föreligger viss skillnad mellan gällande ordning och vad som föreslagits av Datalagskommittén. Om förandet av personregister lett till otillbörligt intrång i personlig integritet eller det finns anledning att anta att sådant intrång kan uppkomma, får Datainspektionen i dag, enligt 18 § första stycket datalagen, meddela olika typer av föreskrifter för registret (se 6 § datalagen ang. vilka föreskrifter som kan meddelas). Om inte integritetsskydd kan åstadkommas på annat sätt får Datainspektionen förbjuda fortsatt förande av personregistret eller återkalla meddelat tillstånd (18 § andra stycket datalagen). Datainspektionens föreskrifter och förbud får förenas med vite (18 § tredje stycket datalagen). När ett register förs i strid mot ett meddelat förbud skall det förklaras förverkat om inte en sådan åtgärd framstår som uppenbart obillig (22 § datalagen). Skillnaderna mellan ”förbud mot fortsatt förande av registret” och ett ”förbud mot behandling av personuppgifterna på annat sätt än att lagra dem” förefaller marginell, liksom skillnaden mellan ett beslut om ”förverkande av registret” och ett som innebär att personuppgifterna skall ”utplånas”. Datalagen och persondatalagen skiljer sig emellertid åt vad gäller Datainspektionens möjligheter att ingripa mot de sk. statsmaktsregistren. Enligt datalagen får Datainspektionen meddela föreskrifter för statsmaktsregistren endast i den mån det inte står i strid med beslut av regeringen eller riksdagen. Datainspektionen får aldrig förbjuda fortsatt förande av ett statsmaktsregister. Om Datainspektionen anser att en av riksdagen eller regeringen beslutad föreskrift bör ändras eller att statsmaktsregistret inte längre bör föras, har inspektionen att göra en framställning om detta (se prop. 1973:33 s. 144). I förslaget till persondatalag görs ingen skillnad på behandlingar av personuppgifter som beslutats av statsmakterna och andra. Datainspektionens befogenheter är desamma oavsett vem som beslutat att verksamheten skall förekomma. De inskränkningar som för närvarande finns i Datainspektionens befogenheter vad gäller statsmaktsregistren bottnar i att det inte ansetts lämpligt att inspektionen kan överpröva statsmakternas beslut (se prop. 1973:33 s. 93 ff.).
Vi anser inte att en generell bestämmelse om att Datainspektionen inte får meddela föreskrifter som står i strid med vad statsmakterna beslutat är nödvändig. Om Datainspektionen finner missförhållanden som endast kan rättas till genom ändringar i statsmakternas beslut, bör inspektionen — som i dag — vara hänvisad till att göra framställningar till regeringen om detta.
Pliktverkets registrering och övriga behandling av personuppgifter om totalförsvarspliktiga är nödvändig för att totalförsvarets personalförsörjning skall klaras. Det är inte rimligt att Datainspektionen skall ha möjlighet att förbjuda behandling av personuppgifter i en statlig verksamhet av sådan vikt, även om inspektionen skulle finna att uppgifterna behandlades på ett olagligt sätt. Det förefaller inte troligt att ett behov skulle uppkomma för Datainspektionen
att förbjuda Pliktverket att behandla personuppgifter. En sådan åtgärd förutsätter i praktiken dels att Pliktverket behandlat uppgifterna på ett olagligt sätt, dels att verket inte rättat sig efter påpekanden från Datainspektionen. Med tanke på den betydelse Pliktverkets behandling av personuppgifter har för Sveriges totalförsvar anser vi dock att lagstiftningen inte ens bör ge Datainspektionen möjlighet att stoppa verksamheten. Vi föreslår därför en undantagsbestämmelse av det innehållet i lagen om behandling av personuppgifter om totalförsvarspliktiga. Ett sådant undantag avviker i från vad
Datainspektionens möjligheter att hos länsrätten ansöka om utplåning av uppgifter som behandlats på ett olagligt sätt bör gälla även för uppgifter om totalförsvarspliktiga. Skulle det vara fråga om utplåning av uppgifter av sådan omfattning eller karaktär att totalförsvaret är hotat som verksamhet, torde ett beslut om utplåning anses som oskäligt och därför inte komma att meddelas (se 49 § andra stycket persondatalagen).
Slutligen bör det uppmärksammas att Datainspektionens befogenheter enligt persondatalagen gäller vid all olaglig behandling av personuppgifter och inte bara vid behandling i strid med persondatalagens bestämmelser. Sålunda omfattas — till skillnad mot vad som gäller för den enskildes möjligheter att få felaktigt behandlade uppgifter korrigerade — även behandling som i och för sig överensstämmer med vad persondatalagen föreskriver men står i strid med bestämmelser i en särskild registerförfattning (jfr avsnitt 11.5 ovan).
11.8 Övriga bestämmelser i persondatalagen
Överväganden som rör bevarande och gallring av personuppgifter, sekretess, sanktioner (straff och skadestånd) samt övergångsbestämmelser, redovisas nedan i kap.
Förslaget till persondatalag innehåller utöver vad som ovan redovisats i detta kapitel och utöver vad som vi enligt förra stycket återkommer till, spridda bestämmelser om behandling av personuppgifter som vi inte funnit anledning att gå in på närmare, antingen därför att de inte berör Pliktverkets verksamhet eller därför att det saknas anledning att överväga undantag för Pliktverkets del. För fullständigheten redovisas här vilka bestämmelser i persondatalagen detta gäller:
11 § Förbud mot direkt marknadsföring
Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring sedan den registrerade hos den persondataansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling.
12 § Rätt att återkalla samtycke till behandling
I de fall där behandling av personuppgifter bara är tillåten efter samtycke har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Därefter får ytterligare personuppgifter om den registrerade inte behandlas. En registrerad har inte utöver vad som nu sagts och vad som följer av 11 § rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt persondatalagen.
29 § Rätt att slippa automatiserade beslut
Ett beslut som har rättsliga följder för en fysisk person eller annars märkbart påverkar denne får grundas enbart på automatisk behandling av personuppgifter, vilka är avsedda att bedöma egenskaper hos den berörda personen, bara om den som berörs av beslutet har möjlighet att på begäran få beslutet omprövat på manuell väg.
I kommissionens förklaring till artikel 15.1 i
Pliktverkets beslut om inskrivning av totalförsvarspliktiga grundas till stor del på vad som framkommit vid de i och för sig databaserade undersökningarna av den enskilde, men inslaget av mänsklig bedömning från t.ex. läkare, psykologer och inskrivningsförrättare är betydande. Pliktverkets arbetssätt strider inte mot förbudet mot automatiserade beslut, såvitt framkommit under utredningen.
Huvudregeln är att det är förbjudet att föra över personuppgifter som behandlas till tredje land, dvs. en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. En rad undantag finns angivna i persondatalagen och såväl regeringen som — om regeringen så bestämmer — Datainspektionen får föreskriva ytterligare undantag.
Något utflöde av personuppgifter från Pliktverket till tredje land förekommer enligt uppgift inte i dag. Skulle det utökade internationella samarbetet på det militära eller civila området motivera undantag från persondatalagens bestämmelser finns det utrymme i persondatalagen för regeringen och Datainspektionen att föreskriva sådana undantag (se 35 § persondatalagen).
41 § Obligatorisk anmälan för särskilt integritetskänsliga behandlingar
Regeringen får föreskriva att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas för förhandskontroll till tillsynsmyndigheten tre veckor innan behandlingen påbörjas. Sådan anmälan skall ske även om persondataombud utsetts.
Bestämmelsen om anmälan för förhandskontroll innebär att behandlingen inte får sättas i gång förrän Datainspektionen lämnats tillfälle att kontrollera den. Om Datainspektionen vid sin förhandskontroll kommer fram till att personuppgifter kan komma att behandlas på ett olagligt sätt, kan inspektionen ingripa, ytterst genom att vid vite förbjuda den persondataansvarige att påbörja behandlingen. Enligt Datalagskommittén (Datalagskommittén, avsnitt 12.12.2.5) kan en förhandskontroll sägas ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen — eftersom Datainspektionen regelmässigt hörs i samband med att sådana författningar beslutas (Jfr 7 kap. 2 § RF samt prop. 1993/94:217). Vi utgår ifrån att även de förslag som detta utredningsarbete utmynnar i, kommer att tillställas Datainspektionen för synpunkter. Bestämmelser om förhandskontroller förefaller därför inte aktuella vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga som omfattas av vårt lagförslag.
12 Pliktverkets
12.1 Inledning
Den stora mängd personuppgifter som Pliktverket skall behandla i sin verksamhet medför att
ADB måste användas. När registrering av personuppgifter sker med hjälp av ADB uppkommer särskilda risker för intrång i de registrerades personliga integritet. Den som har tillgång till ett
12.2 Registerinnehåll
Förslag: I lagen om behandling av personuppgifter om totalförsvarspliktiga anges uttömmande beträffande vilka personer anteckningar får göras i Pliktverkets
Personuppgifter skall få antecknas i
I 13 punkter anges i lagen vidare de olika typer av personuppgifter som får förekomma i
12.2.1 Allmänt om vad som bör få antecknas i ett
Bakgrund: Vid uttagning av personal till totalförsvaret är det nödvändigt att den ansvarige — i första hand Pliktverket — har tillgång till ett omfattande underlag av personuppgifter beträffande de totalförsvarspliktiga. Förutom basuppgifter som namn och adress m.m. måste uppgifter finnas om de enskilda personernas hälsa och förmåga i olika avseenden. Säkerheten kräver t.ex. att kriminellt belastade personer inte ges känsliga befattningar. Pliktverket måste vidare känna till den enskildes egna intressen och önskemål liksom faktiska hinder för hans eller hennes tjänstgöring. (Beträffande den personal som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt
— se avsnitt 10.2 ovan — torde det emellertid oftast vara tillräckligt med vissa basuppgifter om namn, personnummer, adress, befattning, kompetens etc.)
Det är lätt att inse att Pliktverkets intresse av att samla in och ordna uppgifter i ADB- register kan komma i konflikt med den enskildes krav på skydd för den personliga integriteten.
Överväganden: Pliktverkets verksamhet är nödvändig för att de bemanningsansvariga enheterna skall erhålla personal som har kapacitet att fullgöra sina uppgifter i krig och andra krissituationer. Verksamheten syftar till att garantera rikets skydd och till att säkra att viktiga samhällsfunktioner upprätthålls även under exceptionella förhållanden. Det kollektiva intresset av att denna verksamhet fungerar är mycket starkt. En utgångspunkt är därför att Pliktverket måste tillåtas behandla de personuppgifter som krävs för att verksamheten skall kunna upprätthållas på en kvalitativt hög nivå. Pliktverket måste också kunna behandla uppgifterna på ett effektivt och funktionellt sätt, vilket innebär — som tidigare nämnts — att uppgifterna måste kunna hanteras automatiskt, i
Vad som nu sagts innebär inte att kravet på skydd för den registrerades personliga integritet skall åsidosättas. Tvärtom är det viktigt att register av det slag som Pliktverket för — register med känsliga uppgifter om en stor del av befolkningen — regleras noggrant vad gäller innehållet. En generell fullmakt till den persondataansvarige att bestämma registerinnehållet kan på sikt resultera i att registret kommer att innehålla uppgifter som inte är nödvändiga men som bedöms vara ”bra att ha”. Så får det inte vara. Visserligen tillåter förslaget till persondatalag inte behandling av fler uppgifter än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket f). Denna bestämmelse är emellertid enligt vår mening inte tillräcklig för att det på ett från integritetsskyddssynpunkt säkert sätt skall kunna fastställas, var gränserna går för vad som får registreras av Pliktverket. Vi föreslår därför att det i lagen om behandling av personuppgifter om totalförsvarspliktiga preciseras och i princip uttömmande anges vilka uppgifter — eller kategorier av uppgifter — som får förekomma i Pliktverkets
Kraven på skydd för uppgifter i ett
12.2.2 Beträffande vilka personer skall det få förekomma uppgifter i registret?
Bakgrund: Totalförsvarsplikten omfattar alla personer mellan 16 och 70 år som är bosatta i Sverige (se avsnitt 7.1). En stor del av dessa är emellertid inte på förhand tagna i anspråk för uppgifter inom totalförsvaret. Det finns vidare personal inom totalförsvaret som på grund av avtal eller bestämmelser i författning som inte avser totalförsvarsplikt är skyldiga att tjänstgöra eller utföra vissa uppgifter vid höjd beredskap. Den sist nämnda personalkategorien kan ha passerat den övre åldersgränsen för totalförsvarsplikten (t.ex. medlemmar av frivilligorganisationer som kvarstår efter 70 års ålder och som har vissa uppgifter i organisationens krigsorganisation.)
Överväganden: Pliktverket behöver för sin verksamhet inte hålla ett allmänt befolkningsregister med uppgifter om alla som kan komma att tas ut till tjänstgöring i händelse av krig. Uppgifter om vilka som tillhör det åldersintervall som kan komma i fråga kan hämtas från Riksskatteverket vid behov.
Mot bakgrund av det nu anförda bör uppgifter om en person få antecknas i ett ADB- register över totalförsvarspliktiga i följande fall:
1. Om han eller hon är aktuell för mönstring eller mindre omfattande utredning enligt lagen om totalförsvarsplikt eller särskild antagningsprövning enligt lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.
Pliktverket behöver kunna registrera uppgifter om pliktpersonalen redan när ett personärende påbörjas, vilket normalt sker genom avisering från Riksskatteverket. Ett ärende kan också inledas genom att den enskilde själv tar kontakt med Pliktverket och lämnar upplysningar, t.ex. om att han eller hon är förhindrad att inställa sig till mönstring eller annan utredning under en viss period eller om särskilda önskemål beträffande sin tjänstgöring. En sådan kontakt kan medföra krav på åtgärder senare från Pliktverkets sida och därmed innebära att personuppgifter behöver sparas. Med ”aktuell” för mönstring etc. avses här alla personer som inom en inte allt för avlägsen framtid skall eller kan bli föremål för sådan utredning som nämns i punkt 1 och som på något sätt aktualiserats för en åtgärd eller ett ställningstagande från Pliktverkets sida. Naturligtvis krävs det också att det finns ett behov av registrering i varje enskilt fall. Enbart en förfrågan från en enskild, t.ex. angående innehållet i en viss utbildning eller om förutsättningarna för vapenfri tjänst, skall inte föranleda att han eller hon antecknas i registret.
2. Om han eller hon genom avtal, beslut om krigsplacering eller på annat sätt tagits i anspråk för totalförsvaret.
Härmed avses anställda inom Försvarsmakten, anställda inom civil verksamhet som krigsplacerats (eller motsvarande) av sin arbetsgivare med stöd av anställningsavtalet, medlemmar i frivilligorganisationer m.fl., som har tagits i anspråk genom att ställas till visst organs förfogande för försvarsändamål. Flertalet av dessa personer har någon gång varit aktuella för utredning som avses i punkt 1 och har därmed kunnat antecknas i registret redan med stöd av den punkten. För att kunna anteckna uppgifter också om personer som tagits i anspråk för totalförsvaret utan att ha genomgått en sådan utredning, krävs emellertid detta tillägg. Det kan t.ex. gälla kvinnor som är ianspråktagna av sin arbetsgivare eller av en frivilligorganisation, men som inte är inskrivna med civilplikt och inte varit aktuella för utredningsåtgärder.
Även vissa andra personer, som t.ex. utlänningar — eller före detta utländska medborgare
— som erhållit en placering i totalförsvaret utan att ha genomgått sådan utredning som avses i punkt 1, ”fångas upp” av förevarande punkt.
3. Om han eller hon skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig för totalförsvaret
Personer som avses i första ledet i denna punkt är sådana som har ålagts — eller frivilligt åtagit sig — begränsade uppgifter vid höjd beredskap, som t.ex. att ställa viss egendom till totalförsvarets förfogande enligt förfogandelagen och med stöd av den lagen meddelade förordningar.
Andra ledet avser i första hand de personer som i dag förekommer i Socialstyrelsens register över hälso- och sjukvårdspersonal (INTEGER, se ovan avsnitt 8.4.8). Pliktverket skall överta driften av detta register som, såvitt nu kan bedömas, kommer att föras som en del av PLIS och sålunda vara integrerat med Pliktverkets
stämmelse som vi föreslår nedan (avsnitt 12.2.4) om att regeringen skall kunna begränsa innehållet i ett
4. Om han eller hon av en redan registrerad uppgetts vara närstående till denne och höjd beredskap råder.
I ofredstider behöver uppgifter om närstående till dem som tjänstgör inom totalförsvaret finnas tillgängliga. Detta för att besked skall kunna lämnas till rätt person om någon skadats eller stupat och för att personliga tillhörigheter m.m. skall kunna sändas till rätt mottagare. Ett visst behov av uppgifter om närstående finns redan vid grundutbildningen. Behovet är dock inte så framträdande i fredstid att det är motiverat att uppgifter om vem eller vilka som står den totalförsvarspliktige närmast antecknas i Pliktverkets
Uppgifter om närstånde i
5. Om han eller hon nämns bland uppgifter som åberopas av den registrerade.
Det är inte ovanligt att en totalförsvarspliktig inför mönstringen eller när det är dags att rycka in till grundutbildning begär anstånd och härvid åberopar t.ex. familjeskäl eller hänvisar till situationen på sin arbetsplats. I dessa sammanhang kan det bland de uppgifter som lämnas av den totalförsvarspliktige förekomma namn och andra uppgifter om andra personer, t.ex beträffande familjemedlemmar eller i form av ett intyg från arbetsgivaren. Det kan också vara fråga om intyg från läkare eller från en utbildningsanstalt. Även dessa uppgifter bör kunna sparas i Pliktverkets
6. Om han eller hon handlagt ärende, fattat beslut eller gjort journalanteckning beträffande den registrerade.
I vissa fall måste uppgifter om namn och titel m.m. på personer som utfärdat intyg, ställt diagnoser, handlagt ärenden eller vidtagit liknande åtgärder rörande den totalförsvarspliktige kunna tas fram. Det ligger inte minst i den totalförsvarspliktiges eget intresse att tillförlitligheten och värdet av dessa åtgärder kan kontrolleras och bedömas. Det är naturligt och följer oftast av de aktuella personernas yrkesroller att handlingar som de utfärdar kan komma att registreras och/eller behandlas med automatik. I ett
Det skall framhållas att det naturligtvis rör sig om mycket begränsade uppgifter som namn, titel och tjänsteställe, jämte tidsangivelser för eventuella beslut (se nästa avsnitt). I likhet med vad som gäller för uppgifter om anhöriga m.fl. bör uppgifter om de nu aktuella personerna i princip endast vara åtkomliga genom att den totalförsvarspliktiges personnummer används som sökbegrepp i
12.2.3 Vilka personuppgifter skall få antecknas i registret?
Bakgrund: Av avsnitt 7.2 ovan framgår omfattningen av de utredningar som görs i dag och vilka personuppgifter som därvid inhämtas av Pliktverket för bedömningen av de totalförsvarspliktigas tjänstbarhet och lämplighet i olika avseenden. Härutöver lämnas det på den registrerades eller andra personers initiativ, in ytterligare personuppgifter. Dessutom behövs vissa uppgifter som rör administration m.m. för handläggningen av ärenden som rör de registrerades tjänstgöring.
Överväganden: Sammanfattningsvis gör vi den bedömningen att i stort sett alla de uppgifter som inhämtas måste antecknas i
Mot bakgrund av dessa överväganden vad gäller innehåll i stort och detaljeringsnivå, bör en uppställning över de uppgifter som Pliktverket får anteckna i ett
1. Uppgifter om personnummer, namn, adress, telefonnummer och folkbokföringsort. Uppgifterna är sk. basuppgifter som behövs för att den enskilde skall kunna identifieras,
informeras, delges kallelser m.m.
2. Uppgifter om hinder för mönstring eller annan utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning.
Här avses i princip alla hinder som kan förekomma, temporära eller permanenta; sjukdom, utlandsresa, förtidspension, intagning på kriminalvårdsanstalt eller vårdinrättning m.m. Uppgifterna är nödvändiga för att de bemanningsansvarigas personalförsörjning skall kunna garanteras och för Pliktverkets planering av mönstringsförrättningar och inryckningsresor till grund- och repetitionsutbildningar.
3. Uppgifter om boende- och familjeförhållanden samt om den registrerades försörjning, om uppgiften behövs för att Pliktverket skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalförsvarspliktiga.
Utöver dagersättning har en totalförsvarspliktig under vissa förutsättningar rätt till ekonomisk ersättning i form av familjepenning, bostadsbidrag, näringsbidrag och begravningsbidrag (familjebidrag enligt 7 kap. förordningen om förmåner till totalförsvarspliktiga). Pliktverket har skyldighet att förse beslutsfattande myndigheter med de uppgifter som behövs för bedömningen av rätten till familjebidrag. Pliktverket kan också besluta om och betala ut viss bidragsersättning (ekonomiskt stöd) enligt 8 kap. 3 § nämnda förordning.
Det skall anmärkas att det krävs att den enskilde ansöker om bidrag för att frågan skall tas upp. En registrering av uppgifter med stöd av denna punkt förutsätter sålunda att fråga om bidrag initierats av den totalförsvarspliktige själv.
4. Uppgifter om utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har
betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret. Uppgifterna skall tjäna som underlag för att avgöra om den totalförsvarspliktige fyller
kraven för en viss befattning eller uppgift, rent kunskapsmässigt och om han eller hon har de anlag och den motivation som krävs. Här avses t.ex. uppgifter om formell utbildning som viss examen eller avlagt körkortsprov, kunskaper i övrigt (simkunskaper, språkkunskaper etc.) vana från viss verksamhet (t.ex. sjövana eller från viss yrkesverksamhet), fritidsintressen som kan vara relevanta (t.ex. orientering, skidåkning, engagemang i frivillig försvarsorganisation) samt även resultat från de kunskapsprov och anlagstest som utförs vid mönstringsförrättningen (motsv.). En fullständig uppräkning av vad som kan rymmas under denna punkt är omöjlig att göra. Avgörande för om uppgiften får registreras är att den har betydelse för bedömningen av vilka uppgifter den totalförsvarspliktige kan utnyttjas för.
För den personal som är ianspråktagen av arbetsgivaren, eller som kan tänkas bli det i en krigssituation, t.ex. hälso- och sjukvårdspersonal (INTEGER, se ovan 8.4.8 och under punkt 3 i föregående avsnitt), är det nödvändigt att uppgift om anställning finns tillgänglig. Personer inom denna personalkategori är som regel inte skyldiga att tjänstgöra på grund av totalförsvarsplikt utan på grund av vad som sägs i deras anställningsavtal. Som redovisas ovan i avsnitt 10.2 jämställer vi emellertid sådan personal med totalförsvarspliktiga i vårt lagförslag.
5. Uppgifter om fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen i denna del.
Uppgifterna om den enskildes hälsa och psykiska och fysiska status tillhör de allra viktigaste vid bedömningen av vilken befattning han eller hon är lämpad för. Tjänstgöringen inom totalförsvaret är ofta förenad med påfrestningar utöver det vanliga av såväl fysisk som psykisk natur. Inte minst för den totalförsvarspliktiges egen skull är det nödvändigt att ett fullständigt och tillförlitligt material finns i dessa delar. Utöver slutsatserna behövs ett underlag som visar vad bedömningarna grundar sig på, för det fall det blir aktuellt med vårdinsatser under tjänstgöringen.
6. Uppgift om den registrerade är svensk medborgare eller inte.
Uppgiften behövs för att fastställa i vilken utsträckning den registrerade är skyldig att tjänstgöra på grund av bestämmelserna om totalförsvarsplikt (se ovan, avsnitt 7.1). Det är för Pliktverkets verksamhet tillräckligt med information om den registrerade är svensk medborgare eller inte. Vilket medborgarskap en registrerad utlänning innehar saknar betydelse i sammanhanget och skall därför inte heller föras in i registret.
7. Uppgifter om utgången i mål om ansvar för brott mot totalförsvarsplikten (brott mot 10 kap.
Uppgifterna behövs som underlag i Pliktverkets verksamhet dels vid beslut om att någon inte skall kallas till mönstring eller plikttjänstgöring därför att det kan antas att han eller hon inte kommer att fullgöra den värnplikt eller civilplikt som inskrivningen avser (se 10 kap. 8 § första punkten lagen om totalförsvarsplikt), dels vid bedömningen av huruvida personen i fråga är lämplig för viss befattning.
8. Uppgifter om att den registrerade dömts för brott som anges i 19 § femte stycket polisregisterkungörelsen (1969:38).
Pliktverket får på begäran utdrag ur Rikspolisstyrelsens register beträffande totalförsvarspliktiga som skrivs in eller är inskrivna för värnplikt. Utdragen omfattar endast vissa brott (våldsbrott, tillgreppsbrott, narkotikabrott, brott mot vapenlagen m.m.) och be-
hövs som underlag vid bedömningen av den totalförsvarspliktiges lämplighet. I Pliktverkets
9. Uppgifter om att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), för vilken säkerhetsklass prövningen skett samt resultatet av denna.
För tillträde till vissa befattningar inom totalförsvaret krävs att den totalförsvarspliktige genomgått säkerhetsprövning. Prövningen syftar till att klarlägga om personen i fråga kan antas vara lojal och pålitlig från säkerhetssynpunkt. Prövningen sker för verksamheter i tre olika klasser, där säkerhetsklass 1 avser den från säkerhetssynpunkt mest känsliga verksamheten (verksamhet där den som deltar i stor omfattning får del av uppgifter som omfattas av sekretess och är av synnerlig betydelse för rikets säkerhet). Prövningen — som förutsätter samtycke från den enskilde — består i kontroll mot polisregister och, för säkerhetsklass 1 och 2, särskild personutredning. Pliktverket behöver information om huruvida prövning har ägt rum, för vilken klass prövningen skett och om den registrerade ”klarade” prövningen eller inte, allt för att upprätthålla en kontinuerlig kontroll och minska riskerna för onödiga omprövningar. Däremot behövs inte de uppgifter som legat till grund för bedömningen.
10. Uppgifter om vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.
Vid inskrivningen bestäms vilken befattning eller typ av befattning som den totalförsvarspliktige skall utbildas till, tid och plats för grundutbildning (som regel) samt grundutbildningens längd. Alternativt kan inskrivningsbeslutet innebära att den registrerade placeras i en utbildningsreserv. Uppgifterna är grundläggande för Pliktverkets verksamhet och självklara i ett
11.Uppgifter om krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap.
Dessa uppgifter är nödvändiga för Pliktverkets redovisning av totalförsvarets personal. uppgifterna är, liksom de i p. 10 angivna, centrala och givna i ett register av förevarande slag.
12.Uppgifter om tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna.
Uppgifterna är av betydelse vid den kontinuerliga bedömning av den registrerades tjänstbarhet och lämplighet som är nödvändig inför beslut om krigsplacering, vidareutbildning m.m.
13.Uppgifter om personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller hennes tjänstgöring inom totalförsvaret.
Utöver de i p.
av ärenden som gäller de registrerades tjänstgöring. Det rör sig i första hand om uppgifter som åberopas av de registrerade själva som grund för olika typer av framställningar, t.ex. om befrielse från tjänstgöring, uppskov eller önskemål om uttagning till viss befattning. Uppgifterna kan teoretiskt bestå i vad som helst. De kan vara upprättade av den enskilde själv eller utgöras av intyg från arbetsgivare, läkare eller annan person, t.ex. en förälder. För att en framställning
av detta slag skall kunna behandlas på ett säkert och effektivt sätt är det i praktiken nödvändigt att uppgifterna registreras. Detta bör också vara tillåtet med tanke på att uppgifterna lämnats till Pliktverket på den registrerades eget initiativ. Vid en granskning kan det visa sig att många av de uppgifter som åberopas av den enskilde i praktiken saknar betydelse för bedömningen av hans eller hennes skyldigheter eller möjligheter att tjänstgöra inom totalförsvaret. I och med att uppgifterna åberopats av den enskilde själv är det dock svårt att påstå att de saknar relevans i förhållande till de ändamål för behandlingen som angetts ovan. I den enskildes rättigheter ligger att han eller hon skall få framföra sina synpunkter och få sina yrkanden prövade. För att dessa rättigheter skall kunna tillgodoses är det nödvändigt att Pliktverket behandlar de åberopade uppgifterna på ett rationellt och säkert sätt. De bör därför också få antecknas i
Särskilt om registrering av vissa känsliga personuppgifter
Vi föreslår en bestämmelse som ger bl.a. Pliktverket rätt att behandla sådana personuppgifter som enligt förslaget till persondatalag betecknas som känsliga (se avsnitt 11.3, ovan). Bestämmelsen utgör ett undantag från det i persondatalagen stadgade förbudet mot behandling av sådana uppgifter. Pliktverket måste kunna hantera uppgifter bl.a. om de registrerades hälsa och — i vissa fall — religiösa övertygelse på ett rationellt sätt. (Det kan dessutom förekomma att en registrerad själv åberopar andra känsliga uppgifter, t.ex. sådana som rör sexuell läggning, för att bli befriad från viss typ av tjänstgöring inom totalförsvaret. Sådana uppgifter bör kunna behandlas på samma sätt.) Den föreslagna bestämmelsen om undantag från förbudet mot behandling av känsliga personuppgifter innebär att den enskildes samtycke inte krävs för att uppgifterna skall få behandlas. Utformningen av punkterna
Vi är medvetna om att invändningar kan framföras mot detta synsätt. Det förhållandet att en enskild själv åberopat t.ex. medlemsskap i en religiös sekt som skäl för befrielse från plikttjänstgöring, innebär inte med nödvändighet att han också accepterat att uppgiften införs i ett
Uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller sexualliv får antecknas i ett
Av skäl som ovan anförts har vi dock avstått från att föreslå en sådan begränsning av möjligheterna att registrera de aktuella uppgifterna.
Det skall noga framhållas att varje medborgare enligt grundlag (2 kap. 2 § och 3 § första stycket RF) är skyddad mot tvång att tillkännage sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende samt mot att bli antecknad i register enbart på grund av sin politiska åskådning utan samtycke. Vårt förslag ändrar naturligtvis inte — eller rättare sagt; kan inte ändra — på detta förhållande.
Administrativa uppgifter m.m.
De uppgifter som skall kunna registreras enligt punkterna
Begränsningar av vilka uppgifter som skall få registreras beträffande dem som förekommer i registret av annan orsak än att de själva är totalförsvarspliktiga (eller jämställda med totalförsvarspliktiga vid tillämpning av lagen om behandling av personuppgifter om totalförsvarspliktiga)
Det är självklart bara sådana uppgifter som Pliktverket behöver i sin verksamhet som skall antecknas i
Elektroniska akter
Pliktverket planerar ett system för ärendehandläggning med elektroniska akter. En sådan akt skapas genom att inkomna handlingar optiskt läses (skannas) in i ett datasystem. Handläggaren kan också upprätta beslut, tjänsteanteckningar och promemorior direkt i den elektroniska akten via sin terminal. Även utkast till beslut m.m. kan föras direkt i datasystemet. Elektronisk akthantering medför att bruket av pappershandlingar avsevärt kan reduceras vid handläggningen av ärenden. Sökandet bland dokument i en sådan akt och kommunikationen med andra underlättas också med hjälp av elektroniken. Elektronisk akthantering främjar effektiviteten och möjligheterna härtill bör tas tillvara även i Pliktverkets verksamhet.
Så länge fråga är om de uppgifter som anges i punkt
hänsyn till ändamålen, strider mot den föreslagna persondatalagen (se 10 § i förslaget till persondatalag). Risk föreligger också för att känsliga personuppgifter behandlas genom att registreras i
Särskilt om fotografier
Pliktverket har i dag Datainspektionens tillstånd att registrera fotografier för utfärdande av legitimations- och resehandlingar. Fotograferingen sker på Försvarsmaktens begäran och handlingarna skall användas till styrkande av den registrerades identitet vid subventionerade resor liksom vid in- och utpassering vid utbildningsenheten m.m., under grundutbildningen. Försvarsmakten betalar Pliktverket för denna tjänst och det innebär en besparing att låta Pliktverket sköta detta jämfört med om fotograferingen utförs på förbanden efter inryckningen.
Fotograferingen ligger utanför Pliktverkets ordinarie arbetsuppgifter och handhas av Pliktverket enbart av praktiska skäl och av kostnadsskäl. Fotografierna behövs inte för de ändamål vi ansett motivera Pliktverkets behandling av personuppgifter. Det förefaller visserligen praktiskt och kostnadseffektivt med en ordning som den rådande men sådana skäl kan inte anses tillräckliga för att
12.2.4 Ytterligare begränsningar av vad som får förekomma i
Kravet på nödvändighet och relevans
Persondatalagens bestämmelser om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till de ändamål de insamlats för och att uppgifterna skall vara adekvata och relevanta i förhållande till samma ändamål gäller även vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga och därmed — enligt vårt lagförslag — jämställd personal. Bestämmelserna om vad som får registreras i Pliktverkets
Regeringen bör ha möjlighet att införa ytterligare begränsningar av vilka uppgifter som får registreras
En uppställning i lag över vilka personuppgifter som skall få förekomma i ett register måste innehålla vissa generaliseringar för att inte systemet skall bli alltför tungrott. Det kan finnas anledning att göra begränsningar av vilka uppgifter som skall få antecknas i registret, utöver vad som framgår av våra förslag. Som angivits i avsnitt 12.2.2 ovan bör det t.ex. närmare övervägas i vilka fall uppgifter om en person skall få registreras i Pliktverkets
att intresset skall ha betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret, men det är svårt att undvika att en ”gråzon” uppkommer). Innehållet i föreskrifter av nämnd karaktär kan behöva ändras relativt ofta, t.ex. i takt med att personer med olika typer av specialistkompetens efterfrågas av totalförsvaret. Föreskrifterna bör därför ges i förordning.
Vi föreslår mot bakgrund av vad som nu anförts att regeringen i lagen ges rätt att meddela ytterligare begränsningar av vilka uppgifter som får registreras.
Att en uppgift får antecknas säger inget om när den skall gallras
I detta kapitel har vi endast tagit ställning till när uppgifter om vissa personer får antecknas i
Gallringsfrågor behandlas nedan i kapitel 13.
12.3 Vem skall få föra in uppgifter i registret?
Förslag: Regeringen skall få föreskriva att även annan än Pliktverket får föra in och rätta personuppgifter i
Bakgrund: Pliktverket har planerat för ett ”papperslöst” system där vissa organ inom totalförsvaret skall kunna lägga in uppgifter om sin personal direkt i Pliktverkets
1.journalanteckningar som under grundutbildningen förs av läkare eller annan sjukvårdspersonal vid en utbildningsenhet,
2.utryckningsrapporter med uppgifter om antalet fullgjorda tjänstgöringsdagar, vitsord m.m. som lämnas till Pliktverket från den ansvariga utbildningsenheten efter det att den totalförsvarspliktige fullgjort sin grundutbildning samt
3.anteckningar om att en person tagits i anspråk för ett organs krigsorganisation.
Tekniken tillåter i princip att alla som skall lämna uppgifter till Pliktverkets register, och som har terminalåtkomst till detta, gör det genom att föra in uppgifterna i registret. Det är sålunda möjligt att anteckningar utöver dem som avses i p.
Överväganden: I dag lämnas de uppgifter som beskrivits ovan i punkterna
Effektivitetsskäl talar för att ett system där uppgiftslämnare lämnar uppgifterna genom att själva föra in dem i mottagarens
att säkerhet kan garanteras mot att obehöriga personer påverkar registerinnehållet. Sådan säkerhet kan enligt vår uppfattning skapas genom att endast vissa befattningshavare hos uppgiftslämnaren ges access till registret. Personliga användarkort med koder måste utfärdas och möjligheterna för den behörige att föra in uppgifter måste begränsas till den art av uppgifter som vederbörande skall lämna till Pliktverket. Säkerheten vid terminalen hos uppgiftslämnaren måste vara hög, utrustningen bör t.ex. vara inlåst när terminalen är obemannad. Pliktverket måste ta på sig ett ansvar för att utbilda och informera uppgiftslämnarna i säkerhetsfrågor. De säkerhetsmässiga överväganden som bör föregå ett tillstånd för annan att föra in uppgifter i Pliktverkets register kan inte göras generellt. Varje organ - eller i vart fall typ av organ (t.ex. Försvarsmaktens utbildningsenheter) - bör prövas för sig. Det är därför lämpligt att överlåta till regeringen att i förordning ange vilka organ, utöver Pliktverket, som skall ha rätt att föra in uppgifter i Pliktverkets
De som medges att föra in personuppgifter i Pliktverkets
Angående persondataansvaret då annan än Pliktverket för in uppgifter i
12.4 Terminalåtkomst
Förslag: Pliktverket skall ha terminalåtkomst till
För att understryka att sekretesslagens bestämmelser måste beaktas innan uppgifter görs tillgängliga för någon utanför Pliktverket, skall det anges i lagen att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga.
Bakgrund: Den som har terminalåtkomst till ett
I dag kommuniceras en stor mängd handlingar med personuppgifter om totalförsvarspliktiga och annan personal inom totalförsvaret mellan Pliktverket och enheter inom totalförsvaret. Det finns hos de inblandade en önskan att ersätta utväxlingen av pappershandlingar med datakommunikation. I föregående avsnitt behandlades frågan om möjlighet för dem som skall lämna uppgifter till Pliktverket att göra detta genom att själva föra in dem direkt i Pliktverkets register. När det gäller de handlingar som skickas från Pliktverket till de bemanningsansvariga organen (bemanningsansvar= skyldighet att tillse att krigsorganisationen är uppfylld med personal som kan lösa tilldelade uppgifter under höjd beredskap) och till utbildningsenheterna skulle kommunikationen kunna ske genom att mottagarna fick hämta uppgifterna i Pliktverkets
Frivilligorganisationerna rekryterar i dag personal med Pliktverkets hjälp. Pliktverket kan på begäran ta fram listor ur sina register på personer som har sådana färdigheter som efterfrågas T.ex. kan en lokal bilkår söka personer i ett visst åldersintervall med viss körkortsbehörighet i ett län. Enligt uppgift finns det önskemål från frivilligorganisationerna att få terminalåtkomst till Pliktverkets register så att de kan utföra dessa sökningar själva.
Överväganden: Av hänsyn till kravet på skydd för den registrerades personliga integritet bör terminalåtkomsten till Pliktverkets
Det är självklart att Pliktverket skall ha full terminalåtkomst till egna
Bemanningsansvariga myndigheter och organ bör ha terminalåtkomst till uppgifter om den egna personalen. Detsamma gäller de myndigheter och andra organ som genomför utbildning av totalförsvarspliktiga, såvitt avser dem som antagits till utbildningen. Effektiviteten torde främjas avsevärt om t.ex. utbildande förband inom Försvarsmakten kan ta del av de uppgifter de behöver om de inryckande via terminal i stället för att hålla egna ”pappersarkiv” med handlingar, som skall återställas till Pliktverket efter grundutbildningen. De personuppgifter de bemanningsansvariga organen behöver om sin egen personal är relativt få och som regel inte av känslig karaktär för den registrerade. Det torde vara en fördel för de bemanningsansvariga om de kan få relevant information kontinuerligt uppdaterad och omedelbart tillgänglig via terminal. Inom de bemannings- och utbildningsansvariga enheterna bör skyddet för personuppgifter kunna hållas på en hög nivå.
Det kan ifrågasättas om det är nödvändigt att frivilligorganisationerna i sin rekryteringsverksamhet har direkt åtkomst till Pliktverkets
Om Socialstyrelsens register över hälso- och sjukvårdspersonal (INTEGER) skall integreras med Pliktverkets
Sammanfattningsvis är det många utanför Pliktverket som är betjänta av terminalåtkomst till
Bestämmelserna om terminalåtkomst måste i praktiken vara relativt detaljerade och det är inte uteslutet att de behöver ändras med relativt täta mellanrum. Terminalåtkomsten regleras därför lämpligen i förordningsform. Vi föreslår att regeringen ges möjlighet att bestämma i vilken omfattning andra än Pliktverket skall ha terminalåtkomst till
Det är viktigt att framhålla att en föreskrift om terminalåtkomst inte bryter reglerna om sekretess. En första förutsättning för att någon skall ha rätt att ta del av personuppgifter om totalförsvarspliktiga eller andra personer i Pliktverkets register är att uppgifterna inte är sekretessbelagda i förhållande till den som vill ha ut dem. Först därefter kan det övervägas hur uppgifterna lämpligast kan överbringas. För att klargöra detta förhållande bör det föras in en bestämmelse i lagen om behandling av personuppgifter om totalförsvarspliktiga med erinran om att sekretesslagen är tillämplig när det gäller utlämnande av uppgifter om totalförsvarspliktiga.
Frågor om sekretess för personuppgifter om totalförsvarspliktiga hos Pliktverket och andra inblandade behandlas i kap. 14, nedan.
12.5 Sökbegrepp
Förslag: Det skall vara förbjudet att som sökbegrepp använda vissa personuppgifter som ensamma eller tillsammans med andra kan bedömas som känsliga från den enskildes synpunkt när det inte behövs för Pliktverkets verksamhet. De förbjudna sökbegreppen räknas upp i lagen om behandling av personuppgifter om totalförsvarspliktiga. Förbudet skall emellertid inte gälla då sökbegreppen behöver användas för åtkomst av uppgifter för forskning eller statistik, för Datainspektionens tillsyn eller för uppföljning och utvärdering av Pliktverkets verksamhet.
Personuppgifter om närstående till en registrerad totalförsvarspliktig och om vem som handlagt ärende, fattat beslut eller gjort journalanteckning rörande en totalförsvarspliktig, skall endast få eftersökas med hjälp av den totalförsvarspliktiges personnummer. Detsamma skall gälla vid eftersökning av uppgifter som antecknats i registret därför att de åberopats av den totalförsvarspliktige.
Regeringen skall ha möjlighet att föreskriva ytterligare begränsningar av de sökbegrepp som får användas.
Utan hinder av meddelade förbud skall nödvändiga sökbegrepp alltid få användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.
Bakgrund: Olika ord och beteckningar används som sökbegrepp för att ta fram enstaka uppgifter eller sammanställningar av uppgifter ur
Datalagskommitténs förslag till ändringar i tryckfrihetsförordningen innebär ingen förändring i detta avseende.
Överväganden: Pliktverkets
— eller upptagningar — som är befogade i Pliktverkets verksamhet bör vara tillåtna. Förenklat uttryckt behöver Pliktverket i första hand använda sökbegrepp av två slag (förutom personnummer då uppgifter om en bestämd individ skall tas fram). Det rör sig dels om uppgifter om de registrerades utbildning, kunskaper, färdigheter, vitsord och liknande, för att krigsorganisationens behov av kompetent personal skall kunna tillgodoses på ett effektivt sätt, dels om uppgifter om innehållet i formella beslut om inskrivning och krigsplacering eller annat ianspråktagande av den registrerade, för redovisning av vilken personal olika enheter förfogar över eller utbildar vid olika tillfällen. Pliktverket behöver emellertid inte kunna söka på uppgifter avseende resultat från prov som genomförs vid mönstring eller annan motsvarande utredning eftersom en sökning på innehållet i inskrivningsbeslutet visar vilka individer som bedömts som lämpliga för viss befattning. Om enskilda provresultat skulle vara relevanta kan de tas fram genom att personnumren på dessa individer används som sökbegrepp. Utöver vad som nu nämnts behöver vissa uppgifter om adresser, (för reseplanering m.m.), och om anställning (för hälso- och sjukvårdspersonalen i INTEGER) kunna användas som sökbegrepp i begränsad omfattning. Med hänsyn till att Pliktverkets
—Uppgifter om hinder för mönstring eller motsvarande utredning, för utbildning eller för krigsplacering eller annat ianspråktagande av den registrerade.
—Uppgifter om boende- eller familjeförhållanden eller om försörjning.
—Uppgifter om resultat från kunskapsprov eller anlagstester som utförts vid mönstring eller motsvarande utredning.
—Uppgifter om fysisk och psykisk hälsa och förmåga.
—Uppgifter om medborgarskap.
—Uppgifter som rör ansvar för brott.
—Uppgifter om säkerhetsprövning enligt säkerhetsskyddslagen.
I lagtexten kan förbudet mot användande av dessa sökbegrepp utformas som en hänvisning till den bestämmelse som anger vilka uppgifter som får registreras. Undantag från förbuden att använda de uppräknade sökbegreppen bör göras för de fall sökbegreppen behöver användas vid Datainspektionens tillsyn eller vid uppföljning och utvärdering av Pliktverkets verksamhet.
Pliktverkets register är unikt såtillvida att det innehåller uppgifter om en stor del av be-
folkningens hälsotillstånd vid en given tidpunkt och det utgör bl.a. därför ett mycket viktigt underlag för forskningen. Ytterligare undantag från förbuden mot att använda de uppräknade sökbegreppen bör därför göras för forskningens behov och för framställning av statistik. Vad gäller användning för statistikändamål skall det framhållas att absolut sekretess gäller för uppgifter om enskildas personliga och ekonomiska förhållanden hos statistikmyndigheten (9 kap. 4 § sekretesslagen).
Vissa uppgifter saknar rimligen intresse också för forskningen och för Pliktverkets egen uppföljning och utvärdering. Det gäller uppgifter om närstående till de totalförsvarspliktiga och om vilka som fattat beslut, handlagt ärende eller gjort journalanteckning rörande de totalförsvarspliktiga. För åtkomst till dessa uppgifter bör sökbegreppen vara begränsade till de totalförsvarspliktigas personnummer. Något skäl till att kunna söka efter de nu nämnda uppgifterna på annat sätt finns i princip inte. Också uppgifter som antecknats enbart därför att de åberopats av den registrerade totalförsvarspliktige bör vara skyddade på det sättet att de endast kan eftersökas med hjälp av den registrerades personnummer. Här kan det finnas personuppgifter av mycket känslig natur för den registrerade samt även uppgifter om andra personer än honom eller henne själv. De nu aktuella uppgifterna behöver såvitt vi kan bedöma inte heller kunna användas som sökbegrepp vid Datainspektionens tillsyn.
Generella undantag från samtliga förbud att använda vissa sökbegrepp bör gälla då sökbegreppen behövs för rättelse av uppgift eller för åtgärdande av programfel. Det går inte att på förhand avgöra vilka sökbegrepp som måste användas vid den här typen av nödvändiga korrigeringsåtgärder.
I likhet med vad vi föreslagit beträffande bestämningen av innehållet i Pliktverkets ADB- register över totalförsvarspliktiga, bör regeringen ges möjlighet att ytterligare begränsa de sökbegrepp som får användas.
12.6 Sambearbetning
Bedömning: Någon föreskrift om förbud mot sambearbetning av uppgifter i Pliktverkets ADB- register över totalförsvarspliktiga med uppgifter i andra
Bakgrund: Sambearbetning (maskinell samkörning) av uppgifter från två
Förslaget till persondatalag bygger på ett tillståndslöst system och sambearbetning är sålunda tillåten så länge behandlingen är förenlig med de ändamål som angavs då respektive uppgifter samlades in och i övrigt håller sig inom de ramar persondatalagen anger bl.a. om nödvändighet och relevans.
Överväganden: Vårt lagförslag bygger på förslaget till persondatalag och sålunda behövs ingen bestämmelse som ger Pliktverket tillstånd till att sambearbeta uppgifter i sitt
Det skall påpekas att uppräkningen av vilka personuppgifter som får antecknas i ADB- registret över totalförsvarspliktiga begränsar möjligheterna att samköra registeruppgifter genom att ta in nya uppgifter i det registret.
12.7 Utlämnande av uppgifter på
Bedömning: Förbud mot utlämnande av uppgifter på
obehöriga. Om inte annat följer av särskilda bestämmelser väljer Pliktverket i vilken form uppgifterna skall tillhandahållas dem, som har rätt att få del av dessa (Jfr avsnitt 12.4 om terminalåtkomst, ovan). Nuvarande bestämmelse i 7 kap. 16 § sekretesslagen stadgar sekretess för personuppgifter i personregister som avses i datalagen om det kan antas att utlämnande skulle medföra att uppgiften används för automatisk databehandling i strid mot datalagen. Bestämmelsen innebär i praktiken att ett utlämnande på
Datalagskommittén har dessutom föreslagit en ändring i tryckfrihetsförordningen som innebär att den som begär det har rätt att mot en fastställd avgift i utskrift, kopia eller elektronisk form få ut en handling eller uppgifter ur en databas, allt till den del uppgifterna får lämnas ut. Enligt gällande rätt är en myndighet inte skyldig att lämna ut upptagning för ADB i annan form än utskrift (2 kap. 13 § TF).
Överväganden: Som framgår av vad som nyss anförts kommer det efter persondatalagens ikraftträdande inte att krävas någon särskild bestämmelse för att en mottagare som så önskar skall kunna få uppgifter från Pliktverkets
Datalagskommittén motiverar sitt förslag till ändring av den berörda bestämmelsen om formerna för utlämnande i tryckfrihetsförordningen på följande sätt (Datalagskommittén, avsnitt 18.6.1):
Bestämmelsen om att upptagningar inte behöver tillhandahållas i annan form än utskrift infördes samtidigt med datalagen. Som tidigare nämnts var syftet med bestämmelsen att undvika otillbörliga intrång i den personliga integriteten. Man befarade nämligen att uppgifterna kunde bli föremål för vidare behandling i strid mot datalagens bestämmelser. Offentlighets- och sekretesslagstiftningskommitténs förslag som låg till grund för bestämmelsen mötte kritik redan på den tiden. En rad remissinstanser ansåg bl.a. att det med hänsyn till den tekniska utvecklingen borde te sig alltmer naturligt och praktiskt att låta offentlighetsprincipen inrymma också direkt tillgång till datamedier. Det framhölls även från vissa att den föreslagna spärren var bristfällig, eftersom man med hjälp av optisk läsning (skanning) skulle kunna bygga upp sådana dataregister enbart med hjälp av utskrifter av upptagningar som myndigheterna är skyldiga att lämna ut.
Vi anser att tiden nu är mogen att lämna pappershanteringen även när det handlar om att lämna ut uppgifter enligt offentlighetsprincipen. Myndigheterna bör i princip ha en skyldighet att, inte bara visa utan även, lämna ut allmänna handlingar och andra uppgifter i elektronisk form. Det bör vara upp till den enskilde beställaren att välja i vilken form han vill ha uppgifterna.
Vi utgår i våra förslag ifrån att Datalagskommitténs förslag till persondatalag kommer att antas av riksdagen utan omfattande förändringar. Den slutsatsen bygger vi i huvudsak på att
Sammantaget anser vi att en bestämmelse som begränsar möjligheterna till utlämnande av uppgifter på
13 Arkivering och gallring
Förslag: En personuppgift i Pliktverkets
Regeringen skall få föreskriva kortare tid för gallring.
Undantag från gallringsskyldigheten skall få göras genom föreskrifter av regeringen eller av den myndighet som regeringen bestämmer beträffande personuppgifter som skall bevaras för forskningens behov. Sådana uppgifter skall avföras från registret när skyldigheten att gallra annars inträtt.
Bedömning: Särskilda föreskrifter för journalhandlingar som enligt patientjournallagen (1985:562) skall bevaras viss minsta tid behövs ej.
Bakgrund: Enligt 9 § första stycket i) i förslaget till persondatalag skall den persondataansvarige tillse att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna avidentifieras eller förstöras (Datalagskommittén, avsnitt 12.4.5). Enligt en uttrycklig bestämmelse i 8 § andra stycket i förslaget till persondatalag hindrar dock inte övriga bestämmelser i lagen att en myndighet arkiverar eller bevarar sina allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Datalagskommittén har motiverat denna bestämmelse med att de ändamål som myndighetsarkiven skall tjäna kan hänföras till vad som i
implementeras i svensk rätt. Datalagskommittén föreslår dock att begreppet allmän handling ersätts med allmän uppgift i arkivlagen samt att uppgifter i handlingar och databaser skall ses som en del av myndighetens arkiv så snart uppgifterna är att anse som allmänna enligt 2 kap. tryckfrihetsförordningen (se Datalagskommittén, avsnitt 22.1).
Arkivlagen föreskriver som huvudregel att allmänna handlingar skall bevaras. För personuppgifter i register som regleras av särskilda registerförfattningar är principen som regel i stället den omvända, nämligen att uppgifterna skall gallras efter en bestämd tid om det inte finns någon uttrycklig bestämmelse i den särskilda författningen, eller i bestämmelse som är meddelad med stöd av denna, att uppgiften skall bevaras. (Se ovan avsnitt 4.5 och prop. 1989/ 90:72 s 50 ff). Principen med gallring som huvudregel för personuppgifter i
För journalhandlingar finns särskilda bestämmelser i patientjournallagen (1985:562). Med journalhandlingar avses de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vård (med vård avses även undersökning och behandling) och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Som journalhandling anses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, dvs. även uppgifter lagrade på datamedium. I patientjournallagen finns bestämmelser om patientjournalers utformning och innehåll, skyldighet för viss hälso- och sjukvårdspersonal att föra journal och om bevarande av journalhandlingar m.m.
Överväganden
Vad innebär gallring?
I dag är det möjligt för en myndighet att bevara uppgifter från ett
—informationsförlust
—förlust av möjliga informationssammanställningar
—förlust av sökmöjligheter eller
—förlust av möjligheten att fastställa informationens autencitet.
Personuppgifter i ett
Vi anser inte att det är vår sak att ta ställning till om en ordning som den nyss beskrivna är tillfredsställande. Vi kan bara konstatera att definitionen av gallring (förstöring) är ägnad att skapa viss förvirring.
Vi använder inte gallringsbegreppet i någon annan betydelse än den som nu redovisats vilket är viktigt att påpeka inför den fortsatta framställningen. Det väsentliga är enligt vår mening att särskilda bestämmelser finns som anger hur länge olika personuppgifter får finnas
kvar i Pliktverkets
För uppgifter som inte registrerats krävs inga särskilda bestämmelser
För personuppgifter som Pliktverket behandlar utan att registrera dem i
Huvudregeln skall vara gallring efter bestämd tid för uppgifter i registret
Vi delar den uppfattning som uttrycks i prop. 1989/90:72 s 50 ff, om att integritetsskyddet motiverar en i förhållande till arkivlagen omvänd gallringsprincip för
Uppgifter om närstående och andra personer beträffande vilka uppgifter antecknats i registret som personuppgifter hänförliga till en viss registrerad totalförsvarspliktig, skall naturligtvis inte kvarstå i registret längre än uppgiften behövs som informationsunderlag om den totalförsvarspliktige. Detta bör framgå av lagtexten.
Det bör ankomma på regeringen ge närmare föreskrifter om när olika personuppgifter skall gallras.
Undantag från gallringsskyldighet skall göras för forskningens behov
Många av de personuppgifter Pliktverket registrerar har ett mycket stort värde för forskningen. Uppgifterna innehåller allsidig information beträffande en stor del av befolkningen — företrädesvis män — vid en viss ålder. Samma slag av uppgifter insamlas år efter år och förändringar av t.ex. folkhälsan kan härigenom kontinuerligt följas. Det är lätt att inse att undantag från skyldigheten att gallra uppgifter bör göras med hänsyn till forskningen. Ett sådant undantag medför att uppgifterna inte behöver överföras till annan databärare med någon typ av informationsförlust som följd, vilket torde vara en stor fördel för forskningen. Avgörandet av vilka uppgifter som skall bevaras med hänsyn till forskningens behov bör överlåtas till Riksarkivet (jfr prop. 1989/90:72 s. 52).
Det torde vara såväl nödvändigt som tillräckligt att i lagtexten ange att regeringen äger föreskriva undantag från gallringsplikten för forskningens behov. Gallringsföreskrifter för myndigheter faller under regeringens sk. restkompetens (se avsnitt 9.2.2, ovan). I och med att riksdagen — enligt vårt förslag — går in och ger föreskrifter om gallring, måste kompetensen återföras genom att det i lagen anges att regeringen får föreskriva kortare tid för gallring än vad som följer av lagen. Regeringen kan därefter — utan särskilt bemyndigande — i förordning överlåta åt myndighet (Riksarkivet) att meddela bestämmelser ”i ämnet”, enligt 8 kap. 13 § tredje stycket regeringsformen.
Det skall påpekas att sådana uppgifter som enligt förslaget till persondatalag betecknas som känsliga, får behandlas för forskningsändamål om behandlingen är nödvändig och samhällsintresset av att projektet genomförs klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som projektet kan innebära (se
19 § i förslaget till persondatalag).
Patientjournallagens bestämmelser
En del av de uppgifter som Pliktverket registrerar omfattas av bestämmelserna i patientjournallagen (1985:562). Det gäller t.ex. journalanteckningar som förs av hälso- och sjukvårdspersonal vid totalförsvarets utbildningsenheter. För journalhandlingar föreskrivs en minsta bevarandetid om tre år efter det att den sista uppgiften fördes in i handlingen (8 §). Regeringen eller myndighet som regeringen bestämmer får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år. I övrigt gäller — såvitt avser de journalhandlingar som utgör allmän handling — arkivlagens bestämmelser och de bestämmelser som utfärdats med stöd av den lagen. Kraven på vissa minimitider för bevarandet av journalhandlingar motiveras av säkerheten och rättssäkerheten i vården (se prop. 1984/85:189).
De ovan föreslagna gallringsföreskrifterna i lagen om behandling av personuppgifter om totalförsvarspliktiga hindrar inte en tillämpning av patientjournallagens bestämmelser om minsta tid för bevarande av journalhandlingar. Innan en journalhandling gallras ur ett
Förvaring av handlingar undantagna från gallring
Enligt arkivlagen (1990:782) svarar varje myndighet för vården av sitt arkiv (4 §) Normalt innebär ett överlämnande av en myndighets arkivmaterial till en arkivmyndighet en viss förstärkning av skyddet för uppgifterna. Föreskrifter om att sådana uppgifter som är undantagna från gallringsplikt skall överlämnas till arkivmyndighet är därför inte sällsynta i särskilda registerförfattningar. Arkivmyndighetens uppgift är koncentrerad på förvaring och den myndigheten har också normalt andra resurser för en effektiv och säker lagring av uppgifter som inte skall behandlas i det dagliga arbetet. I dag bevaras Pliktverkets läkarhandlingar (journal-
handlingar) — som i praktiken utgör det centrala materialet för forskningens behov — genom att uppgifterna (som finns på papper) kopieras (mikrofilmas) och förs över till det av Pliktverket förda Centrala läkarhandlingsarkivet (CLA). I CLA finns i dag journalhandlingar för dem som är födda åren
Även om uppgifterna skall finnas kvar hos Pliktverket saknas det skäl för att låta uppgifter som bevarats enbart för forskningens behov kvarstå i Pliktverkets
Sammanfattning
En tillämpning av vårt förslag, jämte Riksarkivets föreskrifter om vad som avses med gallring (förstöring) ger följande resultat:
—Uppgifter som skall gallras skall vid tidpunkten för gallringen utplånas ur registret. En föreskrift om gallring hindrar dock inte att uppgiften dessförinnan mikrofilmas, skrivs ut på papper eller sparas på annat sätt av myndigheten (under förutsättningen att överföringen till den andra databäraren medfört förlust av sökmöjligheter eller annan förlust som nämns i Riksarkivets definition av förstöring).
—Uppgifter som Riksarkivet bestämt skall sparas för forskningens behov, behöver inte gallras (dvs. behöver inte ”förstöras”) men skall avföras från
—Uppgifter som skall gallras men ändå bevaras av hänsyn till bestämmelserna i patientjournallagen, skall före gallringen överföras till annan databärare för lagring på annat ställe än i ADB- registret över totalförsvarspliktiga.
14 Sekretessfrågor
14.1 Inledning
Sekretesslagstiftningen måste genomgående beaktas vid tillämpningen av särskilda registerförfattningar. Terminalåtkomst, utlämnande på
Uppgifter om totalförsvarspliktiga skall kunna överlämnas mellan de myndigheter och andra inblandade som behöver ta del av dem för att totalförsvarets och den registrerades behov skall kunna tillgodoses. Uppgifterna är till stor del av känslig karaktär och det framstår som angeläget att ett sekretesskydd finns mot obehöriga utomstående.
Kort sammanfattat bör reglerna vara utformade så att sekretessen inte hindrar dem som behöver uppgifterna från att ta del av dessa medan den skall utgöra ett effektivt legalt skydd mot att uppgifterna hamnar i orätta händer.
I avsnitt 4.3 ovan lämnas en redogörelse för gällande sekretessbestämmelser.
14.2Pliktverkets möjligheter att ta del av sekretessbelagda personuppgifter från andra myndigheter
Förslag: De organisatoriska enheter där grundutbildning för värnplikt eller civilplikt genomförs skall, senast då den totalförsvarspliktige rycker ut, lämna journalhandlingar som upprättats under utbildningen till Pliktverket.
Bakgrund: De uppgifter som lämnas till Pliktverket från andra myndigheter är inte sällan sekretessbelagda hos dessa. Av den anledningen finns en ”katalog” av sekretessbrytande bestämmelser — föreskrifter om uppgiftsskyldighet (se ovan, avsnitt 4.3.8) — i 3 kap. förordningen om totalförsvarsplikt. Under utredningsarbetet har det uppmärksammats att någon särskild föreskrift som gör det möjligt för Riksförsäkringsverket att lämna uppgifter om förtidspensioner till Pliktverket utan att företa skadeprövning inte finns. Förhållandet är detsamma vad gäller utlämnande till Pliktverket av de journalanteckningar som gjorts på utbildningsenheterna under grundutbildningen.
Överväganden: Pliktverket behöver uppgifter om huruvida någon av dem som skall kallas till mönstring eller andra utredningar för fastställande av totalförsvarsplikten är förtidspensionerad. Förtidspension innebär som regel hinder för tjänstgöring och det är en fördel för såväl Pliktverket som den enskilde om förhållandet uppmärksammas innan kallelse till t.ex. mönstring utfärdas. Enligt 7 kap. 7 § sekretesslagen gäller sekretess hos Riksförsäkringsverket i ärende enligt lagstiftningen om allmän försäkring för uppgift om någons hälsotillstånd eller andra personliga förhållanden om det kan antas att den som uppgiften rör eller någon honom närstående lider men om uppgiften röjs. Eftersom sekretessbrytande bestämmelser saknas innebär detta stadgande att Riksförsäkringsverket i princip har att göra en skadeprövning varje gång Pliktverket begär att få sådana uppgifter. Detta är inte en tillfredsställande ordning. Vi har övervägt att föreslå att en bestämmelse tas in i förordningen om totalförsvarsplikt med innebörden att Riksförsäkringsverket, på begäran av Pliktverket, skall lämna uppgifter om beslutade folkpensioner i form av förtidspensioner och sjukbidrag (se 7 kap. lagen [1962:381] om allmän försäkring). Pliktverket har dock redan agerat och framställt en begäran till Försvarsdepartementet om en motsvarande ändring i förordningen om totalförsvarsplikt. Vi avstår av den anledningen från att lägga fram ett förslag från utredningens sida.
Under grundutbildningen förekommer det att förbandsläkare och annan hälso- och sjukvårdspersonal vid utbildningsenheterna för journalanteckningar beträffande pliktpersonal. Detta blir aktuellt om åtgärder i form vård och behandling förekommer under utbildningstiden. Pliktverket behöver dessa journalanteckningar som underlag vid bedömningen av hur den totalförsvarspliktige bäst skall kunna användas inom totalförsvaret efter genomförd grundutbildning. Uppgifterna i journalerna är emellertid belagda med sekretess enligt 7 kap. 1 § första stycket sekretesslagen och de får därmed inte lämnas ut från hälso- och sjukvårdsenheten på t.ex. ett förband om det inte står klart att de kan röjas utan att den enskilde eller någon honom närstående lider men. Detta innebär i princip att den ansvarige har att göra en skadeprövning
varje gång en journalhandling skall lämnas till Pliktverket. För att möjliggöra ett smidigare förfarande föreslår vi en sekretessbrytande bestämmelse med innebörden att utbildningsenheterna, senast vid utryckningen, skall lämna de journalhandlingar som upprättats under utbildningstiden till Pliktverket. Bestämmelsen förs lämpligast in i förordningen om totalförsvarsplikt.
I övrigt har vi inte funnit några hinder i form av sekretess för att Pliktverket skall kunna få de uppgifter verket behöver från andra myndigheter. Härvid har vi bedömt att bestämmelsen i 4 kap. 6 § förordningen om totalförsvarsplikt får anses som sekretessbrytande vad gäller de personuppgifter som skall lämnas till Pliktverket från de myndigheter som kan utföra mindre omfattande utredningar angående de totalförsvarspliktigas personliga förhållanden. I nämnda lagrum anges att den som vill få totalförsvarspliktiga inskrivna skall lämna Totalförsvarets pliktverk det underlag som behövs för inskrivningen.
14.3 Sekretess för uppgifter om totalförsvarspliktiga hos Pliktverket
Förslag: Uppgifter om en enskilds personliga förhållanden i journaler som upprättats vid utbildningsenheten under utbildningstiden skall vara sekretessbelagda även hos Pliktverket.
Pliktverkets skyldighet att överlämna journalhandlingar till hälso- och sjukvårdspersonalen vid totalförsvarets utbildningsenheter, när de totalförsvarspliktiga rycker in, skall omfatta även sådana journalhandlingar som upprättats vid särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.
Pliktverket skall dessutom ha skyldighet att lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsa till befattningshavare vid utbildningsenheten som har till uppgift att utbilda den totalförsvarspliktige. Dessa uppgifter skall anges kortfattat.
Bakgrund: Personuppgifter om totalförsvarspliktiga skyddas av bestämmelserna i 7 kap 12 § sekretesslagen och — såvitt avser uppgifter från medicinska undersökningar — av 1 § i samma kapitel (en utförligare redovisning ges ovan i avsnitt 4.3.4). Härtill kommer sekretesslagens särskilda bestämmelser om sekretess för personuppgifter i personregister (se avsnitt 4.3.5 jfrt med Datalagskommitténs förslag som redovisas i avsnitt 6.9.4) och för uppgifter som angår verksamhet för att försvara landet (se avsnitt 4.3.6).
Bestämmelser som bryter sekretessen hos Pliktverket — bortsett från sekretesslagens generella bestämmelser om begränsningar i sekretess (14 kap. sekretesslagen) — finns i förordningen (1995:648) med instruktion för Totalförsvarets pliktverk. I nämnda förordning föreskrivs följande:
3 § Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstringen till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.
Bestämmelsen infördes den 1 januari 1997 sedan det upptäckts att Pliktverket på grund av gällande sekretessbestämmelser i princip var förhindrade att lämna ut journalhandlingar till de utbildningsansvariga enheterna inom totalförsvaret utan samtycke från den enskilde.
Överväganden: Vi har i förra avsnittet föreslagit en sekretessbrytande bestämmelse som gör det möjligt för Pliktverket att ta del av de journalhandlingar som upprättats under de
totalförsvarspliktigas grundutbildning. Någon bestämmelse som skyddar sådana uppgifter sedan de inkommit till Pliktverket finns för närvarande inte (Förutom det mycket svaga skydd som ges för uppgifter i Pliktverkets register över totalförsvarets personal, se 1 b § sekretessförordningen och avsnitt 4.3.4, ovan). 7 kap. 1 § första stycket sekretesslagen gäller endast för uppgifter inom hälso- och sjukvården och 7 kap. 12 § första stycket avser uppgifter i ärenden om inskrivning av totalförsvarspliktiga samt antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar. Det är uppenbart att uppgifter om den enskildes hälsa och personliga förhållanden i övrigt som återfinns i de aktuella journalerna bör åtnjuta ett likvärdigt skydd hos Pliktverket som de uppgifter som framkommer vid mönstringen och motsvarande förrättningar. Vi föreslår därför att 7 kap. 12 § första stycket sekretesslagen ändras till att omfatta sekretess även i ärenden om krigsplacering av den totalförsvarspliktige. Av lagrummet följer redan att sekretess för uppgifterna gäller bl.a. i ärende som angår skyldighet att tjänstgöra med totalförsvarsplikt och avbrott i sådan tjänstgöring. Tillsammans med den ändring vi föreslår torde därmed sekretessen omfatta de ändamål för vilka Pliktverket innehar dessa uppgifter. Skaderekvisitet i lagrummet är rakt, dvs. uppgifterna får inte lämnas ut om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Med hänsyn till att de journalanteckningar som förs vid en utbildningsenhet normalt är av relativt enkel beskaffenhet torde ett sådant skydd vara nog.
I övrigt är sekretesskyddet för personuppgifter hos Pliktverket tillräckligt enligt vår bedömning. Ovan lämnad redovisning visar att det inte sällan finns flera sekretessregler som gäller för samma uppgift. Möjligen kan det sägas vara en brist att uppgifter från psykologiska undersökningar som utförs vid mönstring (motsv.) endast är skyddade enligt en bestämmelse med ett rakt skaderekvisit (7 kap. 12 § första stycket sekretesslagen) hos Pliktverket. Till skillnad från vad som gäller de medicinska undersökningarna är nämligen inte 7 kap. 1 § första stycket sekretesslagen tillämpligt på personuppgifter från dessa undersökningar (se ovan avsnitt 4.3.4). Vår översyn av aktuella sekretessregler har dock inte omfattat omprövningar av tidigare överväganden vad gäller sekretessens styrka i olika fall. Vi vill med den gjorda anmärkningen endast fästa uppmärksamhet på förhållandet.
Bestämmelser som bryter sekretessen för personuppgifter hos Pliktverket är få. Den enda som specifikt inriktar sig på uppgifter som behandlas av Pliktverket är den ovan redovisade i myndighetens instruktion. Behovet av sekretessbrytande föreskrifter är dock inte heller stort. De flesta uppgifter som är av den karaktären att de inte kan lämnas ut med hänsyn till sekretess, behöver inte heller utges till annan för att verksamheten med att placera och redovisa totalförsvarspliktig personal skall fungera. Vi har uppmärksammat två fall där föreskrifter som bryter sekretessen är påkallade:
1. Utlämnande av journalhandlingar till utbildningsenheterna beträffande de kvinnor som genomgått särskild antagningsprövning.
Den ovan redovisade bestämmelsen i Pliktverkets instruktion gäller endast journalhandlingar som upprättats vid mönstring. Behovet av journalhandlingar hos hälso- och sjukvårdspersonalen på utbildningsenheten är lika stort beträffande de kvinnor som antas till grundutbildning efter sådan särskild antagningsprövning som motsvarar mönstring (se 3 § lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning). Ett tillägg bör därför göras till 3 § i förordningen med instruktion för Totalförsvarets pliktverk så att även journalhandlingar upprättade vid antagningsprövning för kvinnor omfattas av bestämmelsen om utlämnande.
2. Utlämnande av uppgifter om psykisk funktionsförmåga och fysisk arbetsförmåga m.m. till
utbildningsenheten.
Det är inte bara hälso- och sjukvårdspersonalen vid utbildningsenheten som behöver uppgifter om den totalförsvarspliktiges psyke och hälsa under grundutbildningen. Ansvarigt befäl eller motsvarande bör också få tillgång till basuppgifter i detta avseende (jfr vad som finns med på det sk. grundutbildningskortet, avsnitt 8.4.4). Vi föreslår därför en bestämmelse som anger att Pliktverket i samband med att den totalförsvarspliktige rycker in skall lämna kortfattade uppgifter om hans eller hennes psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsa till utbildningsenheten. Personuppgifterna lämnas lämpligen till befattningshavare som har till uppgift att utbilda den totalförsvarspliktige. Bestämmelsen kan införas som ett andra stycke i 3 § förordningen med instruktion för Totalförsvarets pliktverk.
Det förekommer att utbildning av totalförsvarspliktiga som skall tjänstgöra med civilplikt genomförs hos ett organ som inte är en myndighet. Bestämmelser som bryter sekretess genom att uppgiftsskyldighet föreskrivs i lag eller förordning är endast tillämpliga myndigheter emellan. (Se 14 kap. 1 § sekretesslagen. Se även 1 kap. 8 § enligt vilket lagrum vissa andra organ skall jämställas med myndigheter vid tillämpningen av sekretesslagen). Något generellt behov av att annars sekretessbelagda uppgifter lämnas ut till annan än myndighet under grundutbildningen har inte framkommit. Vi vill dock peka på att utlämnande av sådana uppgifter inte kan ske med stöd av 3 § förordningen med instruktion för Totalförsvarets pliktverk i dessa fall. Efter en skadeprövning i det enskilda fallet torde nödvändiga personuppgifter emellertid kunna lämnas ut även till enskilda utbildningsanordnare, i vart fall med förbehåll om att uppgifterna inte får lämnas vidare (se 14 kap. 9 § första stycket sekretesslagen).
Med hänsyn till att det i nuläget förefaller något oklart vem som skall stå som mottagare av personuppgifter om de totalförsvarspliktiga i en krigssituation har vi inte övervägt vilka sekretessbrytande bestämmelser som härvid kan vara nödvändiga.
14.4 Sekretess hos dem som tar emot personuppgifter från Pliktverket
Förslag: Sekretess skall gälla för uppgifter om den totalförsvarspliktiges personliga förhållanden inom verksamhet som avser utbildning för totalförsvarsändamål, hos befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall inte få lämnas ut om det inte står klart att de kan röjas utan att den som uppgiften rör eller någon honom eller henne närstående lider men.
Bakgrund: Sekretessen följer inte en uppgift som lämnats ut om det inte finns en särskild regel om detta (se ovan avsnitt 4.3.9).
Överväganden: Det är viktigt att en sekretessbelagd uppgift som kan lämnas ut från Pliktverket till annat organ inom totalförsvaret på grund av en sekretessbrytande bestämmelse inte står oskyddad hos mottagaren.
För uppgifter om den enskildes hälsotillstånd eller andra personliga förhållanden som lämnas till de utbildningsansvariga enheternas hälso- och sjukvårdspersonal gäller sekretessbestämmelserna i 7 kap. 1 § första stycket sekretesslagen även hos mottagaren. I kommentaren till sekretesslagen (Corell m.fl; Sekretesslagen — Kommentar till 1980 års lag med ändringar, 3 uppl., 1992) uttalas i anslutning till denna bestämmelse följande:
Hälso- och sjukvård behöver inte bedrivas i organisatoriskt självständiga former utan kan utgöra inslag i annan förvaltning, t.ex. inom skolväsendet, socialtjänsten, kriminalvården eller försvarsmakten. Också företagshälsovården i det allmännas verksamhet faller under paragrafens tillämpningsområde. Avsikten är att i dessa fall den del av verksamheten som är att räkna till hälso- eller sjukvård skall falla under den nu aktuella sekretessregleringen, inte under den reglering som gäller för värdmyndigheten. I den mån uppgifterna kommer att hanteras i denna
myndighets egentliga verksamhet, blir emellertid den senare regleringen att tillämpa. Uppgifter om t.ex. den enskildes hälsa som kan komma att lämnas av Pliktverket till andra
delar av utbildningsenheten än hälso- och sjukvårdspersonalen, omfattas sålunda inte av sekretess enligt 7 kap 1 § första stycket sekretesslagen. Det gäller i första hand det ovan nämnda grundutbildningskortet med uppgifter om bl.a. den enskildes psykiska funktionsförmåga. Pa- ragrafen i övrigt är inte heller tillämplig hos den utbildande enheten. Enligt 7 kap. 12 § andra stycket sekretesslagen gäller sekretess: ”...inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.”
Inte heller denna sekretessbestämmelse torde vara tillämplig på de uppgifter i ett grundutbildningskort som tillställs utbildningsenheten. En utbildningsansvarig chef är knappast sådan ”annan befattningshavare” som nämns där. Uppgifterna i grundutbildningskortet skall — enligt vad vi föreslår — vara kortfattade och lämnas i dag i form av en siffer- och/eller bokstavskod. Innehållet är mycket känsligt såvitt avser graderingen av den enskildes psykiska funktionsförmåga och trots kodning så pass lättolkat för de initierade, vilket torde vara i stort sett alla de som själva tjänstgjort inom totalförsvaret, att uppgifterna bör skyddas med en sekretessbestämmelse även hos mottagaren. Vi föreslår därför att 7 kap. 12 § sekretesslagen förses med ett nytt tredje stycke där det anges att sekretess gäller för uppgifter som hänför sig till psykologiska undersökningar och för uppgifter om den totalförsvarspliktiges personliga förhållanden hos befattningshavare som har till uppgift att utbilda honom eller henne. De aktuella personuppgifternas känslighet motiverar ett omvänt skaderekvisit. Uppgifter från psykologiska undersökningar får härmed ett starkare sekretesskydd hos befattningshavaren vid utbildningsenheten än vad uppgifterna har hos Pliktverket. Så är också fallet i dag när sådana uppgifter lämnas från Pliktverket till en förbandsläkare eftersom 7 kap. 1 § första stycket sekretesslagen gäller hos förbandsläkaren men inte hos Pliktverket. (Jfr vad som sägs om uppgifter från psykologisk undersökning i avsnitt 14.3).
Uppgifter i övrigt som lämnas ut av Pliktverket har, såvitt vi kan bedöma, erforderligt sekretesskydd hos mottagarna. Uppgifter om krigsplaceringar etc. omfattas av försvarssekretessen om uppgifterna är känsliga (2 kap. 2 § sekretesslagen). Det skall också erinras om den absoluta sekretess som gäller för uppgifter som används vid framställning av statistik (9 kap. 4 § sekretesslagen, se avsnitt 4.3.7 ovan) och om att den sekretess som gäller hos Pliktverket (enligt 13 kap. 3 och 4 §§ sekretesslagen) följer med uppgifterna om de överlämnas till en myndighet för forskningsverksamhet eller för arkivering. Om enskild efter särskild skadeprövning enligt sekretesslagen får ta del av uppgifter för forskningsändamål kan förbehåll med förbud att lämna uppgiften vidare ställas upp enligt 14 kap. 9 § sekretesslagen. Så- dant förbehåll kan också — som tidigare nämnts — användas om det i andra fall skulle vara aktuellt att lämna ut personuppgifter om totalförsvarspliktiga till andra utbildningsanordnare än myndigheter.
15 Skadestånd och straff
15.1 Skadestånd
Förslag: Persondatalagens bestämmelser om skadestånd skall gälla även behandlingar som
utförts i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av den lagen.
En föreskrift som anger detta förhållande tas in i lagen eftersom den föreslagna persondatalagens skadeståndsbestämmelser endast gäller vid behandling som skett i strid med den lagen eller föreskrifter som meddelats med stöd därav.
Bakgrund: Enligt förslaget till persondatalag (43 §) skall den persondataansvarige ersätta den registrerade för den skada som en behandling av personuppgifter i strid med den lagen eller föreskrifter som har meddelats med stöd av lagen fört med sig. Ersättning skall inte bara betalas för person- och sakskada utan också för ren förmögenhetsskada samt för den kränkning av den personliga integriteten som behandlingen har inneburit. Ersättningsskyldigheten kan i den utsträckning det är skäligt sättas ned eller helt falla bort, om den persondataansvarige visar att felet inte berodde på honom eller henne.
Skillnaden mellan de särskilda bestämmelserna i förslaget till persondatalag och allmänna bestämmelser i skadeståndslagen (1972:207) består främst i att ersättning enligt persondatalagen kan utgå för ren förmögenhetsskada och för kränkning av den personliga integriteten även om brottslig gärning ej begåtts.
Överväganden: Datalagskommitténs överväganden har skett mot bakgrund av
15.2 Straff
Bedömning: Skäl för avvikelser från de föreslagna bestämmelserna i persondatalagen, eller från straffrättsliga föreskrifter i övrigt, föreligger inte.
Bakgrund: Datastraffrättsutredningen har föreslagit att datalagens bestämmelser om straff för dataintrång (21 § datalagen) flyttas till brottsbalken (se SOU 1992:110 s. 182 ff). Datalagskommittén har instämt i förslaget. I övrigt har Datalagskommittén föreslagit viss avkriminalisering i förhållande till vad som gäller enligt datalagen i dag. Kommittén anser att vissa av de straffbestämmelser som finns i dag inte är relevanta för det föreslagna systemet och att vite och skadestånd i flera fall utgör tillräckliga sanktioner (Datalagskommittén, avsnitt 12.13.2.4). Kommittén föreslår en bestämmelse i persondatalagen (44 §) som straffbelägger lämnande av osanna uppgifter till den registrerade eller tillsynsmyndigheten. Straffet föreslås vara böter eller fängelse i högst sex månader eller, om brottet är att betrakta som grovt, fängelse i högst två år.
Överväganden: Det saknas skäl för särskilda straffbestämmelser avseende brott mot föreskrifterna i lagen om behandling av personuppgifter om totalförsvarspliktiga.
16 Ikraftträdande och övergångsbestämmelser
16.1 Ikraftträdande
Förslag: Lagen om behandling av personuppgifter om totalförsvarspliktiga skall träda i kraft den 1 januari 1999.
Ändringarna i sekretesslagen (1980:100), förordningen (1995:238) om totalförsvarsplikt och förordningen (1995:648) med instruktion för Totalförsvarets pliktverk, skall träda i kraft den 1 januari 1998.
16.1.1 Lagen om behandling av personuppgifter om totalförsvarspliktiga
Överväganden: Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga är skrivet mot bakgrund av den av Datalagskommittén föreslagna persondatalagen (SOU 1997:39) och utformad i samspel med den lagens bestämmelser. Lagen kan således inte träda i kraft före persondatalagen, vilken föreslagits gälla från och med den 1 januari 1999. Då det inte finns skäl att avvakta ytterligare föreslår vi att lagen om behandling av personuppgifter om totalförsvarspliktiga träder i kraft samtidigt som persondatalagen. Tiden fram till dess torde vara tillräcklig för övervägande av vilka ytterligare föreskrifter i förordningsform som kan behövas. I och med att lagarna träder i kraft samtidigt skall Pliktverket inte behandla personuppgifter i enlighet med datalagen fram till oktober 2001, vilket annars hade varit fallet enligt övergångsbestämmelserna till persondatalagen. (Se nedan under Övergångsbestämmelser, avsnitt 16.2.2).
Tillstånd och föreskrifter som har meddelats av Datainspektionen bör anses förlora sin verkan per ikraftträdandedagen (Jfr Datalagskommittén, avsnitt 12.15.2.5). Föreskrifter från Riksarkivet avseende gallring av
16.1.2 Ändringar i andra författningar
Överväganden: Vi har föreslagit ändringar i sekretesslagen, förordningen om totalförsvarsplikt och förordningen med instruktion för Totalförsvarets pliktverk (se kap. 14).
Nämnda ändringar är inte beroende av att persondatalagen trätt i kraft, utan fungerar även tillsammans med nu gällande föreskrifter.
Bestämmelserna bör införas snarast möjligt, eftersom de reglerar och möjliggör nödvändigt utbyte av personuppgifter de inblandade myndigheterna emellan. Vi föreslår den 1 januari 1998 som datum för införandet.
16.2 Övergångsbestämmelser
Förslag: Personer som vid lagens ikraftträdande har mönstrat (motsv.) men inte tagits i anspråk för totalförsvarets räkning skall, utan hinder av de begränsningar av registerinnehåll som följer av lagen, också få antecknas i Pliktverkets
Persondatalagens bestämmelser skall gälla vid behandling av personuppgifter som omfattas av lagen om behandling av personuppgifter om totalförsvarspliktiga från den 1 januari 1999, även såvitt avser sådan behandling som redan pågår vid den tidpunkten.
Bestämmelsen som ger andra än Pliktverket rätt att behandla känsliga personuppgifter skall dock gälla först från och med den
1 oktober 2001.
16.2.1 Registrering av uppgifter om personer vars tjänstbarhet utretts före den 1 januari 1999, men som vid den tidpunkten inte tagits i anspråk för totalförsvarets räkning
Överväganden: Enligt vårt förslag skall uppgifter om totalförsvarspliktiga få registreras i Pliktverkets
Det är självfallet så att uppgifterna endast får antecknas där i den mån de är relevanta för ändamålen med registret och inte om de enligt andra föreskrifter redan fallit för gallringsplikten.
16.2.2 Förhållandet till den föreslagna persondatalagens övergångsbestämmelser
Överväganden: Nedan anges de föreslagna övergångsbestämmelserna till persondatalagen i 8 punkter. Under varje punkt följer våra överväganden och kommentarer. Om inget annat sägs föreslår vi inga undantag vad gäller behandlingen av personuppgifter om totalförsvarspliktiga. (För en utförlig redovisning av skälen bakom de föreslagna övergångsbestämmelserna till persondatalagen hänvisas till Datalagskommittén, avsnitt 12.15).
1. Denna lag träder i kraft den 1 januari 1999, då datalagen (1973:289) upphör att gälla. Den äldre lagen gäller dock fortfarande i fråga om överklagande av beslut som meddelats före den 1 januari 1999.
Talan mot Datainspektionens beslut, t.ex.om förverkande av register, skall föras enligt datalagens bestämmelser om beslutet är meddelat med stöd av den lagen.
2. Beträffande sådan behandling av personuppgifter som pågår vid ikraftträdandet skall till utgången av september månad 2001 den äldre lagen tillämpas i stället för den nya. Detta gäller även bestämmelserna i den äldre lagen om överklagande.
Enligt Datalagskommittén bör man kunna använda sig av en vid tolkning av begreppet ”behandling som redan pågår”. Har väl en serie behandlingar påbörjats före ikraftträdandet, bör den behandlingsserien kunna fortsätta oberörd av den nya lagen ända till den 1 oktober 2001, trots att bara viss typ av behandling — t.ex. genom sökningar, ändringar och kompletteringar
— påbörjas eller återupptas (Datalagskommittén, avsnitt 12.15.2.2).
I och med att lagen om behandling av personuppgifter om totalförsvarspliktiga — enligt vad vi föreslår — träder i kraft samma dag som persondatalagen, skall inte denna övergångsbestämmelse gälla för Pliktverkets behandling av dessa uppgifter. Pliktverket har att följa bestämmelserna i båda de nya lagarna från och med den gemensamma dagen för ikraftträdandet. Det bör därför anges i bestämmelsen om ikraftträdande för lagen om behandling av personuppgifter om totalförsvarspliktiga att även persondatalagen skall tillämpas vid behandlingen, utan hinder av vad som sägs i 2 p i övergångsbestämmelserna till den lagen.
3. Bestämmelserna i 9, 10, 13, och 21 §§ i den nya lagen skall inte börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling av personuppgifter som pågår vid ikraftträdandet.
De uppräknade paragraferna avser grundläggande krav på behandlingen av personuppgifter, allmänna förutsättningar när behandling är tillåten, förbud mot behandling av känsliga personuppgifter samt förbud för andra än myndigheter att behandla uppgifter om lagöverträdelser.
Innebörden är att Pliktverket kan fortsätta ev. manuell behandling av personuppgifter som redan pågår den 1 januari 1999, utan att behöva beakta dessa bestämmelser i persondatalagen fram till nämnd datum. Manuell behandling av personuppgifter har tidigare inte reglerats av persondataskyddslagstiftningen i Sverige och Datalagskommittén har valt att utnyttja den möjlighet till respit med införandet av
4. Beträffande personuppgifter som vid ikraftträdandet lagras för historisk forskning skall bestämmelserna i 9, 10, 13, och 21 §§ i den nya lagen börja tillämpas först när uppgifterna behandlas på något annat sätt. Dessförinnan skall motsvarande bestämmelser i den äldre lagen tillämpas. De angivna bestämmelserna i den nya lagen skall dock inte till följd av vad som nu sagts börja tillämpas tidigare än vad som följer av punkt 2 eller 3 ovan.
Vi har föreslagit att uppgifter som skall undantas från gallring av hänsyn till forskningens behov skall avföras från Pliktverkets
5. Anmälan enligt 36 § i den nya lagen får göras före ikraftträdandet.
Det är den anmälan om behandling av personuppgifter som skall göras till tillsynsmyndigheten som avses. Pliktverket kan — om verket inte väljer att utse ett persondataombud, vilket innebär att anmälningsskyldigheten bortfaller (37 § förslaget till persondatalag) — göra en sådan anmälan före den 1 januari 1999.
6.Ett samtycke som lämnats före ikraftträdandet skall gälla även efter ikraftträdandet om samtycket uppfyller kraven i den nya lagen.
Bestämmelsen föranleder ingen särskild kommentar.
7.Har en begäran om registerutdrag enligt 10 § i den äldre lagen kommit in före ikraftträdandet men har utdraget inte expedierats före ikraftträdandet skall framställningen anses som en ansökan enligt 26 § i den nya lagen.
Bestämmelsen föranleder ingen särskild kommentar.
8.Den nya lagens bestämmelser om skadestånd skall bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet. I annat fall tillämpas de äldre bestämmelserna.
Vårt förslag till skadeståndsbestämmelse hänvisar till persondatalagens. Vad som anges i
denna punkt i persondatalagens övergångsbestämmelser gäller sålunda även då skadeståndsyrkandena grundas på att behandling skett i strid mot lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av lagen.
16.2.3 Behandling av personuppgifter om totalförsvarspliktiga hos andra än Pliktverket
Överväganden: Vårt lagförslag berör även andra än Pliktverket. Vi ger t.ex. ett utrymme för andra än Pliktverket att lägga in uppgifter i
personuppgifter som redan pågår den 1 januari 1999. Olika regelverk för dem som behandlar uppgifter om totalförsvarspliktiga — bl.a. genom att skicka uppgifterna sinsemellan — kan ställa till problem. Automatisk behandling som inte innefattar registrering är t.ex. under en övergångsperiod oreglerad hos den som emottar uppgifter från Pliktverket medan verket är underkastat persondatalagens bestämmelser. Vi kan dock inte finna att några olösliga konflikter uppstår. I och med att även Pliktverket har respit från persondatalagens bestämmelser såvitt avser manuell behandling av personuppgifter och då datalagens regelverk endast griper in om mottagarna registrerar uppgifterna i
Särskilda problem skulle kunna uppstå under övergångsperioden om andra än Pliktverket för in uppgifter i
Beträffande en särskild bestämmelse i förslaget till lag om behandling av personuppgifter om totalförsvarspliktiga är det emellertid befogat att göra ytterligare överväganden. Det gäller det föreslagna undantaget från förbudet mot behandling av känsliga personuppgifter för de myndigheter m.fl. som kan utföra mindre omfattande utredningar enligt lagen om totalförsvarsplikt (5 § andra stycket i vårt lagförslag). Bestämmelsen medför att de berörda myndigheterna även kan registrera dessa uppgifter med hjälp av ADB. Om bestämmelsen träder i kraft före den 1 oktober 2001 innebär detta att en onödig konflikt med datalagens regler om tillståndsplikt uppstår. Olika regler kan komma att gälla för olika typer av uppgifter i samma register hos den aktuella myndigheten. Denna bestämmelse bör därför inte träda i kraft förrän persondatalagens bestämmelser i övrigt (med undantag för de som gäller manuell behandling) gäller för dessa organs behandling av personuppgifter. De kan tillsvidare behandla de uppgifter de finner nödvändiga utan att vara underkastade någon persondataskyddslagstiftning så länge de inte för ett eget
17 Konsekvenser av förslagen
17.1 Prövning av offentliga åtaganden
Enligt generella kommittédirektiv (dir. 1994:23) har samtliga kommittéer och särskilda utre-
dare att förutsättningslöst pröva offentliga åtaganden inom den verksamhet som utreds. I direktivet uttalas att vissa kollektiva nyttigheter måste garanteras genom offentliga åtaganden. Försvaret nämns som en av dessa. Prövningen av ett offentligt åtagande som rör sådana nyttigheter kan enligt direktiven göras översiktligt eller i vissa fall slopas helt.
Pliktverkets verksamhet utgör en bas för totalförsvarets personalförsörjning och kan inte rimligen garanteras av annan än det offentliga. Med hänsyn till att kontinuerlig riksomfattande samordning är nödvändig, är staten den lämpligaste huvudmannen. Med dessa korta konstateranden avslutar vi, med hänvisning till vad som sägs i det aktuella direktivet om kollektiva nyttigheter, vår prövning i denna del.
17.2Regionalpolitiska konsekvenser, jämställdhet mellan könen och brottsförebyggande arbete
Generella kommittédirektiv föreskriver redovisning av ställda förslags konsekvenser för regionalpolitiken (dir. 1992:50), jämställdhetspolitiken (dir. 1994:124) och det brottsförebyggande arbetet (1996:49). Vi har inte kunnat finna att vad som nu nämns berörs av våra förslag.
17.3 Kostnader för förslagens genomförande
De förslag vi lämnar avser att reglera en redan pågående verksamhet och anpassa reglerna till den nya centrala lagstiftningen på området. Förslagen medför sålunda i sig inga kostnader för samhället.
De begränsningar vi föreslår av vad som skall få förekomma i registret och hur uppgifterna skall få kommuniceras mellan dem som behöver dem, kan innebära merkostnader för de berörda jämfört med de lösningar de planerat för. Vi har t.ex. inte medgivit att fotografier av pliktpersonal skall få finnas i
18
Som redogjorts för ovan (avsnitt 8.4.8) skall Socialstyrelsens personalförsörjningsregister över hälso- och sjukvårdspersonal i krig (INTEGER) överföras till PLIS och utgöra en del av detta system. Pliktverket skall enligt överenskommelse med Socialstyrelsen sköta uppdatering och ändring av uppgifterna även i
Vårt förslag till lag om behandling av personuppgifter om totalförsvarspliktiga ger utrymme för en lösning som innebär att
Ändamålen med behandlingen
Lagen om behandling av personuppgifter om totalförsvarspliktiga är tillämplig även vid behandling av personuppgifter om
svaret. INTEGER förs för att ett underlag — en förteckning — skall finnas när hälso- och sjukvårdspersonal skall fördelas över landet i en krigssituation.
Registerinnehåll
7 § första stycket 3 i vårt förslag är till viss del utformad särskilt för att de av hälso- och sjukvårdspersonalen som inte är formellt krigsplacerade ändå skall kunna registreras i Pliktverkets
De uppgifter som får antecknas om hälso- och sjukvårdspersonalen (och övriga totalförsvarspliktiga) anges i 8 §. Med stöd av detta lagrum kan uppgifter om personnummer, namn, adress, anställning, utbildning och kunskaper m.m. antecknas, i den mån det bedöms erforderligt.
Registrering av uppgifter och terminalåtkomst
Bestämmelserna i 10 och 11 §§ ger regeringen möjlighet att tillåta Socialstyrelsen m.fl (t.ex. sjukvårdshuvudmännen och civilbefälhavarna) att ha terminalåtkomst till
Sökbegrepp
Enligt vårt förslag är det tillåtet att använda sökbegrepp som t.ex. anställning, utbildning, kunskaper och färdigheter. Härmed är det t.ex. tillåtet att söka efter ”läkare” med särskild utbildning som ”kirurg” anställd vid ett visst landsting. Vi har bedömt att vårt förslag till begränsning av sökbegrepp ger tillräckligt utrymme för
Persondataansvar
Enligt 6 § i vårt förslag är Pliktverket persondataansvarigt för den behandling som verket utför. Någon annan lösning är enligt vår bedömning inte rimlig. Pliktverket för visserligen
— att redovisa (all) personal inom totalförsvaret. Det är självklart att Pliktverket måste föra en dialog med de myndigheter verket bistår och ingå överenskommelser med dessa. Frågor om vilka uppgifter registret måste innehålla m.m. kan inte avgöras av Pliktverket ensamt. Pliktverket intar dock inte en sådan underordnad roll att ansvaret för verkets behandling av personuppgifter kan läggas på andra myndigheter eller andra organ. Detta gäller även beträffande behandlingen av uppgifter om hälso- och sjukvårdspersonal.
Vad som nu sagts utesluter inte att även andra — t.ex. de som lämnar personuppgifter till Pliktverkets register — har ett eget ansvar för de åtgärder som de vidtar med uppgifterna. Tvärtom är huvudregeln att var och en av de inblandade ansvarar för sina ”behandlingar” (se avsnitt 11.6, ovan).
Författningskommentar
Förslag till lag om behandling av personuppgifter om totalförsvarspliktiga
Lagens tillämpningsområde
1 § Denna lag tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Totalförsvarets pliktverk bedriver för att
1.ta fram underlag för beslut om inskrivning, krigsplacering eller annat ianspråktagande av personal till totalförsvaret,
2.redovisa personal med uppgifter inom totalförsvaret,
3.säkerställa att den registrerade fortlöpande erhåller ändamålsenlig utbildning och lämplig placering inom totalförsvaret,
4.tillse att den registrerade fullgör sina skyldigheter såvitt avser totalförsvarsplikten,
5.tillgodose den registrerades rättigheter och trygghet i hans eller hennes egenskap av totalförsvarspliktig och
6.planera, följa upp och utvärdera den verksamhet som anges i
I de fall det anges särskilt gäller lagen även i verksamhet som bedrivs av annan än Totalförsvarets pliktverk.
Lagen gäller endast om behandlingen är helt eller delvis automatisk eller om personuppgifterna ingår i eller är avsedda att ingå i ett register.
Med totalförsvarspliktiga jämställes vid tillämpningen av denna lag personer som har en uppgift inom totalförsvaret vid höjd beredskap utan att skyldigheten att fullgöra uppgiften grundar sig på totalförsvarsplikt.
Paragrafen anger lagens tillämpningsområde. Lagen skall tillämpas vid behandling av personuppgifter om totalförsvarspliktiga i den verksamhet Pliktverket bedriver enligt punkterna
Om Pliktverket behandlar uppgifter om andra personer — t.ex. om egen personal — eller om totalförsvarspliktiga, för andra ändamål än dem som anges i denna paragraf — t.ex. lagring av personuppgifter för forskningsändamål — är lagen inte tillämplig. För att möjliggöra åtkomst till och bevarande av personuppgifter om totalförsvarspliktiga för forskningsändamål finns emellertid särskilda bestämmelser i lagen (se 12 § första stycket och 13 § andra stycket).
Om det särskilt anges gäller lagen också vid behandling av personuppgifter i annan verksamhet än den som bedrivs av Pliktverket. Här avses i första hand bestämmelsen i 5 § andra stycket som ger vissa myndigheter och andra rätt att behandla känsliga personuppgifter. Även bestämmelserna om rätt för annan att föra in uppgifter i Pliktverkets
En viktig begränsning ligger i att lagen är tillämplig endast om behandlingen är helt eller delvis automatisk eller om personuppgifterna ingår i eller är avsedda att ingå i ett register (automatiskt eller manuellt fört).
Enligt sista stycket jämställes alla personer som har uppgifter att fylla vid höjd beredskap med totalförsvarspliktiga vid tillämpningen av lagen. De som här avses är personer som på grund av avtal eller bestämmelser i författningar som inte avser totalförsvarsplikt har en skyldighet att tjänstgöra eller utföra en uppgift vid höjd beredskap. Som exempel kan nämnas yrkesofficerare, vissa medlemmar i frivilligorganisationer och ägare till egendom vilken uttagits
för totalförsvarets behov med stöd av förfogandelagstiftningen. Även behandling av personuppgifter om dem som inte tagits i anspråk för viss bestämd tjänstgöring eller ålagts viss bestämd uppgift inom totalförsvaret vid höjd beredskap omfattas av lagens tillämpningsområde, under förutsättning att den typ uppgift dessa personer skall fullgöra är bestämd. Lagen är därmed t.ex. tillämplig vid behandling av personuppgifter om hälso- och sjukvårdspersonal oavsett om personerna i fråga är inskrivna med civilplikt, skyldiga att tjänstgöra enligt sina anställningsavtal eller endast kan tas i anspråk med stöd av allmän tjänsteplikt. Dessa personers uppgifter vid höjd beredskap är bestämda med sådan säkerhet att det är motiverat att personuppgifter om dem får behandlas (jfr 7 § första stycket 3).
Vilka personer som får registreras i Pliktverkets
De ändamål som räknas upp i punkterna
För behandling av personuppgifter som faller utanför denna lags tillämpningsområde gäller persondatalagens bestämmelser under förutsättning att behandlingen är helt eller delvis automatisk eller att personuppgifterna ingår i eller är avsedda att ingå i ett register. Denna lags förhållande till persondatalagen beskrivs i kommentaren till 3 §.
Definitioner
2 § Med behandling, blockering, register, den registrerade, persondataansvarig, personuppgifter, känsliga personuppgifter, tillsynsmyndigheten och tredje man förstås i denna lag detsamma som i persondatalagen (1998:000).
Med utredning avses i denna lag mönstring och annan utredning om den totalförsvarspliktiges förhållanden som kan utföras enligt lagen (1994:1809) om totalförsvarsplikt samt särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning.
Med
I denna paragraf definieras vissa begrepp som förekommer i lagen.
I första stycket anges begrepp som införs i och med persondatalagen. I lagen om behandling av personuppgifter om totalförsvarspliktiga används, av lätt insedda skäl, samma terminologi som i persondatalagen. I persondatalagen definieras dessa begrepp på följande sätt (definitionerna av behandling och personuppgifter har presenterats i kommentaren till 1 §):
Blockering= varje åtgärd som kan vidtas för att personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.
Register= varje strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Den registrerade= den som en personuppgift avser.
Persondataansvarig= den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.
Känsliga personuppgifter= Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse,
medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Tillsynsmyndigheten= Den myndighet som regeringen utser (Datainspektionen)
Tredje man= Någon annan än den registrerade, den persondataansvarige, persondata-
biträdet och sådana personer som under den persondataansvariges eller persondatabiträdets direkta ansvar har befogenhet att behandla personuppgifter. Inte heller ett persondataombud anses som tredje man.
Begreppen persondatabiträde och persondataombud används inte i lagen om behandling av personuppgifter om totalförsvarspliktiga. För definitioner hänvisas till persondatalagens 3 § (se bilaga 2).
I andra stycket ges mönstring, annan utredning enligt lagen om totalförsvarsplikt samt särskild antagningsprövning för kvinnor samlingsbeteckningen utredning. Skälet härtill är endast att förenkla de fortsatta skrivningarna.
I tredje stycket definieras
Förhållandet till persondatalagen
3 § Om inget annat följer av denna lag eller av föreskrifter som meddelats med stöd härav, tillämpas persondatalagen vid behandling av personuppgifter om totalförsvarspliktiga.
Redan av persondatalagen (2 §) följer att bestämmelser i lagar och förordningar som avviker från persondatalagen gäller framför denna. I 3 § ovan uttrycks förhållandet mellan persondatalagen och denna lag på det sättet att persondatalagen gäller om inget annat sägs i denna lag eller i föreskrifter som meddelats med stöd härav. För att ta reda på grundläggande bestämmelser för behandling av personuppgifter måste man alltså gå till persondatalagen, även när det gäller behandling av personuppgifter om totalförsvarspliktiga som omfattas av denna lag. Lagen om behandling av personuppgifter om totalförsvarspliktiga utgörs nämligen av föreskrifter som preciserar och i vissa fall gör undantag från persondatalagens allmänt hållna bestämmelser. Förhållandet till persondatalagen har behandlats genomgående i betänkandet (se särskilt kap. 11) och beskrivs också fortsättningsvis i kommentarerna till de följande paragraferna i denna lag i den mån det bedöms erforderligt. Här skall endast strukturen och de viktigaste punkterna upprepas.
Persondatalagens bestämmelser om när behandling av personuppgifter är tillåten återfinns i den lagens 10 §. Där anges att uppgifter får behandlas bara om den registrerade har lämnat sitt samtycke eller när behandlingen i vissa fall är nödvändig, t.ex. för att utföra en arbetsuppgift av allmänt intresse eller för att den persondataansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. De ändamål som anges i 1 § första stycket i denna lag faller inom vad som är att bedöma som uppgifter av allmänt intresse — nämligen att förse landets totalförsvar med lämplig personal och att redovisa denna. I de delar ändamålen är att tillgodose den registrerades intressen utgör detta arbetsuppgifter i samband med den myndighetsutövning Pliktverket och andra myndigheter inom totalförsvaret utövar gentemot den registrerade. Utgångspunkten är sålunda att den registrerades samtycke inte krävs för behandling av personuppgifter om totalförsvarspliktiga för de ändamål som anges i 1 § i denna lag. Detta följer av en tillämpning av 10 § persondatalagen enligt nu redovisat resonemang. (Angående behandling av känsliga personuppgifter; se kommentaren till 5 §).
I persondatalagens 9 § anges grundläggande krav på behandling av personuppgifter. Av detta lagrum följer bl.a. att den persondataansvarige skall se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella
samt att personuppgifter inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Allt detta är tillämpligt även vid behandlingen av personuppgifter om totalförsvarspliktiga. Av vad som nu sagts följer t.ex. att även om en uppgift ingår bland dem som får registreras i Pliktverkets
Av bestämmelsen i förevarande paragraf följer vidare att persondatalagens bestämmelser om information till den registrerade (23 och 24 §§ persondatalagen), förbud mot automatiserade beslut (29 § persondatalagen), säkerheten vid behandlingen
Ändamålen med behandlingen
4 § Personuppgifter som samlats in av Totalförsvarets pliktverk skall anses insamlade för de ändamål som anges i 1 § första stycket om inte Totalförsvarets pliktverk vid insamlingen uttryckligen angett att denna sker för andra ändamål.
Ändamålen skall enligt persondatalagen (9 § första stycket c) alltid anges när personuppgifter som skall behandlas (med automatik eller genom att antecknas i register) samlas in. Ändamålsangivelsen styr sedan behandlingen av uppgifterna på det sättet att annan behandling än den som är relevant och nödvändig i förhållande till dessa ändamål i princip inte får företas. Genom vad som anges i 4 § ovan kan Pliktverket behandla personuppgifter för de ändamål som anges i 1 § första stycket även i de fall uppgifterna lämnats till Pliktverket från andra myndigheter m.fl. som ursprungligen samlat in uppgifterna för andra ändamål. Utan en föreskrift av det här slaget hade detta — i vart fall i viss utsträckning — varit förbjudet eftersom 9 § första stycket d i persondatalagen stadgar att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
Av bestämmelsen framgår också att denna lag inte hindrar att Pliktverket behandlar personuppgifter för andra ändamål än dem som uttrycks i lagen. Pliktverket måste emellertid i sådant fall ange dessa andra ändamål senast vid insamlingen av personuppgifterna. Vid behandling för andra ändamål än dem som anges i 1 § första stycket är denna lag inte tillämplig.
Det skall påpekas att behandling för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in (9 § andra stycket persondatalagen). Detta gör att personuppgifter kan behandlas för forskning och statistik även om dessa ändamål inte angavs vid insamlingen av uppgifterna. (Behandling av personuppgifter för forskning och statistik omfattas dock inte av bestämmelserna i lagen om behandling av personuppgifter om totalförsvarspliktiga.)
Det skall vidare observeras att detta lagrum inte fritar Pliktverket från skyldigheten att lämna information om behandlingen till den registrerade enligt bestämmelserna i persondatalagen
Behandling av känsliga personuppgifter
5 § Känsliga personuppgifter får behandlas om det är nödvändigt för de ändamål som anges i 1 § första stycket.
Första stycket gäller även kommuner, landsting, kyrkliga kommuner och de statliga myndigheter som anges i 4 kap. 5 § andra stycket förordningen (1995:238) om totalförsvarsplikt, om uppgifterna behövs för utredning om den totalförsvarspliktiges personliga förhållanden
med stöd av 2 kap. 1 § lagen om totalförsvarsplikt.
Paragrafen innebär ett undantag från persondatalagens förbud mot behandling av känsliga personuppgifter (13 § persondatalagen). Undantaget medför att samtycke till behandling från den registrerade inte krävs. För att markera att känsliga personuppgifter inte får behandlas slentrianmässigt anges det att uppgifterna får behandlas om det är nödvändigt med hänsyn till något av de ändamål som anges i 1 § första stycket. Här finns det anledning att påminna om förhållandet mellan lagens mer allmänna regler om behandling och de regler som anger vad som får registreras. Denna bestämmelse innebär inte att känsliga uppgifter får antecknas i
Andra stycket medger att även de myndigheter som utför mindre omfattande utredningar om de totalförsvarspliktigas förhållanden omfattas av undantaget från persondatalagens förbud.
Bestämmelserna i denna paragraf utgör självfallet inget undantag från den enskildes grundlagsbefästa skydd mot tvång att tillkännage sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende eller mot att bli antecknad i register enbart på grund av sin politiska åskådning utan samtycke (2 kap. 2 § och 3 § första stycket RF).
Ansvaret för behandlingen
6 § Totalförsvarets pliktverk är persondataansvarigt för den behandling av personuppgifter om totalförsvarspliktiga som verket utför.
Paragrafen uttrycker närmast en självklarhet. Den behövs emellertid för att visa att Pliktverket ansvarar för den egna behandlingen av personuppgifter även om den i princip sker på uppdrag av olika organ inom totalförsvaret. Pliktverket ansvarar inte för den behandling andra utför innan uppgifterna är överlämnade till Pliktverket och inte heller för den behandling mottagare av personuppgifter utför. Om någon annan än Pliktverket tillåts föra in en uppgift i
Ansvaret följer av denna bestämmelse endast när behandlingen sker för de ändamål som anges i 1 § första stycket. I övriga fall får ledning sökas i persondatalagens bestämmelser om persondataansvar.
Innebörden av persondataansvaret framgår av persondatalagen. En sammanställning ges i avsnitt 11.6.
Uppgifter om andra personer än de totalförsvarspliktiga själva kan komma att behandlas för de ändamål som anges i 1 § första stycket och de kan också antecknas i Pliktverkets ADB- register över totalförsvarspliktiga enligt 7 §. Det rör sig om närstående till den totalförsvarspliktige, vissa beslutsfattare m.fl. samt personer som nämns bland uppgifter som åberopats av den totalförsvarspliktige. Pliktverkets ansvar enligt denna paragraf omfattar också sådana uppgifter eftersom de är att anse som uppgifter om den registrerade totalförsvarspliktige.
Registerinnehåll
7 § I
1.är aktuell för utredning enligt 2 § andra stycket,
2.genom avtal, beslut om krigsplacering eller på annat sätt är tagen i anspråk för totalförsvaret,
3.skall utföra särskild uppgift vid höjd beredskap eller på grund av viss kompetens är viktig
för totalförsvaret,
4.av en redan registrerad uppgetts som närstående eller
5.nämns bland de uppgifter som antecknas med stöd av 8 § första stycket 13.
Uppgifter om en person som avses i första stycket 4, får antecknas i registret endast vid höjd beredskap.
Utan hinder av vad som sägs i första stycket får personuppgifter antecknas i registret om den som fattat beslut eller handlagt ärende rörande den registrerade hos Totalförsvarets pliktverk eller hos annan som utför utredning som avses i 2 § andra stycket. Detsamma gäller personuppgifter om den som gjort journalanteckning i samband med sådan utredning eller i samband med den registrerades tjänstgöring inom totalförsvaret.
I denna paragraf anges beträffande vilka personer uppgifter får förekomma i Pliktverkets
Första punkten avser dem som står i begrepp att mönstra, genomgå mindre omfattande utredning enligt lagen om totalförsvarsplikt eller särskild antagningsprövning. Med ”aktuell för” avses även de som själva anhängiggjort ett ärende hos Pliktverket genom en förfrågan eller upplysning, även om Pliktverket ännu inte aviserats om dem från Riksskatteverket eller de på annat sätt aktualiserats för utredning på det allmännas initiativ.
Andra punkten avser dem som på olika sätt är ianspråktagna för totalförsvaret. T.ex. genom att vara fast anställda i Försvarsmakten, krigsplacerade m.m. De flesta av dessa personer har någon gång varit föremål för den typen av utredning som avses i första punkten, dock inte alla.
Tredje punkten avser dem som utan att vara ianspråktagna tilldelats en särskild uppgift vid höjd beredskap, t.ex. att ställa viss egendom till förfogande samt dem som på grund av sin kompetens behöver finnas ”listade” i en krissituation. Den senare kategorin utgörs i dag i princip endast av hälso- och sjukvårdsperonal i det sk.
Fjärde punkten avser dem som en registrerad uppger som närstående — dvs. de som skall underrättas om något skulle hända den registrerade. Av andra stycket i paragrafen framgår att anteckning om närstående endast får göras vid höjd beredskap.
Femte punkten ger möjlighet att anteckna uppgifter om personer som nämns bland uppgifter som åberopats av den registrerade. Ett praktiskt exempel är uppgifter om en arbetsgivare, när ett intyg från denne åberopats vid en begäran om uppskov med plikttjänstgöring.
I tredje stycket anges att uppgifter om beslutsfattare, handläggare och dem som fört journalanteckningar, hos Pliktverket eller hos annan som får göra utredningar enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning, får registreras.
Av 8 och 12 §§ framgår att uppgifter om andra än den totalförsvarspliktige själv endast får antecknas i begränsad omfattning och att det i princip är förbjudet att använda uppgifter om dessa personer som sökbegrepp i registret.
Avslutningsvis skall erinras om vad som sägs i 1 § fjärde stycket om att personer med uppgifter inom totalförsvaret vid höjd beredskap jämställs med totalförsvarspliktiga enligt denna lag. T.ex. kan den som frivilligt åtagit sig att utföra en sådan uppgift därmed också registreras i ett
8 § I
2.hinder för genomförande av utredning som avses i 2 § andra stycket, för utbildning och för krigsplacering eller annat ianspråktagande av den registrerade för totalförsvarets räkning,
3.boende- och familjeförhållanden samt försörjning, om uppgiften behövs för att Totalförsvarets pliktverk skall kunna fullgöra sina åligganden enligt förordningen (1995:239) om förmåner till totalförsvarspliktiga,
4.utbildning, anställning, kunskaper, färdigheter, anlag och intressen som har betydelse för bedömningen av den registrerades användbarhet inom totalförsvaret,
5.fysisk och psykisk hälsa och förmåga jämte de uppgifter som ligger till grund för bedömningen härav,
6.om den registrerade är svensk medborgare eller inte,
7.utgången i mål om ansvar för brott mot totalförsvarsplikten,
8.att den registrerade har dömts till påföljd för brott som anges i 19 § femte stycket polisregister-
kungörelsen (1969:38),
9.att den registrerade genomgått säkerhetsprövning enligt säkerhetsskyddslagen (1996:627), vilken säkerhetsklass prövningen avsett och resultatet av denna,
10.vad som bestämts vid inskrivning enligt lagen om totalförsvarsplikt eller lagen om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning,
11.krigsplacering, annat ianspråktagande av den registrerade för totalförsvaret eller särskild uppgift som han eller hon skall utföra vid höjd beredskap,
12.tjänstgöring inom totalförsvaret samt betyg, vitsord, förordnanden och utmärkelser som är att hänföra till denna samt
13.personliga förhållanden i övrigt som åberopas av den registrerade, om de rör hans eller
hennes tjänstgöring inom totalförsvaret.
Utan hinder av vad som sägs i första stycket får beslut som rör totalförsvarsplikten, tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter antecknas.
Beträffande den som antecknas i registret med stöd av 7 § första stycket 4, får endast namn, adressuppgifter och relation till den som uppgett honom eller henne som närstående föras in i registret.
Beträffande handläggare och andra personer som avses i 7 § tredje stycket får endast namn, titel och tjänsteställe antecknas.
Här anges vilka personuppgifter som får antecknas i
information till den enskilde m.m.
Andra punkten avser alla hinder för genomförande av utredning m.m. som kan förekomma, temporära eller permanenta; sjukdom, utlandsvistelse, förtidspension, intagning på vårdinrättning m.m. Det skall vara fråga om ett faktiskt hinder som innebär att den registrerade i praktiken inte kan komma i fråga för de åtgärder som nämns. Om det är den enskilde som anser att hinder föreligger, t.ex. på grund av att han eller hon har en livsåskådning som enligt honom eller henne utesluter vapentjänst, kan en sådan uppgift inte antecknas med stöd av denna punkt (jfr dock punkt 13 nedan).Tredje punkten avser de uppgifter som Pliktverket behöver för att fullgöra sina åligganden i enlighet med vad som framgår av denna punkt.
Fjärde punkten avser den registrerades kompetens och intressen såvitt dessa har betydelse för bedömningen av hans eller hennes användbarhet inom totalförsvaret. Uppgift om anställning motiveras främst av behovet av att kunna föra en ”inventarieförteckning” över landets hälso- och sjukvårdspersonal.
Femte punkten avser de undersökningar som görs vid mönstringen (motsv.). Med ”de
uppgifter som ligger till grund för bedömningen i denna del” avses t.ex. uppgifter om rök- och alkoholvanor, hemförhållanden m.fl. omständigheter som kan påverka den medicinska och psykiska hälsan och förmågan.
Sjätte punkten medger anteckning om medborgarskapet är svenskt eller inte. (Om utländskt medborgarskap föreligger får anteckning inte göras om vilket land den registrerade är medborgare i.) Uppgiften behövs för att fastställa omfattningen av totalförsvarsplikten.
Sjunde punkten avser anteckningar om brott mot lagen om totalförsvarsplikt.
Åttonde punkten avser uppgifter om att den registrerade dömts till påföljd för vissa brott. Dessa uppgifter kan lämnas ut till Pliktverket från polisregister enligt polisregisterkungörelsen. Anteckning får inte göras om vilka brott eller vilken påföljd det är frågan om. (Anteckning om att den registrerade är intagen på kriminalvårdsanstalt kan göras enligt p. 2 om intagningen utgör hinder t.ex. för inställelse till mönstring).
Nionde punkten avser anteckning om att säkerhetsprövning för viss säkerhetsklass har gjorts och om resultatet av prövningen. Med resultatet av prövningen avses en kortfattad uppgift om huruvida den registrerade är godkänd ur säkerhetssynpunkt eller inte.
Tionde till tolfte punkterna avser beslut m.m. som rör den registrerades tjänstgöring inom totalförsvaret.
Trettonde punkten innefattar allt som den registrerade själv åberopar förutsatt att vad han eller hon anför rör tjänstgöringen inom totalförsvaret. Härunder faller t.ex. uppgifter om religiös åskådning som åberopas som skäl för befrielse från tjänstgöring. Med stöd av denna punkt kan även känsliga personuppgifter registreras utan den enskildes samtycke, liksom uppgifter om andra personer än den totalförsvarspliktige själv (se kommentarerna till 5 och 7 §§). Begränsningen av vad som kan registreras ligger i att den enskilde frivilligt måste ha åberopat uppgifterna.
Av andra stycket framgår att övriga beslut som rör totalförsvarsplikten, tidpunkter och tidsperioder för registrerade förhållanden samt erforderliga administrativa och tekniska uppgifter får antecknas. Beslut som rör totalförsvarsplikten kan t.ex. vara beslut om att förelägga en totalförsvarspliktig att vid vite lämna föreskrivna uppgifter eller om hämtning till en mönstringsförrättning. Administrativa uppgifter kan vara anteckningar om vilket lokalkontor hos Pliktverket som handlagt ett visst ärende eller om att vissa uppgifter begärts in från en registrerad. Som exempel på en teknisk uppgift kan nämnas en anteckning om att ytterligare uppgifter om en person finns att hämta i ett annat register eller i ett arkiv.
Av tredje och fjärde styckena följer att det endast är vissa begränsade uppgifter som får antecknas om närstående, beslutsfattare, handläggare och om dem som fört journalanteckningar beträffande en registrerad.
Beträffande personer som nämns bland uppgifter som åberopats av den registrerade, dvs. som antecknats med stöd av p. 13 i denna paragraf, får självfallet inga andra uppgifter antecknas än dem som sålunda åberopats.
9 § Regeringen får till skydd för de registrerades personliga integritet föreskriva ytterligare begränsningar av vad som får antecknas i
Om ytterligare begränsningar bör göras av vad som får förekomma i
Terminalåtkomst
10 § Totalförsvarets pliktverk har terminalåtkomst till
Regeringen får föreskriva att även annan får ha sådan åtkomst samt i vilken omfattning. Pliktverket skall naturligtvis ha tillgång till samtliga uppgifter i
totalförsvarspliktiga. Vilka ur Pliktverkets personal som skall ha tillgång till uppgifterna och i vilken omfattning, är i stor utsträckning en intern fråga för verket. Det ligger i Pliktverkets ansvar för säkerheten att skydda uppgifterna så inte fler personer än nödvändigt får tillgång till dem. Detta gäller särskilt beträffande personuppgifter av känslig karaktär. Vid hanteringen av personuppgifter inom Pliktverket skall det emellertid också beaktas att sekretesslagen kan ställa hinder för ett fritt flöde av uppgifter inom myndigheten eftersom ett förbud att röja uppgifter också i vissa fall gäller i förhållandet mellan olika verksamhetsgrenar inom samma myndighet (1 kap. 3 § andra stycket sekretesslagen).
Andra meningen i paragrafen ger regeringen möjlighet att ge organ utanför Pliktverket rätt till terminalåtkomst till registret. Med stöd av denna bestämmelse kan regeringen föreskriva vem som skall ha sådan åtkomst och vidare vilka uppgifter åtkomsten skall gälla.
Registrering av uppgifter
11 § Regeringen får föreskriva att även annan än Totalförsvarets pliktverk får föra in och och rätta personuppgifter i
Om regeringen med stöd av denna paragraf så föreskriver får myndigheter och andra organ som skall lämna uppgifter till Pliktverket göra detta genom att föra in uppgifterna direkt i registret från egen terminal. Regeringen kan också bestämma att dessa organ själva skall kunna rätta uppgifter i registret. En förutsättning för att någon skall kunna påverka innehållet i registret är självfallet att han eller hon har terminalåtkomst till detsamma (se 10 §).
Denna bestämmelse bryter inte — eller påverkar på annat sätt — eventuell sekretess som kan gälla för uppgifterna.
Sökbegrepp
12 § Personuppgifter som avses i 8 § första stycket 2 och 3 och
För åtkomst av personuppgifter om närstående till en totalförsvarspliktig, om den som handlagt ärende, fattat beslut eller gjort journalanteckning får endast den totalförsvarspliktiges personnummer användas som sökbegrepp. Detsamma gäller för åtkomst av personuppgifter som antecknats med stöd av 8 § första stycket 13.
Utan hinder av vad som sägs i första och andra styckena får nödvändigt sökbegrepp användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.
Regeringen får föreskriva ytterligare begränsningar av sökbegrepp.
Begränsningar av sökbegrepp innebär dels att den registerförande myndigheten inte får söka i registret eller göra sammanställningar efter eget godtycke, dels att sammanställningar grundade på de förbjudna sökbegreppen inte anses förvarade hos myndigheten och därmed inte utgör allmänna handlingar även om det är tekniskt möjligt att ta fram dem.
Genom bestämmelserna i första stycket i denna paragraf förbjuds som sökbegrepp uppgifter om hinder för genomförande av utredning och krigsplacering m.m., boende- och familjeförhållanden samt försörjning, fysisk och psykisk hälsa och förmåga, medborgarskap, domar i brottmål och säkerhetsprövning. Uppgifterna får dock användas vid sökningar i registret om det behövs för tillsyn, uppföljning eller utvärdering av Pliktverkets verksamhet, framtagande
av material för forskning eller statistik. Detsamma gäller resultaten från kunskapsprov och anlagstester som utförs vid mönstring eller motsvarande utredning. Uppgifter om kunskaper och anlag kan behövas som sökbegrepp vid uttagning av registrerade till olika befattningar. Själva provresultaten ingår dock inte i vad Pliktverket behöver kunna söka på i registret för att lösa sina uppgifter. De sammanställningar som gjorts och som resulterat i skattningar av den enskildes allmänna ”duglighet” jämte konkreta uppgifter om vissa specialkunskaper är tillräckliga. Skulle det vara nödvändigt att ta fram resultat från vissa enskilda prov kan detta göras via personnummer på de registrerade sedan en första sökning gett ett urval av personer att välja bland.
Det saknas behov att ta fram uppgifter om dem som antecknats som närstående till en registrerad eller därför att de fattat beslut, handlagt ärende eller gjort journalanteckning, annat än som uppgifter knutna till en viss registrerad totalförsvarspliktig. Detsamma gäller uppgifter som registrerats enbart därför att de åberopats av den totalförsvarspliktige.
Därför föreskrivs det i andra stycket att dessa uppgifter endast får tas fram med den totalförsvarspliktiges personnummer som sökbegrepp.
I tredje stycket anges undantag från förbudet att använda vissa sökbegrepp. Alla nödvändiga sökbegrepp får användas under den tid det behövs för rättelse eller för att avhjälpa fel som uppkommit till följd av brister i ett dataprogram.
I sista stycket ges regeringen möjlighet att föreskriva ytterligare begränsningar av sökbegrepp. Begränsningarna kan ges generellt eller för ett visst organ som har terminalåtkomst enligt föreskrifter som meddelats med stöd av 10 §.
Gallring
13 § En personuppgift i ett
Regeringen får föreskriva undantag från skyldigheten att gallra personuppgifter i fråga om bevarande av material för forskningens behov. Sådana uppgifter skall dock avföras från registret vid den tidpunkt de annars skulle ha gallrats enligt första stycket.
En skyldighet att gallra innebär att personuppgifterna skall förstöras när tidpunkten för gallring är inne. Som förstöring avses enligt Riksarkivets föreskrifter även ett överförande av uppgifterna till annan databärare, om överföringen innebär informationsförlust eller att sökmöjligheter går förlorade i och med överföringen. Ett överförande av uppgifter från ett ADB- register till pappershandlingar innebär därmed i praktiken att uppgifterna gallrats. Även om uppgifter enligt bestämmelser i författning skall gallras ur Pliktverkets
I denna paragraf ges inledningsvis en bestämmelse som i princip redan gäller enligt persondatalagen; en personuppgift i registret skall gallras så snart den inte längre behövs för de ändamål för vilka den insamlats. För uppgifter om registrerade totalförsvarspliktiga sätts — som huvudregel — en yttersta gräns vid utgången av det kalenderår vederbörande fyller sjuttio år. Då upphör totalförsvarsplikten och senast vid denna tidpunkt måste det i normalfallet
anses onödigt att ha uppgiften i registret. Undantag föreskrivs för dem som även efter denna tidpunkt har uppgifter att utföra vid höjd beredskap. Som exempel kan nämnas medlemmar i frivilligorganisationer som kvarstår i organisationen och har beredskapsuppgifter även efter det att de fyllt sjuttio år. Ett annat exempel är personer i samma ålder vars egendom är uttagen för totalförsvarets behov, t.ex. vissa hundägare vars hundar ingår i Försvarsmaktens krigsorganisation. De sist nämnda personerna skall enligt vad som följer av 1 § fjärde stycket jämställas med totalförsvarspliktiga vid tillämpningen av denna lag. Ytterligare undantag från sjuttioårsgränsen ges beträffande närstående, beslutsfattare m.fl. personer som förekommer i registret på annan grund än att de är totalförsvarspliktiga (eller därmed jämställda enligt denna lag). Uppgifter om sådana personer är egentligen uppgifter om de totalförsvarspliktiga och skall gallras när de inte längre behövs beträffande dessa. En yttersta gräns för dessa anteckningar är sålunda utgången av det kalenderår den totalförsvarspliktige fyller sjuttio år.
Genom andra stycket ges regeringen möjlighet att föreskriva kortare tid för gallring. Särskilda gallringsbestämmelser för olika typer av personuppgifter skall ges i förordningsform.
I tredje stycket ges regeringen möjlighet att föreskriva undantag från skyldigheten att gallra personuppgifter i fråga om material för forskningens behov. Regeringen kan — utan att detta föreskrivs särskilt — delegera denna kompetens till en annan myndighet, t.ex. Riksarkivet (se kap. 13 ovan samt 8 kap. 13 § RF). Att uppgifterna inte behöver gallras innebär att de kan föras över till ett annat
Sekretess
14 § För utlämnande av personuppgifter om totalförsvarspliktiga gäller de begränsningar som följer av sekretesslagen (1980:100).
Bestämmelsen utgör en erinran om att sekretesslagen är tillämplig vid utlämnande av personuppgifter om totalförsvarspliktiga. Vad som än föreskrivs om terminalåtkomst och möjligheter för andra att lägga in uppgifter direkt i Pliktverkets
Inskränkning i tillsynsmyndighetens befogenheter
15 § Tillsynsmyndigheten får inte förbjuda Totalförsvarets pliktverk att behandla personuppgifter om totalförsvarspliktiga.
Om tillsynsmyndigheten (Datainspektionen) konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt kan myndigheten, om inte rättelse går att få på annat sätt eller om det är riskfyllt att vänta, vid vite förbjuda den persondataansvarige att behandla uppgifterna på annat sätt än genom att lagra dem (47 § persondatalagen).
Genom denna paragraf undantas Pliktverkets behandling av personuppgifter om totalförsvarspliktiga från Datainspektionens befogenheter i denna del. I övrigt gäller persondatalagens bestämmelser om Datainspektionens tillsyn och befogenheter.
Korrigering av uppgifter
16 § Persondatalagens bestämmelser om den persondataansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man,
till vilken uppgifterna har lämnats ut, om sådana åtgärder skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som utfärdats med stöd av denna lag.
Denna bestämmelse medför att persondatalagens motsvarande regel
(28 §) blir tillämplig även då personuppgifter behandlats i strid med denna lag eller föreskrifter som meddelats med stöd härav. Bestämmelsen i persondatalagen gäller annars endast då uppgifterna inte behandlats i enlighet med den lagen eller föreskrifter som meddelats med stöd av den lagen.
Skadestånd
17 § Persondatalagens bestämmelser om skadestånd skall gälla även då personuppgifter behandlats i strid med denna lag eller föreskrifter som meddelats med stöd av denna lag.
Persondatalagens skadeståndsbestämmelse är utformad så att den gäller vid överträdelser av den lagen eller föreskrifter som meddelats med stöd av den lagen.
Genom förevarade paragraf görs persondatalagens bestämmelser om skadestånd tillämpliga även då personuppgifter behandlats i strid med lagen om behandling av personuppgifter om totalförsvarspliktiga eller föreskrifter som meddelats med stöd av denna lag.
Övergångsbestämmelser
1. Denna lag träder i kraft den 1 januari 1999. Vid sådan behandling av personuppgifter för vilken lagen gäller och som redan pågår vid ikraftträdandet skall persondatalagens bestämmelser tillämpas utan hinder av vad som sägs i 2 p i övergångsbestämmelserna till den lagen.
Bestämmelsen i 5 § andra stycket i denna lag skall emellertid inte börja tillämpas förrän den 1 oktober 2001.
Lagen om behandling av personuppgifter om totalförsvarspliktiga är utformad för att tillämpas tillsammans med persondatalagen, i princip på samma sätt som befintliga registerförfattningar korresponderar med den nu gällande datalagen (se 3 § i förslaget till lag om behandling av personuppgifter om totalförsvarspliktiga). Ikraftträdandedatum kan därför inte sättas tidigare än för persondatalagen, som enligt föreliggande förslag skall träda i kraft den 1 januari 1999. Om dagen för ikraftträdandet av persondatalagen skulle bli en annan än vad som föreslagits, skall naturligtvis lagen om behandling av personuppgifter om totalförsvarspliktiga följa efter — i vart fall om ikraftträdandet för persondatalagen senareläggs.
Enligt förslaget till persondatalag (p. 2 i övergångsbestämmelserna till persondatalagen) skall den lagen inte tillämpas på sådan behandling som redan pågår vid ikraftträdandet (dvs. som pågår den 1 januari 1999) förrän den 1 oktober 2001. Lagen om behandling av personuppgifter om totalförsvarspliktiga skall tillämpas i Pliktverkets verksamhet från den 1 januari 1999 även beträffande sådan behandling som pågår vid den tidpunkten. Därför föreskrivs ett undantag från persondatalagens övergångsbestämmelse i denna del. Såväl lagen om behandling av personuppgifter om totalförsvarspliktiga som persondatalagen blir tillämplig vid Pliktverkets behandling av personuppgifter om totalförsvarspliktiga från och med den 1 januari 1999 (eller annat datum som kan komma att bestämmas för ikraftträdandet av persondatalagen).
Bestämmelsen i 5 § andra stycket som ger vissa myndigheter rätt att behandla känsliga personuppgifter undantas dock från vad som nu sagts. I den mån behandling av känsliga personuppgifter redan pågår vid ikraftträdandet bör äldre bestämmelser gälla fram till den 1 oktober 2001. Berörda myndigheter kan annars få en komplicerad situation med olika regelverk för de personuppgifter de hanterar.
Bortsett från 2 p. skall övergångsbestämmelserna till persondatalagen tillämpas även vid
behandling av personuppgifter om totalförsvarspliktiga. Detta innebär bl.a. att bestämmelserna i 9, 10, 13 och 21 §§ persondatalagen inte skall börja tillämpas förrän den 1 oktober 2007 beträffande sådan manuell behandling som pågår vid ikraftträdandet (se 3 p. övergångsbestämmelserna till persondatalagen). Vidare skall persondatalagens bestämmelser om skadestånd bara tillämpas om den omständighet som yrkandet hänför sig till har inträffat efter ikraftträdandet (se 8 p. övergångsbestämmelserna till persondatalagen).
2. De personer, som vid lagens ikraftträdande har varit föremål för sådan utredning som avses i 2 § andra stycket men som inte tagits i anspråk för totalförsvarets räkning genom avtal, beslut om krigsplacering eller på annat sätt, får utan hinder av vad som sägs i 7 § antecknas i ett
Andra punkten i övergångsbestämmelserna gör att de som vid ikraftträdandet hamnar mellan punkterna 1 och 2 i 7 § — t.ex. de som har mönstrat men ännu ej krigsplacerats — också kan registreras i Pliktverkets
Förslag till lag om ändring i sekretesslagen (1980:100)
7 kap 12 §
Sekretess gäller i ärende om utredning om totalförsvarspliktigas personliga förhållanden, i ärende om antagning av kvinnor till befattningar inom totalförsvaret som kräver längre grundutbildning än 60 dagar samt i ärende om inskrivning och krigsplacering av totalförsvarspliktiga för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Motsvarande sekretess gäller i ärende som angår antagning till utbildning vid Försvarsmakten, skyldighet att tjänstgöra med totalförsvarsplikt samt uppskov med och avbrott i sådan tjänstgöring. Sekretessen gäller dock inte beslut i ärende som avses i detta stycke.
Sekretess gäller inom personalvård med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos konsulent eller annan befattningshavare som särskilt har till uppgift att bistå med råd och hjälp i personliga angelägenheter, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.
Sekretess gäller inom verksamhet som avser utbildning för totalförsvarsändamål med avseende på den som tjänstgör med totalförsvarsplikt för uppgift som hänför sig till psykologisk undersökning och för uppgift om enskilds personliga förhållanden hos befattningshavare som har till uppgift att utbilda den totalförsvarspliktige, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider men.
I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.
Den föreslagna ändringen i första stycket syftar i första hand till att de journalanteckningar som görs beträffande den totalförsvarspliktige vid utbildningsenheterna under utbildningstiden och som sedan lämnas till Pliktverket skall vara belagda med sekretess även hos Pliktverket (se förslaget till ändring i förordningen [1995:238] om totalförsvarsplikt). Pliktverket behöver dessa uppgifter som underlag vid beslut om krigsplacering och för bedömning av om och hur den totalförsvarspliktige skall vidareutbildas inom totalförsvaret. Ändringen består i denna del i att krigsplacering lagts till i första meningen. Av den nuvarande lydelsen av andra meningen i första stycket framgår att sekretessen redan omfattar ärende som angår skyldighet att tjänstgöra med totalförsvarsplikt.
Vidare föreslås att utredning om totalförsvarspliktigas personliga förhållanden läggs till
de ärendetyper för vilka sekretessen skall gälla. Skälet härtill är att undanröja eventuella oklarheter som enligt vår uppfattning annars kan uppstå. Det är t.ex. inte självklart att en mindre omfattande utredning om en totalförsvarspliktigs personliga förhållanden som utförs av en annan myndighet än Pliktverket skall anses som ett inskrivningsärende. En fullständig uppräkning där utredning, antagning av kvinnor och inskrivning (av såväl kvinnor som män) tas med undanröjer eventuella tvivel. Med utredning om totalförsvarspliktigas personliga förhållanden avses sådan utredning som kan utföras enligt 2 kap. lagen om totalförsvarsplikt — dvs. mönstring eller annan mindre omfattande utredning.
Tredje stycket är nytt och avser att skydda de personuppgifter som Pliktverket lämnar till befattningshavare vid totalförsvarets utbildningsenheter (se förslaget till ändringen i förordningen [1995:648] med instruktion för totalförsvarets pliktverk). Dessa uppgifter är av mycket känslig natur eftersom de graderar den totalförsvarspliktiges psykiska funktionsförmåga, allmänna begåvning m.m. Formuleringen av tredje stycket följer uppbyggnaden av andra stycket i paragrafen.
Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt
3 kap. 15 §
De organisatoriska enheter där grundutbildning genomförs för värnplikt eller civilplikt med längre grundutbildning än 60 dagar skall, senast då den totalförsvarspliktige rycker ut, lämna journalhandlingar som upprättats under utbildningen till Totalförsvarets pliktverk.
Ändringen består i en ny paragraf som ålägger utbildningsenheterna att tillställa Pliktverket journalhandlingar som upprättats under grundutbildningen beträffande de totalförsvarspliktiga. Journalhandlingarna utgör underlag då Pliktverket skall ta beslut om krigsplacering och bedöma hur den enskilde på bästa sätt fortsättningsvis skall utbildas inom totalförsvaret. Utan denna bestämmelse omfattas journalhandlingarna av sekretess enligt 7 kap. 1 § sekretesslagen även gentemot Pliktverket.
Förslag till förordning om ändring i förordningen (1995:648) med instruktion för Totalförsvarets pliktverk
3 § Totalförsvarets pliktverk skall i samband med att en totalförsvarspliktig rycker in för värnplikt eller civilplikt med längre grundutbildning än 60 dagar lämna de journalhandlingar som upprättats vid mönstring eller särskild antagningsprövning enligt lagen (1994:1810) om möjlighet för kvinnor att fullgöra värnplikt eller civilplikt med längre grundutbildning till hälso- och sjukvårdspersonalen vid den organisatoriska enhet hos en myndighet, en kommun, ett landsting eller en kyrklig kommun, där grundutbildningen skall genomföras.
Totalförsvarets pliktverk skall vid samma tidpunkt och till samma enheter som anges i första stycket lämna uppgifter om den totalförsvarspliktiges psykiska funktionsförmåga, fysiska arbetsförmåga, allmänna begåvning och hälsotillstånd till befattningshavare som har till uppgift att utbilda honom eller henne. Uppgifterna skall anges kortfattat.
I första stycket föreslås en ändring som består i att särskild antagningsprövning läggs till mönstring. Hälso- och sjukvårdspersonalen bör få del även av de journalanteckningar som rör kvinnor som rycker in för grundutbildning som är längre än 60 dagar.
Andra stycket är nytt och ålägger Pliktverket att tillställa befattningshavare vid utbildningsenheterna som har till uppgift att utbilda de totalförsvarspliktiga vissa personuppgifter som behövs för bedömningen av de enskildas olika kapacitet och förutsättningar i övrigt. Uppgifterna återfinns i dag på det grundutbildningskort som Pliktverket översänder till utbildningsenheterna i samband med inryckningen. Denna bestämmelse bryter — gentemot
befattningshavarna vid utbildningsenheterna — den sekretess som annars gäller för uppgifterna.
Uppgifterna bör — liksom på grundutbildningskortet i dag — anges kortfattat.
Det skall påpekas att de sekretessbrytande bestämmelser som denna paragraf innehåller
— såväl i nuvarande skick som enligt de föreslagna ändringarna — inte bryter sekretess gentemot utbildningsenheter som inte är myndigheter. För det fall det skulle anses nödvändigt att lämna ut uppgifter till utbildningsenheter inom totalförsvaret som utgörs av andra än myndigheter torde utlämnande av uppgifterna kunna ske efter skadeprövning och med förbehåll enligt 14 kap. 9 § sekretesslagen.