I detta betänkande behandlar utskottet ett antal
motioner från allmänna motionstiden 1998 som rör
frågor om personuppgiftslagen (1998:204) och andra
integritetsfrågor.
Genom personuppgiftslagen har i svensk lagstiftning
genomförts Europaparlamentets och rådets direktiv
95/46/EG av den 24 oktober 1995 om skydd för
enskilda med avseende på behandling av
personuppgifter och om det fria flödet av sådana
uppgifter.
Utskottet konstaterar att den genomgripande
datoriseringen bl.a. har medfört att många enskilda
personer i dag har hemsidor på World Wide Web och
kommunicerar i mer eller mindre personliga
sammanhang via Internet. Internet har även kommit
att bl.a. användas som ett allmänt debattforum och
vid handelstransaktioner. Mycket av den användning
av personuppgifter som förekommer i dessa sammanhang
får enligt utskottets mening betraktas som harmlös
och självklar. EG-direktivets generellt verkande
hanteringsregler omfattar emellertid även sådan
användning av personuppgifter.
Vidare uttalar utskottet, såsom anförs i flera
motioner, att siktet bör vara inställt på att
åstadkomma en teknikoberoende lagstiftning till
skydd för den personliga integriteten. Utskottet
finner därför anledning att, i likhet med vad som
gjordes vid personuppgiftslagens införande,
framhålla att EG-direktivet i dag får anses
omodernt. Enligt utskottets mening måste en
revidering av direktivet ske.
Utskottet föreslår, med bifall till tre motioner,
att riksdagen ger regeringen till känna att den med
kraft bör verka inom EU för att en revidering sker
av EG-direktivet. Vidare föreslår utskottet med
anledning av flera motioner ett tillkännagivande
till regeringen med innebörd att en översyn av
personuppgiftslagen bör komma till stånd med syfte
att, så långt det är möjligt inom EG-direktivets
ram, åstadkomma en förändring av lagstiftningen i
riktning mot ett regelverk som tar sikte på missbruk
av personuppgifter.
Regeringen har gett Datainspektionen i uppdrag att
närmare utreda behovet av att göra undantag från
förbudet i 33 § personuppgiftslagen mot överföring
av personuppgifter till tredje land när det gäller
dels överföringar från offentligt register för att
tillgodose kommuners intresse av att sprida
information, dels överföringar av personuppgifter
som typiskt sett inte innebär några risker för de
registrerade eller det annars mot bakgrund av
allmänhetens intresse att sprida och inhämta
information framstår som angeläget att undantag
görs, särskilt i samband med behandling av
personuppgifter på t.ex. Internet. Datainspektionen
har nu avlämnat sitt förslag, som kommer att
remissbehandlas. Utskottet utgår från att regeringen
därefter - inom de ramar som EG-direktivet
uppställer - genomför de förändringar som krävs för
att motverka de problem med personuppgiftslagens
utformning som regeringsuppdraget avsåg att komma
till rätta med, förändringar som kan behöva gå
längre än vad Datainspektionen föreslagit. Utskottet
uttalar att regeringen naturligtvis är oförhindrad
att, om så krävs, föreslå riksdagen förändringar i
personuppgiftslagen. Vidare utgår utskottet från att
förändringar genomförs skyndsamt. Mot denna bakgrund
finner utskottet inte anledning att för närvarande
begära någon ytterligare åtgärd från regeringens
sida i detta avseende.
En reservation (mp) har fogats till betänkandet i
fråga om definitionen i personuppgiftslagen av
begreppet manuellt register. Till betänkandet har
också fogats ett särskilt yttrande, (fp) och (mp),
om förhållandet till offentlighetsprincipen.
Motionerna
1998/99:K231 av Helena Bargholtz m.fl. (fp) vari
yrkas
5. att riksdagen hos regeringen begär förslag till
ändringar i personuppgiftslagen vad avser samtycke
vid namns nämnande,
1998/99:K234 av Per Unckel m.fl. (m) vari yrkas
1. att riksdagen hos regeringen begär förslag till
en ny integritetsskyddslagstiftning i enlighet med
vad som anförts i motionen,
2. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om att regeringen bör
ta initiativ till och med kraft verka för en
revidering av EG-direktivet om skydd för enskilda
personer med avseende på behandling av
personuppgifter.
1998/99:K249 av Rigmor Ahlstedt (c) vari yrkas att
riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om att en översyn görs av
personuppgiftslagen.
1998/99:K256 av Margit Gennser (m) vari yrkas
1. att riksdagen beslutar utforma
övergångsbestämmelser i enlighet med vad som anförts
i motionen,
2. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om utformningen av ny
personuppgiftslag,
3. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om utredningsarbetet
gällande ny personuppgiftslag.
1998/99:K257 av Per Bill och Sten Tolgfors (m) vari
yrkas att riksdagen hos regeringen begär förslag
till en missbruksbaserad
integritetsskyddslagstiftning att snarast möjligt
ersätta personuppgiftslagen i enlighet med vad som
anförts i motionen.
1998/99:K272 av Peter Eriksson och Per Lager (mp)
vari yrkas
1. att riksdagen hos regeringen begär förslag till
sådan ändring i person-uppgiftslagen att klarhet
skapas i fråga om personuppgifter etc. i enlighet
med vad som anförts i motionen,
2. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om att regeringen bör
ta initiativ inom EU för att göra undantag för s.k.
allmänna handlingar.
1998/99:K277 av Carina Hägg (s) vari yrkas att
riksdagen som sin mening ger regeringen till känna
vad i motionen anförts om behovet av skydd för den
personliga integriteten i samband med introduktion
och användning av ny informationsteknologi.
1998/99:K282 av Sten Tolgfors (m) vari yrkas
7. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om en ändring av
personuppgiftslagen.
1998/99:K317 av Ingvar Svensson m.fl. (kd) vari
yrkas att riksdagen som sin mening ger regeringen
till känna vad i motionen anförts om behovet av att
den nya personuppgiftslagen ses över.
1998/99:K324 av Göran Magnusson m.fl. (s) vari yrkas
1. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om intensifierade
åtgärder i syfte att åstadkomma en modern och
teknikoberoende integritetslagstiftning till skydd
för den personliga integriteten,
2. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om att regeringen bör
ta initiativ till att med kraft verka för en
revidering av EG-direktivet om skydd för enskilda
personer med avseende på behandling av
personuppgifter.
1998/99:T803 av Gudrun Schyman m.fl. (v) vari yrkas
8. att riksdagen hos regeringen begär förslag till
en utredning angående förutsättningarna för att ge
Datainspektionen en ny roll i enlighet med vad som
anförts i motionen,
9. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om att inrätta en
datadomstol.
1998/99:T808 av Sven Bergström m.fl. (c) vari yrkas
9. att riksdagen hos regeringen begär förslag till
en ny integritetslag som skall ersätta
personuppgiftslagen (i enlighet med vad i motionen
anförts),
10. att riksdagen som sin mening ger regeringen
till känna vad i motionen anförts om ett
integritetsdirektiv,
1998/99:T809 av Johnny Gylling och Amanda Grönlund
(kd) vari yrkas
3. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om att utarbeta ett
lagförslag som syftar till att reglera missbruk av
personuppgifter oberoende av vilket medium som
används.
1998/99:T818 av Carl Bildt m.fl. (m) vari yrkas
9. att riksdagen beslutar om ändring i
personuppgiftslagen (1998:204) i enlighet med vad
som anförts i motionen.
1998/99:N326 av Per Westerberg och Göran Hägglund
(m, kd) vari yrkas
3. att riksdagen som sin mening ger regeringen till
känna vad i motionen anförts om en mindre
byråkratisk datalagstiftning,
Förslag om utskottsinitiativ
Åsa Torstensson (c) har begärt att
konstitutionsutskottet tar initiativ till en översyn
av personuppgiftslagen för att se vilka förändringar
som måste göras för att traditionella
yttrandefrihetsprinciper inte skall sättas åsido.
Moderata samlingspartiet har begärt att
konstitutionsutskottet skall ta initiativ till en
beredning av frågan om en översyn av
personuppgiftslagen.
Offentlig utfrågning
Utskottet har den 8 december 1998 hållit en
offentlig utfrågning med anledning av utskottets
behandling av de nu aktuella motionerna och
förslagen om utskottsinitiativ. Utskrift från
utfrågningen har fogats till betänkandet som bilaga.
Utskottet
En ny personuppgiftslag
Allmänt
Den 16 april 1998 beslutade riksdagen att anta
regeringens förslag om en ny personuppgiftslag
(prop. 1997/98:44, bet. 1997/98:KU18, rskr.
1997/98:180, SFS 1998:204). Personuppgiftslagen
ersätter datalagen (1973:289). Genom
personuppgiftslagen genomförs Europaparlamentets och
rådets direktiv 95/46/EG av den 24 oktober 1995 om
skydd för enskilda med avseende på behandling av
personuppgifter och om det fria flödet av sådana
uppgifter. Personuppgiftslagen trädde i kraft den 24
oktober 1998.
Kort om innehållet
Huvudpunkterna i personuppgiftslagen är:
- Människor skall skyddas mot att deras personliga
integritet kränks genom behandling av
personuppgifter.
- Till skillnad från datalagen omfattar den nya
lagen inte bara automatiserad behandling av
personuppgifter utan i vissa fall även manuella
register.
- Lagen gäller inte vid behandling av
personuppgifter som ett led i en verksamhet av rent
privat natur.
- Bestämmelserna i lagen tillämpas inte i den
utsträckning det skulle strida mot
grundlagsbestämmelserna om tryck- och yttrandefrihet
i TF och YGL eller inskränka offentlighetsprincipen
enligt 2 kap. TF.
- I princip tillämpas lagen inte heller på
journalistisk, konstnärlig eller litterär
verksamhet.
- Om det i annan lag eller i en förordning finns
bestämmelser som avviker från personuppgiftslagen,
gäller de bestämmelserna i stället.
- Det gamla systemet med licens och tillstånd
avskaffas. Ansvaret för att behandling av
personuppgifter sker på ett lagligt sätt läggs i
första hand på den som behandlar sådana uppgifter.
Datainspektionen utövar tillsyn över att
personuppgiftslagen efterlevs.
- Personuppgiftslagen ställer upp vissa
grundläggande krav på behandlingen av
personuppgifter. Dessa krav innebär bl.a. att
personuppgifter får behandlas bara för särskilda,
uttryckligt angivna och berättigade ändamål.
- Personuppgifter får, om de grundläggande kraven
är uppfyllda, i princip behandlas bara om den
registrerade lämnar sitt samtycke till det. Från
denna regel finns dock flera undantag.
- För behandling av känsliga personuppgifter, t.ex.
om politiska åsikter eller hälsa, gäller särskilt
stränga regler. Detsamma gäller överföring av
personuppgifter till länder utanför EES-området.
- Den registrerade har rätt till information om
behandling av personuppgifter som rör honom eller
henne.
- Behandling av personuppgifter skall anmälas till
Datainspektionen. Detta gäller dock inte om den som
ansvarar för behandlingen har utsett ett s.k.
personuppgiftsombud.
- Den som bryter mot personuppgiftslagen kan bli
skadeståndsskyldig eller dömas till straff.
Översyn av personuppgiftslagen
Motionerna
I motion 1998/99:K231 av Helena Bargholtz m.fl. (fp)
anförs att personuppgiftslagen i sin nuvarande
utformning kommer att utgöra ett hot mot
yttrandefriheten och offentlighetsprincipen. Enligt
motionärerna leder lagens krav på samtycke till att
mycket av den debatt som i dag finns på Internet
blir olaglig. Motionärerna anser vidare att lagens
undantag för journalistisk och konstnärlig
verksamhet gör lagen till en privilegielag. Enligt
motionärerna bör det göras klart att ett fritt
meningsutbyte skall hävdas på Internet. Motionärerna
anför att detta är omöjligt med lagens nuvarande
utformning. Lagen bör, i de delar som avser
samtycke, avskaffas. Motionärerna hemställer att
regeringen återkommer till riksdagen med ett förslag
med denna innebörd (yrkande 5).
I motion 1998/99:K234 av Per Unckel m.fl. (m) anförs
att den moderata ståndpunkten, som tydligt slogs
fast i motion 1997/98:K13 av Carl Bildt m.fl. (m)
med anledning av regeringens förslag om en
personuppgiftslag, har hela tiden varit att det är
missbruket av personuppgifter som skall beivras och
inte själva behandlingen. Enligt motionärerna hade
den nu aktuella frågan om huruvida spridandet av
personuppgifter på Internet blir olagligt med den
nya lagen över huvud taget inte uppkommit om
personuppgiftslagen hade utformats efter det
moderata förslaget. Motionärerna utgår ifrån att
regeringen, utöver aviserade åtgärder, snarast
föranstaltar om en utredning med uppdrag att utforma
en lagstiftning som syftar till att beivra missbruk
av personuppgifter enligt de principer som
moderaterna preciserat i den refererade motionen.
Inriktningen på utredningsarbetet bör vara att skapa
en varaktig lagstiftning på
integritetsskyddsområdet. Motionärerna hemställer
att riksdagen hos regeringen begär förslag till en
ny integritetsskyddslagstiftning i enlighet med vad
som anförts i motionen (yrkande 1).
Motionärerna förutsätter vidare att regeringen
inom EU tar initiativ till och med kraft verkar för
ett reviderat EG-direktiv efter de riktlinjer som
anförts ovan. Detta bör ges regeringen till känna
(yrkande 2).
I motion 1998/99:K249 av Rigmor Ahlstedt (c) anförs
att personuppgiftslagen syftar till att skydda
människors integritet. Enligt motionären får det
dock inte vara så att lagstiftningen blir omöjlig
att följa och att den på ett mycket märkligt sätt
gör att människor blir brottslingar. Motionären
påpekar att det inte heller kan vara så att vi skall
ha en lag med direktiv till olika myndigheter att
lagen skall tolkas väldigt generöst. Det bör enligt
motionären ges regeringen till känna vad som i
motionen anförts om en översyn av
personuppgiftslagen.
I motion 1998/99:K256 av Margit Gennser (m)
framhålls att det aktuella EG-direktivet gäller
skyddet för den personliga integriteten. Enligt
motionären är det ett grundläggande värde som bör
värnas. Hon anför att den omständigheten att
lagstiftningen skapat fundamentala problem av t.o.m.
yttrandefrihetskaraktär hänger samman med ett
olyckligt val av lagstiftningsmodell. Enligt
motionären skall missbruk av personuppgifter
beivras. Vilka medier som personuppgifterna hanteras
i är av sekundärt intresse. Motionären anför att den
bakomliggande orsaken till valet av
lagstiftningsmodell kan vara att de beredande
myndigheterna aldrig gjort en djupare analys av
vilka typer av registreringar som kan skada
enskilda. Detta kan hänga samman med svensk
administrativ och lagstiftningstradition. I Sverige
har enligt motionärerna farorna med omfattande
statliga och kommunala register negligerats.
Motionären anför att personuppgiftslagen på det sätt
den är skriven inte skyddar mot integritetskränkande
register, men den hindrar det offentliga samtalet.
Vad som nu anförts leder enligt motionären till
slutsatsen att lagen inte går att tillämpa på ett
rättssäkert sätt. Regeringen måste snarast utforma
en lagstiftning i överensstämmelse med EG-direktivet
som inte ger upphov till brister och de nu påtalade
skadliga effekterna. Detta bör ges regeringen till
känna (yrkande 2).
Därutöver anför motionären att lagstiftningsarbetet
bör ske i enlighet med de synpunkter som redovisats
i promemorian Rapport om skyddet för enskilda
personers privatliv av Jan Freese, förordnad av
Justitiedepartementet för den fortsatta beredningen
av promemorian Ds 1994:51. Enligt Jan Freeses
förslag skulle ett uppdrag lämnas till en
sammanhållen expertkommitté med undergrupper för
skilda områden såsom grundlagen, skattesystemet osv.
Kommittén skulle ha en referensgrupp i vilken borde
ingå parlamentariker. Motionären hemställer att
regeringen bör ges till känna vad som i motionen
anförts om utredningsarbetet gällande en ny
personuppgiftslag (yrkande 3).
I motion 1998/99:K257 av Per Bill och Sten Tolgfors
(m) anförs att problemet med personuppgiftslagen är
att den redan före sin tillkomst var föråldrad och
illa anpassad för nya medier. Motionärerna anför
vidare att de delar EG-direktivets intentioner att
skydda den personliga integriteten. De menar dock
att regeringen i stället för att kopiera direktivet
borde ha valt det andra möjliga alternativet. Lagen
borde utformas så att den tar sikte på missbruk av
personuppgifter och inte själva användandet av dem.
Det är enligt motionärerna en betydligt mer praktisk
lösning som uppfyller direktivets syfte och som
också står i samklang med yttrandefriheten för
medborgarna. Det gällande EG-direktivet bör också
ses över och revideras i en mer verklighetsanpassad
riktning. Motionärerna hemställer att riksdagen hos
regeringen begär förslag till en missbruksbaserad
integritetslagstiftning att snarast möjligt ersätta
personuppgiftslagen i enlighet med vad som anförts i
motionen.
I motion 1998/99:K272 av Peter Eriksson och Per
Lager (mp) framhålls att oklarheterna med
personuppgiftslagen är många. Dock kan konstateras
att publicering av personuppgifter på Internet
förbjuds. Enligt motionärerna är det en oklarhet vad
som menas med manuellt register. Det har framförts
farhågor om att lagen skulle omfatta varje bunt av
papper som sorteras in i en pärm. Den nya lagen kan
enligt motionärerna också komma att få konsekvenser
på det internationella planet. Motionärerna påpekar
att det inte är osannolikt att handelshinder kan
uppstå om ett utländskt företag behandlas sämre här
i landet än i t.ex. Tyskland. Motionärerna
hemställer att riksdagen hos regeringen begär
förslag till sådan ändring i personuppgiftslagen att
klarhet skapas i fråga om personuppgifter etc. i
enlighet med vad som anförts i motionen (yrkande 1).
I motion 1998/99:K282 av Sten Tolgfors (m) anförs
att regeringen snarast måste arbeta fram en ny
personuppgiftslag enligt en modell där strävan är
att stävja och beivra missbruk, inte styra normal
användning. Enligt motionären måste Sverige i EU
driva på en modernisering av berört direktiv.
Motionären anför att regeringen snarast bör
återkomma till riksdagen med ett nytt förslag till
personuppgiftslag. Detta bör ges regeringen till
känna (yrkande 7).
I motion 1998/99:K317 av Ingvar Svensson m.fl. (kd)
anförs att det finns allvarligt fog för farhågorna
att personuppgiftslagen inte kan efterlevas. Enligt
motionärerna är risken uppenbar att den nya lagen
blir verkningslös. Motionärerna anser att än mer
allvarlig är risken för en urholkning av människors
tilltro till lagar i allmänhet, eftersom det inte är
orimligt att den nya lagen kommer att nonchaleras av
många. Denna befarade lagnonchalans blir enligt
motionärerna särskilt allvarlig mot bakgrund av att
det främst är yngre personer som är aktiva på
datanäten. Motionärerna anför vidare att en
"missbrukslag" ligger bättre i linje med den
hantering som är möjlig mot bakgrund av den snabba
utvecklingen på informationsteknikens område.
Nuvarande hanteringsmodell är både byråkratisk och
otidsenlig. Enligt motionärerna måste regeringen
därför ta initiativ till att en förändring av EG-
direktivet kommer till stånd. Motionärerna frågar
sig vidare om den svenska offentlighetsprincipen är
förenlig med det stärkta integritetsskyddet i den
till EG-föreskrifter anpassade personuppgiftslagen.
Enligt motionärerna måste regeringen därför ta
initiativ till förändring av nämnda EG-föreskrifter
på så sätt att det inte finns några tveksamheter att
dessa är förenliga med offentlighetsprincipen.
Därutöver anför motionärerna att undantaget i
personuppgiftslagen för personuppgifter som används
för uteslutande journalistiska ändamål eller
konstnärligt eller litterärt skapande medför en risk
för en differentierad yttrandefrihet. Medborgarrätt
får enligt motionärerna inte vara ett
yrkesprivilegium. I motionen aktualiseras vidare
bemyndigandet i 20 § personuppgiftslagen enligt
vilket regeringen eller den myndighet som regeringen
bestämmer får föreskriva undantag från förbudet mot
att behandla känsliga personuppgifter om det behövs
med hänsyn till ett viktigt allmänt intresse.
Motionärerna anser att bemyndigandet är alltför
långtgående och opreciserat. Det bör förankras i ett
preciserande ställningstagande från riksdagens sida.
Vad som anförts om behovet av att se över
personuppgiftslagen bör ges regeringen till känna.
I motion 1998/99:K324 av Göran Magnusson m.fl. (s)
erinras om att frågan om val av av
lagstiftningsmetod diskuterades redan i samband med
person-uppgiftslagens tillkomst i regeringens
proposition 1997/98:44. Motionärerna påpekar att
regeringen anförde att mycket av den användning av
personuppgifter som den alltmer genomgripande
datoriseringen hade medfört måste betraktas som
harmlös. Alltfler medborgare har också tillgång till
dator, elektronisk post och annan kommunikation i
världsomspännande nätverk. Mot bl.a. den bakgrunden
ansåg regeringen, vilket riksdagen instämde i, att
det fanns starka skäl för att verka för att det blir
möjligt att gå ifrån en lagstiftning enligt en
vittomfattande hanteringsmodell. Motionärerna
konstaterar vidare att det i samband med
ikraftträdandet av personuppgiftslagen förekom en
omfattande debatt kring frågor om lagens tillämpning
vad gäller t.ex. personuppgifter på Internet. Enligt
motionärerna kan det med fog betraktas som mycket
besvärligt att på ett effektivt sätt kontrollera
efterlevnaden av lagen när det gäller att
personuppgifter får överföras till tredje land först
efter samtycke. Motionärerna anser att också detta
talar för att ansträngningarna måste intensifieras
för att åstadkomma en lagstiftning som tar sikte på
en lagreglering mot missbruk av personuppgifter.
Motionärerna konstaterar vidare att det i den
allmänna debatten råder en viss osäkerhet om hur
reglerna för behandling av helt harmlösa
personuppgifter på Internet skall tolkas i
förhållande till den nya lagen. Härvid framhåller
motionärerna att det är myndigheterna och
rättsväsendets instanser som skall svara på sådana
frågor och göra dessa tolkningar. Även EG-domstolen
kan bli inblandad i dessa fall. Motionärerna
framhåller vidare att regeringen har gett
Datainspektionen i uppdrag att följa upp den nya
lagen. En särskild informationsinsats kommer vidare
att genomföras kring den nya lagen. Regeringen
kommer också att informera ansvarige EU-kommissionär
om bl.a. den oro som finns för den nya lagens
tillämpning i Sverige. Motionärerna anför att det är
bra att regeringen på detta och andra sätt aktivt
följer upp vad som händer också i de övriga EU-
länderna när det gäller genomförandet av EG-
direktivet.
Enligt motionärerna är det angeläget att regeringen
i det kommande lagstiftningsarbetet på
personuppgiftsområdet gör nödvändiga problem- och
konsekvensanalyser samt tar sådana initiativ inom EU
att vi får en lagstiftning som är väl anpassad till
kraven på öppenhet och tillgänglighet samt ger ett
effektivt skydd mot missbruk i förhållande till den
enskildes personliga integritet. Motionärerna
hemställer att regeringen ges till känna vad i
motionen anförts om intensifierade åtgärder i syfte
att åstadkomma en modern och teknikoberoende
integritetslagstiftning till skydd för den
personliga integrite- ten (yrkande 1). Regeringen
bör också ges till känna vad i motionen anförts om
att regeringen bör ta initiativ till att med kraft
verka för en revidering av EG-direktivet om skydd
för enskilda personer med avseende på behandling av
personuppgifter (yrkande 2).
I motion 1998/99:T808 av Sven Bergström m.fl. (c)
anförs att en lag som gör i det närmaste alla
datoranvändare till brottslingar i formell mening är
otillfredsställande. Enligt motionärerna är risken
stor att användarna kommer att bortse också från de
relevanta avsnitten i personuppgiftslagen, eftersom
lagens bokstav är omöjlig att uppnå i dagligt bruk.
Motionärerna påpekar att signaler tyder på att
Sverige har valt den strängaste formen av
genomförande av EG-direktivet. Enligt motionärerna
lider personuppgiftslagen av sådana allvarliga
brister att den måste ses över i väntan på ett nytt
lagstiftningsförslag. Centerpartiet menar att en lag
som handlar mer om människors rätt till integritet
än om hanteringen av personuppgifter är att föredra.
En lag som skall ersätta personuppgiftslagen bör
enligt motionärerna vara en generellt tillämplig
integritetslag som reglerar människors rätt till
integritet, såväl i den offentliga som i den privata
sfären. Motionärerna anser att en integritetslag bör
bygga på en missbruksmodell. Enligt motionärerna bör
riksdagen hos regeringen begära förslag till en ny
integritetslag som skall ersätta per-
sonuppgiftslagen (yrkande 9).
Därutöver anför motionärerna att det är angeläget
att Sverige inom ramen för det europeiska samarbetet
med kraft driver frågan om ett nytt
integritetsdirektiv som kan ersätta det nuvarande
EG-direktivet. Detta bör ges regeringen till känna
(yrkande 10).
I motion 1998/99:T809 av Johnny Gylling och Amanda
Grönlund (kd) anförs att långsiktiga problem uppstår
när regering och riksdag beslutar om lagar som
uppenbarligen inte kan tillämpas eller som inte alls
har en förankring i det allmänna rättsmedvetandet.
Enligt motionärerna urgröper det medborgarnas
förtroende för rättssamhället och kan i värsta fall
leda till att tilltron till lagar och regler minskar
i allmänhet. Motionärerna anför att regeringen
omgående borde tillsätta en utredning med uppgift
att utarbeta ett lagförslag som är medieoberoende
och som reglerar missbruket av person-uppgifter
(yrkande 3).
I motion 1998/99:T818 av Carl Bildt m.fl. (m) anförs
att Moderata samlingspartiet står fast vid sin
tidigare inställning att EG-direktivet som
personuppgiftslagen bygger på inte tar hänsyn till
den utvecklingen att alltfler medborgare har
tillgång till dator och möjlighet att kommunicera i
olika nätverk. Enligt motionärerna borde en
lagstiftningsmodell som tar sikte på missbruk av
personuppgifter i stället för själva hanteringen ha
inneburit ett större skydd för yttrandefriheten och
därvid varit att föredra. Motionärerna anser att ett
sådant ställningstagande inte står i strid med
Sveriges skyldighet att genomföra direktivet så
länge den nationella lagstiftningen får ett
materiellt innehåll som överensstämmer med
direktivet. Motionärerna vänder sig vidare liksom
tidigare mot de i vissa fall långtgående tolkningar
som regeringen har gjort av EG-direktivet. Härvid
framhåller motionärerna att regeringen i sin iver
att värna den svenska offentlighetsprincipen har
till nackdel för den personliga integriteten
bortsett från direktivets förbud att lämna ut
personuppgifter för andra ändamål än de samlats in
för. Motionärerna anför också att ett särskilt
undantag bör göras från kravet på uttryckligt
samtycke vid behandling av känsliga personuppgifter
för att möjliggöra opinions- och
marknadsundersökningar. Enligt motionärerna bör
kravet på samtycke vara uppfyllt genom
intervjupersonens frivilliga besvarande av ställda
frågor. Moderata samlingspartiet menar att en
översyn av personuppgiftslagen bör göras snarast i
syfte att komma åt de nämnda problemen. Regeringen
bör också verka för att EG-direktivet revideras i
samma riktning. Motionärerna hemställer att
riksdagen beslutar om ändring i personuppgiftslagen
i enlighet med vad som anförts i motionen (yrkande
9).
I motion 1998/99:N326 av Per Westerberg (m) och
Göran Hägglund (kd) anförs att genomförandet av EG-
direktivet i den nya personuppgiftslagstiftningen
inte skall vara mer byråkratisk än absolut
nödvändigt. Lagen bör enligt motionärerna därför ses
över mot denna bakgrund. Sverige bör dessutom aktivt
påverka EU till en mer tidsenlig och företagarvänlig
lagstiftning på området. Detta bör ges regeringen
till känna (yrkande 3).
Bakgrund
Grundläggande bestämmelser om yttrandefrihet och
skydd för personlig integritet vid behandling av
personuppgifter
Regeringsformen
Enligt 1 kap. 1 § regeringsformen (RF) bygger den svenska
folkstyrelsen på bl.a. fri åsiktsbildning.
Enligt 2 kap. 1 § första stycket 1 RF är varje
medborgare gentemot det allmänna tillförsäkrad
yttrandefrihet: frihet att i tal, skrift eller bild
eller på annat sätt meddela upplysningar samt
uttrycka tankar, åsikter, känslor.
Därutöver erinras i 2 kap. 1 § andra stycket RF att
beträffande tryckfriheten och motsvarande frihet att
yttra sig i ljudradio, television och vissa liknande
överföringar, filmer, videogram och andra
upptagningar av rörliga bilder samt ljudupptagningar
gäller vad som är föreskrivet i
tryckfrihetsförordningen och
yttrandefrihetsgrundlagen.
Den 1 januari 1999 trädde en ändring i
yttrandefrihetsgrundlagen i kraft som innebär att
benämningen tekniska upptagningar har förts in i
lagen som ett samlingsbegrepp för upptagningar som
innehåller text, bild eller ljud och som kan läsas,
avlyssnas eller på annat sätt uppfattas endast med
tekniskt hjälpmedel. Med anledning av detta har en
ändring också gjorts i 2 kap. 1 § andra stycket RF.
I 2 kap. 3 § andra stycket RF sägs att varje
medborgare i den utsträckning som närmare anges i
lag skall skyddas mot att hans personliga integritet
kränks genom att uppgifter om honom registreras med
hjälp av automatisk databehandling.
Enligt 2 kap. 12 § första stycket RF får bl.a.
yttrandefriheten, i den utsträckning som medges i
13-16 §§, begränsas genom lag. I andra stycket sägs
att begränsningen får göras endast för att
tillgodose ändamål som är godtagbart i ett
demokratiskt samhälle. Begränsningen får aldrig gå
utöver vad som är nödvändigt med hänsyn till det
ändamål som har föranlett den och ej heller sträcka
sig så långt att den utgör ett hot mot den fria
åsiktsbildningen såsom en av folkstyrelsens
grundvalar.
Av 2 kap. 13 § första stycket RF framgår att
yttrandefriheten får begränsas med hänsyn till bl.a.
privatlivets helgd. Vidare sägs i andra stycket att
vid bedömandet av vilka begränsningar som får ske
skall särskilt beaktas vikten av vidaste möjliga
yttrandefrihet i politiska, religiösa, fackliga,
vetenskapliga och kulturella angelägenheter.
Europakonventionen
Den europeiska konventionen om skydd för de
mänskliga rättigheterna och de grundläggande
friheterna (Europakonventionen) är sedan den 1
januari 1995 inkorporerad i svensk lagstiftning. Den
gäller således numera som svensk lag och dess
bestämmelser kan åberopas direkt i svensk domstol. I
samband med att konventionen inkorporerades i svensk
lagstiftning infördes en ny bestämmelse i
regeringsformen som säger att lag eller annan
föreskrift inte får meddelas i strid med Sveriges
åtaganden på grund av konventionen (2 kap. 23 § RF).
I Europakonventionen finns bestämmelser om såväl
yttrandefrihet som skydd för privatlivets helgd.
Enligt artikel 8.1 i Europakonventionen har var och
en rätt till respekt för sitt privat- och
familjeliv, sitt hem och sin korrespondens.
Vidare sägs i 8.2 att offentlig myndighet inte får
inskränka åtnjutandet av denna rättighet annat än
med stöd av lag och om det i ett demokratiskt
samhälle är nödvändigt med hänsyn till statens
säkerhet, den allmänna säkerheten, landets
ekonomiska välstånd eller till förebyggande av
oordning eller brott eller till skydd för hälsa
eller moral eller för andra personers fri- och
rättigheter.
Enligt artikel 10.1 i Europakonventionen har var och
en rätt till yttrandefrihet. Denna rätt innefattar
åsiktsfrihet samt frihet att ta emot och sprida
uppgifter och tankar utan offentlig myndighets
inblandning och oberoende av territoriella gränser.
Artikeln hindrar inte att en stat kräver tillstånd
för ra-dio-, televisions- eller biografföretag.
I artikel 10.2 sägs att eftersom utövandet av de
nämnda friheterna medför ansvar och skyldigheter,
får de underkastas sådana formföreskrifter, villkor,
inskränkningar eller straffpåföljder som är
föreskrivna i lag och som i ett demokratiskt
samhälle är nödvändiga med hänsyn till statens
säkerhet, till den territoriella integriteten eller
den allmänna säkerheten, till förebyggande av
oordning och brott, till skydd för hälsa eller moral
eller för annans goda namn och rykte och
rättigheter, för att hindra att förtroliga
underrättelser sprids eller för att upprätthålla
domstolarnas auktoritet och opartiskhet.
Utredning om mediegrundlagarna
Regeringen har den 4 februari 1999 beslutat att en
parlamentariskt sammansatt kommitté bl.a. skall
närmare analysera behovet av och förutsättningarna
för en mer teknikoberoende grundlagsreglering av
yttrandefriheten (dir. 1999:8).
I direktiven framhåller regeringen att utvecklingen
på informationsteknikens område har gått fort sedan
tillkomsten av yttrandefrihetsgrundlagen (YGL). Utan
att ifrågasätta tidigare bedömningar på området kan
man enligt regeringen fråga sig om det är praktiskt
möjligt att i längden behålla en teknikberoende
grundlagsreglering av yttrandefriheten i medierna.
Därför bör behovet av och förutsättningarna för en
mer teknikoberoende reglering utredas.
Vidare anför regeringen att det inte minst när det
gäller grundlagsskyddet är väsentligt att yttranden
i olika medier inte omfattas av olika bestämmelser
endast på den grunden att de formella
avgränsningarna för bestämmelsernas tillämplighet är
förlegade och i otakt med den tekniska utvecklingen.
Enligt regeringen finns det anledning att närmare
analysera behovet av och förutsättningarna för en
mer teknikoberoende grundlagsreglering av
yttrandefriheten än den som gäller för närvarande.
Det tryckta ordet har emellertid, som
konstitutionsutskottet framhöll i sitt betänkande
1997/98:KU19, enligt regeringen en särställning i
den fria opinionsbildningen och samhällsdebatten.
Utgångspunkten är därför att den nuvarande
uppdelningen på två grundlagar bör bestå och att
tryckfrihetsförordningen (TF) även i fortsättningen
bör vara den grundlag som ger skydd för yttranden i
form av det tryckta ordet.
Regeringen anser vidare att införandet av termen
tekniska upptagningar i YGL kan förväntas på ett
tillfredsställande sätt möta den tekniska
utvecklingen när det gäller upptagningar med sådana
yttranden som YGL är avsedd att skydda. Det som nu
behöver utredas är enligt regeringen således i
första hand YGL:s tillämplighet på ny kommunikation
med elektromagnetiska vågor, dvs. på
informationsöverföringar som sker på annat sätt än
genom att fysiska databärare transporteras mellan
avsändare och mottagare. Regeringen anför att det
som nu sagts inte hindrar att vissa justeringar kan
behöva göras i såväl TF som YGL för att reglerna
skall anpassas till utvecklingen på
informationsteknikens område, exempelvis till
tillkomsten av s.k. print-on-demand (beställtryck).
Valet av lagstiftningsmetod
Datalagskommittén
Datalagskommittén, vars förslag ligger till grund
för regleringen i person-uppgiftslagen, förde i sitt
betänkande Integritet Offentlighet
Informationsteknik (SOU 1997:39) ett resonemang
kring frågan om valet på lång sikt av modell för
regleringen av skyddet för den personliga
integriteten. Kommittén konstaterade bl.a. att den
tekniska utvecklingen går så snabbt att det är
omöjligt att göra några säkra förutsägelser om
framtiden. För närvarande syntes det enligt
kommittén i stort sett omöjligt att bringa Internet
under kontroll och försöka upprätthålla strikta krav
för hur persondata skall få hanteras på nätet - att
försöka hävda att allt som inte är tillåtet är
förbjudet. En sträng hanteringsmodell syntes dömd
att misslyckas så till vida att den inte kommer att
respekteras och därmed dra ett löjets skimmer över
lagstiftningen. Enligt kommittén finns det de som
anser att EG-direktivet redan hunnit bli obsolet i
detta hänseende, eftersom det bygger på principer
som utvecklades innan nätet kom i allmänt bruk.
Kommittén anförde att risken är uppenbar att företag
och till och med myndigheter kommer att bortse från
delar av regleringen.
Vidare anförde kommittén att det å andra sidan kan
antas att människor även i framtiden kommer att ha
kvar sin oro för stora datasystem. Det torde enligt
kommittén därför bli nödvändigt att behålla en
hanteringsmodell, om ock i förenklad i form, för
stora databaser hos myndigheter och hos företag med
enskilda som klienter eller kunder. När det gällde
de många små datasystemen, t.ex. hos skolor,
småföretagare, enskilda, och troligen också
Internet, ansåg kommittén att det syntes hopplöst
att söka kontrollera själva hanteringen av
persondata. Kommittén anförde att vad man kunde
inrikta sig på utanför de särskilda
registerförfattningarnas ram var att förhindra sådan
spridning av databehandlade personuppgifter som den
uppgifterna avser med fog kan begära att bli skonad
från.
När det gällde valet nu av modell för regleringen
anförde kommittén att man borde ta stor hänsyn till
allmänhetens inställning. Det förhållandet att många
människor känner obehag inför en viss hantering var
enligt kommittén i en politisk demokrati ett starkt
argument i sig för att reglera den hanteringen.
Samma bedömning verkade ha gjorts i de flesta EU-
stater, vilka har lagstiftning efter
hanteringsmodellen, och av EU i och med att EG-
direktivet antogs. Kommittén anförde vidare att
härtill kom att Sverige genom sitt medlemskap i EU
är skyldigt att genomföra EG-direktivet, vilket
bygger på hanteringsmodellen.
Det förhållandet att flera internationella
överenskommelser bygger på hanteringsmodellen och
att flera länder har lagstiftning som bygger på
denna modell hade enligt kommittén betydelse också
på ett annat sätt. I en miljö där
internationaliseringen ökar och den nya tekniken gör
det möjligt att blixtsnabbt hämta eller flytta
uppgifter över hela jordklotet ligger det ett
betydande värde i sig att lagstiftningen i olika
länder är likartad. Kommittén anförde vidare att EG-
direktivet ställer stränga krav på uppgifternas
kvalitet. Sådana krav är ett naturligt led i en
hanteringsmodell. Även om de självfallet borde
tillämpas även i en missbruksmodell var det enligt
kommittén lagtekniskt svårare att reglera dem där.
Enligt kommitténs mening fanns det ändå många skäl
för att hanteringsmodellen i en framtid måste
överges åtminstone såvitt angår små datasystem och
verksamheten på Internet och liknande. Kommittén
trodde dock att det skulle komma att dröja innan
tiden är mogen för en övergång till
missbruksmodellen. Den oro människor känner för
teknikens möjligheter måste enligt kommittén
respekteras. Övriga EU-stater måste också vinnas för
tanken på en sådan övergång.
Regeringens förslag
I proposition 1997/98:44 anförde regeringen att den
i likhet med Datalagskommittén och de allra flesta
remissinstanserna ansåg att det nu inte var möjligt
att uppfylla skyldigheten att genomföra direktivet
på annat sätt än genom att införa en lagstiftning av
hanteringsmodell. En lagstiftning som reglerar i
princip all hantering av personuppgifter måste
enligt regeringen således införas på grund av EG-
direktivet. Regeringen anförde att en sådan
lagstiftning emellertid inte framstod som särskilt
modern i dag. Mycket av den användning av
personuppgifter som den alltmer genomgripande
datoriseringen medför måste betraktas som harmlös.
Regeringen påpekade att alltfler medborgare också
har tillgång till dator, elektronisk post och annan
kommunikation i världsomspännande nätverk. Det fanns
enligt regeringen därför starka skäl för att verka
för att det blir möjligt att gå ifrån en
lagstiftning efter en vittomfattande
hanteringsmodell. Regeringen avsåg att på lämpligt
sätt utnyttja Sveriges inflytande i EU för att
påverka i denna riktning.
Konstitutionsutskottets tidigare bedömning
Vid sin behandling av proposition 1997/98:44 delade
konstitutionsutskottet regeringens bedömning att det
inte var möjligt att nu genomföra EG-direktivet på
ett annat sätt än genom en lagstiftning som följer
den struktur som direktivet anvisar. Lagstiftningen
borde därför utformas efter en hanteringsmodell.
Utskottet ville också, i likhet med regeringen,
framhålla att den lagstiftning som måste införas på
grund av EG-direktivet redan framstår som i viss
mån omodern. Utskottet konstaterade att den tekniska
utvecklingen när det gäller dataflödet går oerhört
snabbt. Enligt utskottets mening framstod det t.ex.
som omöjligt att upprätthålla strikta regler för hur
personuppgifter skall hanteras i ett värlsomfattande
nätverk som Internet. Även när det gäller
myndigheternas användning av e-post torde
svårigheter uppstå när det gäller att fullt ut
efterkomma strikta hanteringsregler. Utskottet såg
därför med tillfredsställelse på att regeringen
avsåg att såväl nationellt som inom EU-samarbetet
verka för att det blir möjligt att gå ifrån en
långtgående hanteringsmodell på det aktuella
lagstiftningsområdet. Mot denna bakgrund ansåg
utskottet att motionsyrkandena om att
hanteringsmodellen borde ersättas av en
missbruksmodell och att regeringen inom EU skulle ta
initiativ till en revidering av EG-direktivet var
tillgodosedda. Motionerna avstyrktes därför i dessa
delar.
Behandling av personuppgifter som omfattas av
personuppgiftslagen
Enligt 5 § personuppgiftslagen gäller lagen för
sådan behandling som helt eller delvis är
automatiserad.
Lagen gäller även för annan behandling av
personuppgifter, om uppgifterna ingår i eller är
avsedda att ingå i en strukturerad samling av
personuppgifter som är tillgängliga för sökning
eller sammanställning enligt särskilda kriterier.
I artikel 2 c i EG-direktivet sägs att med register
avses varje strukturerad samling av personuppgifter
som är tillgänglig enligt särskilda kriterier,
oavsett om samlingen är centraliserad,
decentraliserad eller spridd på grundval av
funktionella eller geografiska förhållanden.
I punkt 27 i ingressen till direktivet sägs bl.a.
att akter eller grupper av akter liksom dessas
omslag, vilka inte är strukturerade enligt särkilda
kriterier, inte under några omständigheter faller
inom direktivets tillämpningsområde.
I proposition 1997/98:44 s. 118 anför regeringen att
5 § personuppgiftslagen är avsedd att ha samma
innebörd som i direktivet. Detsamma gäller
definitionen av register.
Gällande regler om tillåten behandling av
personuppgifter
Allmänt
Enligt 10 § personuppgiftslagen får personuppgifter
behandlas bara om den registrerade har lämnat sitt
samtycke till behandlingen eller om behandlingen är
nödvändig för att
a) ett avtal med den registrerade skall kunna
fullgöras eller åtgärder som den registrerade begärt
skall kunna vidtas innan ett avtal träffas,
b) den personuppgiftsansvarige skall kunna fullgöra
en rättslig skyldighet,
c) vitala intressen för den registrerade skall
kunna skyddas,
d) en arbetsuppgift av allmänt intresse skall kunna
utföras,
e) den personuppgiftsansvarige eller en tredje man
till vilken personuppgifter lämnas ut skall kunna
utföra en arbetsuppgift i samband med
myndighetsutövning eller
f) ett ändamål som rör ett berättigat intresse hos
den personuppgiftsansvarige eller hos en sådan
tredje man till vilken personuppgifterna skall
lämnas ut skall kunna tillgodoses, om detta intresse
väger tyngre än den registrerades intresse av skydd
mot kränkning av den personliga integriteten.
Känsliga personuppgifter
När det gäller behandling av känsliga
personuppgifter föreskrivs i 13 §
personuppgiftslagen ett förbud mot behandling av
sådana uppgifter. Enligt bestämmelsen avses med
känsliga personuppgifter sådana som avslöjar ras
eller etniskt ursprung, politiska åsikter, religiös
eller filosofisk övertygelse eller medlemskap i en
fackförening. Förbudet gäller också personuppgifter
som rör hälsa eller sexualliv.
Från förbudet mot behandling av känsliga
personuppgifter finns dock undantag i 15-19 §§
personuppgiftslagen. Dessa undantag gäller
- när den registrerade har samtyckt till
behandlingen eller på ett tydligt sätt
offentliggjort uppgifterna (15 §),
- när behandlingen i vissa avseenden är nödvändig
(16 §),
- när behandlingen sker inom ramen för vissa
ideella organisationers verksamhet (17 §),
- när behandlingen sker för vissa nödvändiga
hälso- och sjukvårdsändamål (18 §) eller
- när uppgifterna behandlas för forsknings- eller
statistikändamål (19 §).
Enligt 20 § får regeringen eller den myndighet som
regeringen bestämmer meddela föreskrifter om
ytterligare undantag från förbudet i 13 § om det
behövs med hänsyn till ett viktigt allmänt intresse.
Överföring av personuppgifter till tredje land
Även när det gäller överföring av personuppgifter
till tredje land, dvs. till ett land utanför EES-
området, gäller särskilt stränga regler.
Enligt 33 § personuppgiftslagen är det förbjudet att
till tredje land föra över personuppgifter som är
under behandling. Förbudet gäller också överföring
av personuppgifter för behandling i tredje land.
Förbudet är dock förenat med vissa undantag. I 34 §
första stycket föreskrivs att det är tillåtet att
föra över personuppgifter till tredje land, om den
registrerade har samtyckt till överföringen eller
när överföringen är nödvändig för att
a) ett avtal mellan den registrerade och den
personuppgiftsansvarige skall kunna fullgöras eller
åtgärder som den registrerade begärt skall kunna
vidtas innan ett avtal träffas,
b) ett sådant avtal mellan den
personuppgiftsansvarige och tredje man som är i den
registrerades intresse skall kunna ingås eller
fullgöras,
c) rättsliga anspråk skall kunna fastställas, göras
gällande eller försvaras eller
d) vitala intressen för den registrerade skall
kunna skyddas.
Därutöver är det enligt 34 § andra stycket tillåtet
att föra över personuppgifter för användning enbart
i en stat som har anslutit sig till Europarådets
konvention om skydd för enskilda vid automatisk
databehandling av person-uppgifter.
Enligt 35 § första stycket kan regeringen meddela
föreskrifter om undantag från förbudet i 33 § för
överföring av personuppgifter till vissa stater.
Regeringen får också meddela föreskrifter om att
överföring av personuppgifter till tredje land är
tillåten, om överföringen regleras av ett avtal som
ger tillräckliga garantier till skydd för de
registrerades rättigheter.
Därutöver sägs i 35 § andra stycket att regeringen
eller den myndighet som regeringen bestämmer får
meddela föreskrifter om undantag från förbudet i 33
§ om det behövs med hänsyn till ett viktigt allmänt
intresse. Detsamma gäller om det finns tillräckliga
garantier till skydd för de registrerades
rättigheter. Regeringen har i 11 §
personuppgiftsförordningen (1998:1191) bemyndigat
Datainspektionen att meddela föreskrifter av
sistnämnt slag. Bemyndigandet gäller under samma
förutsättning också beslut i enskilda fall.
I 35 § tredje stycket sägs vidare att regeringen
under de förutsättningar som nämns i andra stycket i
enskilda fall får besluta om undantag från förbudet
i 33 §. Regeringen får överlåta åt tillsynsmyndighet
att fatta sådana beslut.
Undantag för privat verksamhet från
personuppgiftslagens tillämpningsområde
Enligt 6 § personuppgiftslagen gäller lagen inte för
sådan behandling av personuppgifter som en fysisk
person utför som ett led i en verksamhet av rent
privat natur.
I proposition 1997/98:44 anförde regeringen att den
nya lagen syftar till att skapa ett skydd för
individens rent privata sfär. Det vore därför
ologiskt om den nya lagen i själva verket skulle
tillåtas tränga in i denna sfär genom införandet av
myndighetskontrollerade hanteringsregler för sådant
som måste betraktas som rent privata angelägenheter.
Regeringen ansåg att möjligheten enligt direktivet
att undanta rent privat användning av
personuppgifter borde utnyttjas fullt ut. Den nya
lagen borde alltså innehålla samma undantag som
direktivet. Enligt regeringen innebär detta att
t.ex. enskilda för rent privat bruk kan föra en
elektronisk dagbok eller registrera sina grannar
eller släktingar.
Förhållandet till tryck- och yttrandefriheten
Bestämmelse i EG-direktivet
I artikel 9 i EG-direktivet sägs att medlemsstaterna
med avseende på behandling av personuppgifter som
sker uteslutande för journalistiska ändamål eller
konstnärligt eller litterärt skapande skall besluta
om undantag och avvikelser från bestämmelserna i
detta kapitel, kapitel IV och kapitel VI endast om
det är nödvändigt för att förena rätten till
privatlivet med reglerna om yttrandefriheten.
Bestämmelse i personuppgiftslagen
I 7 § första stycket personuppgiftslagen erinras om
att bestämmelserna i lagen inte tillämpas i den
utsträckning det skulle strida mot bestämmelserna om
tryck- och yttrandefriheten i
tryckfrihetsförordningen (TF) eller
yttrandefrihetsgrundlagen (YGL).
Vidare sägs i 7 § andra stycket att bestämmelserna
i 9-29 och 33-44 §§ samt 45 § första stycket och
47-49 §§ inte skall tillämpas på sådan behandling av
personuppgifter som sker uteslutande för
journalistiska ändamål eller konstnärligt eller
litterärt skapande.
Mediekommitténs överväganden angående EG-direktivets
förhållande till tryck- och yttrandefriheten
Mediekommittén övervägde i sitt betänkande
Grundlagsskydd för nya medier (SOU 1997:49) frågan
om EG-direktivets förhållande till den svenska
tryck- och yttrandefriheten. Enligt kommittén fanns
det från svensk grundlagsstiftningssynpunkt
anledning att ha som utgångspunkt den grundsyn som
anlades vid grundlagsändringarna inför ett svenskt
EU-medlemskap och som kan sammanfattas med att vi
inte bör ge avkall på vårt grundlagsskydd enligt TF
och YGL annat än när det är alldeles nödvändigt.
Detta synsätt borde enligt kommittén leda till att
vi i enlighet med Sveriges förklaring till
direktivets antagande håller fast vid att
yttrandefriheten är "odelbar" och inte enbart
omfattar journalistisk samt litterär och konstnärlig
verksamhet i inskränkt betydelse utan de medieformer
som sådan verksamhet normalt utnyttjar. Kommittén
ansåg att vi i yttrandefrihetens intresse i så stor
utsträckning som möjligt borde begagna de
undantagsmöjligheter som direktivet ger enligt
artikel 9 jämförd med punkt 37 i ingressen. Som ett
argument för den angivna inställningen pekade
kommittén på att lagstiftningen genom TF och YGL
innehåller ett principförbud mot censur. Detta
censurförbud gäller även i fråga om datorlagrade
personuppgifter som utgör ett led i framställningen
av t.ex. en tryckt skrift. Det hade därför enligt
kommittén inte varit möjligt för Sverige att
överlåta rätt att besluta om en så principiell
avvikelse från censurförbudet som direktivet kan
synas kräva enligt ordalagen. Kommittén nämnde att
också andra länder inom EU har ett motsvarande
censurförbud.
Enligt kommittén kunde det angivna synsättet
motiveras inte bara från nationell grundlagssynpunkt
utan också utifrån ett EG-rättsligt perspektiv.
Kommittén pekade på att det både i EG-domstolens
praxis och i Maastricht-avtalet slås fast att
Europakonventionens fri- och rättigheter skall
respekteras som allmänna rättsprinciper på EG-
rättens område. Detta har varit en viktig faktor vid
Sveriges anslutning till EU, något som kommer till
uttryck i 10 kap. 5 § RF. Kommittén konstaterade att
rätt till privatlivet regleras i artikel 8 i
konventionen och yttrandefriheten i artikel 10. I
konventionen är dessa två fri- och rättigheter
jämställda, och integritetsskyddet framstår enligt
kommittén inte som i EG-direktivet som ett
överordnat intresse. Kommittén konstaterade vidare
att Europadomstolen i sin tillämpning av
konventionen förklarat att yttrandefriheten utgör en
av de viktigaste grunderna för ett demokratiskt
samhälle. Skyddet för yttrandefriheten har enligt
domstolens avgöranden inte bara gällt journalistisk
verksamhet eller litterärt eller konstnärligt
skapande utan också politisk verksamhet och
kommersiella yttranden. Enligt kommittén måste det
vara så att integritetsskyddsintresset inte
generellt kan anses ta över
yttrandefrihetsintresset, utan en avvägning måste
göras mellan dessa motstridande intressen i olika
sammanhang. Kommittén anförde att EG-direktivet till
följd härav inte kan anses ha den innebörden att
yttrandefriheten inte får ges försteg framför
skyddet för privatlivet i andra fall än de som är
speciellt omnämnda i artikel 9 i direktivet.
Även om artikel 10 i Europakonventionen tillåter
begränsningar i yttrandefriheten inom ganska vida
ramar, fanns det enligt kommittén inte skäl att tro
att integritetsskyddet utanför journalistisk samt
litterär och konstnärlig verksamhet kan ges försteg
framför yttrandefrihetsintresset på det generella
sätt som skulle följa av direktivets avfattning.
Kommittén anförde att konventionen fick anses
innebära att man skall iaktta en sådan
proportionalitetsprincip som utgör en del också av
EG:s grundläggande rättsprinciper. Detta gäller även
utanför journalistisk samt litterär och konstnärlig
verksamhet i inskränkt betydelse. Sammantaget fanns
det enligt kommittén alltså anledning att anse att
möjligheterna till undantag från direktivets regler
i yttrandefrihetens intresse är vidare än vad
ordalagen i artikel 9 synes ge vid handen. På
motsvarande sätt borde man se på kravet i artikel 9
att undantagen skall vara "nödvändiga".
Konstitutionsutskottets tidigare bedömning
Vid sin behandling av proposition 1997/98:44 om
personuppgiftslagen hänvisade utskottet i sin
bedömning av frågan om EG-direktivets förenlighet
med tryck- och yttrandefriheten enligt TF och YGL
till bl.a. Mediekommitténs överväganden när det
gällde frågan om vilka undantagsmöjligheter som
direktivets artikel 9 ger jämförd med punkt 37 i
ingressen. Utskottet ville vidare erinra om att TF
och YGL innehåller bestämmelser om rättsliga
principer som är av väsentlig betydelse för det
svenska statsskicket. Bestämmelsen i 10 kap. 5 § RF
som reglerar möjligheterna att överlåta
beslutanderätt till EG kunde inte anses öppna
möjlighet att överlåta beslutanderätt som väsentligt
rubbar dessa principer utan samtidig ändring av
grundlag. Utskottet framhöll också att
beslutskompetens enligt 10 kap. 5 § endast kan
överlåtas så länge rättighetsskyddet inom EU
motsvarar regeringsformens och Europakonventionens
rättighetsskydd.
Utskottet delade regeringens och Mediekommitténs
bedömning att artikel 9 i direktivet, jämförd med
punkt 37 i ingressen, skall uppfattas så att
integritetsskyddsintresset inte kan anses ta över
yttrandefrihetsintresset, utan att en avvägning
måste göras. Sambandet med Europakonventionen gav
enligt utskottet vid handen att en sådan avvägning
måste vara möjlig även utanför journalistisk,
litterär och konstnärlig verksamhet i inskränkt
betydelse. Utskottet kunde härvid notera att Sverige
i samband med direktivets antagande fått intaget i
ministerrådets protokoll att Sverige anser att
begreppet konstnärliga och litterära uttryck mer
syftar på uttrycksmedlen än kommunikationens
innehåll och dess kvalitet.
Utskottet hade vidare inget att invända mot att
lagen skulle innehålla en uttrycklig erinran om att
bestämmelser i lagen inte skall tillämpas om en
sådan tillämpning skulle strida mot bestämmelserna
om tryck- och yttrandefrihet i TF eller YGL.
Utskottet tillstyrkte också regeringens förslag att
undantag skulle göras för sådan journalistisk,
konstnärlig och litterär verksamhet som faller
utanför TF:s och YGL:s tillämpningsområde, dock ej
när det gäller den nya lagens bestämmelser om
säkerhetsåtgärder. I enlighet med det anförda
avstyrkte utskottet en motion med yrkande om att
regeringens förslag i denna del skulle avslås.
Särskilt om behandling av personuppgifter via
Internet
Datainspektionens föreskrifter
Medan datalagen ännu gällde utfärdade
Datainspektionen generella föreskrifter (DIFS
1996:3) om protokollsregister hos kommuner och
landsting. Föreskrifterna innebär att den kommun som
håller sig inom ramen för föreskrifterna får föra
protokollsregister utan särskilt tillstånd eller
utlandsmedgivande enligt 7 kap. 16 § sekretesslagen
(1980:100). Protokollsregistren får, med undantag
för vissa känsliga personuppgifter, innehålla
kungörelser eller kallelser till sammanträden samt
justerade protokoll. Enligt föreskrifterna får
personuppgifter ur sådana protokollsregister lämnas
ut till allmänheten via terminal eller via Internet
eller motsvarande öppna nät. I föreskrifterna
erinras om att ett utlämnande kan vara begränsat
enligt sekretesslagen.
Därutöver har Datainspektionen under hösten 1997
utfärdat generella föreskrifter (DIFS 1977:7) för
personregister på webbsidor. Föreskrifterna innebär
att personregister för informationsändamål får
inrättas på webbsidor och göras tillgängliga på
Internet utan särskilt tillstånd eller medgivande,
om uppgifterna inte är känsliga enligt datalagen och
den enskilde har samtyckt till registreringen och
utlämnandet på Internet.
Föreskrifterna kan i enlighet med
övergångsbestämmelserna till personuppgiftslagen
vara tillämpliga på behandlingar av personuppgifter
som sker även efter det att personuppgiftslagen
trätt i kraft.
Bestämmelser i personuppgiftslagen
I personuppgiftslagen finns ingen särskild reglering
som tar sikte på behandling av personuppgifter via
Internet. Sådan behandling skall således bedömas
utifrån samma regler som i övrigt gäller för
behandling av personuppgifter.
I den mån en behandling av personuppgifter via
Internet begränsas till EES-området eller till ett
land som anslutit sig till Europarådets konvention
om skydd för enskilda vid automatisk databehandling
av personuppgifter - och det inte är fråga om
känsliga personuppgifter - är en sådan behandling
tillåten i enlighet med vad som sägs i 10 §
personuppgiftslagen. Behandlingen är i detta fall
tillåten om t.ex. den registrerade har lämnat sitt
samtycke.
En möjlighet som därutöver torde kunna bli aktuell
i flera fall är vad som sägs under 10 § punkt f.
Enligt denna bestämmelse är en behandling tillåten
om den är nödvändig för att ett ändamål skall kunna
tillgodoses som rör ett berättigat intresse hos den
personuppgiftsansvarige eller hos en sådan tredje
man till vilken personuppgifterna lämnas ut, om
detta intresse väger tyngre än den registrerades
intresse av skydd mot kränkning av den personliga
integriteten.
Om behandlingen av personuppgifter på Internet
innebär att uppgifterna sprids utanför EES-området
eller till ett land som inte anslutit sig till
Europarådets dataskyddskonvention blir de mer
restriktiva reglerna om överföring av
personuppgifter till tredje land tillämpliga. Enligt
33 § är det förbjudet att till tredje land föra över
personuppgifter som är under behandling. Förbudet
gäller också överföring av personuppgifter för
behandling i tredje land.
I 34 och 35 §§ föreskrivs om särskilda undantag
från förbudet i 33 §. I den mån dessa särskilda
undantag inte är för handen, krävs den registrerades
samtycke för överföring av personuppgifter till
tredje land.
De generella undantagen från personuppgiftslagen vid
behandlingen av personuppgifter för rent privat
verksamhet (6 §) eller för journalistiskt arbete
eller konstnärligt eller litterärt skapande (7 §)
kan också bli tillämpliga på sådan behandling som
sker via Internet. Privat e-post som skickas via
Internet torde således undantas från
personuppgiftslagens tillämpning.
Undantaget med hänsyn till offentlighetsprincipen (8
§) är dock inte tillämpligt när det gäller
behandling av personuppgifter på Internet.
Offentlighetsprincipens reglering i 2 kap. TF
innebär i fråga om elektroniska upptagningar endast
en skyldighet att lämna ut en utskrift. Att
myndigheter lägger ut information på Internet är
således inget inslag i myndighetens skyldighet att
tillhandahålla allmänna handlingar enligt 2 kap. TF
(se t.ex. bet. 1997/98:
KU18 s. 28 f.). Regeringen har beslutat att en
utredning skall tillsättas om en översyn av
bestämmelserna i 2 kap. TF i syfte att vidga
möjligheterna för offentlighetsprincipens
tillämpning i IT-samhället (dir. 1998:32).
Regeringens uppdrag till Datainspektionen
Regeringen har den 22 oktober 1998 beslutat att
uppdra åt Datainspektionen att närmare utreda
behovet av att göra undantag från förbudet i 33 §
personuppgiftslagen när det gäller dels överföringar
av personuppgifter till tredje land från offentligt
register för att tillgodose kommuners intresse av
att sprida information, dels överföringar av
personuppgifter till tredje land som typiskt inte
innebär några risker för de registrerade eller det
annars mot bakgrund av allmänhetens intresse att
sprida och inhämta information framstår som
angeläget att undantag görs, särskilt i samband med
behandling av personuppgifter på t.ex. Internet.
Datainspektionen skall också undersöka om
avvikelser för dessa intressen bör göras i andra
avseenden från reglerna i personuppgiftslagen.
Enligt beslutet skall Datainspektionen också föreslå
utformningen av föreskrifter om undantagen. Vidare
skall Datainspektionen särskilt analysera hur
förslagen förhåller sig till reglerna i EG-
direktivet samt redovisa de ekonomiska
konsekvenserna av sina förslag. Uppdraget skall
redovisas till regeringen senast den 1 mars 1999.
Datainspektionens rapport till regeringen
I en rapport till regeringen den 1 mars 1999
föreslår Datainspektionen att regeringen i
personuppgiftsförordningen inför ett generellt
undantag för harmlösa uppgifter. Enligt förslaget
skall det utan hinder av förbudet i 33 §
personuppgiftslagen mot överföring av
personuppgifter till tredje land vara tillåtet för
var och en att behandla personuppgifter i löpande
text över Internet eller annat nät om det uppenbart
saknas risk för kränkning av den registrerades
personliga integritet.
Därutöver föreslår Datainspektionen särskilda
undantag för kommunernas information. Kommuner och
landsting skall enligt förslaget få göra vissa
protokoll samt kungörelser, kallelser och uppgifter
ur diarier tillgängliga för allmänheten via
Internet. Uppgifter som direkt pekar ut andra
enskilda personer än förtroendevalda skall som regel
få göras tillgängliga över Internet om det uppenbart
saknas risk för integritetskränkning.
Datainspektionen påpekar att förslaget i huvudsak
innebär att den datalagspraxis som utvecklats kring
kommunernas informationsspridning över Internet
skall fortsätta att gälla.
När det gäller statliga myndigheters information
över internationella kommunikationsnätverk såsom
Internet bör det enligt Datainspektionens bedömning
lämpligen regleras i registerlagstiftning på
myndighetens område eller i myndighetens
instruktion.
Vidare föreslår Datainspektionen att en regel
införs i personuppgiftsförordningen som gör det
möjligt att i löpande text omnämna en uppgift om att
någon har eller kan ha begått ett viss brott, om den
som uppgiften avser själv på ett tydlig sätt har
offentliggjort uppgiften.
Datainspektionen framhåller att förslagen ansluter
i sak till den praxis för Internetanvändning som
rådde före personuppgiftslagen och som fortfarande
kan vara tillämplig övergångsvis. De innebär enligt
inspektionen inga genomgripande förändringar utan
torde kunna genomföras utan större tidsutdräkt.
Datainspektionen anser det på sikt vara bättre att
genomföra andra förändringar. Dessa beror dock på
faktorer utanför Datainspektionens
utredningsuppdrag, t.ex. dataskyddsdirektivets
framtida utformning och eventuella ändringar i
grundlag.
Utskottets bedömning
I och med att personuppgiftslagen trädde i kraft den
24 oktober 1998 genomfördes i den svenska
lagstiftningen Europaparlamentets och rådets
direktiv 95/46/EG av den 24 oktober 1995 om skydd
för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana
uppgifter. Enligt artikel 32 i direktivet skall
medlemsstaterna sätta i kraft de lagar och andra
författningar, som är nödvändiga för att följa detta
direktiv, senast tre år efter dess antagande.
Utskottet konstaterar att direktivet således skulle
vara genomfört senast den 24 oktober 1998 och att
någon möjlighet att senarelägga genomförandet inte
fanns enligt direktivet.
Bestämmelserna i direktivet innebär att det är
själva hanteringen av per-sonuppgifter som regleras,
oavsett om hanteringen kan sägas utgöra ett
missbruk. Direktivet bygger således på en
vittomfattande hanteringsmodell. Utskottet vill
framhålla att den tekniska utvecklingen på IT-
området går oerhört snabbt. Den alltmer
genomgripande datoriseringen har bl.a. medfört att
många enskilda personer i dag har hemsidor på World
Wide Web och kommunicerar i mer eller mindre
personliga sammanhang via Internet. Internet har
även kommit att bl.a. användas som ett allmänt
debattforum och vid handelstransaktioner. Mycket av
den användning av personuppgifter som förekommer i
dessa sammanhang får enligt utskottets mening
betraktas som harmlös och självklar. EG-direktivets
generellt verkande hanteringsregler omfattar
emellertid även sådan användning av personuppgifter.
Vid behandlingen av propositionen om
personuppgiftslagen delade utskottet regeringens
bedömning att en lagstiftning i form av en
vittomfattande hanteringsmodell framstod som omodern
och att det därför fanns starka skäl att verka för
att det skulle bli möjligt att gå ifrån en sådan
lagstiftning. Utskottet är alltjämt av samma
uppfattning och anser att en modern lagstiftning
avseende behandling av personuppgifter måste
utformas så att lagstiftningen är väl anpassad med
hänsyn till den snabba utvecklingen på framför allt
IT-området. Lagstiftningen måste således vara
"teknikoberoende" i den meningen att den skall vara
utformad så att tekniska landvinningar på t.ex. IT-
området inte skall medföra att regleringen i vissa
delar blir orimlig och svår att tillämpa och
efterleva. Enligt utskottets mening talar detta för,
såsom framförs i flera motioner, att siktet bör vara
inställt på att åstadkomma en teknikoberoende
lagstiftning till skydd för den personliga
integriteten. Utskottet finner därför anledning att,
i likhet med vad som gjordes vid person-
uppgiftslagens införande, framhålla att EG-
direktivet i dag får anses omodernt. Enligt
utskottets mening måste en revidering av direktivet
ske. Vid utskottets utfrågning om
personuppgiftslagen redogjorde statssekreteraren i
Justitiedepartementet Hans-Erik Holmqvist för de
steg i en sådan riktning som den svenska regeringen
hitintills har tagit inom EU-samarbetets ram.
Utskottet ser med tillfredsställelse på dessa
initiativ från regeringens sida. Det är enligt
utskottets mening av stor vikt att den svenska
regeringen inom EU med kraft verkar för att en
revidering av direktivet sker. Vad utskottet anfört
bör med bifall till motionerna K234 yrkande 2 (m),
K324 yrkande 2 (s) och T808 yrkande 10 (c) ges
regeringen till känna.
I flertalet motioner begärs att en översyn av den
nuvarande lagstiftningen görs i syfte att åstadkomma
ett mer modernt regelverk som tar sikte på missbruk
av personuppgifter. Enligt utskottets mening bör en
översyn av person-uppgiftslagen komma till stånd med
syfte att, så långt det är möjligt inom EG-
direktivets ram, åstadkomma en förändring av
lagstiftningen i den riktning som föreslås i
motionerna. Utskottet kan härvid konstatera att det
inom IT-kommissionens rättsliga observatorium pågår
ett arbete med att diskutera och analysera
alternativa lagstiftningsmodeller. Enligt utskottets
mening bör dock - i avvaktan på en teknikoberoende
integritetslagstiftning - intensifierade åtgärder
vidtas för att åstadkomma en lagstiftning som syftar
till att ingripa mot missbruk av personuppgifter och
inte mot själva hanteringen av sådana uppgifter.
Detta bör med anledning av motionerna K234 yrkande 1
(m), K249 (c), K256 yrkande 2 (m), K257 (m), K272
yrkande 1 delvis (mp), K282 (m), K317 (kd), K324
yrkande 1 (s), T808 yrkande 9 (c), T809 yrkande 3
(kd), T818 yrkande 9 delvis (m) och N326 yrkande 3
(m, kd) ges regeringen till känna.
Utskottet finner dock inte anledning att nu, såsom
begärs i motion K256 yrkande 3 (m), ha synpunkter på
hur ett framtida utredningsarbete skall bedrivas.
Motionen avstyrks därför i denna del.
Personuppgiftslagen innehåller, i enlighet med
direktivet, särskilt stränga hanteringsregler när
det gäller överföring av personuppgifter till tredje
land. Enligt personuppgiftslagens bestämmelser krävs
i princip samtycke för behandling av personuppgifter
på Internet. Något undantag görs inte för behandling
som kan anses självklar eller harmlös. Behandling av
personuppgifter som görs för privata syften eller
sker uteslutande för journalistiska ändamål eller
konstnärligt eller litterärt skapande är däremot
undantagen. I flera motioner har påtalats att
personuppgiftslagens bestämmelser om krav på
samtycke när det gäller behandling av
personuppgifter via Internet svårligen kan
efterlevas och att en sådan behandling som utförs
utan samtycke blir olaglig, även om den inte kan
anses otillbörlig.
Enligt utskottets mening är det påtalade problemet
så akut och besvärande att möjliga åtgärder
omedelbart måste prövas i avvaktan på att frågan får
sin lösning i rättstillämpningen eller genom en mer
genomgripande revidering av lagstiftningen. Som
framgår av redogörelsen ovan har regeringen gett
Datainspektionen i uppdrag att närmare utreda
behovet av att göra undantag från förbudet i 33 §
personuppgiftslagen mot överföring av
personuppgifter till tredje land när det gäller dels
överföringar från offentligt register för att
tillgodose kommuners intresse av att sprida
information, dels överföringar av personuppgifter
som typiskt sett inte innebär några risker för de
registrerade eller det annars mot bakgrund av
allmänhetens intresse att sprida och inhämta
information framstår som angeläget att undantag
görs, särskilt i samband med behandling av
personuppgifter på t.ex. Internet. I
Datainspektionens uppdrag ingår också att undersöka
om avvikelser från reglerna i person-uppgiftslagen
för dessa intressen bör göras i andra avseenden.
Enligt regeringens beslut skall Datainspektionen
också föreslå föreskrifter om undantagen.
I redovisningen av uppdraget föreslår
Datainspektionen att det i person-
uppgiftsförordningen införs en bestämmelse om att
det utan hinder av förbudet i 33 §
personuppgiftslagen skall vara tillåtet att för
informationsspridning eller kommunikation via
Internet eller annat nät föra över personuppgifter
till tredje land i löpande text om texten
framställts för sådant ändamål och omständigheterna
är sådana att det är uppenbart att det saknas risk
för kränkning av den registrerades personliga
integritet. Därutöver föreslår Datainspektionen
bl.a. särskilda undantag för kommunernas
information, som i huvudsak innebär att den
datalagspraxis som utvecklats kring kommunernas
informationspridning över Internet skall fortsätta
att gälla.
Som framgått innebar regeringens uppdrag till
Datainspektionen att inspektionen närmare skulle
utreda behovet av att göra undantag från förbudet i
33 § personuppgiftslagen när det gäller dels
överföringar från offentligt register för att
tillgodose kommuners intresse av att sprida
information, dels överföringar av personuppgifter
som typiskt sett inte innebär några risker för de
registrerade eller det annars mot bakgrund av
allmänhetens intresse att sprida och inhämta
information framstår som angeläget att undantag
görs, särskilt i samband med behandling av
personuppgifter på t.ex. Internet. Datainspektionens
förslag skall nu remissbehandlas. Utskottet utgår
från att regeringen därefter - inom de ramar som EG-
direktivet uppställer - genomför de förändringar som
krävs för att motverka de problem med
personuppgiftslagens utformning som
regeringsuppdraget avsåg att komma till rätta med,
förändringar som kan behöva gå längre än vad
Datainspektionen föreslagit. Regeringen är
naturligtvis oförhindrad att, om så krävs, föreslå
riksdagen förändringar i personuppgiftslagen.
Utskottet utgår från att förändringar genomförs
skyndsamt. Mot denna bakgrund finner utskottet inte
anledning att för närvarande begära någon
ytterligare åtgärd från regeringens sida i detta
avseende. I enlighet med det anförda anser utskottet
att vad som efterfrågas i motion K231 yrkande 5 (fp)
är tillgodosett och avstyrker motionen.
Därutöver konstaterar utskottet att det i några
motioner begärs att en översyn av mer specifika
frågor i personuppgiftslagen skall göras. I motion
K272 (mp) framförs att det är oklart vad som i
lagen menas med manuellt register (yrkande 1
delvis). Utskottet konstaterar att begreppet
manuellt register är avsett att ha samma innebörd
som i EG-direktivet. Enligt direktivet avses med
register varje strukturerad samling av
personuppifter som är tillgänglig enligt särskilda
kriterier, oavsett om samlingen är centraliserad,
decentraliserad eller spridd på grundval av
funktionella eller geografiska förhållanden.
Utskottet vill framhålla att det ankommer på
rättstillämpningen att uttolka vad som närmare skall
förstås med manuellt register. Utskottet utgår ifrån
att regeringen följer utvecklingen i rättspraxis. I
enlighet med detta avstyrks motionen i aktuell del.
I motion K272 anförs vidare att en översyn är
påkallad med hänsyn till att det inte är osannolikt
att handelshinder kan uppstå på grund av
personuppgiftslagen om ett utländskt företag
behandlas sämre här i landet än t.ex. i Tyskland
(yrkande 1 delvis). Härvid vill utskottet påpeka att
EG-domstolen är exklusivt behörig att göra
auktoritativa uttalanden om innebörden av EG:s
rättsregler. Genom EG-domstolens praxis kan således
en enhetlig tillämpning av det nu aktuella EG-
direktivet erhållas. Enligt EG-direktivets
föreskrifter har det också inrättats en särskild
arbetsgrupp med uppgift att bidra till en enhetlig
tillämpning av de nationella bestämmelser som
genomför direktivet. Utskottet vill vidare framhålla
att medlemsstaterna och kommissionen enligt artikel
27 skall uppmuntra utarbetandet av
branschöverenskommelser. Personuppgiftsförordningen
(1998:1191) innehåller bestämmelser om möjligheter
att ge in förslag till sådana överenskommelser till
Datainspektionen för yttrande. Mot bakgrund av det
anförda avstyrker utskottet motionen i denna del.
I motion T818 (m) anförs att ett särskilt
undantag bör göras från kravet på
uttryckligt samtycke vid behandling av
känsliga personuppgifter för att möjliggöra
opinions- och marknadsundersökningar
(yrkande 9 delvis). Vid behandlingen av
propositionen om personuppgiftslagen
behandlade utskottet en motion med ett
liknande innehåll (bet. 1997/98:KU18 s.
46). Utskottet framhöll att den
omständigheten att samtycket skall vara
uttryckligt inte förutsätter att samtycket
är skriftligt. Vad som begärdes i motionen
tillgodosågs därför enligt utskottet med
regeringens förslag Motionen avstyrktes
därmed. Utskottet finner inte skäl att nu
göra en annan bedömning och avstyrker den
aktuella motionen i berörd del.
Förhållandet till offentlighetsprincipen
Motionen
I motion 1998/99:K272 av Peter Eriksson och Per
Lager (mp) anförs att de viktigaste frågorna är hur
lagstiftningen om behandling av personuppgifter
förhåller sig till offentlighetsprincipen samt
tryck- och yttrandefriheten. En fråga som bör redas
ut i detta sammanhang är enligt motionärerna hur
olika myndigheter skall hantera allmänhetens begäran
att få ta del av offentliga handlingar via
datamedier. Motionärerna hemställer att regeringen
ges till känna vad som i motionen anförts om att
regeringen bör ta initiativ inom EU för att göra
undantag för s.k. allmänna handlingar (yrkande 2).
Bakgrund
Bestämmelse i personuppgiftslagen
I 8 § första stycket personuppgiftslagen erinras om
att bestämmelserna i lagen inte tillämpas i den
utsträckning det skulle inskränka en myndighets
skyldighet enligt 2 kap. TF att lämna ut
personuppgifter.
Vidare sägs i andra stycket att bestämmelserna inte
heller hindrar att en myndighet arkiverar och
bevarar allmänna handlingar eller att arkivmaterial
tas om hand av en arkivmyndighet. Bestämmelsen i 9 §
fjärde stycket gäller inte för en myndighets
användning av personuppgifter i allmänna handlingar.
Regeringens proposition
I proposition 1997/98:44 om personuppgiftslagen
redovisade regeringen att Lagrådet i sitt yttrande
hade anfört att det inte var övertygat om att EG-
direktivet (95/46/EG) om skydd för enskilda med
avseende på behandling av personuppgifter och om det
fria flödet av sådana uppgifter går att förena med
offentlighetsprincipen och att de tolkningar som
regeringen gjort framstod som pressade. Lagrådet
hade bl.a. anfört att det mot bakgrund av syftet med
direktivet (skapandet av en gemensam hög skyddsnivå
som skapar förutsättningar för ett fritt flöde av
uppgifter mellan länderna) inte var sannolikt att
EG-domstolen skulle godta en tolkning av direktivet
i den riktning som regeringen gjort. Enligt Lagrådet
fanns det en påtaglig risk för att domstolen skulle
finna offentlighetsprincipen oförenlig med
direktivet. För att man skulle vara säker på att den
svenska lagstiftningen skulle stå sig vid en
prövning i EG-domstolen ansåg Lagrådet att
bestämmelserna i TF och sekretesslagen (1980:100)
måste ändras.
Regeringen delade inte de farhågor rörande EG-
direktivets förenlighet med offentlighetsprincipen
som framförts av Lagrådet och en del
remissinstanser. Regeringen påpekade att det här
rörde sig om en svensk grundlagsskyddad rättighet
med lång tradition som är en viktig del av det
svenska statsskicket. Den svenska
offentlighetsprincipens starka ställning och
grundläggande betydelse för det svenska
förvaltningssystemet var enligt regeringen väl känd
i de övriga medlemsstaterna. Regeringen framhöll att
direktivet, under det förhandlingsarbete som ägde
rum efter det att Sverige blivit medlem i EU,
förändrades på flera punkter av särskilt stor
betydelse för frågan om förhållandet till
offentlighetsprincipen. Enligt regeringen var det
också av särskilt stor betydelse att förändringarna
till stor del föranleddes av den svenska
inställningen och att förändringarna alltså syftade
till att göra det möjligt för medlemsstaterna att
förena regler om skydd för personuppgifter med en
offentlighetsprincip. Detta hade särskilt tydligt
manifesterats i punkt 72 i direktivets ingress.
Vidare anförde regeringen att Sverige också i
samband med förhandlingarna som resulterade i
Amsterdamfördraget hårt hade drivit frågan om ökad
öppenhet inom EU. Enligt regeringen hade detta
arbete varit framgångsrikt bl.a. eftersom Sverige
hade kunnat påvisa den positiva betydelse en väl
utvecklad offentlighetsprincip har för vårt land.
Regeringen påpekade att utvecklingen inom EU
otvivelaktigt gick mot en ökad öppenhet. Vidare
ansåg regeringen att det borde framhållas att
Lagrådet inte hade preciserat sin kritik mot
regeringens tolkning samt att Lagrådet hade uttalat
en viss förståelse för att regeringen inte ville
göra ingrepp i offentlighetsprincipen. Regeringens
bedömning i propositionen rörande tolkningen av
olika artiklar i EG-direktivet var enligt
regeringens mening ytterst välgrundad, särskilt mot
bakgrund av förklaringen om offentlighetsprincipen i
direktivets ingress. Det fanns enligt regeringens
mening inte anledning att anta att EG-domstolen vid
en eventuell prövning av frågan skulle se saken på
ett annat sätt.
Konstitutionsutskottets tidigare bedömning
Vid sin behandling av proposition 1997/98:44 om
personuppgiftslagen konstaterade utskottet i sin
bedömning av lagens förhållande till
offentlighetsprincipen bl.a. att
offentlighetsprincipen med sin avgörande betydelse
för den fria åsiktsbildningen utgör en omistlig del
av vårt konstitutionella system. Utskottet anförde
att offentlighetsreglerna är vår nationella
angelägenhet och att gemenskapsinstitutionerna inte
hade någon befogenhet att harmonisera reglerna på
detta lagstiftningsområde. Vidare hänvisade
utskottet till sitt tidigare uttalande om att, om
det skulle uppkomma en konflikt inom det område där
EU-institutionerna har befogenhet att fatta beslut,
det borde vara möjligt att med framgång hävda den
centrala ställning som offentlighetsprincipen och
meddelarfriheten har i vårt konstitutionella system.
Enligt utskottets mening hade vad som förevarit i
det nu aktuella ärendet inte gett anledning till
någon annan bedömning. Det fanns enligt utskottet
således varken med hänsyn till
offentlighetsprincipen som sådan eller vad som
förevarit i lagstiftningsärendet anledning att,
såsom begärdes i en motion, göra en omprövning av
nuvarande offentlighetslagstiftning. Motionen
avstyrktes därför.
I enlighet med det anförda saknades vidare enligt
utskottets mening anledning att, såsom yrkades i en
motion, begära att regeringen skulle ta initiativ
till en ändring av EG-direktivet så att inga
tveksamheter kan råda huruvida en normkollision
föreligger mellan direktivet och svenska
bestämmelser om allmänna handlingars offentlighet.
Utskottet tillstyrkte vidare regeringens förslag
att det i personuppgiftslagen infördes en uttrycklig
bestämmelse om att lagen inte tillämpas, om det
skulle inskränka myndigheternas skyldigheter att
lämna ut personuppgifter enligt 2 kap. TF. Därutöver
tillstyrkte utskottet förslaget att det infördes en
bestämmelse om att lagen inte hindrar att en
myndighet bevarar allmänna handlingar eller att
arkivmaterial tas om hand av en arkivmyndighet. I
enlighet med detta avstyrkte utskottet en motion,
vari begärdes att regeringens förslag i denna del
skulle avslås.
I enlighet med det anförda saknades vidare enligt
utskottets mening anledning att, såsom yrkades i en
motion (mp), begära att regeringen skulle ta
initiativ till en ändring av EG-direktivet så att
inga tveksamheter kan råda huruvida en normkollision
föreligger mellan direktivet och svenska
bestämmelser om allmänna handlingars offentlighet.
I en reservation (m) anfördes att regeringen hade
gjort vissa mycket pressade tolkningar av EG-
direktivet när det gällde dess förenlighet med
offentlighetsprincipen. Reservanterna ville särskilt
peka på direktivets förbud mot att lämna ut
personuppgifter för annat ändamål än det för vilket
uppgifterna samlats in. Enligt reservanterna
framstod regeringens bedömning som felaktig från EG-
rättslig synpunkt. Kritik kunde också riktas mot den
underliggande värderingen. Reservanterna ansåg att
det alls inte var givet att den traditionella
avvägningen mellan det offentligas intresse och
skyddet för den enskildes personliga integritet,
såsom den avspeglades i förslaget till person-
uppgiftslag, var den mest lämpliga eller riktiga.
Enligt reservanterna borde
offentlighetslagstiftningen omprövas i riktning mot
en begränsning av att ta del av personuppgifter, men
med oförändrade demokratiska möjligheter till insyn
i förvaltningen.
I en reservation, (fp) och (mp), anfördes att
regeringen borde ta initiativ till en ändring av EG-
direktivet så att inga tveksamheter kvarstår när det
gäller direktivets förenlighet med den svenska
offentlighetsprincipen.
Utskottets bedömning
Som framgår av föregående avsnitt uttalar sig
utskottet för att regeringen skall verka inom EU för
att en revidering av EG-direktivet sker. Utskottet
utgår från att regeringen i detta sammanhang, liksom
tidigare, kraftfullt agerar för att slå vakt om den
svenska offentlighetsprincipen. Något initiativ från
riksdagens sida med anledning av motion K272 yrkande
2 (mp) är enligt utskottets mening inte påkallat.
Motionen bör således avslås i denna del.
Övergångsregel till personuppgiftslagen
Motionen
I motion 1998/99:K256 av Margit Gennser (m) anförs
att det misstag som skett genom att riksdagen
antagit regeringens förslag till personuppgiftslag
med omedelbar verkan måste rättas till. Motionären
hemställer att riksdagen besluta att anta en
övergångsregel som anger att lagen träder i kraft
först år 2004 (yrkande 1).
Gällande övergångsbestämmelser
Som redovisats ovan trädde PUL i kraft den 24
oktober 1998. Datalagen upphörde då att gälla. Av
övergångsbestämmelserna punkt 2 till
personuppgiftslagen framgår dock att bestämmelserna
i datalagen skall tillämpas t.o.m. den 30 september
2001 i fråga om behandling av personuppgifter som
påbörjats före ikraftträdandet. Detsamma gäller
behandling som utförs för ett visst ändamål om
behandlingen för det ändamålet påbörjats före
ikraftträdandet.
Därutöver framgår av punkt 3 i
övergångsbestämmelserna att bestämmelserna i 9, 10,
13 och 21 §§ inte skall börja tillämpas förrän den 1
oktober 2007 i fråga om sådan manuell behandling som
påbörjats före ikraftträdandet eller utförs för ett
visst bestämt ändamål om behandlingen påbörjats för
det ändamålet före ikraftträdandet.
Övergångsbestämmelserna innebär att sådan behandling
av personuppgifter som var tillåten enligt datalagen
före den 24 oktober 1998 och som påbörjats före
denna tidpunkt också är tillåten under
övergångstiden. Det kan handla om behandlingar som
omfattas av datalagens personregisterbegrepp och där
Datainspektionen sedan tidigare har lämnat sitt
tillstånd. Vidare kan det vara fråga om behandling
av personuppgifter som varit tillåten enligt de
generella föreskrifter som Datainspektionen
meddelat.
Information i löpande text på en hemsida, t.ex. ett
nyhetsbrev, faller som regel utanför det
personregisterbegrepp som används i datalagen.
Datalagen reglerar således inte denna typ av
behandling av personuppgifter. I den mån sådan
behandling av personuppgifter har påbörjats före den
24 oktober 1998 följer av övergångsbestämmelserna
att inte heller personuppgiftslagen skall tillämpas
på behandlingen under övergångstiden.
Utskottets bedömning
Utskottet konstaterar att personuppgiftslagen har
trätt i kraft i den 24 oktober 1998. Det är således
inte möjligt att, såsom begärs i motionen, nu
bestämma att lagen skall träda i kraft vid en senare
tidpunkt. Utskottet vill dock påpeka att för vissa
behandlingar har ikraftträdandet fördröjts genom
övergångsbestämmelserna. Med det anförda avstyrker
utskottet motionen i denna del.
Lagstiftning i fråga om nummerpresentation
Motionen
I motion 1998/99:K277 av Carina Hägg (s) påpekas att
en myndighet inte behöver skaffa särskilt tillstånd
utöver registerlicens för att få inneha en
nummerpresentatör. Motionären framhåller att den
enskilde har möjlighet att ringa en myndighet
anonymt för att ställa en fråga och för att lämna
uppgifter. Enligt motionären är det förvånande att
journalister som ofta hänvisar till anonyma källor
också använder sig av nummerpresentatörer.
Motionären anför att nuvarande tekniska möjlighet
och lagstiftning har förflyttat ansvaret för att
garantera anonymiteten från myndigheterna till den
enskilde. Hon anser att man även fortsättningsvis
skall slå vakt om möjligheten att lämna uppgifter
och ställa frågor anonymt och efterlyser en ändring
i nuvarande lagstiftning. Regeringen bör ges till
känna vad som anförts om behovet av skydd för den
personliga integriteten i samband med introduktion
och användning av ny informationsteknik.
Bakgrund
Teledataskyddsdirektivet
Den 15 december 1997 antog Europaparlamentet och
rådet direktiv 97/66/EG om behandling av
personuppgifter och skydd för privatlivet inom
telekommunikationsområdet
(teledataskyddsdirektivet). Syftet med direktivet är
att genom en harmonisering av medlemsstaternas
bestämmelser om behandling av personuppgifter
säkerställa en likvärdig nivå på integritetsskyddet.
Direktivet skall vidare säkerställa fri rörlighet
inom gemenskapen för personuppgifter inom
telekommunikationsområdet och för teleutrustning och
teletjänster. Bestämmelserna är avsedda att
precisera och komplettera EG:s dataskyddsdirektiv.
Teledataskyddsdirektivet skulle ha varit genomfört i
medlemsstaterna senast den 24 oktober 1998.
Enligt teledataskyddsdirektivet skall uppgifter om
abonnenter och användare som teleoperatören
behandlar för att koppla upp samtal utplånas eller
åtminstone avidentifieras efter samtalets slut.
Nödvändiga uppgifter för fakturering av abonnenter
och förbetalning av samtrafikavgifter får dock
behandlas under preskriptionstiden (artikel 6).
Teledataskyddsdirektivet innehåller vidare vissa
bestämmelser som gäller tjänsten nummerpresentation
(artikel 8 och 9). Den som ringer upp skall enligt
direktivet ha möjlighet att hindra att hans eller
hennes telefonnummer visas för den uppringde. Denne
skall i sin tur ha möjlighet att förhindra att
sådana samtal kopplas fram där nummerpresentation
har åsidosatts. Det skall vidare vara möjligt att
under viss tid lagra uppgifter om dessa samtal hos
teleoperatören för att kunna spåra okynnessamtal
eller andra störande samtal. Organisationer som
handhar nödsamtal skall kunna förhindra att
nummerpresentation åsidosätts. Om ett samtal
vidarekopplas till ett annat nummer skall den
uppringde kunna förhindra att det uppkopplade numret
visas hos den som ringer upp.
Kommunikationsdepartementets förslag
Kommunikationsdepartementet lämnar i
departementspromemorian Ändringar i telelagen m.m.
(Ds 1998:63) förslag till ändringar i bl.a.
telelagen (1993:597) för att genomföra
teledataskyddsdirektivet i svensk lagstiftning.
Departementet föreslår bl.a. att det i telelagen
införs en bestämmelse om att uppgifter som angår
särskilda telemeddelanden skall utplånas eller
avidentifieras vid samtalets slut eller när
meddelandet nått mottagaren. Vidare föreslår
departementet att bestämmelser om skadestånd vid
behandling av per-sonuppgifter införs i telelagen.
Enligt förslaget skall regeringen eller, efter
regeringens bemyndigande, tillsynsmyndigheten
bemyndigas att i viss utsträckning meddela närmare
föreskrifter om bl.a. tillhandahållande av
nummerpresentation.
Utskottet har inhämtat att en proposition med
anledning av förslagen i departementspromemorian
planeras att avlämnas till riksdagen under mars
1999. Avsikten är att föreslagna lagändringar skall
träda i kraft den 1 juli 1999.
Utskottets bedömning
Regeringen avser att inom kort avlämna ett förslag
till riksdagen om att införa bl.a. en särskild
reglering när det gäller tillhandahållandet av
nummerpresentation. Reglerna i det aviserade
förslaget riktar sig till den som bedriver
televerksamhet och syftar till att genomföra det
s.k. teledataskyddsdirektivet i svensk lagstiftning.
Direktivet innehåller bl.a. bestämmelser som innebär
att den som ringer upp skall kunna skydda sig mot
nummerpresentation. Som motionären påpekar innebär
en sådan reglering att det är den som ringer upp som
bär ansvaret för att nummerpresentation inte sker.
Utskottet vill framhålla att det är angeläget att
enskilda även telefonledes kan kontakta myndigheter
anonymt för att lämna uppgifter och begära
upplysningar. Det är enligt utskottets mening inte
självklart att det är den enskilde som i nu aktuellt
avseende bör bära ansvaret för att anonymiteten
upprätthålls. Myndigheter kan avstå från att använda
sig av tjänsten nummerpresentation. Å andra sidan
kan vissa myndigheter ha ett berättigat behov av att
använda sig av denna tjänst, bl.a. för att kunna
spåra störande samtal. När det vidare gäller
möjligheten för envar att utnyttja sin
meddelarfrihet vill utskottet framhålla att, oavsett
vad som i vanlig lag regleras i fråga om
nummerpresentation, bestämmelserna om
anonymitetsskydd i 3 kap. tryckfrihetsförordningen
och 2 kap. yttrandefrihetsgrundlagen gäller.
Utskottet vill med det anförda fästa uppmärksamhet
på det problem som aktualiseras i motionen men är
för närvarande inte berett att förorda att
regeringen skall vidta någon viss åtgärd i frågan. I
enlighet med detta avstyrks motionen.
Tillsyn på dataområdet
Motionen
I motion 1998/99:T803 av Gudrun Schyman m.fl. (v)
anförs att Datainspektionen bör ges en mer offensiv
och operativ roll och fylla upp det tomrum där det
vanliga polisiära arbetet går bet. Till det krävs
enligt motionärerna ökade resurser i form av
spetskompetens på dataområdet och ökade befogenheter
för att utreda misstänkta databrott. Motionärerna
hemställer att riksdagen hos regeringen begär
förslag till en utredning angående förutsättningarna
för att ge Datainspektionen en ny roll i enlighet
med vad som anförts i motionen (yrkande 8).
I motionen framhålls också att många övergrepp och
interventioner som förekommer i datahanteringen är
av helt ny karaktär och okända i traditionell
lagstiftning. Motionärerna tror att det kan vara
värdefullt att inrätta en specialdomstol som kunde
koncentrera sig på den nya typ av oegentligheter som
följer i kölvattnet av den nya tekniken. Enligt
motionärerna borde datadomstolen jämte uppdraget att
lösa tvistigheter och oegentligheter också ha till
uppgift att ta initiativ till ny lagstiftning på IT-
området. Detta bör ges regeringen till känna
(yrkande 9).
Bakgrund
Bestämmelser om Datainspektionens tillsynsuppgifter
Enligt 2 § personuppgiftsförordningen (1998:1191) är
Datainspektionen tillsynsmyndighet enligt
personuppgiftslagen.
Av 43 § personuppgiftslagen framgår att
Datainspektionen för sin tillsyn har rätt att på
begäran få
a) tillgång till de personuppgifter som behandlas,
b) upplysningar om och dokumentation av
behandlingen av personuppgifter och säkerheten vid
denna och
c) tillträde till sådana lokaler som har anknytning
till behandlingen av personuppgifter.
Om tillsynsmyndigheten inte efter begäran enligt 43
§ kan få tillräckligt underlag för att konstatera
att behandlingen av personuppgifter är laglig, får
myndigheten enligt 44 § vid vite förbjuda den
personuppgiftsansvarige att behandla personuppgifter
på något annat sätt än genom att lagra dem.
I 45 § sägs att om tillsynsmyndigheten konstaterar
att personuppgifter behandlas eller kan komma att
behandlas på ett olagligt sätt, skall myndigheten
genom påpekanden eller liknande förfaranden försöka
åstadkomma rättelse. Går det inte att få rättelse på
något annat sätt eller är saken brådskande, får
myndigheten vid vite förbjuda den
personuppgiftsansvarige att fortsätta att behandla
personuppgifter på något annat sätt än genom att
lagra dem.
Enligt 47 § får tillsynsmyndigheten hos länsrätten
ansöka om att sådana personuppgifter som har
behandlats på ett olagligt sätt skall utplånas.
Av 51 § framgår att Datainspektionens beslut enligt
personuppgiftslagen får överklagas hos Länsrätten i
Stockholms län.
Datainspektionen har också tillsyn över den
verksamhet som kreditupplysnings- och
inkassoföretagen bedriver. Tillsynen regleras genom
bestämmelser i kreditupplysningslagen (1973:1173)
och inkassolagen (1974:182).
Regeringens överväganden i budgetpropositionen för
1999
I budgetpropositionen (prop. 1998/99:1) vad avser
utgiftsområde 1 Rikets styrelse anförde regeringen
när det gällde Datainspektionens verksamhet att en
viktig följd av den nya lagstiftningen på
dataskyddsområdet är att Datainspektionens roll
förändras från att ha varit inriktad på en
tillståndshantering mot att främst genom information
och kontakter med dem som behandlar personuppgifter
se till att lagens förutsättningar för att behandla
personuppgifter är uppfyllda. Enligt regeringen
blir de kontakter särskilt viktiga som
Datainspektionen kommer att ha med personer som
utses till personuppgiftsombud hos de företag,
myndigheter och andra som är
personuppgiftsansvariga. Datainspektionen kommer
också att utfärda föreskrifter och medverka i
utarbetandet av branschöverenskommelser på olika
områden. Regeringen anför att
branschöverenskommelser kan förväntas få stor
betydelse i framtiden för att reglera olika former
av behandling av personuppgifter.
Regeringen konstaterade vidare att
integritetsfrågor i dag bevakas i olika sammanhang
av flera olika myndigheter, t.ex. Datainspektionen,
Justitiekanslern och Registernämnden. Särskilt
Datainspektionens roll när det gäller användningen
av personuppgifter är enligt regeringen väsentlig.
Regeringen anför att det finns anledning att i
framtiden särskilt se till att myndigheternas
integritetsbevakande arbete sker på ett så effektivt
sätt som möjligt och att det finns en vaksamhet för
de förändringar av tekniken som kan medföra
integritetsrisker.
Konstitutionsutskottet anförde ingen avvikande
mening vid sin behandling av budgetpropositionen
(bet. 1998/99:KU1).
Datastraffrättsutredningen
Datastraffrättsutredningen avlämnade i december 1992
sitt betänkande Information och den nya
InformationsTekniken - straff- och processrättsliga
frågor m.m. (SOU 1992:110). Utredningen hade haft i
uppdrag att överväga vilka förändringar av de
straff- och processrättsliga reglerna som är
påkallade med hänsyn till utvecklingen inom data-
och teletekniken samt att, från samma utgångspunkt,
se över reglerna för olika myndigheters
kontrollverksamhet (dir. 1989:54). Bland annat
föreslog utredningen att bestämmelsen om straff för
dataintrång skulle föras över från datalagen till
brottsbalken. I proposition 1997/98:44 om
personuppgiftslagen m.m. föreslog regeringen att en
sådan överföring skulle göras. Riksdagen godkände
förslaget (bet. 1997/98:KU18, rskr. 1997/98:180).
Datastraffrättsutredningens förslag, som syftar till
en mer genomgripande reform, bereds för närvarande
inom Justitiedepartementet.
Utskottets bedömning
Utskottet konstaterar att Datainspektionen har varit
tillsynsmyndighet på dataskyddsområdet sedan
datalagen infördes år 1973. Följaktligen medför
förändringar i lagstiftningen på detta område att
också Datainspektionens roll och uppgifter
förändras. Personuppgiftslagens införande har
inneburit att Datainspektionens roll inte längre är
inriktad på i första hand tillståndshantering. Dess
främsta uppgift är numera att genom information och
kontakter med dem som behandlar personuppgifter se
till att de förutsättningar för behandling av
personuppgifter som uppställs i personuppgiftslagen
är uppfyllda. Enligt utskottets mening är önskemålet
i motion T803 yrkande 8 (v) om en mer offensiv och
operativ roll för Datainspektionen därmed
tillgodosett. Motionen avstyrks därför i denna del.
När det gäller vad som anförs i samma motion om en
datadomstol (yrkande 9) konstaterar utskottet att
Datastraffrättsutredningens förslag alltjämt är
under beredning i Regeringskansliet. Enligt
utskottets mening bör någon åtgärd med anledning av
motionen inte vidtas i avvaktan på detta
beredningsarbete. Motionen avstyrks därför även i
denna del.
Hemställan
Utskottet hemställer
1. beträffande revidering av EG-
direktivet
att riksdagen med bifall till motionerna 1998/99:K234
yrkande 2, 1998/99:K324 yrkande 2 och
1998/99:T808 yrkande 10 som sin mening ger
regeringen till känna vad utskottet har anfört,
2. beträffande lagstiftning mot missbruk
av personuppgifter
att riksdagen med anledning av motionerna 1998/99:K234
yrkande 1, 1998/99:K249, 1998/99:K256 yrkande 2,
1998/99:K257, 1998/99:
K272 yrkande 1 delvis, 1998/99:K282,
1998/99:K317, 1998/99:K324 yrkande 1,
1998/99:T808 yrkande 9, 1998/99:T809 yrkande 3,
1998/99:T818 yrkande 9 delvis och 1998/99:N326
yrkande 3 som sin mening ger regeringen till
känna vad utskottet har anfört,
3. beträffande framtida utredningsarbete
att riksdagen avslår motion 1998/99:K256 yrkande 3,
4. beträffande överföring av
personuppgifter till tredje land
att riksdagen avslår motion 1998/99:K231 yrkande 5,
5. beträffande definitionen av manuellt
register
att riksdagen avslår motion 1998/99:K272 yrkande 1, delvis,
res. 1 (mp)
6. beträffande handelshinder
att riksdagen avslår motion 1998/99:K272 yrkande 1 delvis,
7. beträffande samtycke vid opinions- och
marknadsundersökningar
att riksdagen avslår motion 1998/99:T818 yrkande 9 delvis,
8. beträffande förhållandet till
offentlighetsprincipen
att riksdagen avslår motion 1998/99:K272 yrkande 2,
9. beträffande övergångsregel till
personuppgiftslagen
att riksdagen avslår motion 1998/99:K256 yrkande 1,
10. beträffande lagstiftning om
nummerpresentation
att riksdagen avslår motion 1998/99:K277,
11. beträffande Datainspektionens
uppgifter
att riksdagen avslår motion 1998/99:T803 yrkande 8,
12. beträffande datadomstol
att riksdagen avslår motion 1998/99:T803 yrkande 9.
Stockholm den 2 mars 1999
På konstitutionsutskottets vägnar
Per Unckel
I beslutet har deltagit: Per Unckel
(m), Göran Magnusson (s), Barbro
Hietala Nordlund (s), Pär Axel
Sahlberg (s), Kenneth Kvist (v),
Jerry Martinger (m), Mats Berglind
(s), Inger René (m), Kerstin
Kristiansson (s), Tommy Waidelich
(s), Mats Einarsson (v), Björn von
der Esch (kd), Per Lager (mp), Åsa
Torstensson (c), Helena Bargholtz
(fp), Per-Samuel Nisser (m) och
Inger Strömbom (kd).
Reservationer
1. Definitionen av manuellt register
(mom. 5)
¤mp# anser
dels att den del av utskottets yttrande som på s. 25
börjar med "Därutöver konstaterar" och slutar med
"aktuell del" bort ha följande lydelse:
Enligt utskottets mening är det
otillfredsställande, såsom påpekas i motion K272
yrkande 1 delvis (mp), att begreppet manuellt
register inte har getts någon entydig definition i
personuppgiftslagen. Utskottet anser att det borde
vara möjligt att inom EG-direktivets ram i lag
precisera vad som skall avses med detta begrepp. I
enlighet med detta anser utskottet, med bifall till
motionen i denna del, att regeringen bör ges till
känna att personuppgiftslagen bör ses över i nu
nämnt hänseende.
dels att utskottets hemställan under 5 bort ha
följande lydelse:
5. beträffande definitionen av manuellt
register
att riksdagen med bifall till motion 1998/99:K272 yrkande 1
delvis som sin mening ger regeringen till känna
vad utskottet anfört,
Särskilt yttrande
Förhållandet till offentlighetsprincipen
Helena Bargholtz (fp) och Per Lager (mp) anför:
I lagstiftningsärendet om personuppgiftslagen
anförde Lagrådet, i likhet med flera
remissinstanser, att det inte var övertygat om att
Europaparlamentets och rådets direktiv 95/46/EG av
den 24 oktober 1995 om skydd för enskilda med
avseende på behandling av personuppgifter och om det
fria flödet av sådana uppgifter går att förena med
den svenska offentlighetsprincipen. Lagrådet anförde
att de tolkningar regeringen gjort av direktivet i
lagrådsremissen framstod som pressade. I proposition
1997/98:44 om personuppgiftslagen vidhöll regeringen
sin uppfattning att det inte finns någon bestämmelse
i direktivet som inte går att förena med
offentlighetsprincipen. Det kan således konstateras
att, trots att regeringen i förhandlingarna om EG-
direktivet ansett sig ha fått till stånd sådana
lösningar att någon oförenlighet mellan
direktivförslaget och offentlighetsprincipen inte
längre förelåg, det vid direktivets genomförande i
Sverige framkom att en stor juridisk oenighet
förelåg i denna fråga.
Det kan vidare konstateras att frågan om EG-
direktivets förenlighet med offentlighetsprincipen
ännu inte har fått sin lösning. Situationen är
alltjämt den att vi vid en eventuell konflikt har
att lita till den politiska förhoppning som
utskottet uttalat när det gäller hur en sådan
konflikt skall lösas, nämligen att det borde vara
möjligt att med framgång hävda den centrala
ställning som offentlighetsprincipen har i vårt
konstitutionella system.
Utskottet har nu uttalat sig för att regeringen med
kraft skall verka inom EU för att en revidering av
EG-direktivet sker. Med hänsyn till den avgörande
betydelse som offentlighetsprincipen har för vårt
konstitutionella system, anser vi att det är av stor
vikt att regeringen i detta sammanhang försäkrar sig
om att ett nytt EG-direktiv utformas så att det inte
föreligger någon tveksamhet när det gäller dess
förenlighet med offentlighetsprincipen.
Konstitutionsutskottets offentliga
utfrågning om personupp-giftslagen och
närliggande frågor den 8 december 1998
Inledning
Ordföranden: Jag ber att få hälsa er alla hjärtligt
välkomna till denna utfrågning om
personuppgiftslagen. Orsaken till utfrågningen är
ett antal förslag som väckts i utskottet
motionsvägen och genom andra initiativ där man
ifrågasatt personuppgiftslagens konstruktion och
verkningar. Utskottet har beslutat att behandla
dessa initiativ så att ett förslag kan ligga färdigt
för riksdagens behandling snart in på det nya året,
för att nu inte utfästa mig ett exakt datum. Denna
utfrågning skall ses som ett led i beredningen av
dessa förslag.
Vi har tänkt att genomföra utfrågningen i fyra
avdelningar, varav snöovädret redan förorsakar ett
problem i den första. Avdelningarna skulle likväl
för det första vara en mera principiell avdelning om
den bakgrund som gäller för all lagstiftning av det
här slaget, att belysa de lite olika traditioner som
finns i Nord- och Centraleuropa. Vi skulle för det
andra titta på hur den lag vi nu diskuterar faktiskt
tillkom och de bevekelsegrunder som låg bakom. Vi
skulle därefter titta något på hur utfallet, så
långt det nu kan bedömas, faktiskt har blivit och
därefter under den avslutande timmen summera vilka
handlingsvägar, givet de erfarenheter som nu har
vunnits, som formellt och informellt står utskottet
till buds.
Snöovädret förorsakar problem inte bara i Gävle
utan jämväl i Oslo, dvs. att vår inledande talare
just nu är på väg i bil från Arlanda. Vi har därför
bestämt oss för att flytta hans inledning till efter
de två första avdelningarna, dvs. att vi nu genomför
bakgrundsteckningen respektive erfarenheterna och
rundar av med de mer filosofiska spörsmålen. Vi tror
att det är bättre att göra så.
Denna utfrågning sänds även över nätet. Jag ber att
få hälsa också dem välkomna som följer utfrågningen
på detta sätt. Se det gärna som ett sätt att
experimentellt undersöka om demokratin kan breddas
och fördjupas med den nya teknikens hjälp.
Vi börjar alltså med avdelning 2 för att diskutera
tillkomsten av person-uppgiftslagen. Varje avdelning
är upplagd så att det blir ett par kortare
introduktioner, varefter utskottets ledamöter får
möjlighet att ställa preciserade frågor. Staffan
Vängby, som var ordförande i Datalagskommittén som
hade ansvaret för första ledet i den process som vi
nu befinner oss mitt uppe i, inleder.
Tillkomsten av personuppgiftslagen
Staffan Vängby: Datalagskommittén hade till uppgift
att dels föreslå hur ett EG-direktiv för skydd för
personuppgifter skulle kunna införas i svensk rätt,
dels modernisera offentlighetsprincipen. Kommittén
föreslog i sitt betänkande dels en ny lag om
bestämmelser om skydd för personuppgifter, dels
ändringar i 2 kap. tryckfrihetsförordningen. Den
senare delen har inte blivit genomförd utan är
föremål för fortsatt utredningsarbete. Arbetet
utfördes under stark tidspress och tog ett drygt år.
EG-direktivet om personuppgiftsskydd är väl inte
det bästa direktiv man kan tänka sig. Det är
ålderdomligt och är präglat av förhållandena inom
datavärlden före den nya informationsteknikens
genomförande. Men syftet är gott. Syftet är att
skydda den personliga integriteten främst från
intrång genom databehandling av personuppgifter på
samma sätt som den svenska datalagen av år 1973, som
ju var den första i sitt slag och som nu vunnit ett
stöd i regeringsformen om skydd för den personliga
integriteten när det gäller automatisk
databehandling.
Sveriges medlemskap i EU medför en rättslig
förpliktelse för Sverige att införa det här
direktivet. Sverige hade dessutom deltagit i
slutförhandlingarna om att få till stånd ändringar
i direktivet. Vi har alltså inte haft någon
valfrihet i fråga om direktivet skulle införas eller
inte. Dessutom är direktivet av den typen att det
kan få direkt tillämplighet, dvs. att det kan grunda
rätt till skadestånd för enskilda individer mot
staten, om den svenska lagstiftningen inte ger ett
adekvat skydd. Det innebär att svenska domstolar kan
tänkas tillämpa direktivet i ett mål om sådant
skadestånd, även om direktivet inte hade överförts
till svensk lagtext. Av samma skäl var det enligt
kommitténs uppfattning omöjligt att överföra
direktivet till svensk lagtext utan att ganska
noggrant följa direktivets text. Det viktiga för
kommittén var att se till att inte några vitala
svenska intressen träddes för nära.
Nu talar jag hela tiden om kommitténs majoritets
uppfattning, som sammanföll med min egen
uppfattning. Det är min uppfattning framför allt som
jag ger uttryck för i dag.
Datalagskommittén begagnade sig av
undantagsbestämmelser i direktivet för att föreslå
att så gott som samtliga bestämmelser i direktivet
utom de som gäller datasäkerhet inte skall gälla för
sådana förfaranden eller sådan spridning som är
skyddade enligt tryckfrihetsförordningen och
yttrandefrihetsgrundlagen. I den mån dessa
grundlagar i framtiden, eller som redan har skett,
kommer att omfatta nya medier - riksdagen antog ju
det vilande grundlagsförslaget om utvidgning av
grundlagsskyddet till att omfatta bl.a. cd-rom-
skivor - så vidgas också undantaget från skydd i
personuppgiftslagen.
Sverige fick också in under slutförhandlingarna en
punkt i ingressen till direktivet som innebar att
man vid genomförandet av direktivets bestämmelser
skulle ta hänsyn till principen om allmänhetens rätt
till tillgång till allmänna handlingar. Kommittén
tog fasta på detta förbehåll och föreslog en
paragraf som säger att bestämmelserna i
personuppgiftslagen inte skall tillämpas i sådan
utsträckning att det skulle inskränka en myndighets
skyldighet enligt 2 kap. tryckfrihetsförordningen
att lämna ut personuppgifter.
Kommittén utnyttjade alltså alla möjliga, och jag
vill påstå en del mindre möjliga, grunder för att ge
yttrandefriheten så stort utrymme som möjligt. Det
framgår av den kritik som både experter inom
kommittén och sedan Lagrådet - självfallet inte den
avdelning som jag sitter i - framförde mot
kommitténs uppfattning, att det gick att förena
offentlighetsprincipen och direktivet. Men både
regeringen och riksdagen accepterade kommitténs
uppfattning på den punkten. Längre än så var det
enligt min mening den gången inte möjligt att gå och
är det fortfarande inte.
EG-domstolen anser att EG-rätten tar över
medlemsstaternas konstitutioner, men hur det
förhåller sig på den punkten är inte definitivt
löst. Det var konstitutionsutskottets ståndpunkt
inför anslutningen till EU att regeringsformen även
i sitt då ändrade skick inte öppnade möjlighet att
överlåta beslutsbefogenheter beträffande
offentlighetsprincipen utan ändring av grundlag. Det
var också Datalagskommitténs uppfattning att det
inte kommer på fråga att ändra svensk grundlag för
att åstadkomma inskränkningar i
offentlighetsprincipen eller yttrandefriheten till
följd av personuppgiftsskyddsdirektivet. När det
gäller frågor som inte direkt är reglerade i
grundlagarna, t.ex. begreppet yttrandefrihet i
vidsträckt mening, tror jag knappast att det går att
upprätthålla någon särställning i förhållande till
EU i övrigt.
Datalagskommittén hade en idé om hur
integritetsskyddet skulle kunna utformas enligt en
helt annan modell och förordade också att Sverige
verkade för att EU på sikt skulle gå över till en
sådan modell. Idén är beskriven i utskottskansliets
promemoria på s. 11 och 12. Jag skall därför inte gå
närmare in på den. Slutsatsen den gången blev alltså
att övervägande skäl talade för att en ny
lagstiftning borde bygga på den modell som
direktivet hade, s.k. hanteringsmodellen, och
reglera när och under vilka förutsättningar det var
tillåtet att behandla personuppgifter. Samtidigt
önskade vi att diskussionen om en övergång till vad
vi kallade en missbruksmodell, som beskrivs i
utskottspromemorian, skulle fortsätta. Inte minst
när det gäller att inom EG:s institutioner vinna
gehör för sådan tankegång gällde det att vara tidigt
ute.
Ordföranden: Tack så hjärtligt för detta. Så hälsar
jag välkommen statssekreteraren i
Justitiedepartementet Hans-Erik Holmqvist, som är
mera omedelbart politiskt ansvarig för den nuvarande
lagen.
Hans-Erik Holmqvist: Tillåt mig börja med en
personlig reflektion. Jag har varit engagerad i
sådant här lagstiftningsarbete förut, nämligen i
Data- och offentlighetskommittén, en av de
kommittéer som sysslat med dessa frågor. Det gjorde
jag för drygt tio år sedan. Man kan konstatera att
det finns mycket man känner igen när man kommer
tillbaka till den här debatten. En del har hänt, och
en del har inte hänt.
Vi har fått en tidvis förvirrad debatt om den här
lagen. Det finns påståenden i debatten om
tidpunktenför införandet av lagen: Sverige skall
vara bäst i klassen. Låt mig slå fast att direktivet
är väldigt tydligt om sista dag för genomförande av
lagstiftningen. Det har inte funnits någon valfrihet
för Sverige att välja någon annan tidpunkt. Det vore
i och för sig intressant att höra utskottets
överväganden med anledning av detta, hur det skulle
ha ställt sig om regeringen hade varit försumlig och
inte lyckats prestera ett lagförslag som kunde träda
i kraft i rätt tid. Vi har också förstått av
kontakter med medlemsstaterna och kommissionen att
om man har lagstiftningen på plats och den skulle
kunna träda i kraft men man underlåter att låta den
träda i kraft, är det ett förfaringssätt som inte
hade tagits särskilt väl emot. Vi vill också påpeka
att tidpunkten har fixerats av att vi hade att göra
ändringar i regeringsformen som påverkade tidpunkten
för propositionens avlämnande och som också
påverkade tidpunkten för när riksdagen kunde
behandla förslaget.
Det finns ett annat påstående om
överimplementering. Jag tycker att Staffan Vängby
gick in på det tillräckligt. Det handlar inte om ett
minimidirektiv, utan direktivet är formulerat på ett
sådant sätt att mycket är ganska detaljreglerat och
bestämt där formuleringen "medlemsstaterna skall"
återkommer hela tiden. Det står t.ex. i artikel 25
som har med överföring till andra länder att göra,
dvs. det som reglerar Internet. Vi har det i artikel
26 som reglerar undantagen från den bestämmelsen.
Därför finns det väldigt små möjligheter att avvika
från direktivet, som Staffan Vängby berörde. Det gör
att regeringen har följt kommitténs text ganska väl.
En kommentar till missbruksmodellen. Jag tycker att
en synpunkt man ändå kunde introducera så här pass
tidigt är att all lagstiftning egentligen innehåller
både delar av missbruksmodell och delar av
hanteringsmodell. Även direktivet har vissa inslag
av missbruksmodell, och så har personuppgiftslagen
vissa inslag av missbruksmodell. Jag tänker framför
allt på förbjudna bearbetningar.
Det är också viktigt att tänka på att man
visserligen i direktivet inte lyckats fånga upp vad
som varit aktuellt under senare år, framför allt
Internet. Men å andra sidan bygger det på 25-30 års
erfarenhet av lagstiftning kring integritet vad
gäller traditionella databearbetningar, inte minst
det som handlar om myndighetsregister och vissa
företagsregister. Därför kan man göra den
bedömningen att när det gäller den typen av
tillämpningar är egentligen direktivet, datalagen
och personuppgiftslagen ganska väl anpassade. När vi
debatterar vad som är fel med personuppgiftslagen
tycker jag att man skall begränsa sig till det som
är det stora bekymret och inte till det som trots
allt direktivet och lagen hanterar ganska väl. Låt
mig erinra om att personuppgiftslagen exempelvis
innebär en mycket mer flexibel hantering för företag
och myndigheter. T.ex. finns möjligheten att
bearbeta efter en intresseavvägning, vilket ger
större frihet än den tidigare lagstiftningen har
gjort.
Ordföranden: Tack för detta. Jag lämnar ordet fritt
för utskottets ledamöter att fråga såväl Staffan
Vängby som Hans-Erik Holmqvist med anledning av
deras introduktioner.
Barbro Hietala Nordlund: Jag har en fråga som både
Staffan Vängby och Hans-Erik Holmqvist kanske vill
kommentera. Jag återkommer till det som sades
inledningsvis om de påståenden som har förekommit i
debatten. Det har varit en mycket intensiv debatt.
Ett påstående gäller tolkningen av EG-direktivet.
Man har påstått att Sverige har övertolkat och
missförstått. Ett annat påstående är att Sverige
utgått från ett direkt felöversatt direktiv. Det har
framförts till oss i brev efter brev. Det är ett
allvarligt påstående att hela utgångspunkten skulle
vara ett enda stort misstag och fel begånget från
svensk sida. Kan vi få det klarlagt? Jag tror att
det vore bra att få synpunkter på det nu och
förhoppningsvis klarlägganden redan inledningsvis
den här dagen.
Staffan Vängby: Det senare påståendet innebär,
såvitt jag förstår, att direktivet bara skulle
behandla registerhantering och inte hantering av
personuppgifter. Det kan inte vara riktigt, oavsett
hur man nu må ha översatt eller inte översatt en
enstaka bestämmelse i direktivet. Den svenska
översättningen är inte alltid den mest perfekta, men
hela direktivets uppbyggnad är att det, när det
gäller automatisk hantering av personuppgifter,
måste omfatta all hantering över huvud taget. Det är
bara när det gäller manuella register som det
verkligen är begränsat till registerhantering.
Kommittén var väl försedd med vetenskaplig expertis.
Att varken de eller vi skulle ha upptäckt ett
misstag visar på att det är uteslutet att det
föreligger ett sådant.
Hans-Erik Holmqvist: Vi har också haft möjlighet att
jämföra åtminstone utkast från våra nordiska
grannländer. Vi kan konstatera att vi på de centrala
punkterna, t.ex. det som gäller i förhållande till
tredje land, gör likartade tolkningar. Även när det
gäller direktivets generella giltighet har vi
likadana tolkningar. Jag tror att vi kan vara säkra
på att vi inte förlorat någonting genom
översättningen.
Inger Renée: Jag har först en egen tolkning av Hans-
Erik Holmqvist. Kan jag tyda hans utsago så att han
tycker att det är positivt att Datainspektionen nu
kommer att beivra missbruk när det gäller
hanteringen av den nya lagen?
Statsrådet Britta Lejon träffade kommissionären
Monti i slutet på oktober. Jag skulle vilja höra om
hon då informerade honom om den diskussion som vi
har i Sverige och hur diskussionen dem emellan gick.
Sedan har jag ett par frågor till Staffan Vängby om
de två olika modellerna. Jag skulle vilja höra en
liten kort diskussion om hanterings- respektive
missbruksmodellen när det gäller dels överföring av
personuppgifter till tredje land, dels
teknikoberoendet.
Staffan Vängby: De båda modellerna är helt olika.
Hanteringsmodellen säger vad man får eller inte får
göra. Missbruksmodellen säger bara vad man inte får
göra. Det är väl inte så mycket synpunkter på
hanteringsmodellen vad gäller överförandet till
utlandet, utan det är direktivet i sig som ju sätter
upp väldigt kraftiga hinder för att sprida uppgifter
via Internet till utlandet. Detsamma gäller också
den andra frågan. Ett missbruksalternativ, men
enligt en helt svensk modell som jag inte anser vara
förenlig med EG-direktivet, skulle säkert fungera
bra även i förhållande till utlandet. Då fick det
bli en fråga för svensk rätt att avgöra om det har
begåtts några fel vid distribution av person-
uppgifter till utlandet. Man skulle alltså tillämpa
vanliga svenska regler om förtal och nya regler om
ansamling av uppgifter. Jag tror inte att det ligger
några problem på den punkten.
Hans-Erik Holmqvist: Angående samtalet med Monti
vill jag säga att syftet med den träffen var framför
allt att anhängiggöra frågan. Det var inte några
långa diskussioner. Men Britta Lejon förstod av den
kontakten att man hade förstått att vi såg detta som
ett problem. Tanken med träffen var att det skulle
utgöra ett startskott för en process. Jag kan gärna
berätta hur vi ser det nu, men vi hade tänkt att
återkomma till den typen av frågeställningar senare,
så jag sparar den.
Jag vill vara ganska försiktig med uttalanden om
hur lagstiftningen skall tillämpas. Det bör jag
egentligen inte göra alls, om jag skall vara noga.
Men såvitt man kan förstå finns det en möjlighet att
tillämpa undantagsbestämmelserna. Om någon sade till
mig att han tänker publicera uppgifter om mig inför
hela världen på Internet men kan garantera att det
inte är journalistisk verksamhet det kommer att
handla om, att det inte finns något som helst inslag
av konstnärlig verksamhet, ej heller något inslag av
litterär verksamhet, då kan jag tycka att det inte
vore orimligt att den personen ändå kontaktade mig
innan de uppgifter som definitivt faller utanför de
här kriterierna skulle publiceras över hela världen.
Man kan misstänka att Datainspektionen kommer att
resonera på ett liknande sätt när man skall tillämpa
den här lagstiftningen. Om jag tillåts en mera
personlig vinkling på det hela skulle jag svara på
det sättet.
Ingvar Svensson: Jag vill anknyta till den här
diskussionen om journalistisk verksamhet. Jag var
inte med vid den första behandlingen av lagen i
utskottet. Men i yttrandefrihetsgrundlagen och
tryckfrihetsförordningen finns det bestämmelser som
skyddar människor som ägnar sig åt den här typen av
journalistisk verksamhet. Men där är formuleringen
väldigt vid. I tryckfrihetsförordningen står det:
envar som har en publiceringsavsikt, och i
yttrandefrihetsgrundlagen står det: varje svensk
medborgare. Sedan står det att i princip gäller inte
personuppgiftslagen på journalistisk verksamhet. Kan
man därmed säga att den i princip inte gäller i
Sverige? Det kanske inte är vårt problem. Så fort
man har publiceringsavsikt är man skyddad av
tryckfrihetsförordningen och
yttrandefrihetsgrundlagen. Det betyder att det blir
ett väldigt snävt område där lagen skulle gälla. Det
vore intressant att få det belyst.
Ordföranden: Jag beklagar att jag inte släpper in
några repliker. Ambitionen är att få med både Mats
Einarssons och Per Lagers frågor innan vi går vidare
i listan till nästa avdelning.
Mats Einarsson: Jag skulle vilja återkomma till den
första frågan, och då gäller det inte frågan om
översättningens korrekthet.
Om jag i min dator skriver: "Per Unckel är
konstitutionsutskottets ordförande" är detta en
behandling av personuppgift. Om jag lägger ut detta
på Internet har jag överfört det till tredje land.
Detta är eventuellt förbjudet, och i så fall är det
absurt. Det är utgångspunkten. Det är därför vi
sitter här.
När man läser EG-direktivet, översättningsfel eller
ej, får man det bestämda intrycket att det som
ligger i skribentens medvetande är just register,
dvs. strukturerade samlingar av personuppgifter. Man
använder begreppen registrerad, registeransvarig,
det finns en definition på register osv. Min fråga
blir då: Skulle man ha kunnat tolka EG-direktivet på
ett sådant sätt att hanteringsreglerna i PUL endast
omfattar strukturerade samlingar av personuppgifter,
dvs. register, och på så sätt komma undan det
eventuella absurda förhållandet att den här meningen
jag föredrog skulle vara olaglig på Internet?
Staffan Vängby: Enligt min mening är svaret på den
senare frågan ett bestämt nej. När det gäller de mer
detaljerade sakuppgifterna ber jag att få lämna
ordet till Sören Öman som har skrivit en kommentar
till personuppgiftslagen och med anledning därav
kommer ihåg detaljerna mycket bättre än jag gör.
Sören Öman: Att man skulle kunna försöka sig på att
låta den svenska lagen gälla bara register har vi ju
redan varit inne lite på. Det finns ingen initierad
bedömare som har velat säga att detta är möjligt med
hänsyn till EG-direktivet. I direktivet finns det
uttryckliga regler om register, men de gäller enbart
manuell behandling av uppgifter på papper. Så fort
en uppgift kommer in i en dator så omfattas den av
alla direktivets regler. Om vi hade gjort på något
annat sätt hade vi inte genomfört direktivet
riktigt.
Per Lager: Jag skulle vilja återkomma till detta med
missbruksmodell och hanteringsmodell. Jag skulle
gärna vilja veta varför man inte tryckte mer på den
moderna reformen, Staffan Vängby, som jag anser att
missbruksmodellen är. Varför låter man
hanteringsmodellen, som kan skapa en del onödiga
problem, få ligga i röret fram till dess att vi
bestämmer oss för att ändra detta? Det låter så
konstigt. Det är första frågan.
Den andra frågan skulle jag vilja ställa till Hans-
Erik Holmqvist. Det är väl fortfarande tveksamt om
den svenska offentlighetsprincipen är förenlig med
direktivet. Lagrådet hade ju den inställningen. Då
undrar jag: Hur skall olika myndigheter hantera
allmänhetens begäran att få ta del av offentliga
handlingar via datormedium? Bör inte regeringen ta
initiativ inom EU för att göra undantag just för
allmänna offentliga handlingar?
Staffan Vängby: Jag har personligen aldrig varit
särskilt bekymrad över hanteringen av mina
personuppgifter i datorer. Jag har intagit en mycket
lättsinnig ställning till detta. För framtiden
skulle jag absolut hälsa en missbruksmodell med
tillfredsställelse, men den går inte att förena med
EG-direktivet enligt min uppfattning. Man kan inte
ta delar av den heller.
Hans-Erik Holmqvist: För det första har vi i
direktivets inledning punkt 72 som betonar att detta
direktiv gör det möjligt att behålla bestämmelsen
med hänsyn till principen om allmänhetens rätt till
tillgång till allmänna handlingar. I svensk rätt är
det ju redan i dag så, i sekretesslagen, att det
finns en möjlighet att lämna ut handlingar i
datamedier, men det finns inte en skyldighet att
göra detta. Det är en viktig skillnad däremellan. Vi
kan föra en diskussion kring den frågan, men vi
skall kanske inte ta den just nu.
Tillämpningen av personuppgiftslagen
Ordföranden: Tack för detta! Då har vi åtminstone
tecknat början till en bakgrund. Vi går raskt vidare
och förflyttar oss ett steg framåt i
händelseförloppet till vad som har inträffat efter
det att lagen trädde i kraft. Där har vi två
introduktörer på samma vis som under den första
avdelningen, nämligen Ulf Widebäck som har lite
olika bakgrund. Just nu är han ställföreträdande
generaldirektör för Datainspektionen, men han har
också en utredningsbakgrund.
Därefter kommer Ann-Marie Nilsson som också har en
brokig bakgrund. Hon är numera chef för IT-
företagens egen organisation, men hon har också
tidigare varit kanslichef för IT-kommissionen.
Vi börjar med att säga välkommen till Ulf Widebäck.
Ulf Widebäck: Herr ordförande! Utskottsledamöter!
Personuppgiftslagen har nu varit kraft i drygt en
månad. Det är naturligtvis alldeles för tidigt att
nu utvärdera lagen. Från Datainspektionens sida har
vi dock kunnat notera att en del väntade problem har
dykt upp och att en del farhågor inte har besannats.
För att gå rakt på sak. Principen om samtycke som
krav för behandling av personuppgifter är
fortfarande bra tycker vi. Men huvudregeln i
personuppgiftslagen, att i princip krävs den
registrerades otvetydiga samtycke för att via
Internet få föra ut personuppgifter till tredje
land, kan medföra problem vid tillämpningen. Som
Datainspektionen framhöll i sina skrivelser till
regeringen i februari och september i år är det
angeläget att kommuner och även andra myndigheter
får fortsatt möjlighet att lämna ut vissa
personuppgifter ur sina informationsdatabaser på
Internet och att också enskilda personer kan få
lämna ut s.k. harmlösa personuppgifter på Internet.
Vi tycker att det är bra att regeringen har svarat
på Datainspektionens skrivelser genom att ge
inspektionen i uppdrag att närmare utreda de här
frågorna. Datainspektionen skall redovisa uppdraget
till regeringen senast den 1 mars nästa år. Jag har
för ändamålet tillsatt en särskild arbetsgrupp inom
inspektionen.
När det gäller Internetproblematiken - i första
hand då samtyckesfrågan - vill jag först deklarera
att jag anser att Datainspektionen för tiden före
den 24 oktober, dvs. när endast datalagen gällde på
området, lyckades få till stånd en rimlig lösning.
Detta kunde ske genom att:
1. tillämpa Datainspektionens föreskrifter om
protokollsregister för kommuner och landsting,
2. kommuner och myndigheter efter särskilda
tillstånd från Datainspektionen har anförtrotts att
själva, inom vissa ramar, se till att
integritetskränkande och otillbörliga
personuppgifter inte lämnas ut på Internet,
3. tillämpa Datainspektionens föreskrifter för
personregister på webbsidor,
4. i vissa fall använda ett s.k. presumerat eller
hypotetiskt samtycke samt
5. begreppet personregister i datalagen inte
omfattar all behandling av per-sonuppgifter.
Enligt övergångsbestämmelserna i personuppgiftslagen
skall datalagen tillämpas t.o.m. den 30 september
2001, dvs. nästan i tre år. Det gäller när det är
fråga om behandling av personuppgifter som har
påbörjats före ikraftträdandet den 24 oktober eller
behandling som utförs för ett visst ändamål om
behandlingen för ändamålet har påbörjats före
ikraftträdandet.
Jag vill här särskilt tillägga att Datainspektionen
anser att det måste vara fråga om en laglig
behandling för att det skall kunna räknas som
kvalificerande för övergångsperioden.
Genom tillämpning av övergångsbestämmelserna har en
stor del av kommunernas, och även andra myndigheters
och enskildas, Internettrafik på webbsidor kunnat
fortgå som tidigare.
När det gäller behandling som har påbörjats efter
den 24 oktober finns det dock, som vi ser det, för
närvarande inte någon som helst möjlighet att komma
ifrån kravet på otvetydigt samtycke. Vi på
Datainspektionen ser helst att det som tidigare har
gällt, bortsett då förstås från tillståndsplikten,
skall kunna permanentas, dvs. gälla även efter
utgången av övergångstiden. Vi anser inte att det
skulle medföra några som helst integritetsrisker.
När det gäller Datainspektionens tillsynsverksamhet
kan jag meddela att vi hittills inte har företagit
några åtgärder med tillämpning av
personuppgiftslagen. Jag har inte ansett det
lämpligt eller ens möjligt att försöka kontrollera
vilka harmlösa, dvs. inte integritetskränkande,
personuppgifter som eventuellt i strid mot
personuppgiftslagens bestämmelser florerar på olika
webbsidor på Internet.
Givetvis kommer Datainspektionen att ingripa när
det gäller integritetskränkande personuppgifter. I
sådana fall brukar det vara så att den kränkte
påkallar vår uppmärksamhet. Jag vill inte säga att
vi agerar helt enligt den s.k. missbruksmodellen,
men av resursskäl och efter praktiska överväganden
inriktar vi vår tillsynsverksamhet på missbruken
eller övertrampen, dvs. när någon har fått ett
otillbörligt intrång i sin integritet.
Utöver vad jag nu har anfört har
personuppgiftslagen hittills inte medfört några
större problem för Datainspektionen vid
tillämpningen.
Det som några befarade, nämligen att
Datainspektionen skulle överhopas av anmälningar om
behandling av personuppgifter som är helt eller
delvis automatiserade har hittills inte blivit av.
Det torde bero på de undantag från
anmälningsskyldigheten som enligt PUL gäller om den
personuppgiftsansvarige har utsett
personuppgiftsombud och har anmält det till
Datainspektionen samt de undantag från
anmälningsskyldigheten som har stadgats i
personuppgiftsförordningen och i Datainspektionens
föreskrift om undantag när det gäller anmälan om
behandling av personuppgifter. Till i dag har vi
endast fått 134 anmälningar om behandling av
personuppgifter. Det är anmälningar som vi endast
registrerar och inte hanterar på något annat sätt.
Naturligtvis finns det också de som helt enkelt
struntar i anmälningsskyldigheten. Man kan utgå från
att det rör sig om ungefär samma krets som inte
heller brydde sig om att söka licens eller tillstånd
enligt datalagen. Men av erfarenhet vet vi på
Datainspektionen att de känsligaste, och därmed från
integritetsskyddssynpunkt viktigaste, behandlingarna
sker hos myndigheter och seriösa organisationer och
företag. De är angelägna om att efterleva gällande
regler.
Från företagarhåll har man framhållit att det kan
bli svårt att efterleva personuppgiftslagens
bestämmelse att på begäran lämna besked om huruvida
personuppgifter som rör sökanden behandlas eller ej.
Svårigheten skulle bestå i att det skulle krävas
alltför detaljerade uppgifter och att det skulle
vara svårt och kostsamt att ha rutiner för sådant
förfarande.
Om det kan jag säga att skyldigheten att lämna
besked om behandling av personuppgifter givetvis
blir mer betungande än när det är fråga om s.k.
registerutdrag enligt datalagen eftersom begreppet
behandling i personuppgiftslagen omfattar mer än
begreppet personregister i datalagen. Men jag tror
att vi kan nå en praktisk tillämpning i den här
frågan. Det är inte meningen att den
personuppgiftsansvarige skall behöva göra
oproportionerligt stora insatser.
Farhågor har också uttryckts för att vissa nya
begrepp och konstruktioner förekommer i
personuppgiftslagen och att det kan medföra problem
vid tillämpningen. Jag skall då nämna det som har
berörts här tidigare, behandling av personuppgifter
som sker uteslutande för journalistiska ändamål.
På sådan behandling skall personuppgiftslagen i
princip inte tillämpas. Bortsett från att
bestämmelsen medför att vissa får en slags vidgad
yttrandefrihet på icke grundlagsskyddade områden,
t.ex. Internet, så medför bestämmelsen naturligtvis
problem vid den praktiska tillämpningen. Jag tror
inte att man kan vara så liberal i tolkningen att
man säger att envar är sin egen journalist. Då
skulle ju stadgandet inte få någon egentlig
innebörd. Var gränsen skall sättas åt andra hållet
vet jag inte ännu. Frågan torde på sikt kunna få
lösas i den s.k. rättstillämpningen.
En viktig följd av den nya lagstiftningen är att
Datainspektionen till följd av den minskade
tillståndshanteringen och i enlighet med sin
instruktion särskilt kan inrikta sin verksamhet på
att informera om gällande regler och ge råd och
hjälp åt personuppgiftsombuden.
Datainspektionen har utvidgat sin
informationsavdelning. Vi har avdelat särskild
personal att på olika sätt ta hand om
personuppgiftsombuden. Vi har hittills fått in 235
anmälningar om personuppgiftsombud.
Vidare skall Datainspektionen på begäran av en
organisation som företräder en bransch eller ett
område avge yttrande över förslag till en
överenskommelse avseende behandling av
personuppgifter inom branschen eller området. Några
branschföreträdare har redan tagit kontakt med oss i
det syftet. Ett sådant förfarande har alltså satt i
gång.
Slutligen vill jag säga att vi på Datainspektionen
tror att personuppgiftslagen kan bli ett bra redskap
för att nå det viktiga syftet att skydda enskilda
personer mot kränkningar av den personliga
integriteten vid behandling av personuppgifter i
datorer. Men detta är under förutsättning att det
går att åstadkomma en rimlig lösning på det som jag
här har kallat för Internetproblematiken.
Det är inte tillfredsställande att man vid den
praktiska tillämpningen av en lag skall behöva hanka
sig fram med mer eller mindre speciella och fria
tolkningar av en övergångsbestämmelse. Det är inte
heller tillfredsställande, tycker vi, att så mycket
kraft läggs ned på frågor som egentligen inte medför
risker för den personliga integriteten.
Ordföranden: Tack för detta! Vi gör på samma sätt
här som i den förra avdelningen, dvs. att vi tar
frågor till de båda introduktörerna på en gång. Vi
hälsar alltså Ann-Marie Nilsson välkommen till
talarstolen.
Ann-Marie Nilsson: Herr ordförande! Riksdagsmän!
Damer och herrar! Tack för att jag får komma hit och
berätta om hur företagen, och framför allt då IT-
företagen, hitintills upplever personuppgiftslagen.
Jag tänkte börja med tre utgångspunkter. Branschen
tycker att det är viktigt att skapa förtroende och
tillit för digital hantering. Det gäller såväl
person-uppgifter som alla fakta som finns i den
digitala världen. Om människor misstror den digitala
utvecklingen, har en bristande tillit till fakta och
känner oro för att de själva kommer att hanteras
illa kommer de inte att ta till sig de möjligheter
som finns när det gäller utveckling av
informationsförsörjning, elektronisk handel, hälsa
m.fl. väldigt viktiga och bra tillämpningar för
människor. Dessa saker är faktiskt också viktiga för
tillväxt i landet. Bortsett från alla andra skäl att
vilja stödja integritet kan man säga att branschen
faktiskt har ett stark kommersiellt intresse av att
det skall vara ett starkt integritetsskydd. Det är
en så god kraft som någon när det gäller att driva
fram regler för hantering av integritet.
Den andra utgångspunkten är att vi är på väg mot en
alltmer global värld där det finns globala företag i
alla delar av världen. De kittas samman av de
informationssystem som krävs. Den tekniska
utvecklingen driver på den här globaliseringen och
möjliggör ett allt friare flöde av information,
oftast med Internet som bas. Det går inte att stänga
in information. Uppgifter om personer är en del av
ett väsentligt informationsflöde. Det kommer att bli
allt svårare att hävda nationell reglering. Det
krävs globala överenskommelser. Där kan man då
ställa sig frågan: Finns det över huvud taget någon
förutsättning att tro att USA och länder i Asien
kommer att vilja införa en lag som PUL och träffa
globala överenskommelser om ett globalt
integritetsskydd på den basen?
Den tredje utgångspunkten är att den tekniska
utvecklingen i sig går allt fortare och innebär ett
problem för all lagstiftning genom att den riskerar
att bli omodern fort. Datalagen blev omodern efter
ett tag. Det går allt fortare. Vi ser att delar av
PUL är omoderna redan när den träder i kraft, trots
att intentionerna med den här lagen var att skapa en
teknikoberoende lag.
Informationstekniken påverkar fundamentala
strukturer i samhället på djupet. Vi vet inte
riktigt vilken typ av lagstiftning som vi behöver
inom kort. Den här utvecklingen går allt fortare.
Frågan är: Vad kan vi lagstifta om, och vad måste vi
mer och mer lämna åt frivilliga överenskommelser och
självkontroll av olika företeelser i samhället?
Om man tittar på personuppgiftslagen kan man ställa
sig frågan hur företagen i dag upplever den. Jag
tror att okunnigheten fortfarande är stor. Jag tror
att de flesta faller tillbaka på att det finns
övergångsbestämmelser och man behöver inte riktigt
ta tag i den här frågan än. I takt med att man gör
det tror jag också att vi kommer att få alltfler
invändningar.
De seriösa företag som tänker sig en nyutveckling
och inte kan leva på dessa övergångsbestämmelser och
därför tränger in i detta upplever många problem. De
ser att lagen är otidsenlig. Vi har tagit
Internetutvecklingen till oss. Det är en så väl
integrerad del av allting vi gör i dag i företagen.
Då blir det obegripligt att det finns en ny lag som
inte hanterar den frågan bättre. Man tycker att den
är omständlig. Den är inte så effektiv att leva
efter, och den är framför allt svår att efterleva.
Generellt kan man säga att den hanteringsmodell som
låg till grund för EG-direktivet kanske inte är
förenlig med informationsteknikens möjligheter och
den faktiska användningen i dag. Det är nog önskvärt
att på sikt gå över till ett system som reglerar
missbruk i stället.
Därför tycker vi att det är viktigt att
lagstiftaren ser över personuppgiftslagen för att
undersöka om det finns möjligheter inom det nu
befintliga EG-direktivet att inrikta lagstiftningen
på reglering av missbruk snarare än hantering av
personuppgifter. I det här fallet är det
naturligtvis viktigt att titta på hur alla andra
länder inom EU anpassar sig till det här direktivet.
Framför allt tror jag att det är viktigt att snarast
och med större intensitet påbörja funderingen kring
en global hantering av de här frågorna. Det handlar
inte bara om EU. Det handlar om hela världen.
I dag kan man konkret se tre områden där företag
har praktiska problem och där det kan finnas
lösningar inom räckhåll för den befintliga
lagstiftningen.
I första hand tror jag att det saknas mycket
preciseringar. Det saknas preciseringar när
behandling av personuppgifter är tillåten. Exempel
på detta är uttolkning av intresseregeln i 10 § samt
precisering av när företag får använda personnummer.
Vi tror att det mesta av affärsverksamheten går att
hantera även om det blir mindre effektivt än
tidigare inom ramen för den här lagen. Men ett
praktiskt problem är naturligtvis det stora kravet
att informera självmant. Det är hanterbart i vissa
fall, men inte i andra, framför allt inte när man
använder tredjehandsuppgifter. I det här fallet
skulle naturligtvis en tillämpning av
missbruksmodellen underlätta väsentligt.
Det tredje området är självfallet överföring av
uppgifter till tredje land. Där är detta ganska
ohållbart, eftersom det även gäller personnamn som
nämns i löpande text. Där kommer efterlevnaden av
denna lag att vara ytterligt begränsad eftersom
detta inte stämmer med det sätt som jag tror att
många människor i Sverige i dag har lärt sig och
vant sig vid att arbeta.
Den svenska lagen är i stora delar en direkt
implementering av texterna i EG-direktivet. Därför
finns det naturligtvis små möjligheter att anpassa
lagstiftningen helt och hållet efter en
missbruksmodell. Men man kan ju fundera över
sanktionssystemet. Kan man göra detta enklare med
sanktionssystemet? Det skulle innebära att om det
inte är missbruk blir sanktionerna ungefär som när
man går mot röd gubbe, dvs. obefintliga. Det är
ytterligare en väg som vi tycker att man skall
överväga.
I IT-branschen har vi sedan länge vant oss vid att
arbeta med självreglerande åtgärder. Ett exempel på
det är IT-företagens etiska regler som reglerar på
vilket sätt som företag som är medlemmar hos oss
skall förhålla sig till kund, intressent och
marknadsföring mot konsument. Om man missbrukar
detta kan man uteslutas från föreningen. Vi vet att
detta är ett effektivt sätt att hålla en egen
självreglering inom olika områden, och det gäller
även områden som tangerar integritetsfrågor. I avtal
för webbhotell kräver vi publiceringsregler av dem
som skall lämna sin information via det här
webbhotellet. Vi överväger också att ha ett system
för att reglera och märka kvaliteten på webbsidor,
och därmed också ange något system för hur de
företagen hanterar den information om individer som
de får på sina webbsidor.
Den här typen av branschöverenskommelser tror jag
är en framkomlig väg. I framtiden måste det absolut
ses som ett betydligt starkare komplement till
lagstiftning. Där är vi intresserade av att nyttja
de möjligheter som lagen ger att tillsammans med
Datainspektionen kunna utröna om man kan komma
längre inom det här området.
Ordföranden: Där tror jag att vi måste säga tack
till dig.
Barbro Hietala Nordlund: Jag tycker att det var en
tydlig och fin information vi fick från
Datainspektionen. Det handlar om den praktiska
tillämpningen och möjligheten att hitta en rimlig
lösning. Jag är en av de hårt prövade lagstiftarna i
det här sammanhanget. Jag har tittat tillbaka till
mina egna noggrant förda anteckningar från det möte
som konstitutionsutskottet hade med Datainspektionen
vid ert besök i februari i år. Dåvarande
generaldirektören sade då, men stor förväntan som
jag uppfattade det då, att den kommande
personuppgiftslagen blir en bra lag som blir
flexibel och teknikoberoende. Vidare sade
generaldirektören att vi i praktiken kan använda den
som en missbrukslagstiftning. Det var alltså
förväntansfulla och positiva omdömen då innan det
hade fattats beslut om lagen.
När jag nu lyssnar på Ann-Marie Nilsson och Ulf
Widebäck uppfattar jag att omdömet i huvudsak är att
det var viktigt med den här nya lagen därför att den
gamla var otidsenlig och medförde många problem.
Egentligen mynnar det här inte ut i en fråga utan
mer i ett konstaterande att den här nya lagen var
nödvändig samtidigt som den innebär problem. Det
saknas en del preciseringar, och arbetet går vidare.
Jag vet inte om ni vill kommentera det. Jag hade
tänkt ställa en fråga, men jag tyckte att jag fick
svar av det ni sade.
Ordföranden: Så bra! Då tar sig ordföranden friheten
att lägga in en fråga till innan ni får möjlighet
att kommentera detta.
Helena Bargholtz: Jag vill ta upp det uttryck som
Ulf Widebäck använde. Han talade om otvetydigt
samtycke. Hur skall man tillämpa det begreppet? De
personer som har Internet har ju också ofta e-post.
Vi är ju många som har fått förfrågningar via e-post
om detta. Vi som är positiva till att man skall få
använda våra namn har ju lätt kunnat svara med att
via e-post tala om att våra namn får användas. Man
skulle ju kunna tänka sig att man via e-post varje
år gav ett otvetydigt samtycke att mitt namn får
användas på Internet. Men hur gör man med de
personer som kan vara intressanta för dem som jobbar
med hemsidor att skriva om som inte har e-post och
inte Internet? Hur skall man få kontakt med dessa
personer? Det är enormt många svåra praktiska
problem som det vore intressant att få höra om i
första hand Datainspektionen har funderat lite
närmare på. Vad ligger i begreppet otvetydigt
samtycke?
Ulf Widebäck: Ett otvetydigt samtycke skall ju vara
särskilt och informerat. Den som ger samtycke skall
ju veta precis vilken behandling det rör sig om. Det
skall vara frivilligt. Jag tror inte att det är
tänkt att man skall ge något slags generella
samtycken till att ens personuppgifter skall få
användas i sammanhang som man inte riktigt vet något
om eller kan kontrollera. Hur folk skall få kontakt
med varandra om de inte har e-post har jag inget
svar på, men det finns ju andra medel.
Ordföranden: Låt mig själv precisera frågan. Gör
alla de datoranvändare som i dessa dagar skriver
till riksdagens ledamöter och anhåller om att få
använda våra namn i sin konversation rätt eller fel?
Ulf Widebäck: Det var just den saken jag tänkte på
egentligen. De gör väl egentligen fel, och
riksdagsmännen gör kanske också fel. Men om de
svarar generellt får man väl ha en liberal tolkning
av det hela. Det är väl inte sådana saker som vi på
Datainspektionen kommer att vara ute och jaga efter.
Ann-Marie Nilsson: Det var naturligtvis viktigt att
skrota datalagen. Det var rätt. Det var rätt att
tänka sig att börja med den här lagen. Jag tycker
att det ger en tankeställare att vi så snabbt får
omoderna lagar inom det här området. Frågan är hur
vi skall hantera detta för framtiden. Hur skapar vi
den flexibla lagen? Det arbetet måste sättas i gång
nu.
Per Lager: Jag skulle vilja fråga Ulf Widebäck om
det här kan tänkas medföra problem på det
internationella planet. Jag tänker på s.k.
handelshinder osv. Skulle vår nya lag kunna innebära
att vissa företag behandlas sämre här än i något
annat EU-land?
Sedan skulle jag vilja fråga om detta med manuellt
register, som har varit uppe tidigare. Är det så,
för att ta en ytterlighet, att en bunt papper som
sorteras in i en pärm innebär att man skall begära
tillstånd hos Datainspektionen? Det är en
ytterlighet, men det kan vara teoretiskt intressant
att få ett svar på det.
Sedan skulle jag vilja höra något om
gränsdragningen när det gäller vem som är
journalist. Envar är inte journalist, hörde vi. Men
det är väl så det egentligen är uttryckt: När jag i
ett ärende säger att jag är journalist har jag den
möjlighet som en journalist har. Jag kan tänka mig
att det är svåra gränsdragningar i dessa fall.
Ulf Widebäck: Det enklaste att svara på är frågan om
handelshinder. Det ligger lite över vår horisont
sett från Datainspektionens sida, även om det är ett
känt förhållande att kommissionen för samtal med
t.ex. företrädare för USA som är en av de större
handelspartnerna. Jag kan inte yttra mig närmare om
detta, men det är klart att det i vissa fall kan
utgöra hinder. Sedan kanske man får en praktisk
lösning på det, men detta ligger utanför
Datainspektionens bedömande.
När det gäller vad som menas med manuellt register
står det i lagen att det skall vara en strukturerad
samling av personuppgifter som är tillgängliga för
sökning eller sammanställning enligt särskilda
kriterier. Jag skulle vilja säga att det är vad
gemene man vanligen tänker att ett register är. Det
är det svar jag kan ge.
När jag säger att envar inte kan vara sin egen
journalist menar jag att det inte räcker att säga
precis vad som helst och sedan säga: Jag är
journalist. Å andra sidan kan man inte kräva att man
måste vara yrkesverksam journalist, eventuellt på
ett medieföretag, medlem i Journalistförbundet eller
något sådant. Det får väl bli någonstans däremellan,
men detta är en sak som jag menar måste överlämnas
åt rättstillämpningen. Jag kan inte ge något närmare
svar nu.
Inger René: Jag har en fråga till Ann-Marie Nilsson.
Du frågade om man kunde tro att USA och Asien vill
skapa en lag som PUL, och ditt tonfall gjorde att du
svarade på frågan själv. Men då är min fråga: Är det
så att din bransch försöker skapa eller har
diskussioner om internationella överenskommelser när
det gäller de etiska regler som t.ex. ni har här i
Sverige? Pågår det ett sådant arbete?
Sedan har jag en fråga till Ulf Widebäck. Om jag
säger till dem som frågar mig om PUL att det inom
PUL:s ram finns ett utrymme, utan särskilda
undantag, för den vanliga användaren att behandla
harmlösa personuppgifter, är jag ute och cyklar då?
Ulf Widebäck: Ja, du cyklar lite grann. För
närvarande kan man endast med hjälp av
övergångsbestämmelserna, om de är tillämpliga, göra
så som du frågade.
Inger René: Men å andra sidan, om någon gör detta:
Hur angelägna kommer ni att vara att beivra
missbruk?
Ulf Widebäck: Som jag sade tillämpar vi kanske
missbruksmodellen i praktiken, för vi har inte
sådana resurser att vi kan kontrollera all trafik på
webbsidorna. Det vore lika omöjligt som om polisen
skulle försöka att en dag kontrollera hastigheten på
alla vägar i Sverige, enskilda och allmänna. Det är
alltså orimligt. Man får lita på att någon anmäler.
De anmälningar vi har fått till Datainspektionen har
varit av typen att någon har nämnt sin mosters namn
på sin hemsida, och detta är ju mera en provokation
för att protestera mot lagen. Vi har inte fört några
sådana anmälningar vidare till åklagare.
Ann-Marie Nilsson: Svaret är ja. Jag berättade om de
självregleringsinitiativ som finns - Trustee, Better
Business och några andra. Detta är sådant som vi
diskuterar. Vi utväxlar också information om hur man
kan driva etiska regler. Här ligger faktiskt vi i
Sverige längre fram än övriga Europa, där man inte
alls har den här sanktionsmöjligheten inbyggd i
motsvarande branschföreningar. Som jag ser det
väcker dock detta ett allt större intresse, så jag
tror att det är en framkomlig väg för framtiden.
Ordföranden: Låt mig med ordförandens privilegium
precisera frågan till Ulf Widebäck: Innebär det du
säger om övergångsbestämmelserna att så länge dessa
löper går det att hantera de uppkommande
misshälligheterna på ett någorlunda rimligt sätt,
men efter det att de har löpt ut sitter vi i mer
akuta legala problem?
Ulf Widebäck: Ja, så har jag tolkat det. Men det
gäller de fall som passar in på övergångsreglerna,
dvs. behandlingar som har påbörjats före den 24
oktober. Då klarar vi oss hjälpligt. Sedan får vi
hoppas att vi kommer med ett hyfsat förslag till
regeringen och att regeringen gör något bra av det.
Per Lager: Jag har en kort fråga till Ulf Widebäck.
Det hade ju hittills inte gjorts några anmälningar.
Har Datainspektionen funderat på att simulera
pilotfall eller någonting sådant för att se vad som
kan hända när dessa anmälningar kommer in - för de
kommer väl förr eller senare?
Ulf Widebäck: Vi har fått anmälningar, dock inga som
vi har ansett att vi behövt gå vidare med. Det har
rört helt harmlösa uppgifter, och det finns
säkerligen ingen åklagare som skulle inleda
förundersökning med anledning av dem. Därför har vi
inte fört dem vidare till åklagare.
Integritetsskydd ur ett europeiskt och nordiskt
perspektiv
Ordföranden: Då ber jag att få tacka den andra
avdelningen svarande och hälsa professor Jon Bing
välkommen in från snöovädret. Som du märkte när du
kom in har vi börjat med de två avdelningar som
skulle ha legat efter dig, och vi låter dig därmed
avsluta den första avdelningen med de mer
principiella spörsmål som kan vara viktiga för
utskottet att känna till med tanke på bakgrunden
till EG-direktivet och, som jag sade vid min
introduktion i morse, de lite olika traditioner som
vi lever med i olika delar av Europa. Hjärtligt
välkommen hit till Stockholm! Ordet är ditt.
Professor Jon Bing: Tusen tack, herr ordförande. Låt
mig börja med att be om ursäkt å vårt gemensamma
flygbolags vägnar, som hade svårigheter med att få
flyget till Stockholm i tid i morse.
Jag har funderat över hur jag skall använda den
kvart jag fått mig tilldelad för att ge perspektiv
på den utveckling vi är inne i och som jag har haft
glädjen att följa hela mitt akademiska liv sedan
1970. Jag tänkte försöka dra upp några mycket
generella utvecklingslinjer i både tid och rum.
Jag vill börja med att peka på att vi faktiskt
något så när kan tidsfästa den offentliga debatten
om personskydd. Den uppstod runt Alan F. Westins bok
Privacy and freedom, som utkom 1967. Denna bok var
ett debattinlägg i samband med att man i USA tänkte
införa stora statliga databanker, först och främst
med sikte på att rationalisera offentlig
administration. Teknologibilden kom att domineras av
IBM:s 360-arkitektur: en stordator i centrum med
många terminaler, speciellt i offentlig sektor, som
kunde nå denna stordator i centrum med gemensamma
arkiv. Jag kommer ihåg hur Alan F. Westin vid ett
seminarium i Paris 1972 karakteriserade frågan om
personskyddet och försökte få fram vad som var
kärnan. Han sade att det i grund och botten var en
fråga om misstro mot offentlig administration - inte
särskilt uppseendeväckande i en tid med Watergate
och Vietnamkrig nära inpå i Amerika. Han formulerade
också en maxim: You don´t find computers on street
corners or in free nature. You find them in big,
powerful organizations. Om vi reflekterar lite över
den maximen kan vi se hur långt vi har kommit från
denna utgångspunkt. I dag hittar vi datorer just i
gathörnen, i form av arkadspel, eller ute i naturen
när någon har tagit med sig sin lilla "kneedebe",
sin laptop, för att arbeta i det fria.
Detta visar kanske också att en del av reaktionen
som kom, inte minst i Sverige 1973, var en reaktion
på ett annat problem än det vi sitter med i dag. Det
var en reaktion som speglade samma struktur. Man
ville försöka reglera dessa stora databanker. Denna
svenska reaktion blev förebild för en europeisk
utveckling. Det är ingen tillfällighet att så många
europeiska lagar, också EG-direktivet, är påverkade
av denna första nationella lag.
Det man riktade in sig på var att reglera de stora
registren med känsliga uppgifter. Detta var
speciellt viktigt i Norden, eftersom de nordiska
länderna har en offentlig förvaltning med en
automatiseringsgrad som är högre än i de flesta
andra länder. Jag brukar ibland berätta för mina
amerikanska vänner om det norska systemet för att
söka och få ut det som i Norge heter bostøtte,
vilket inte är riktigt samma sak som det svenska
bostadsbidraget. Det är ett nationellt system, och
man ansöker om stöd från systemet genom att
identifiera sig med födelsenummer, dvs. en entydig
kod. Därefter hämtar systemet in uppgifter från
olika statliga system och sätter samman dem till ett
beslut - antingen i form av ett automatiskt
utskrivet avslagsbrev eller i form av en
postanvisning med bidragsbeloppet. Beslutet fattas
alltså helt utan mänsklig medverkan. Detta system är
från 1972. Mina amerikanska kolleger har svårt att
tro att detta är möjligt - inte tekniskt men
politiskt.
Om vi tittar på EG-direktivet ser vi att den lilla
reglering av fullständigt automatiserade beslut som
där finns kan vara en reaktion mot denna typ av
lösningar. Vi i Norden är dock tillfreds med dem,
kanske på grund av en lite naiv och rörande tilltro
mellan befolkning och myndigheter. Hur som helst har
personregisterlagarna i Norden haft en viktig roll i
att legitimera och understödja de offentliga
myndigheternas starka automatisering.
Denna teknologibild förändrades på 80-talet. Vi ser
särskilt att det blir aktuellt med elektroniska
spår, dvs. den typ av triviala uppgifter som folk
lämnar i framför allt tre sammanhang: vid
betalningsförmedling och användning av bankomater,
vid identitetskontroll i samband med tillträde till
byggnader och vägar samt vid telekommunikation.
Detta är triviala uppgifter - identifikation, tid,
plats, belopp osv. - men de genereras i stora
mängder. Det finns anledning att påminna om att
detta är en typ av personuppgifter som knappt fanns
före 1980. Den här typen av transaktionsorienterade
datoriserade system som skapar elektroniska spår
fanns inte förrän på 80-talet. Detta skapade nya
utmaningar. Här var det inte det känsliga med
enskilda uppgifter som var det viktiga utan att
dessa uppgifter gav möjlighet att skapa och behandla
profiler.
Enligt min mening tog vi på 80-talet ett mycket
viktigt steg då vi tillät telefonräkningen att
baseras på en registrering av de nummer som
abonnenten hade ringt och hur länge samtalen hade
varat. Jag tror att det var första gången som en
tredje part tilläts att systematiskt registrera vad
som försiggick inom ett hems fyra väggar. Det är ett
trivialt men kanske ett principiellt viktigt steg.
Vi har på denna grundval också fått en andra
generationens personskyddslagstiftning där
föreskrifterna så att säga rättar in sig i ledet:
Man fokuserar på persondatabehandlingen snarare än
på registren eller de stora datamängderna.
En viktig utmaning, som jag förstår har diskuterats
här, har varit gränsdragningen mot personliga
aktiviteter. I synnerhet Internets World Wide Web
har stått för en viss utmaning. Åter kan det finnas
anledning att påminna om hur fort utvecklingen har
gått. År 1993, för fem år sedan, fanns det 30
datorer i världen som stödde läsprogram för World
Wide Web. I dag är det väl ingen som håller räkning
på hur många det är. Detta är alltså ett nytt
problem. Det här har bl.a. medfört att många
enskilda individer nu har hemsidor just som
privatpersoner och använder webben i
rekreationssammanhang och personliga sammanhang.
Nyblivna föräldrar har gärna en hemsida färdig för
den nyfödda innan hon är ett dygn gammal. Här kan
finnas många uppgifter om barnet inlagda, delvis
kanske onödigt detaljerade.
Det är naturligtvis svårt att dra gränsen mellan
vad som är privat och vad som är offentligt,
speciellt när det privata kommuniceras ut till i
princip alla som är kopplade till Internet. Det
finns det som tyder på att kommissionen anser att en
sådan kommunikation, dvs. en kommunikation från en
till alla, i princip aldrig kan vara privat. Jag vet
att det finns en föreskrift om personregister på
webbsidor i Sverige, även om jag inte har tittat på
detaljerna i dess konsekvenser. I Norge framstår
dock detta för närvarande som ett stort problem.
Samtidigt har det pekats på att telependling, dvs.
att man utnyttjar telekommunikation och IT för att
arbeta i hemmet, gör att det i hemmet uppstår
register som helt klart är register, och att det
sker persondatabehandling som helt klart faller
under persondatabehandlingslagen. Detta skapar krav
inte bara på att arbetsgivaren utan också
tillsynsmyndigheterna skall ha viss tillgång till
människors hem. Tredje person kan alltså kräva insyn
i datorer som man har i hemmet.
Förutom detta med webbsidor och telependling finns
också elektronisk handel, något som jag tror håller
på att nå ut till konsumentmarknaden. Detta kommer
att resa intressanta frågor, speciellt i samband med
registrering och användning av t.ex.
upphovsrättsligt material som laddas ned från nätet
i hemmet. Det här kan återigen skapa ett behov av
insyn i vad som sker i hemmet. Detta hänger samman
med förhållandena till tredje land - ett av de
svårare problemen, såsom påpekades i en fråga nyss.
Det är en av orsakerna till att inget av EFTA-
länderna ännu har fått någon ny nationell
personuppgiftslag. Man har nämligen ännu inte helt
löst frågan om kommissionens kompetens i samarbetet
under EES-avtalet.
Det finns också frågor om jurisdiktion och val av
lag. Man har i det nya direktivet för elektronisk
handel infört en liknande regel som den som finns i
personskyddsdirektivet när det gäller vilket lands
lag som skall användas för att bestämma lagligheten
i vad man kallar en commercial communication. Man
inriktar sig på sändarlandets rätt, men det gäller
då sändaren och inte sändningen. Det innebär att man
tittar på vem som står som ansvarig för handlingen
snarare än handlingen själv, och det är säkert en
klok strategi.
Låt mig avslutningsvis säga att det nästan framstår
som en paradox att personskyddslagstiftningen, som
reglerar behandlingen av personuppgifter, infördes
för att stärka den enskildes integritet. I dag har
den också som konsekvens att den reglerar den
behandling av personuppgifter som sker i hemmet -
dels eftersom det är svårt att skilja mellan det
rent privata och annat, dels eftersom det utförs
arbete i hemmet som helt klart inte är privat.
Dessutom sker det i hemmet handel och
affärstransaktioner där det på ett eller annat sätt
finns motparter som intresserar sig för dessa
uppgifter. Denna gränsdragning är inte löst.
Låt mig avsluta med att påminna om Alan F. Westins
maxim. En av orsakerna till att detta inte är löst
är att personskyddsproblemet har ändrat karaktär.
Det är inte längre bara en fråga om "big, powerful
organizations" utan en fråga om hur vi reglerar våra
dagliga sysslor, hur vi reglerar ett medium som
faktiskt når ut till alla. Tack, herr ordförande!
Ordföranden: Tack så hjärtligt för detta. Denna
avrundning av den första delen av vår förmiddag
låter väl antyda att detta inte är sista gången vi
har anledning att reflektera kring det vi nu
diskuterar.
Barbro Hietala Nordlund: Jag kan inte låta bli att
fråga professor Jon Bing om Norges
skyddslagstiftning på det här området. Norge är ju
inte bundet till något EG-direktiv. Vad jag har
förstått skiljer sig den norska lagstiftningen inte
så väldigt mycket från den svenska, men det kanske
jag kan få kommentarer kring.
En sak är dock att det i den norska lagstiftningen
finns ett tillägg när det gäller undantagen. Det
finns ett tillägg för harmlösa uppgifter, och det är
ju väldigt mycket det vi diskuterar just nu. Min
fråga är: Löser ett sådant tillägg i
skyddslagstiftningen problemet med Internet?
Jon Bing: Det är åtminstone en fråga som det är lätt
att svara på. Svaret är nej. Precis detta har lett
till en ny försening i det norska
lagstiftningsarbetet: Man har, med inspiration från
den svenska diskussionen, gått tillbaka för att se
om man klarat att lösa den här frågan och då funnit
att den lösning man valt inte är tillfredsställande.
Man arbetar för närvarande med nya lösningar. Man
har visserligen varit såpass lyckosam att man inte
har hörsammat fristen för implementering av
direktivet, då ju EES-avtalets integration som jag
antydde har blivit försenad på grund av vissa om man
så vill konstitutionella frågor om
kompetensförhållandena mellan kommissionen och det
enskilda landet. Detta spelar i och för sig ingen
större roll i praktiken, men i ett sådant här
mellanstatligt sammanhang har det naturligtvis ändå
viss betydelse.
Man räknar med att direktivet kommer att införlivas
med EES-avtalet och att Norge, precis som fallet är
med alla andra direktiv, kommer att vara lika bundet
av det som de andra EES-länderna. Skillnaden för oss
som står lite vid sidan om är ju att vi inte kan
påverka direktiven innan de skrivs utan bara har att
tillämpa dem när de kommer, och det minst lika
noggrant som vilket medlemsland som helt. EES-
övervakningsorganet har ju faktiskt bara Norge att
titta på, så det gör man extra noga.
Åsa Torstensson: Jag tycker att detta var ett mycket
intressant inlägg. Med anledning av det Jon Bing kom
in på vill jag ställa en fråga om den privata
sfären. Vår syn på vad som är privat kanske till
stor del ändras i takt med den moderna tekniken,
detta som en naturlig koppling till att väldigt
många vanliga medborgare känner sig utlämnade till
tekniken. Min fråga är: Kan man skönja att vi vidgar
vår lagstiftning som berör den personliga
integriteten onödigt långt, att vi så att säga
lägger oss för teknikens utveckling? Kan man se
strömningar över Europa i de här riktningarna, eller
är det så att svensk lagstiftning här går före på
ett negativt sätt?
Jon Bing: Det är i varje fall inte så att svensk
lagstiftning går före på ett negativt sätt. Men
kanske är det de nordiska ländernas lott att vi av
och till försöker att ta lagstiftningen på orden och
förstå hur den egentligen skall användas. Det har
länge varit så med personskyddslagstiftningen i
flera länder, i varje fall i Norge, att om vi hade
tagit den bokstavligt hade det varit väldigt svårt
att t.ex. föra med sig elektroniska plånböcker eller
kalendrar ut och in på en flygplats. Det är ingen
som ser på detta som export av person-uppgifter
eller liknande. Vi har alltid varit tvungna att
använda de här lagarna med ett visst utrymme för
variationer.
På sätt och vis är det dock otillfredsställande att
man inte har utformat lagen så att den kan användas
efter sin bokstav. Vi hade hoppats att den nya
generationens lagstiftning i högre grad skulle vara
så utformad att man slapp se mellan fingrarna med
saker och ting för att få den praktiskt användbar.
Barbro Hietala Nordlund: Vad vet vi om
lagstiftningsarbetet i de övriga medlemsländerna, de
som nu är i färd med att införliva skyddsdirektivet
eller redan har gjort det? Jag är särskilt
intresserad av Finland och Danmark, som ju ligger
nära oss. Kanske Jon Bing eller någon företrädare
från Regeringskansliet är uppdaterad i den frågan.
Jon Bing: Jag är säker på att det finns andra som
vet mer om lagstiftningsarbetet i våra grannländer
just nu än jag själv. Men alla länder siktar ju på
att implementera det här direktivet. I t.ex. England
är det redan gjort.
Inger René: Jag har en filosofisk och en lite mer
konkret fråga. I den kavalkad som du började med,
som var väldigt intressant, pratade du om att det
var integritetsfrågor som var i fokus i början av
70-talet medan det i dag mera är
offentlighetsprincipen och den typen av frågor. Jag
tycker att vi väldigt ofta kan se, inte minst som
lagstiftare här i riksdagen, att vi stiftar lagar
som hade varit omöjliga för fyra, fem, sex år sedan.
Då skulle de på olika sätt ha ansetts vara
integritetskränkande, men i dag genomför vi dem -
med lite motstånd här och var, men i alla fall.
Väldigt ofta går utvecklingen fram och tillbaka i
sinuskurvor. Kan det vara möjligt att
integritetsfrågor kommer att få en större vikt, att
kurvan kommer att vända, så att det blir en annan
balans när det gäller de två storheterna?
Min andra fråga är mer konkret. Detta är inte en
nationell eller europeisk fråga utan en världsvid
fråga. Förekommer det ett internationellt arbete för
att skapa gemensamma konventioner när det gäller
skydd för den personliga integriteten och PUL-
frågorna?
Jon Bing: Den del av direktivet som innehåller en
reglering av förhållandet till tredje part eller
land har skapat en diskussion mellan Europeiska
unionen och parter som t.ex. USA. Sådant som
självreglering eller kontraktsmässiga strategier
diskuteras centralt. Men det förekommer inget
internationellt arbete med sikte på en konvention
som sträcker sig över mer än en region av världen.
Jag tror att det är svårt att ge denna fråga
prioritet i många andra länder. Om det blir fråga om
anbud kan diskussionen komma upp på dagordningen.
Den första frågan var mer filosofisk, men jag skall
svara relativt konkret. Först gäller det
administration av personupplysningar. Man skall icke
använda icke-relevanta upplysningar. Upplysningarna
skall vara av hög kvalitet. De skall motsvara det
ändamål de skall användas till. Det skall vara något
gemensamt med de regler som finns om hur den
offentliga administrationen skall fatta beslut, dvs.
procedurregler om att fatta bra beslut.
Personupplysningslagen kryper in på det privata
området.
Då har vi frågan om att värna hus och hem,
privatlivets helgd, the right to be let alone - som
man sade i USA i slutet av förra århundradet. Detta
har på många sätt varit grunden för framväxten av
lagstiftningen om persondatabehandling. Man ser mer
till artikel 8 i konventionen om mänskliga
rättigheter för att finna en politisk plattform.
Ordföranden: Tack för detta! Det är svårt att komma
från intrycket av din presentation, i synnerhet i
samband med det Ann-Marie Nilsson sade i sitt
inlägg, nämligen att alldeles bortsett från att vi
här har diskuterat viktiga och angelägna
integritetsspörsmål anmäler sig en annan reflexion,
att åtskillig lagstiftning på detta och andra
områden sannolikt i dag sker i tron av att ett
gammalt samhälle fortfarande finns när villkoren för
lagstiftningsarbetet förändras i grunden. Det är
möjligen en erfarenhet att ta med sig långt utanför
det spörsmål som i dag står överst på dagordningen.
Jag har tidigare berättat för
konstitutionsutskottet att jag hade en kollega som
vid avtackningen av sig själv från ett arbete
underströk att hans ideal för konferenser var en
konferens med bara pauser. Det var då den verkliga
nyttan gjordes. Nu skall vi se om denna tes är
korrekt. Under 25 minuter sträcker vi på benen för
att sedan återsamlas för att med det som sagts under
förmiddagen försöka dra rimliga slutsatser.
Vilka problem ser vi med dagens lagstiftning? Hur
skall den framtida lagstiftningen se ut?
Ordföranden: Då börjar vi med den sista avdelningen.
Där tänkte jag med utskottets tillåtelse göra så att
vi såsom i de tidigare avdelningarna först lämnar
ordet till de tre inledarna.
Jag tänker vara lite friare i fördelningen av ordet
i den sista halvtimmen för att låta det hela bli mer
en diskussion och få lite mer av seminariekaraktär
än blott och bart frågor och svar. När vi skiljs åt
här klockan tolv skall vi känna att på bordet då
ligger de optioner som står Sverige, utskottet och
riksdagen till buds. Jag tänker vara nödigt ojust
med talarlistan gentemot den ena sidan så att den
andra sidan känner att alla inlägg har kunnat komma
fram.
Med denna något legära syn på den sista timmen ber
jag att få lämna ordet till journalisten Anders R.
Olsson som börjar introduktionen av detta sista
diskussionspass. Varsågod.
Anders R. Olsson: Tack för det. Jag har med stigande
förvåning konstaterat att man hittills egentligen
inte har talat om det som är det stora problemet med
personuppgiftslagen, nämligen yttrandefriheten. Jag
är inte alls till freds med beskedet att
personuppgiftslagen förmodligen inte skall
tillämpas, därför att Datainspektionen har ont om
tid, för de tusen och en behandlingar av
personuppgifter som människor ägnar sig åt via
Internet.
Det finns ingen anledning att räkna upp en massa
exempel på vad medborgare i ett demokratiskt
samhälle kan behöva göra eller vilja göra med
person-uppgifter. Det räcker faktiskt med att erinra
om att Datainspektionen tack vare
övergångsbestämmelserna nyligen beviljade Carl Bildt
fortsatt utgivning av sitt elektroniska veckobrev.
Det räcker som illustration till vad PUL innehåller
för sorts bestämmelser. Myndigheter skall över huvud
taget inte fatta den sortens beslut i Sverige.
Ulf Widebäck sade att han och Datainspektionen nog
skulle överse med behandlingen av harmlösa uppgifter
på framför allt Internet. Yttrandefriheten handlar
inte om de harmlösa uppgifterna. Yttrandefriheten
handlar om de kontroversiella och starkt kritiska
uppgifterna. Samhällskritik i alla former rymmer
mängder av negativa upplysningar och omdömen om
framför allt makthavare av alla slag, inklusive
riksdagsmän och journalister, vill jag poängtera.
Personuppgiftslagen innebär rättsligt en mycket
kraftig inskränkning i yttrande- och
informationsfriheten för de uppskattningsvis 99 % av
befolkningen som inte är journalister, författare
eller konstnärer och som ytterst sällan har någon
möjlighet att yttra sig i medier som skyddas av
tryckfrihetsförordningen eller
yttrandefrihetsgrundlagen.
De rättsliga uppfinningar som har lanserats de
senaste sex veckorna och som skulle leda fram till
någon annan uppfattning om personuppgiftslagens
effekter är enligt min uppfattning ohållbara eller
orimliga. En sådan uppfinning går ut på att i stort
sett allt som människor yttrar utanför den rent
privata sfären skulle börja kallas för journalistik,
litteratur eller konst. Att på det sättet uppmana
åklagare och domstolar att hitta på helt nya
betydelser hos väl etablerade språkliga begrepp
skulle vara att underminera hela grunden för
rättssystemet. Om man följer den rekommendationen
vet vi snart inte vad någon lag egentligen betyder.
En annan uppfinning är att domstolarna skulle börja
tillämpa regeringsformen 2:1 och den punkt i
rättighetskatalogen som talar om medborgarnas rätt
till yttrandefrihet direkt på enskildas yttranden
när dessa rymmer person-uppgifter och följaktligen
kan strida mot personuppgiftslagen. Såvitt jag
förstår av förarbetena till regeringsformen är detta
inte meningen. Det har heller aldrig skett förut att
en domstol vägrat tillämpa en vanlig lag med
hänvisning till regeringsformen 2:1. Jag har själv i
olika sammanhang försökt att åberopa den paragrafen
i regeringsformen gentemot den gamla datalagen när
den fick sina mest absurda effekter. Jag har
hittills aldrig fått någon jurist att ens ta ett
sådant argument på allvar.
Om man i rättstillämpningen skulle välja att luta
sig mot regeringsformen 2:1 som något slags allmänt
skydd för icke-journalisters yttrandefrihet skulle
det innebära att bestämmelsen hastigt och lustigt
blev något slags motsvarighet till amerikanernas
first amendment. På tvärs mot svensk rättstradition
och rättskultur skulle allmänna domstolar sättas att
döma i vad vi uppfattar som djupt politiska frågor
om var gränsen går för vad som är godtagbart i ett
demokratiskt samhälle, för att citera
regeringsformen 2:12. Domstolarna skulle göra detta
på fri hand utan att lagstiftaren ens har diskuterat
saken.
Jag tycker inte att man kan handskas så lättvindigt
vare sig med svensk rättstradition eller med
yttrandefriheten. Man bör nog också observera att
den lösningen - om man skall kalla den det - tydligt
strider mot EU-direktivet. Det finns en möjlighet
till generella undantag från direktivets
hanteringsförbud. Det undantaget gäller
journalistisk, litterär och konstnärlig verksamhet
och ingenting annat.
Om vi i Sverige avser att inom ramen för EU ta
strid om den här saken, vägra att tillämpa
direktivets regler och personuppgiftslagen och med
hänvisning till t.ex. regeringsformen 2:1 nöja oss
med att bestraffa missbruk av personuppgifter, vore
väl det enda rimliga att skriva en lag som faktiskt
förbjuder missbruk och som samtidigt förklarar vad
som menas med missbruk. Det skulle åtminstone ge det
hela ett drag av rättssäkerhet.
Min uppfattning är att man måste - och det får man
gärna göra med så många hövliga bugningar som
möjligt inför EU-direktivet - skriva en lag som
klargör vilken behandling av personuppgifter som
utan att det finns starka skäl för den skadar
människor och som därför skall vara straffbar.
Svårigheterna med att skriva ett sådant regelverk
skall inte överdrivas. Vi har trots allt redan en
förebild i form av förtalsbestämmelser och en
utvecklad rättspraxis som hör till det regelverket.
Det finns någonting att bygga på.
Man kan däremot inte två månader efter det att den
har trätt i kraft hitta på nya djärva tolkningar av
personuppgiftslagen, eller för den delen
regeringsformen, därför att vi har fått en plötsligt
uppblossande debatt om saken. Det framgår trots allt
tydligt av lagens förarbeten, av Datainspektionens
entydiga uttalanden sedan i våras och av
justitieministerns entydiga uttalanden sedan i våras
att lagen skall tillämpas som den är skriven. Om man
finner en sådan lag olämplig bör man upphäva den.
Man skall inte försöka vränga den ut och in.
Jag tycker avslutningsvis att man inte kan låta ett
demokratiskt värde som yttrandefriheten vila på en
förhoppning att myndigheter och domstolar skall göra
en vänlig, fantasifull eller nydanande tolkning av
en förbjudande lag. All historisk erfarenhet säger
att man måste göra tvärtom. Skyddet för
yttrandefriheten måste konstrueras så att reglerna
entydigt förbjuder hindrande åtgärder från staten
utom i ett fåtal klart definierade undantag för
efterhandsingripanden mot sådant som förtal,
barnpornografi, etc.
Så konstruerades 1949 års tryckfrihetsförordning
därför att man under krigsåren hade lärt av hur
antinazistiska skribenter motarbetades eller t.o.m.
stoppades. Det får inte finnas oklarheter eller
fromma förhoppningar inbyggda i lagen. Då har vi
ingen yttrandefrihet den dag vi verkligen behöver
den. Tack.
Ordföranden: Tack skall du ha för detta. Jag lämnar
ordet till Karl-Erik Tallmo, som inte har någon
titel i mitt papper. Han sade till mig att han
kommer att presentera sig själv. Det kommer nu att
ske.
Karl-Erik Tallmo: Jag brukar tituleras författare
och IT-debattör. Jag är redaktör för en elektronisk
tidskrift som finns på nätet och heter The Art Bin,
som möjligen nu kan tänkas vara lite halvt olaglig.
Jag kanske räknas som journalist fortfarande. Jag
vet inte. Jag är inte med i Journalistförbundet. Det
är som sagt tolkningsfrågor.
Jag tror att det är olyckligt att
personuppgiftslagen blev en hanteringslag. En
missbrukslag hade troligen varit enklare. En sådan
skulle förmodligen inte heller bli föråldrad lika
snabbt.
Det lustiga med detta är att Datalagskommittén
själv var inne på att det inte skulle bli så lyckat.
På s. 185 i utredningen skriver man själv att risken
med en hanteringslag är att den kan komma att bli
till allmänt åtlöje. Det är precis vad som har hänt
de senaste veckorna när människor har excellerat i
att anmäla sig själva till Datainspektionen som ett
slags debattinlägg.
Nu har företrädare för DI försökt lugna oss
användare med att man skall vara frikostig med
undantagen. Det hette åtminstone förut att alla som
kallar sig journalister eller konstnärer skall anses
vara det. Nu sade Ulf Widebäck lite annorlunda här i
dag.
Skapar man en lag som i sin tillämpning blir så ad
hoc-betonad bäddar man för godtycke. DI kan i värsta
fall i praktiken komma att bli en censurmyndighet
som från fall till fall bestämmer vad som får sägas.
Vad händer den dag de styrande bestämmer sig för att
inte vara så frikostiga mot oss längre? Här bjuder
inte lagen något skydd.
En av luddigheterna är för övrigt att den nya lagen
i sin definition av vad behandling av
personuppgifter är inte bara nämner insamling,
bearbetning, spridning och ett tiotal andra saker
utan även användning av personuppgifter. Är det
kanske rentav så illa att inte bara de som
publicerar saker på Internet behöver ha de omnämnda
personernas medgivande utan även vi som läser
publikationer på Internet?
Vad är förresten medgivande? Är det att man klickar
okej på ett meddelande på en webbsida? Eller är det,
som någon var inne på här tidigare, att man skickar
ett e-postmeddelande? Hur vet man då att det är rätt
person som står som avsändare till det e-
postmeddelandet? Hur länge gäller sedan ett
medgivande?
Dessutom tycker jag att det är aningen stötande, i
en tid när de nya medierna erbjuder alltfler s.k.
gräsrötter att publicera sig, att flera utredningar
den senaste tiden försöker ge journalister och
konstnärer en särställning. Det är märkligt nog
grupper som traditionellt brukar vara högljudda och
protestbenägna.
Inom parentes sagt uppstår det också ett glapp här
som utredningen Grundlagsskydd för nya medier skulle
ha kunnat fylla i viss mån med sitt föreslagna
utgivarbevis för elektroniska publikationer. Men den
idén tillbakavisades av regeringen. Alla de som nu
publicerar sig på Internet och kallar sig för
journalister för att undkomma PUL har ändå inget
grundlagsskydd jämförbart med det som tryckta
tidningar har.
Vad vi nu har fått är en lag som mest tycks hindra
normal berättigad hantering av personuppgifter men
som knappast skyddar oss från otillbörlig behandling
av sådana. En grundfråga är naturligtvis om en lag
över huvud taget kan göra det i den oerhört komplexa
värld vi håller på att skapa åt oss eller om det
snarare bör ligga på nivån att var och en får ta
sitt ansvar när det gäller vad man sprider om sig
själv.
Vad man än svarar på den frågan finns där ett stort
problem med integriteten i vår nya digitala värld.
Vi lämnar enorma mängder av elektroniska spår efter
oss i den moderna världen i mobiltelefonroutrar, i
bankservrar, vid varje myndighetskontakt, hos
kreditkortsföretag och på varenda webbplats som vi
besöker på Internet. Allt det sker också mot en
bakgrund där vi för länge sedan har slutat oroa oss
för bevakningskameror på offentliga platser eller
närgångna enkätundersökningar.
Nu monterar vi ofta själva kameror på datorn eller
i kafferummet som en kul grej. I vissa fall finns
det faktiskt människor som har monterat in sådana
också i sängkammaren, men det kanske är ett lite väl
extremt exempel. Många laddar också upp sina
dagböcker på nätet. Ett framträdande drag i dag
tycks vara just lusten att synas och bli
uppmärksammad.
Det är ungefär 300 000 svenskar som har egna
hemsidor där varierande mängder privata saker
redovisas. En del av detta är naturligtvis vad som
brukar benämnas harmlöst. Men även harmlösa saker
kan ställa till det. Åtskilliga kända personer som
har förekommit i veckotidningarnas hemma-hos-
reportage har t.ex. blivit utsatta för inbrott.
Tjuvarna har vetat exakt vad de skulle ta.
I USA hände det förra sommaren att en kvinna råkade
ut för att hon fick snuskiga brev där brevskrivaren
hade författat en sorts erotisk novell med henne som
huvudperson. Han visste privata saker om hennes
skilsmässa, vilka tidningar hon läst och vad hon
använde för tvål, t.ex. Det var en novell och skulle
om han laddat upp det på en webbsida kanske ha
räknats som konstnärligt arbete.
Nu är det alltid riskabelt att från detta
extrapolera utifrån nuet och tro att det blir så i
framtiden fastän värre, mera, större osv. Man kan
mycket väl tänka sig en situation där publicering
och offentlig tillgänglighet blir något av
normaltillstånd och själva återhållandet blir den
mer aktiva handlingen i stället för som nu att vi
går ut med information när vi vill.
Ta bara en så enkel sak som att mobiltelefoner kan
spåras, och följaktligen kan man då kartlägga hur en
person förflyttar sig. När bilarna sedan kommer att
navigera med hjälp av satellit får vi ytterligare en
sådan markör. All sådan information tillsammans med
den information vi lämnar efter oss på Internet kan
ge en rätt så fyllig bild av vad vi har för oss,
vilka vi är, vad vi tycker och tänker, etc.
Det lite förrädiska i sammanhanget är att om någon
t.ex. förföljer oss på gatan är det mer konkret
obehagligt. Men om någon följer oss genom att avläsa
mobiltelefonroutrar är det mycket mer abstrakt. Även
om vi vet om att det sker rycker vi liksom på
axlarna åt det.
Det är väl tänkbart att det inte är myndigheternas
intrång i vår integritet som är det stora problemet
i dag utan att vi exponerar oss för alla och envar.
I framför allt USA förlägger redan dektektivbyråer
och s.k. prisjägare alltmer av sin verksamhet till
nätet. Det är helt enkelt mycket billigare än att ha
folk som sitter i en bil och bevakar en port
någonstans hela natten.
Jag tror att vi står inför en situation ungefär som
när bonden kom till staden. Kanske var han van att
kunna lämna dörren olåst på landet, men i staden
märkte han att man får vara mer försiktig. Här har
vi dubbla lås och gallergrindar. Det är förstås
beklagligt att det skall behöva vara så. Men de
flesta moderna människor har nog ändå vant sig vid
att världen är sådan. I det digitala samhället kan
man heller inte kasta sig in utan att vara medveten
om riskerna.
Detta är problem som måste diskuteras nu. Jag menar
att alla dessa frågor hänger ihop. Offentlighets-
och yttrandefrihetsaspekterna och integriteten kan
inte behandlas åtskilt. Även de nya
publiceringsformerna, författarrollen, copyrighten
och kanske rentav patenträtten måste vägas in i
detta.
Det är olyckligt att så många utredningar har
utrett sin lilla bit. Det har varit cd-rom-
utredning, BBS-utredning, datalagskommitté,
mediekommitté, osv. Det är illa nog med isolerade
utredningar som gäller vår invanda värld. Men det är
ännu värre när det gäller en värld som få ännu
förstår sig på.
Själv skulle jag vilja rekommendera mycket breda
lösningar med ett tätt samarbete mellan olika
utredningar inom IT-området. Man bör också se till
att de som utreder själva ger sig ut på Internet.
Egen erfarenhet av den kultur det gäller är värt
mycket mer än att ännu en expert får skriva ännu en
utredningsbilaga om Internets historia.
Frågan är vad som nu går att göra åt PUL inom ramen
för det gällande EU-direktivet. Det största hoppet
står nog till att vi verkar inom EU för att nästa
direktiv kommer snart och blir ett modernt
insiktsfullt sådant. Det gamla skrevs som bekant
innan World Wide Web ens var påtänkt, vilket är den
mest radikala förändringen sedan
persondatorrevolutionen i början av 80-talet.
Sverige som är ett av världens mest avancerade IT-
länder borde sannerligen kunna agera förtrupp i EU:s
datalagsarbete. Tack.
Ordföranden: Tack så hjärtligt för detta. Då ber jag
att få lämna ordet till professor Peter Seipel,
Stockholms universitet. Han är också professor i
rättsinformatik, så det blir Norge och Sverige som
går ihop här på slutet. Varsågod.
Peter Seipel: Tack. Jag tänkte med min förkylda röst
kommentera åtminstone fyra saker. Den första är lite
om den allmänna bakgrunden, teknikutveckling, m.m.
Den andra är möjligheten att realisera EG-direktivet
genom en missbruksmodell och allmänna reflexioner
kring en missbruksmodell och vad den innebär. Sedan
tänkte jag ge mina synpunkter på förhållandet till
yttrandefrihet och informationsfrihet i allmänhet,
tala lite grann om inre frågor i person-
uppgiftslagen och ge några korta synpunkter på hur
jag menar att man bör gå vidare.
Om vi begynner med bakgrunden är det som min
värderade kollega Jon Bing påminde oss om på det
viset att det har skett en väldig förändring i den
miljö där personuppgiftsskyddet nu skall verka om vi
jämför med hur det var när den gamla datalagen en
gång kom till. Det var registermiljön som då gällde.
I dag är detta gemene mans redskap. Därmed ser
naturligtvis attityder och förhållningssätt helt
annorlunda ut än tidigare.
Om man först funderar kring de tekniska
förändringarna kan man ställa sig frågan om de
klassiska riskerna nu är borta. Svaret är
naturligtvis ett alldeles rungande nej. De finns där
fortfarande. Den gamla registermiljön är fortfarande
med oss fast nu inkapslad i nya fenomen och
företeelser. Hur vi än vrider och vänder på oss
behöver vi en massa registerlagar även i framtiden
om olika hanteringar i olika sammanhang som är mer
eller mindre känsliga.
Det här spänner över ett mycket stort område från
lag om öppen kameraövervakning från 1998, som också
är en form av personuppgiftshantering, och bort till
mer vardagliga aktiviteter som patientjournaler,
mål- och ärenderegister hos domstolarna och
liknande. Vi får inte glömma bort att vi har hela
denna stora barlast. Det är svårt att tänka sig att
vi lämpar den över bord.
Hur ser riskerna i den nya miljön ut? Finns de över
huvud taget? Visst finns de naturligtvis. Jag
plockade ut det allra senaste ur datapressen. Där
stod: E-manager gallrar i e-posten. Sparad e-post
hos konkurrenter och på egna servrar blir besvärliga
bevis mot Bill Gates i rätten. Programmet E-manager
hade stoppat breven från att över huvud taget bli
sända.
Ett annat svenskt program av motsvarande natur:
Spionprogram stoppar hemliga brev. Mind Sweeper
heter en produkt som kontrollerar 300 000 e-brev i
timmen. Programmet stoppar inte bara virus utan även
konfidentiellt material som inte får spridas utanför
kontoret, etc.
Tekniken föder hela tiden nya möjligheter till
angrepp och hot. Karl-Erik Tallmo var också inne på
detta. Det måste vi naturligtvis minnas och ha med i
diskussionerna när vi resonerar om hur det framtida
skyddet bör utformas. Vi bör också minnas de sidor
som är positiva. Branschen, som Anne-Marie Nilsson
var inne på, kommer inte att gå opåverkad ur den här
utvecklingen.
Det finns t.ex. en standard som håller på att
utvecklas som heter The Platform for Privacy
Preferences, P3P. Det är en webbstandard som håller
på att utarbetas för att ge konsumenter och
webbplatserna som de besöker en möjlighet att
förhandla om vad som får göras med personlig
information som sparas på webbplatsen. Det är alltså
en mycket dynamisk miljö på olika sätt. Tekniken
anpassar sig till lagen, och lagen söker finna
rimliga levnadsformer i den nya tekniska miljön.
Slutligen om bakgrunden. Det har samlats in
namnunderskrifter på Internet: Rör inte mitt
Internet. Här måste lagstiftaren vara medveten om
att det kommer en ny typ av dynamik i
lagstiftningsförfarandet. Man kan tala om att vissa
kommer att sitta på det s.k. spridningsföreträdet.
Konstitutionsutskottet har inte så stora möjligheter
att gå ut med en sådan aktion på Internet, men andra
har det. Det är inte riktigt samma sak att samla in
drygt 40 000 underskrifter på Internet som att göra
det i klassisk brevskrivande miljö med den
eftertanke det innebär.
Jag konstaterar bara detta utan alla moraliska
förtecken. Det är en ny dynamik i
lagstiftningsarbetet som vi förmodligen kommer att
få se också i många andra sammanhang och som vi bör
ha ett slags eftertänksamt förhållningssätt till.
Så till förhållandet mellan vår svenska lag och
personuppgiftsdirektivet. Hade det varit bättre med
en missbruksmodell? Vi talar om missbruksmodellen
som om det vore något entydigt. I de studier som har
gjorts vid det IT-rättsliga observatoriet, som är en
liten gren av IT-kommissionen, har vi efterhand
blivit alltmer klara över att missbruksmodellen inte
är något entydigt. Man måste bestämma sig för vad
det är för slags missbruksmodell man resonerar om.
Här finns det en skala som börjar med dem som säger
att i princip skall allting vara tillåtet. Vi
struntar i riskerna. Det här är så dynamiskt och
värdefullt för samhället att vi får ta de riskerna,
och medborgarna får finna sig i det som kan ske i
form av elektronisk spårning. Det är den radikala
missbruksmodellen. Endast de värsta och grövsta
övertrampen skall man ägna sig åt, som t.ex. det
fall som avgjordes av en av våra hovrätter för ett
par år sedan. Där hade någon satt in annonser för en
bekants räkning, sexannonser. Denna person blev
sedan utsatt för en massa brev från folk som tog det
på allvar. Den typen av grova övertramp skulle man
med den radikala missbruksmodellen ändå få inskrida
mot.
Den andra änden, den mildaste typen av
missbruksmodell, är den som Ulf Widebäck var inne
på, att man i den praktiska lagtillämpningen har ett
missbrukstänkande. Man inskrider bara mot det som
anmäls och är klara övertramp. Sedan finns det en
hel skala av tänkbara missbruksmodeller där man
förhåller sig på olika sätt till sådant som t.ex.
dokumentationsskyldighet för dem som behandlar
personuppgifter. Information till de människor som
berörs kan man ha olika inställning till. Man kan ha
olika inställning till hur huvudreglerna utformas.
Det har sagts tidigare i dag att gränsen inte är så
skarp mellan hanterings- och missbruksmodeller och
att man i många lagar hittar blandningar av
missbruksstrategi och hanteringsstrategi. Precis så
är det med personuppgiftslagstiftningen också. Det
gäller att åstadkomma det önskvärda mönstret av
missbruksorienterad reglering och
hanteringsorienterad reglering. Det tar sin tid. Det
är en process. Där måste man acceptera att också det
svenska rättssystemet nu förändras under EG-
rättsligt inflytande så att det kommer att ligga
större tyngdpunkt på rättspraxis än vad det har
gjort i klassisk svensk lagstiftningsmodell med
noggranna förarbeten som talar om hur uppkommande
konflikter av det ena eller andra slaget skall
hanteras. Vi lever i en större rättsosäkerhet med
för den svenska rättsordningen delvis nya drag och
med större betydelse för rättspraxis. Det bidrar
naturligtvis till den osäkerhet som vi alla känner
inför många av dessa frågor.
Jag skall återkomma alldeles mot slutet till hur
jag ser på missbruksorienterad reglering för
framtiden. Låt oss titta lite på förhållandet till
yttrandefrihet och informationsfrihet i allmänhet.
Här har det också varit ganska diametralt motsatta
åsikter, och de förekommer i debatten. Det finns de
som menar att yttrandefriheten är det starka
intresset. Det kommer alltid att ha skydd. Det
behöver vi inte oroa oss för, säger någon debattör.
Det finns andra som säger att det nu är fara å
färde. Nu förstärker man personuppgiftsskyddet så
att yttrandefriheten råkar i fara.
Jag menar att här måste man tillåta sig en ganska
öppen tolkning av 7 § personuppgiftslagen, som dels
föreskriver förhållandet till den grundlagsskyddade
yttrandefriheten, TF och YGF, dels i andra stycket
talar om uteslutande journalistisk verksamhet eller
litterära och konstnärliga ändamål. Enligt min
mening vore det absurt att bara tolka det senare
undantaget i andra stycket på det viset att det bara
är vissa så att säga legitimerade yrkeskategorier
som får åberopa detta. Det är lika absurt som att i
upphovsrättslagen, som talar om litterärt och
konstnärligt skapande, lägga in ett slags
kvalitetskriterium och säga att det bara är det som
domstolen bedömer har estetisk kvalitet som kan göra
anspråk på upphovsrätten. Upphovsrätten har för
länge sedan gett upp sådana standarder för att så
att säga ge förmånen av rättsskydd. I
upphovsrättslagen är det alltså låga krav som ställs
för att något skall uppfattas som ett litterärt verk
och åtnjuta upphovsrättsligt skydd.
Varför skall man börja laborera med andra synsätt i
personuppgiftslagen och införa en särskild så att
säga av samhället prövad form för att en verksamhet
skall bedömas som litterär eller konstnärlig?
Tvärtom kan man faktiskt här se risker av det slag
som flera tidigare har varit inne på, att man får
ett alldeles för stort undantag från
personuppgiftslagen. Frågan är: Hur skall man på ett
vettigt sätt avgränsa detta undantag till förmån för
7 § andra stycket? Jag tror att man då får titta på
ingressuttalandena i EG-direktivet där det talas om
att undantagen måste vara nödvändiga för att skydda
yttrande- och informationsfriheten. Det är på den
linjen som man får söka sig fram till en rimlig
balans mellan intressena.
Om vi går in på lagen finner vi att det finns en
mängd tolkningsfrågor o.d. Dem hinner vi inte ta upp
här. På sätt och vis är det synd att vi inte hinner
göra det därför att den här svepande debatten med
ställningstaganden för och emot, principiellt osv.
har en tendens att dölja den vardag som ändå hör
ihop med lagstiftningens detaljerade maskineri.
Ta bara den första frågan om behandling av
personuppgifter. Vad är det för något? Här har det
från något håll påståtts att den svenske
lagstiftaren har missuppfattat alltihop - det är
bara register som egentligen skulle regleras i
automatiserad form. Det är naturligtvis en orimlig
tolkning, men ett litet korn av sanning ligger i den
tolkningen. Vad är då detta korn? Jo, i den
klassiska ADB-miljön, i miljön för automatisk
databehandling, krävdes det på förhand strukturerade
uppgiftssamlingar för att man skulle kunna bearbeta
dem - med registret över länets befolkning i
åldersordning osv. kunde man samköra och bearbeta.
Den moderna informationstekniken tillåter att man
har en i stort sett ostrukturerad soppa av
uppgifter. Sedan låter man de program som skall
utnyttja detta tillhandahålla intelligensen på olika
sätt. Om man t.ex. går ut med en sökmotor på
Internet och söker på Seipel, görs det diverse
manipulationer av datorlingvistisk art. Ut kommer
ett resultat producerat som en lista eller i grafisk
form där mitt namn förekommer, relaterat till olika
saker som råkat hända i mitt Internetliv. Jag har
varit på konferenser, har arbetat tillsammans med
folk och har skrivit det ena och det andra. Det blir
alltså en prydlig lista med hundratals referenser.
Detta sköter sökmotorn om genom att med något slags
intelligens gå igenom, sammanställa och räkna fram
vad som skall presenteras.
När vi talar om behandling kan man fråga sig: Är
det bara vilket som helst lite strövis omnämnande av
Per Unckel som är behandling, eller fordras det
någon form av systematisk behandling? Man blir ännu
lite mer eftertänksam när man konstaterar att ordet
databehandling enligt svensk standard skall uttolkas
så att det är fråga om ett utförande av en
systematisk serie operationer på givna data. Det är
alltså inte fråga om varje liten strövis hantering,
utan det måste ingå i något samordnat och helt.
Problemet är att EG-direktivet inte tillåter en så
strikt tolkning av ordet behandling. Jag tror att
man inte ens har funderat över detta.
Vad man kan göra är att man när personuppgiftslagen
tillämpas kan göra glidande distinktioner, så att
man är strängare i tillämpning och sätter upp ett
bättre skydd när det handlar om systematiserad
hantering, typ elektronisk spårning och sådant, än
när det bara handlar om strövisa omnämnanden. Jag
menar att det är ett fullt rimligt sätt att begagna
denna insikt, nämligen att behandling står för så
många olika fenomen.
Det andra är naturligtvis detta med samtycket. Det
här måste tolkas flexibelt, för annars blir det
väldigt svårt att få personuppgiftslagen att
fungera. Redan under datalagen har det utvecklats en
praxis med passiva samtycken, underförstått
samtycke, s.k. konkludent handlande osv. Det här
måste man naturligtvis på ett rimligt sätt bygga
vidare på. Är då inte detta för osäkert, dvs. att
någon tar risken på det här sättet? Måste folk ha
förstått att de skulle förekomma i det här
sammanhanget? Om man t.ex. skriver en bok med titeln
När jag satt i fängelse får man på något sätt anses
ha samtyckt till att den kommer att finnas i
biblioteksregister. Som författare kommer jag att
bli associerad till den här titeln. Det får jag
räkna med.
Det är alltså ett slags missbruksprincip som vi har
inom personuppgiftslagens ram om vi har denna mjuka
tolkning av samtyckeskravet. Man kan ta en risk. Man
kan ju ha missuppfattat det hela. Eller också kan
man fråga Datainspektionen hur man där ser på detta.
Jag skall inte gå vidare med sådana här
tolkningspunkter, som det finns väldigt gott om.
I stället skall jag komma till min avslutande punkt
om strategier för framtiden. Jag instämmer helt med
dem som har sagt att det är viktigt att aktivt gå in
i EU-diskussionen, att ge våra erfarenheter, väl
strukturerade och väl motiverade, och försvara de
intressen som vi upplever som tunga för vår del,
inte minst det som gäller yttrandefrihet och
offentlighetslagstiftningens värn.
Sedan bör man naturligtvis gå vidare med att ge
lagen precision och konkretion. Där är det väldigt
viktigt hur Datainspektionen nu kommer att utföra
sitt arbete och vad som kommer ut ur det. Jag tror
att det behövs åtskilligt av
tillämpningsföreskrifter och anvisningar för att
undanröja mycket av den onödiga osäkerhet som omger
lagen och att på ett tydligt sätt sätta ned foten
när det gäller speciella tolkningsfrågor.
Det tredje och sista är att vi vid IT-rättsliga
observatoriet kommer att gå vidare med studiet av
missbruks- och hanteringsmodeller. Arbetet hittills
har alltså lärt oss att det här är en mycket
nyansrikare diskussion än vi kanske från början var
helt medvetna om. I slutet av januari 1999 kommer vi
med en rapport som innehåller en redogörelse bl.a.
för erfarenheterna från en sammankomst som vi hade i
november i år. Det kommer också att bli en mer
analytisk diskussion om missbruksmodellens
förhållande till hanteringsmodellen.
Ordföranden: Tack, Peter, för detta!
Därmed är vi klara med introduktionerna. Ordet
lämnas nu lite friare i den något friare
avslutningsdiskussion som jag antytt att vi skall
ha.
Barbro Hietala Nordlund: Det är intressant med det
här problematiserandet och det som beskrivits i
inledningsanförandena. Jag har två frågor och tänkte
koncentrera mig på hur framtiden skall se ut och hur
vi skall gå vidare. Först har jag en fråga till
Peter Seipel. Det handlar om missbruksmodellen och
den presentation som finns i promemorian från IT-
observatoriet. När jag läser det framkommer det att
man inte heller i en missbruksmodell kan, som ni ser
det, gå förbi betydelsen av samtycke. Det skulle
vara intressant att få detta utvecklat något mer.
Jag avser då frågan om vilket integritetsskyddskrav
och vilket samtyckeskrav som en missbruksmodell
anses behöva ha.
Min andra fråga gäller framtiden. Jag tycker att
Regeringskansliet där har ett stort ansvar och
intresse. Därför vill jag rikta frågan till
Regeringskansliets företrädare. Det gäller det korta
perspektivet, alltså de konkreta och reella problem
som vi just i dag har. Där väntar naturligtvis alla
Internetanvändare på ett besked, och där måste vi
kortsiktigt hitta tillämpningar och lösningar.
Vidare handlar det om den långsiktiga lösningen, som
inte bara gäller Norden eller Europa utan också vad
som sker internationellt. Jag vet ju att, det i de
överläggningar som finns när det gäller
dataskyddsregler med USA, sker åtminstone några
framsteg. Jag skulle vilja veta var man ligger i det
internationella perspektivet i resonemanget. Jag
skulle vilja att ni nu tar er lite tid och
kommenterar vad ni ser i Finland och Danmark. Hur
har man översatt och tolkat direktivet och hur
kommer deras lagstiftning att se ut? Finns det några
likheter mellan Sverige och de grannländerna?
Regeringskansliet kan svara på framtidsfrågan och
Peter Seipel precisera något lite mera när det
gäller missbruksmodellen.
Ordföranden: Jag tror att vi gör så att jag plockar
på lite olika inlägg och sedan får ni begära ordet
när ni känner att ni har något att bidra med. I så
fall lämnar jag ordet till Inger René och därefter
Helena Bargholtz.
Inger René: Jag skulle egentligen vilja ställa en
fråga till Ulf Widebäck. Det är väl tillåtet i den
här omgången, hoppas jag. Det gäller det här med
samtycke. Jag skulle vilja höra om Datainspektionen
har samma tolkning av samtycke och det passiva
samtycket som Peter Seipel redovisade här alldeles
nyss.
Sedan har jag en fråga till Anders R. Olsson. Du
tyckte att vi hade glömt grundlagarna och
yttrandefriheten och sådant, och det kan hända att
det inte kom fram så mycket just i den här
diskussionen. Men jag tycker att du väldigt ofta
glömmer, både när du pratar och när du skriver, att
diskutera den personliga integriteten. Jag skulle
vilja höra vad den innebär för dig. Grunden till
grundlagen är ju att "skydda människor mot att deras
personliga integritet kränks genom behandling av
personuppgifter". Jag skulle vilja fråga: Vad lägger
du i det grundläggande temat för den här
lagstiftningen?
Helena Bargholtz: Min fråga riktar sig också till
Anders R. Olsson. Du inledde med att säga, om jag
noterade rätt, något om att yttrandefrihetsfrågan
inte är berörd. Och det är väl riktigt. Men jag
skulle vilja höra om du har några förslag till
ändringar av YGL, några lagstiftningsändringar eller
några tydligare skrivningar än de som står i dag.
Det tycker jag vore väldigt intressant att få höra.
Per Lager: Jag skulle vilja höra om det som Anne-
Marie Nilsson tog upp, nämligen möjligheten att
kvalitetssäkra webbsidor. Jag skulle också vilja
höra om det här med självreglering, att man har
något slags etisk kod.
Sedan har det framgått här att det är förfärligt
mycket osäkra uppgifter kring begrepp och hur man
skall uttyda och tolka begreppen. Någon var inne på
att man skulle ha en bred utredning som tog ett
helhetsgrepp om alltihop, som satte ned foten och
talade om vad vi bör göra i framtiden för att
hantera de här problemen. Jag skulle gärna vilja
höra något förslag om hur en sådan utredning skulle
kunna se ut.
Till sist: Datainspektion kan bli en
censurmyndighet, var det någon som uttryckte det.
Det där skulle jag gärna vilja höra
Datainspektionens mening om - om en censurmyndighet,
dvs. att man i framtiden får för stort inflytande
över det som får ske och inte ske.
Hans Erik Holmkvist: Jag vill erinra om att
regeringen - och det har också utskottet ställt sig
bakom - klargör att det finns anledning att gå ifrån
en vittomfattande hanteringsmodell, att vi skall
utnyttja vårt inflytande i Europa för att komma fram
på den vägen.
Jag skulle också vilja, lite grann i samma anda som
Peter Seipel, försöka avdramatisera det här med de
olika modellerna, alltså hanteringsmodell och
missbruksmodell. För att uttrycka det lite populärt:
Vi skall inte kasta ut barnet med badvattnet.
Den gamla datalagen och det nya direktivet om den
nya personuppgiftslagen är ganska väl anpassade till
den typ av hantering som Jon Bing pratade om, alltså
administrativ hantering av personuppgifter, som
syftar till att komma fram till något slags beslut
som kan vara positivt eller negativt för den
enskilde. Typiskt sett består det av att man tar
hand om uppgifter som kanske också den enskilde har
tvingats lämna ifrån sig. De kan vara känsliga på
ett sådant sätt att man inte önskar att de
cirkulerar vidare på olika sätt.
Det vanliga sättet som vi hanterar och skapar
rättssäkerhet kring förvaltningsprocesser på är
oftast att lägga fast hur saker och ting skall gå
till. Så reglerar vi t.ex. frågor som har att göra
med yttrandefrihet och offentlighet.
Det är naturligtvis någonting värdefullt att hålla
fast vid som vi inte får gå ifrån. Vi skapar en
betydande rättsosäkerhet i samhället om vi reglerar
myndigheternas verksamhet utifrån någon sorts
missbruksmodell som innebär att om myndigheterna
missbrukar sina möjligheter på olika sätt kan vi
klämma åt dem, men i övrigt får medborgarna vara
lite osäkra över vad man egentligen kan förvänta sig
när det gäller hur myndigheterna skall bete sig.
Därför får vi nog finna oss i olika former av
hanteringsmodellinslag i den del av verksamheten som
reglerar myndigheternas verksamhet och även när det
gäller vissa företag som har en verksamhet som
påminner väldigt starkt om detta. Och då finns det
inslag av insynsbestämmelser, av
ändamålsbestämmelser och kanske också
samtyckesbestämmelser och liknande.
Däremot har vi då den andra sidan, det som mer är
att liknas vid publicering, allmän debatt och sådant
via Internet. Här ser det ut på ett annat sätt. Då
kan man i och för sig fråga sig: Om vi nu skall ha
en missbruksmodell som omfattar den typen av
verksamhet, behöver vi då egentligen så särskilt
mycket särreglering? Är det kanske inte så att det
regelverk vi har, de lagar som finns och som
kriminaliserar förtal och liknande, egentligen
räcker ganska långt?
För att komma vidare på den vägen tror jag att det
krävs en utvecklad branschetik på det sätt som Anne-
Marie Nilsson pratade om. Här är det väl som på
andra områden. Det måste ske en samverkan mellan
företag och branscher när det gäller att utveckla
denna branschetik och att få den allmänt accepterad,
för att man i så fall också skall kunna lyfta upp
den och i någon mening från offentligrättslig
synpunkt sanktionera och sätta godkännandestämpel på
den. Skall man komma fram på den vägen måste arbetet
inte bara ske i lagstiftande församlingar. Det måste
också ske bland tillämparna ute i verkligheten. Det
är svårt att gå före den utvecklingen.
Då skulle man möjligen kunna skissa på en sorts
trestegsraket för den här hanteringen framöver. Det
handlar om att i ett första steg med stöd i det
uppdrag som har getts till Datainspektionen
komplettera eller åtminstone få en sorts godtagen
tolkning av direktivet, om jag skall uttrycka det
så. Det handlar om att få någon sorts provisorium
som gör att vi slipper fundera över om
handelsuppgifter, eller andra uppgifter som vi
tycker att det är självklart att man skall kunna
använda, kan hanteras och publiceras på Internet.
Det är det vi kan hantera med stöd av
Datainspektionens uppdrag.
På medellång sikt skulle man alltså söka efter
något slags reglering för Internet och
webbkommunikation som påminner om vad vi har på
andra områden med liknande verksamhet, där det finns
ett stort inslag av branschetik och sådana
frivilliga regler. I det mycket långsiktiga
perspektivet är det naturligtvis så med direktivet
som med annan lagstiftning att det kan bli fråga om
översyn.
Jag vill erinra om att det finns en sådan mekanism
inbyggd i direktivet. Det finns en kommitté och en
arbetsgrupp som skall titta på tillämpningen, och
kommissionen skall återkomma inom en viss tidsperiod
med en bedömning och även med förslag till ändringar
om det skulle behövas. Men det som är viktigt i
sammanhanget är att direktivet blir genomfört i alla
länder. Det är först då som man kan säga att det här
får något slags betydelse. Det viktiga för oss är
att arbeta för att direktivet faktiskt blir
implementerat i de andra medlemsstaterna.
Planen är - det kan vara intressant att veta - att
i första hand söka en nordisk bas. Det innebär att
vi kommer att ta kontakt med de nordiska länderna på
tjänstemannanivå. Ett sådant möte äger rum i
december. Då kommer vi att stämma av och se om vi
kan hitta liknande utgångspunkter för hur vi skall
gå vidare. Jag tror att vi identifierar problemen
som likartade. I nästa steg kommer vi att fullfölja
kontakter som vi redan haft med kommissionen för att
se, också på tjänstemannanivå, hur vi kan gå vidare.
Sådana kontakter kommer att ske i början av nästa
år.
Så ser arbetsplanen ut. Sedan planerar regeringen
att återkomma så fort det går. Med stöd av det
uppdrag som Datainspektionen har fått återkommer vi
till riksdagen när det finns anledning till det.
Jag ville ge den här bakgrunden så att alla skall
veta ungefär hur arbetsprogrammet ser ut nu
framöver.
Ordföranden: Det var utmärkt att få den
redovisningen. Tiden går och jag har ett par tre,
fyra namn på min lista, och sedan börjar klockan
närma sig tolv. Jag tänkte plocka in Åsa
Torstensson, och sedan stänger vi nog frågebutiken,
tyvärr. Tiden kommer sedan att konsumeras av att
alla de frågor som har ställts faktiskt får ett
riktigt svar.
Åsa Torstensson: Jag skulle vilja ställa en fråga
till Peter Seipel med anledning av att jag
uppfattade det som att Peter Seipel och Anders R.
hade ganska vitt skilda åsikter om hur man skall
tolka detta med 7 §. Peter Seipel säger att man
måste tillåta sig en mycket öppen tolkning, medan
Anders R. betonar att det inte kan vara meningen att
man skall uppfinna nya tolkningar. Jag skulle vilja
ha en kommentar av Peter Seipel med anledning av
detta.
Ordföranden: Tack för det. På basis av detta har jag
nu tillverkat följande talarlista: Karl-Erik Tallmo,
Anders R. Olsson, Ulf Widebäck och Peter Seipel.
Karl-Erik Tallmo: Per Lager frågade hur jag hade
tänkt mig det här med utredningar. Jag har lagt
märke till att utredningar har så olika
infallsvinklar, och de utreder i övrigt samma saker.
Datalagskommittén hade t.ex. en infallsvinkel när
det gällde att skapa en del nya termer som skall
passa de nya medierna, medan t.ex. Mediekommittén
gjorde tvärtom. De försökte pressa in så mycket som
möjligt av de nya företeelserna i gamla termer,
vilket ledde till att de pratade om en massa
underligheter som elektromagnetisk överföring. Det
lät närmast som någonting från 1800-talet.
Det går alltså inte att sätta till något slags stor
superutredning som skall ta ett samlat grepp på hela
IT-världen. Det är inte riktigt det jag är ute
efter, utan det handlar om att det sker ett intimt
samarbete mellan de utredningar som berör det här
området och att man samtidigt verkligen arbetar på
att de som är med i utredningarna får en riktig
förståelse för det här. Ingen skulle väl t.ex. fatta
beslut om EU utan att ha satt sin fot utanför
Sverige, så jag tror att det här är väldigt viktigt.
Jag skulle vilja tillägga en annan sak. Jag tror
att man också skall försöka samla breda grupper av
användare och ha dem som ett slags referensgrupper
även för utredningen, alltså ett slags workshops.
Jag vet inte hur vanligt detta är i
utredningsväsendet. Jag förekom lite grann i
utkanten av Kulturnät Sverige-utredningen. Där hade
vi en mängd workshops som jag tyckte var oerhört
fruktbara. Även om utredningen inte hade blivit bra
hade det varit värt resan ändå. Där fick man träffa
oerhört många människor och hade utbyte från olika
sektorer av användare. Det är något jag verkligen
skulle vilja förorda.
Anders R. Olsson: Jag fick två frågor. Den ena
handlade om vad jag menar med personlig integritet.
Den stora skillnaden när man diskuterar sådant här i
USA - jag har försökt följa amerikansk debatt och
den är livlig - är att i USA står i stort sett
alltid de som argumenterar för yttrandefrihet och de
som argumenterar för personlig integritet på samma
sida. Men om man är vän av yttrandefrihet här
förutsätts man närmast vara likgiltig inför
personlig inte-gritet. Det är alltså inte så.
Naturligtvis är personlig integritet ett viktigt och
helt centralt värde i ett demokratiskt samhälle.
Vad menar jag med personlig integritet? Experter,
akademiker och forskare av olika slag har i 35, 40
år arbetat med att försöka hitta något slags
hyggligt handfast och tydlig definition av vad som
menas med personlig integritet. Man har inte
lyckats. Det finns ingen konsensus om detta, ingen
definition som skulle kunna ligga till grund för
lagstiftningen. Det är det ena skälet till att den
här frågan är så svår. Det andra, som vi ju har
talat mycket om här, är den snabba tekniska
utvecklingen.
Jag menar att man måste ha den typ av definition av
det skyddsvärda området som vi har i förtalsrätten.
Där handlar det om att den som utsätts för andras
missaktning är skadad. Det är klart att det inte är
någon skarp gränsdragning. Men det är i alla fall
någonting som är möjligt att hantera för en domstol.
Det är säkert inte den enda definitionen man skall
använda i en missbruksmodell. Det finns säkert
flera, och man behöver lägga till detta. Men det är
den typen av definitioner som man måste arbeta med,
menar jag.
Jag fick också frågan om man kan ändra i YGL så att
man, om jag förstod frågan rätt, på något sätt
kommer vidare här. Jag tror inte att det finns någon
ändring i YGL som på något vis löser problemet ur
yttrandefrihetssynpunkt. Jag tror, precis som Karl-
Erik Tallmo sade, att det är bra om man kunde vidga
tryckfrihetsförordningens modell för
yttrandefrihetsskydd till nya medier, så som
Mediekommittén föreslog, med utgivningsbevis för
elektroniska skrifter. Det tycker jag är en utmärkt
idé. I övrigt måste ju människor som yttrar sig på
vanligt sätt själva bära ansvar för sina handlingar
och yttranden.
Bara kort om detta med vad som är journalistik och
journalistisk verksamhet. Om man i lagtext
definierar en yrkesgrupps verksamhet som särskilt
skyddsvärd - och det är vad som sker i lagen -
följer faktiskt logiskt och automatiskt att man
exkluderar andra yrkesgruppers eller andra
människors arbete och verksamhet. Om man menar att
man skall skydda medborgarnas yttrandefrihet, skall
man skriva det och ingenting annat.
Ulf Widebäck: Jag skall svara Inger René. Frågan
gällde alltså om man i de fall där
personuppgiftslagen kräver samtycke kan laborera med
s.k. tyst, hypotetiskt, konkludent eller presumerat
samtycke. Mitt svar är ett klart nej. Det anser jag
inte att man kan. Det var kanske det främsta skälet
till att Datainspektionen skickade in två skrivelser
till regeringen, vilket sedan resulterade i det här
uppdraget. Enligt datalagen kunde man alltså det,
tycker vi. Enligt personuppgiftslagen går det inte.
Så till Per Lagers fråga om Datainspektionen skall
anses vara en censurmyndighet. Om man med censur
menar att myndigheten i förhand prövar om man skall
få yttra sig på ett visst sätt eller inte kan jag
väl säga att datainspektionen i så måtto
naturligtvis har varit något slags censurmyndighet,
även om orden inte är de riktiga. Det har den varit
ända sedan 1973 när datalagen och Datainspektionen
satte igång. I datalagen finns det ju, precis som i
personuppgiftslagen, förbjudande inslag. Man får
t.ex. inte skriva om känsliga uppgifter hur som
helst. På så vis kan man ju säga att det skulle vara
något slags censurmyndighet.
Men nu är det så vist ordnat att Datainspektionens
beslut kan överklagas till allmän
förvaltningsdomstol. Enligt personuppgiftslagen är
det bara till allmän förvaltningsdomstol, enligt
datalagen kunde man överklaga till regeringen när
det gällde beslut beträffande statliga myndigheter.
Det går inte längre, och det tycker jag är bra för
rättssäkerheten. Då behöver man inte ens misstänka
att det skulle vara något slags politiska inslag i
det hela.
Även enligt personuppgiftslagen gör vi ibland ett
slags förhandsgranskning, exempelvis så till vida
att vi kan förbjuda fortsatt behandling. Men enligt
personuppgiftslagen inskrider vi efteråt i första
hand.
Peter Seipel: Jag börjar med 7 §. Anders R. Olsson
bekymrar sig över att lagen inte alltid betyder det
som står i den. Så är det. Läs regeringsformen, där
det står att författare, fotografer och konstnärer
skall tillförsäkras eller skall ha skydd av sina
prestationer i lag. Det skall ju inte läsas så att
det bara är medlemmar i KRO eller författarnas
yrkesförbund som har detta grundlagsskydd för sina
alster. Det är som sagt andra kriterier och krav man
talar om. Det är alltså inte okänt för
lagstiftningen sedan tidigare att man inte skall
välja den snäva tolkning av 7 § som du menar är enda
möjligheten. Jag menar att man skall försöka att
tänja tolkningen så långt det är rimligt för att
skydda yttrande- och informationsfrihetsintressen.
Jag kan inte se att det skulle var så där väldigt
kontroversiellt.
Så den första frågan som handlade om samtyckets
förhållande till missbruksmodellen. Jag tror att
samtycke kommer att finnas med i alla varianter av
missbruksmodellen. Även en radikal missbruksmodell
av Anders R. Olssons slag, som bara tar sikte på
förtalsbrottsliknande situationer, kommer att behöva
samtycket som reservventil. Har jag samtyckt till
att vissa saker har sagts om mig kan jag ju inte i
efterhand t.ex. hävda att det får anses som ett
kränkande förtal. I varje fall är det inte något som
ger mig några rättigheter.
Samtycke spelar en viktig roll även i
missbruksorienterade regleringar.
En kommentar till Ulf Widebäcks konstateranden om
samtycke. Jag hoppas att Datainspektionen förmår
komma fram till en mer nyanserad och flexibel
tolkning av samtyckesreglerna, annars blir jag
bekymrad för min egen del. Jag tror att det finns en
ganska oskarp gräns mellan explicita och implicita
samtycken som bl.a. kommer till uttryck i
situationer med s.k. konkludent handlande, att göra
vissa saker som samtidigt ger uttryck för samtycke.
Det finns andra variationer på samma tema.
Ordföranden: Tack för detta! Därmed är den tid vi
har avsatt för en spännande, intressant och viktig
diskussion över för denna gång.
Som flera av kommentarerna och upplysningarna har
antytt är nog detta snarare början på resan än
slutet på den. Början i den meningen att vi både rör
oss in i en helt ny miljö och rör oss in i helt
andra avvägningar mellan de spörsmål som tidigare
varit enkla och entydiga att avgöra.
På konstitutionsutskottets vägnar säger jag tack
till alla er som har bidragit med kloka och
insiktsfulla svar på våra frågor. Jag försäkrar er
att dessa svar inte har fallit på något hälleberg
utan kommer att utnyttjas väl i utskottets fortsatta
beredning av detta ärende.
Det är vår förhoppning att vi skall leverera våra
synpunkter till riksdagens kammare för diskussion så
snabbt det går på det nya året, synpunkter som
naturligtvis inte skall ses isolerade utan
tillsammans med dem som Hans-Erik Holmqvist beskrev
i sitt inlägg.
Med detta säger jag tack. Utskottets utfrågning är
därmed avslutad.