Översyn av Datainspektionens verksamhet och finansiering

Innehåll

Dir. 2000:52

Beslut vid regeringssammanträde den 21 december 2000.

Sammanfattning av uppdraget

En särskild utredare skall göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen (1998:204) och den snabbautvecklingen på informationsteknikens område.

Utredaren skall analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.

Bakgrund

Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet.

Datainspektionen är tillsynsmyndighet när det gäller Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L281, 23.11.1995, s. 31, Celex 395L0046), det s. k. dataskyddsdirektivet, som genomförts i svensk rätt genom personuppgiftslagen. Datainspektionen har fram till den 1 oktober 2001 också ett tillsynsansvar i de fall den gamla datalagen (1973:289) skall tillämpas enligt övergångsbestämmelserna till personuppgiftslagen. Inspektionen är också tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Vidare har inspektionen utsetts till att vara nationell tillsynsmyndighet enligt Europolkonventionen (EGT C316, 27.11.1995, s. 2, Celex 41995A1127/01) och konventionen om användning av informationsteknologi för tulländamål (EGT C316, 27.11.1995, s. 34, Celex 41995A1127/02), den s. k. CIS-konventionen. Inspektionen har också utsetts till nationell tillsynsmyndighet enligt Schengenkonventionen.

Uppgifter i anslutning till datalagen och personuppgiftslagen

Datainspektionen inrättades 1973 då datalagen trädde i kraft. Datalagen ersattes den 24 oktober 1998 av personuppgiftslagen, som bygger på de gemensamma regler som har beslutats inom EU genom dataskyddsdirektivet. Under en övergångsperiod fram till den 1 oktober 2001 tillämpas dock båda lagarna. Datalagen tillämpas för behandlingar av personuppgifter som har påbörjats före den 24 oktober 1998 och personuppgiftslagen för behandlingar som påbörjats efter detta datum.

Enligt dataskyddsdirektivet är varje medlemstat skyldig att se till att det utses en eller flera myndigheter som har till uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av direktivet. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige. I sin egenskap av tillsynsmyndighet ingår Datainspektionen även i den arbetsgrupp som inrättats med stöd av artikel 29 i dataskyddsdirektivet. Arbetsgruppen har bl. a. till uppgift att se till att direktivet tillämpas enhetligt i medlemsstaterna. Gruppen skall också avge yttranden till Europeiska kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar i direktivet.

Myndigheten skall fullständigt oberoende utöva de uppgifter som åläggs den. Den skall ha undersökningsbefogenheter samt effektiva befogenheter att ingripa t. ex. genom att dels förhandskontrollera särskilt integritetskänsliga behandlingar, dels besluta om förbud mot behandling av personuppgifter.

Myndigheten skall också ha befogenhet att inleda rättsliga förfaranden vid överträdelser eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser. Slutligen skall myndigheten höras när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

Personuppgiftslagen innebär stora förändringar i Datainspektionens verksamhet. Licenssystemet har avskaffats och tillståndskraven i datalagen försvinner helt i oktober 2001 i och med att övergångsperioden upphör och personuppgiftslagen kommer att gälla fullt ut.

Behandling av personuppgifter skall anmälas till Datainspektionen, där anmälningar förs in i ett offentligt register. Omfattande undantag från anmälningsskyldigheten finns dock föreskrivna i lagen, personuppgiftsförordningen och föreskrifter från Datainspektionen. Vissa särskilt integritetskänsliga behandlingar skall alltid anmälas till Datainspektionen för förhandskontroll.

Datainspektionens uppgifter i anslutning till personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombuden. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.

Uppgifter i anslutning till kreditupplysningslagen och inkassolagen

Kredituppplysningslagen gäller i första hand sådan kreditupplysningsverksamhet som innebär att någon lämnar kreditupplysningar mot ersättning mer än i enstaka fall eller som ett led i näringsverksamhet.

Den kreditupplysning som omfattas av lagen får i princip bedrivas endast efter tillstånd från Datainspektionen. Tillstånd får meddelas endast om det kan antas att verksamheten kommer att bedrivas på ett sakkunnigt och omdömesgillt sätt. Inspektionen har möjlighet att förena ett tillstånd med villkor om hur verksamheten skall bedrivas.

Datainspektionen utövar tillsyn över kreditupplysningsverksamhet som omfattas av lagen. Detta kan ske genom inspektioner eller på annat sätt. Om den som har inspektionens tillstånd att bedriva kreditupplysningsverksamhet åsidosätter någon bestämmelse i kreditupplysningslagen eller villkor i meddelat tillstånd, får inspektionen förelägga honom att vidta rättelse, ändra tidigare meddelade villkor eller meddela nya villkor. Kan rättelse inte åstadkommas på annat sätt får Datainspektionen återkalla tillståndet.

Inkassoverksamhet, som avser indrivning av fordringar för annans räkning eller fordringar som har övertagits för indrivning, får i princip bedrivas endast efter tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt.

Datainspektionen utövar tillsyn över efterlevnaden av inkassolagen. Om inspektionens tillsyn föranleder det får inspektionen meddela föreskrifter om hur verksamheten skall bedrivas. Sådana föreskrifter får förenas med vite. Kan rättelse inte åstadkommas får inspektionen återkalla tillståndet.

Uppgifter enligt Europol-, Schengen- och CIS-konventionerna

Enligt artikel 23 i Europolkonventionen är varje medlemsstat skyldig att utse en nationell tillsynsmyndighet som skall ha till uppgift att bl. a. kontrollera att såväl registreringen och rådfrågningarna som översändandet av personuppgifterna från medlemsstaten till Europol sker lagligt och att individens rättigheter inte kränks. Datainspektionen har utsetts till sådan myndighet i Sverige. Företrädare för de nationella tillsynsmyndigheterna ingår också i en gemensam tillsynsmyndighet.

Även enligt Schengenkonventionen är Sverige skyldigt att utse en tillsynsmyndighet med uppgift att, med beaktande av den nationella lagen, utöva självständig tillsyn över det nationella registret i Schengens informationssystem. Datainspektionen har utsetts till tillsynsmyndighet enligt artikel 114 i konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet med säte i Bryssel som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem.

Inom tullsamarbetet föreskriver CIS-konventionens artikel 17 att det skall utses en nationell tillsynsmyndighet. Datainspektionen förutses bli sådan myndighet. Företrädare för de nationella tillsynsmyndigheterna skall enligt konventionen ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats. Vad beträffar den del av CIS som omfattas av EG-förordningen 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen har Datainspektionen utsetts till tillsynsmyndighet (förordningen 1998:64 om tillämpning av Europeiska unionens tullinformationssystem).

Behov av en översyn

Den snabba utvecklingen inom informationsteknikens område och den nya personuppgiftslagen innebär att förutsättningarna för Datainspektionens verksamhet förändras. Regeringen har mot den bakgrunden i budgetpropositionen för 2000 anmält sin avsikt att tillkalla en utredare med uppgift att analysera dessa utvecklingstendenser och överväga den framtida inriktningen och finansieringen av Datainspektionens verksamhet (prop. 1999/2000:1, utgiftsområde 1, s. 35).

Genom att informationstekniken idag används allmänt inom alla delar av samhället finns nu betydligt större kunskaper och erfarenheter om hur den påverkar enskilda människors situation. Informationstekniken ses numera som ett naturligt inslag i arbetslivet, skolan och de enskilda hushållen. Den tekniska utvecklingen innebär samtidigt nya integritetsrisker och aktualiserar nya dimensioner på integritetsfrågorna. Internetutvecklingen ger i många avseenden ändrade förutsättningar för arbetet med att värna enskildas integritet. Den pågående konvergensen av IT-, tele- och medieområdena är en annan utveckling som påverkar möjligheterna till reglering och tillsyn över integritetsfrågor.

I och med att övergångsperioden upphör den 1 oktober 2001 och datalagen helt ersätts av personuppgiftslagen får Datainspektionen en väsentligt annorlunda roll. Personuppgiftslagen bygger på att ansvaret för behandlingen av personuppgifter i första hand skall ligga hos den för vars verksamhet behandlingen sker. Personuppgiftsombuden har en viktig roll och ett fullt utbyggt system med personuppgiftsombud skulle medföra en väsentlig decentralisering av ansvaret för integritetsskyddet.

Det finns därför skäl att överväga vilka konsekvenser den nya lagstiftningen bör få för inriktningen och omfattningen av Datainspektionens verksamhet.

Mot bakgrund av den utveckling som skett av IT-användningen och den förändrade lagstiftningen finns det anledning att se över i vilka former och med vilken inriktning den framtida tillsynen bör bedrivas. Tillsyn enligt personuppgifts-, data-, kreditupplysnings- och inkassolagen kan föranledas av klagomål från enskilda, uppgifter i massmedierna eller ske på Datainspektionens eget initiativ. Tillsyn bedrivs genom fältinspektioner, enkäter eller annan kontroll per telefon och brev. Temainspektioner som omfattar granskning av en bransch eller sektor genomförs dels i form av fältinspektioner, dels i form av enkätinspektioner. Erfarenheterna av den hittillsvarande tillsynsverksamheten bör utvärderas. Mot bakgrund av en sådan utvärdering och de nya förutsättningar som behandlats ovan bör det övervägas i vilka former en effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen. Omfattningen av den egeninitierade tillsynen bör därvid särskilt prövas.

Nya tillsynsuppgifter har successivt tillförts Datainspektionen inom ramen för polis- och tullsamarbetet. Utredaren bör pröva vilken roll Datainspektionen i fortsättningen bör ha när det gäller denna form av tillsyn och hur den bör finansieras.

I samband med de förändringar som sker i Datainspektionens roll kan det också finnas skäl att överväga om inspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan överföras till någon annan myndighet.

En annan fråga som det finns anledning att analysera är den utveckling som pågår mot olika former av självreglering för att skydda den personliga integriteten framförallt i anslutning till den kraftigt ökande användningen av Internet. En sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd. En form av självreglering kan vara branschöverenskommelser som redan idag i viss utsträckning utarbetas i samverkan med Datainspektionen. Det finns emellertid skäl att överväga möjligheterna för inspektionen att mera aktivt stimulera utvecklingen även av andra former av självreglering.

Datainspektionen skall enligt sin instruktion följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Som tidigare understrukits innebär den snabba tekniska utvecklingen nya integritetsrisker och i många avseenden ändrade förutsättningar för arbetet med att värna enskildas personliga integritet. Det finns därför skäl att överväga möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil.

Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licensavgifter som tillämpades i anslutning till datalagen. I och med att licenssystemet upphört finns inte längre denna finansieringskälla. Formerna för den fortsatta finansieringen måste därför lösas. Möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter bör analyseras.

Uppdraget

Den särskilde utredaren skall
- analysera vilka krav som den nya personuppgiftslagen (1998:204) ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer,
- utvärdera hittillsvarande erfarenheter av tillsynsverksamheten och överväga i vilka former en effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen och dess system med personuppgiftsombud,
- analysera vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för polis- och tullsamarbetet; om utredaren finner att sådan tillsyn även fortsättningsvis bör vara en uppgift för Datainspektionen skall möjligheterna till en avgiftsfinansiering prövas,
- analysera om Datainspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet; utredaren bör i så fall föreslå vilken myndighet som bör ta över uppgifterna,
- analysera möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering,
- analysera möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil,
- analysera formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.

Utredaren kan även behandla andra frågor som anknyter till uppdraget om så bedöms angeläget. Utredaren skall mot bakgrund av sina analyser göra en samlad bedömning av behoven av förändringar i verksamhetsinriktningen och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten. En utgångspunkt bör vara att säkerställa de tillsynsfunktioner som Sverige genom dataskyddsdirektivet och olika konventioner är skyldigt att upprätthålla.

Utredaren bör i sitt arbete informera sig om hur andra medlemsstater organiserat sina tillsynsfunktioner i anslutning till dataskyddsdirektivet och de ovannämnda konventionerna. Utredaren bör även informera sig om annat pågående utredningsarbete som kan vara av betydelse för uppdragets genomförande. Kontakter bör också tas med myndigheter som på olika sätt berörs av de frågeställningar som uppdraget omfattar.

Om förslagen påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda skall en beräkning av dessa konsekvenser redovisas.Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall dessa också redovisas. Om förslagen har betydelse för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags skall konsekvenserna i det avseendet anges.

Redovisning av uppdraget

Utredaren skall redovisa sina förslag till regeringen senast den 15 januari 2002.
                        (Justitiedepartementet)