Till statsrådet och chefen för

Justitiedepartementet

Regeringen beslutade den 19 oktober 2000 att tillkalla en särskild utredare för att granska regleringen och användningen av personregister och annan behandling av personuppgifter i verksamhet vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt hyres- och arrendenämnderna. Utredaren skall även föreslå författningsändringar som behövs för den framtida behandlingen av personuppgifter i dessa verksamheter. I ett delbetänkande skall utredaren redovisa förslag när det gäller Regeringsrättens och kammarrätternas målregister samt övrig behandling av personuppgifter som påverkas av att datalagen helt upphör att gälla den 30 september 2001.

Den 23 oktober 2000 förordnade chefen för Justitiedepartementet, statsrådet Thomas Bodström, kammarrättslagmannen Sten Wahlqvist att fr.o.m. den 1 november samma år vara särskild utredare.

Som experter har fr.o.m. den 1 november 2000 medverkat datarådet Annika Bokefors, rådmannen Charlotte Brokelind, lagmannen Magnus Ekman, sektionschefen Lena Grunditz, överdirektören Claes Gränström, hovrättsassessorn Katrin Hollunger Wågnert, verksjuristen Aimée Jillger, avdelningsdirektören Ulf Jansson, hovrättsrådet Björn Karlsson, kammaråklagaren Per-Olof Persson, hyresrådet Lennart Wallström och advokaten Torgny Wetterberg.

Sekreterare åt utredningen har varit kammarrättsassessorn Peder Liljeqvist.

Utredningen har antagit namnet Domstolsdatautredningen (Ju 2000:08).

Härmed överlämnar utredningen sitt delbetänkande Domstolarnas register och personuppgiftslagen – En rättslig anpassning (SOU 2001:32).

Arbetet har bedrivits i nära samråd med berörda experter. Betänkandet är därför skrivet i vi-form.

Utredningen fortsätter med sitt arbete.

Jönköping i mars 2001

Sten Wahlqvist

/Peder Liljeqvist

SOU 2001:32 Innehåll 5
   

Innehåll

Sammanfattning ........................................................................................ 9
Författningsförslag.................................................................................. 15
1 Förslag till förordning om registerföring m.m. vid  
  allmänna domstolar med hjälp av automatiserad  
  behandling......................................................................... 15
2 Förslag till förordning om registerföring m.m. vid  
  länsrätt med hjälp av automatiserad behandling............... 23

3Förslag till förordning om registerföring m.m. vid Regeringsrätten och kammarrätterna med hjälp av

    automatiserad behandling ................................................. 29
  4 Förslag till förordning om registerföring m.m. vid  
    hyres- och arrendenämnder med hjälp av automat-  
    iserad behandling .............................................................. 37
  5 Förslag till förordning om ändring i förordningen  
    (1996:271) om mål och ärenden i allmän domstol ........... 43
  6 Förslag till förordning om ändring i förordningen  
    (1996:380) med kammarrättsinstruktion .......................... 45
BAKGRUNDEN TILL VÅRA FÖRSLAG  
1 Uppdraget .......................................................................................   49
  1.1 Utredningens direktiv ....................................................... 49
  1.2 Utredningsarbetet.............................................................. 50
2 Rättslig reglering av behandling av personuppgifter ................. 51
  2.1 Datalagen .......................................................................... 51
    2.1.1 Allmänt om lagen och dess tillämpnings-  
      område .............................................................. 51
    2.1.2 Tillstånd m.m.................................................... 52
    2.1.3 Den registeransvariges skyldigheter................. 53
6 Innehåll     SOU 2001:32
       
  2.2 Internationella konventioner m.m..................................... 54
    2.2.1 Dataskyddskonventionen.................................. 54
    2.2.2 Riktlinjer från OECD ....................................... 54
  2.3 Dataskyddsdirektivet ........................................................ 54
    2.3.1 Tillämpningsområde......................................... 55
    2.3.2 Bestämmelser om när personuppgifter får  
      behandlas .......................................................... 55
    2.3.3 Information och rättelse m.m. .......................... 56
    2.3.4 Anmälan till tillsynsmyndighet ........................ 57
    2.3.5 Överföring av personuppgifter till tredje land . 57
    2.3.6 Medlemsländernas nationella lagstiftning........ 58
  2.4 Personuppgiftslagen.......................................................... 58
    2.4.1 Allmänt om lagen och dess tillämpnings-  
      område .............................................................. 58
    2.4.2 Definitioner ...................................................... 59
    2.4.3 Förutsättningar för behandling av person-  
      uppgifter ........................................................... 60
    2.4.4 Information och rättelse m.m. .......................... 63
    2.4.5 Säkerhet vid behandlingen ............................... 65
    2.4.6 Överföring av personuppgifter till tredje  
      land ................................................................... 65
    2.4.7 Datainspektionens befogenheter som tillsyns-  
      myndighet......................................................... 66
    2.4.8 Anmälan till Datainspektionen m.m................. 67
    2.4.9 Sanktioner......................................................... 68
    2.4.10 Ikraftträdande- och övergångsbestämmelser.... 69
3 Personregister m.m. hos domstolarna och nämnderna .............. 71

3.1Gällande registerförordningar för allmänna domstolar

  och länsrätter..................................................................... 71
  3.1.1 Tillämpningsområde och ändamål ................... 72
  3.1.2 Innehåll och sökbegränsningar......................... 72
  3.1.3 Bevarande och gallring..................................... 73
  3.1.4 Register för återsökning av vägledande  
    avgöranden m.m. .............................................. 73
3.2 Verksamhetsstödjande register ......................................... 74
  3.2.1 MÅHS .............................................................. 74
  3.2.2 Find-It............................................................... 74
  3.2.3 Övriga målregister............................................ 75
  3.2.4 Rättsfallsregister............................................... 77
  3.2.5 Det nya planerade verksamhetsstödet .............. 77
SOU 2001:32       Innehåll 7
       
  3.3 Administrativa register ..................................................... 78
    3.3.1 Register över anställda ..................................... 78
    3.3.2 Register över utomstående ............................... 80
    3.3.3 Övriga register.................................................. 81
  3.4 Behandling av personuppgifter i löpande text .................. 82
VÅRA ÖVERVÄGANDEN  
4 Övergripande om nödvändiga förändringar ............................... 85
  4.1 Behovet av IT-stöd i domstolar och nämnder................... 85
  4.2 Effekter av datalagens upphörande................................... 86
    4.2.1 Författningsregister .......................................... 87
    4.2.2 Tillståndsregister .............................................. 89
    4.2.3 Oreglerade register ........................................... 89
    4.2.4 Behandling av personuppgifter i löpande text.. 90
  4.3 Skyddet för personlig integritet ........................................ 91
  4.4 Personuppgiftslagen eller specialreglering ....................... 92
    4.4.1 Verksamhetsstödjande datorsystem m.m. ........ 93
    4.4.2 Administrativt datorstöd................................... 94
5 Närmare om skälen för författningsförslagen............................. 99
  5.1 Förordningarnas disposition ............................................. 99
  5.2 Förordningarnas tillämpningsområde och förhållande  
    till personuppgiftslagen .................................................. 101
    5.2.1 Personuppgiftslagens tillämpning .................. 101
    5.2.2 Automatiserad behandling.............................. 101
    5.2.3 Den rättsskipande och rättsvårdande verk-  
      samheten......................................................... 103
    5.2.4 Registrerades rätt att motsätta sig behandling 103
  5.3 Personuppgiftsansvar ...................................................... 103
  5.4 Verksamhetsregister........................................................ 106
    5.4.1 Ändamål ......................................................... 106
    5.4.2 Direktåtkomst ................................................. 108
    5.4.3 Innehåll........................................................... 109
    5.4.4 Sökbegränsningar ........................................... 110
    5.4.5 Bevarande och gallring................................... 111
  5.5 Rättsfallsregister ............................................................. 112
  5.6 Behandling av personuppgifter i löpande text ................ 113
    5.6.1 Tillämpningsområdet...................................... 113
    5.6.2 Bevarande och gallring................................... 115
8 Innehåll       SOU 2001:32
       
  5.7 Enskildas rättigheter ....................................................... 116
    5.7.1 Rättelse ........................................................... 116
    5.7.2 Skadestånd...................................................... 116
    5.7.3 Information..................................................... 116
    5.7.4 Överklagande.................................................. 117
6 Tillämpning av personuppgiftslagen i vissa fall ........................ 121

6.1Grundläggande krav på behandling av personuppgifter . 122

  6.2 Behandling av känsliga personuppgifter m.m. ............... 123
  6.3 Information till den registrerade ..................................... 124
  6.4 Rättelse ........................................................................... 127
  6.5 Anmälan till tillsynsmyndigheten................................... 127
  6.6 Överföring av personuppgifter till tredje land ................ 129
7 Ikraftträdande- och övergångsbestämmelser............................ 133
8 Ekonomiska konsekvenser av våra förslag................................ 135
BILAGOR    
  Bilaga 1 Kommittédirektiv 2000:74.............................................. 139
  Bilaga 2 Enkät till domstolar och nämnder................................... 145
SOU 2001:32 Sammanfattning 9
   

Sammanfattning

Några allmänna utgångspunkter för uppdraget

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Samtidigt upphörde datalagen (1973:289) att gälla, med undantag för vid den tidpunkten pågående behandlingar av personuppgifter, för vilka lagen gäller till och med den 30 september 2001. Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet.

Vi har i uppdrag att, med utgångspunkt från personuppgiftslagen och dataskyddsdirektivet, granska regleringen och användningen av personregister eller annan behandling av personuppgifter i verksamhet vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt hyres- och arrendenämnderna. I vårt uppdrag ingår också att föreslå författningsändringar som behövs för den framtida behandlingen av personuppgifter i dessa verksamheter.

Som ett deluppdrag har vi haft att redovisa våra förslag när det gäller Regeringsrättens och kammarrätternas målregister samt övrig behandling av personuppgifter som påverkas av att datalagen helt upphör att gälla den 30 september 2001. Denna del av uppdraget har genomförts under viss tidspress och våra förslag begränsar sig därför till sådana rättsliga åtgärder som är nödvändiga att genomföra före nämnda datum.

Nödvändiga förändringar

Personuppgiftslagens övergångsbestämmelser har inneburit en respit för lagstiftaren i fråga om anpassningen av dagens registerreglering till personuppgiftslagen och dataskyddsdirektivet. I och med att denna respit upphör den 30 september 2001 uppstår problem inom olika områden om inte lagstiftningen anpassas. Det gäller all behandling av personuppgifter i personregister vid domstolar och nämnder, oavsett om den sker med stöd av författning eller tillstånd från Datainspektionen

10 Sammanfattning SOU 2001:32
   

eller om behandlingen är oreglerad. Problem uppstår även med behandling av personuppgifter i löpande text, som omfattas av personuppgiftslagens men inte datalagens bestämmelser. Såväl den interna administrationen som den egentliga rättsskipande och rättsvårdande verksamheten berörs vid domstolarna och nämnderna.

En viktig fråga vad gäller domstolarnas och nämndernas behandling av personuppgifter är om det behövs specialreglering eller om det är tillräckligt att personuppgiftslagen är direkt tillämplig på behandlingen. En rimlig utgångspunkt för att lagstiftningen inte skall tyngas med onödig reglering är enligt vår mening att specialreglering bör tillämpas bara om det finns beaktansvärda skäl för det. De situationer då särskild reglering krävs anser vi vara när en nödvändig behandling inte kan genomföras enligt personuppgiftslagen, när personuppgiftslagen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha särskilt tydliga bestämmelser, när det av integritetsskäl finns anledning att begränsa möjligheterna till behandling av uppgifter samt när det finns anledning att vara särskilt tydlig och informativ gentemot allmänheten.

Vid bedömningen av om olika former av behandling av personuppgifter bör regleras i särskild författning eller inte, har vi funnit att en avgörande skiljelinje går mellan den rättsskipande och rättsvårdande verksamheten å ena sidan och den interna administrationen å andra sidan.

Administrativ verksamhet

Domstolar och nämnder använder sig ofta av interna administrativa personregister som inte är särskilt känsliga från integritetssynpunkt. För sådana register bör enligt vår uppfattning specialreglering endast förekomma om det är nödvändigt för att viktiga behandlingar skall kunna utföras.

De grundläggande bestämmelserna om när behandling av personuppgifter över huvud taget är tillåten finns i 10 § personuppgiftslagen. Där anges att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig av vissa angivna skäl. Exempel på sådana skäl är om behandling är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, för att den personuppgiftsansvarige skall kunna utföra en arbetsuppgift i samband med myndighetsutövning eller för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige, som väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten, skall kunna tillgodoses.

SOU 2001:32 Sammanfattning 11
   

För vissa uppgifter av känslig karaktär är det inte tillräckligt att de krav som uppställs i 10 § personuppgiftslagen är uppfyllda för att automatiserad behandling skall vara tillåten utan samtycke från den registrerade. Ytterligare krav ställs främst när det gäller behandling av känsliga personuppgifter enligt 13 §, bl.a. uppgifter om etniskt ursprung, politiska åsikter och hälsotillstånd. För att sådana uppgifter skall få behandlas utan samtycke i administrativ verksamhet krävs att behandlingen är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten.

Enligt vår bedömning är det möjligt för domstolarna och nämnderna att med stöd av de ovan redovisade bestämmelserna i personuppgiftslagen fortsätta föra samtliga i dag förekommande administrativa personregister över såväl anställda som utomstående. Någon kompletterande författningsreglering behövs således inte för att registren skall kunna fortsätta föras efter den 30 september 2001.

Vissa register kan emellertid innehålla känsliga personuppgifter som enligt personuppgiftslagens bestämmelser inte får behandlas utan samtycke från den registrerade. Det gäller främst uppgifter i nämndemannaregister om nominerande parti och, i vissa fall, uppgifter i tolkregister som avslöjar etniskt ursprung. För att sådana uppgifter skall få förekomma är det nödvändigt för domstolarna och nämnderna att inhämta samtycke från de registrerade nämndemännen och tolkarna.

Även när det gäller uppgifter som behandlas automatiserat i löpande text i den administrativa verksamheten, anser vi att det inte behövs någon reglering utöver personuppgiftslagen. Något behov av att i denna form behandla känsliga personuppgifter i vidare utsträckning än vad som är praktiskt möjligt genom inhämtande av samtycke från de registrerade anser vi inte föreligger.

Rättsskipande och rättsvårdande verksamhet

Domstolarnas och nämndernas egentliga verksamhet utgörs av deras rättsskipande och rättsvårdande arbetsuppgifter. I denna verksamhet behandlas personuppgifter automatiserat såväl vid registrering i större datorsystem som vid framställning av dokument med hjälp av ordbehandlingsprogram.

När det gäller verksamhetsstöd i form av större målregister eller datorsystem anser vi av flera skäl att behandlingen av personuppgifter bör specialregleras. Viss nödvändig behandling kommer nämligen inte att vara tillåten endast med stöd av personuppgiftslagen. Även när personuppgiftslagen reglerar ett visst förhållande finns det i vissa fall anledning att avvika från eller precisera den regleringen. För omfattande

12 Sammanfattning SOU 2001:32
   

personuppgiftssamlingar krävs dessutom att det finns tydliga bestämmelser, såväl för domstolarnas och nämndernas tillämpning som för att allmänheten skall få kännedom om vilken behandling som pågår. För de större datorsystemen finns det också anledning att av integritetsskäl begränsa möjligheterna till behandling av uppgifter i förhållande till vad som skulle kunna vara möjligt enligt personuppgiftslagen.

Även för behandling av personuppgifter i löpande text är det enligt vår uppfattning nödvändigt med särskild reglering för den rättsskipande och rättsvårdande verksamheten. I annat fall skulle mycket av den nödvändiga behandling som utförs vid framställningen av domar och beslut m.m. omöjliggöras.

Vi föreslår därför att behandling av personuppgifter i den rättsskipande och rättsvårdande verksamheten skall författningsregleras.

En viktig fråga är om författningsregleringen bör ske genom lag, förordning eller myndighetsföreskrifter. I domstolarnas datorsystem behandlas mängder av uppgifter om enskilda personer. Uppgifterna är i många fall känsliga. Konstitutionsutskottet har vid flera tillfällen påpekat att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag, något som också regeringen har instämt i. Enligt vår bestämda uppfattning är domstolarnas och nämndernas automatiserade behandling av personuppgifter i den rättsskipande och rättsvårdande verksamheten av sådan karaktär och omfattning att de grundläggande principerna för behandlingen bör regleras i lag.

Redan den 1 oktober 2001 inträffar emellertid, som nämnts ovan, avgörande förändringar i de rättsliga möjligheterna att behandla personuppgifter. För att möjligheten för domstolar och nämnder att bedriva ett effektivt arbete inte skall gå tillfälligt förlorad, är det därför av yttersta vikt att en författningsreglering som tillåter nödvändig behandling har trätt i kraft den dagen. Vi gör bedömningen att det av tidsskäl inte är möjligt att i detta skede föreslå en författningsreglering som skall underställas riksdagens prövning. I avvaktan på att mer heltäckande och genomgripande förslag till lagstiftning kan läggas fram, föreslår vi därför att domstolarnas och nämndernas behandling av personuppgifter tills vidare regleras i förordning.

Registerförordningarna

Vi föreslår att automatiserad behandling av personuppgifter i register och annan automatiserad behandling av personuppgifter tills vidare skall regleras i fyra nya och inbördes likartat uppbyggda förordningar; en för de allmänna domstolarna, en för länsrätterna, en för Regeringsrätten och kammarrätterna samt en för hyres- och arrendenämnderna. De i dag gällande förordningarna för allmänna domstolar respektive

SOU 2001:32 Sammanfattning 13
   

länsrätter skall upphävas. Förordningarna skall gälla utöver personuppgiftslagen i domstolarnas och nämndernas rättsskipande eller rättsvårdande verksamhet. Det innebär att personuppgiftslagens bestämmelser är tillämpliga i avsaknad av särskild reglering i förordningarna.

En domstol eller nämnd skall vara personuppgiftsansvarig för den behandling som domstolen eller nämnden utför och Domstolsverket för behandling som verket utför. Innebörden är att den som har möjlighet att påverka en viss behandling är ansvarig för den behandlingen. En domstol eller nämnd ansvarar härigenom för att uppgifter som den registrerar är korrekta medan Domstolsverket ansvarar för att gemensamma datorsystem är konstruerade så att uppgifter kan behandlas i enlighet med gällande rätt.

Domstolar och nämnder skall få föra automatiserade register över mål eller ärenden, t.ex. verksamhetsstödjande datorsystem. Ett sådant verksamhetsregister skall tills vidare få innehålla en viss uppgift endast om det i bilagor till förordningarna anges att så får ske. Av integritetsskäl finns vissa begränsningar i möjligheterna att söka i ett register. Förordningarna innehåller också regler om bevarande och gallring av uppgifter.

Nuvarande bestämmelser om särskilda register vid allmänna domstolar och länsrätter för återsökning av vägledande avgöranden m.m. skall tills vidare fortsätta att gälla. Samma möjligheter att föra rättsfallsregister föreslår vi skall införas för Regeringsrätten och kammarrätterna samt för hyres- och arrendenämnderna.

Vid sidan av den behandling som sker i verksamhets- eller rättsfallsregister skall naturligtvis en domstol eller nämnd få behandla personuppgifter i löpande text, dvs. med hjälp av ord- och textbehandling. Känsliga personuppgifter enligt personuppgiftslagen skall dock få behandlas på sådant sätt endast om de har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Uppgifter i löpande text skall enligt huvudregeln gallras senast ett år efter att ett mål eller ärende har avgjorts. Elektroniskt upprättade dokument skall dock få bevaras under längre tid om de avidentifieras så att personer endast kan identifieras genom mål- eller ärendenumret. Detta möjliggör för domstolar och nämnder att bevara avgöranden i fulltext.

Personuppgiftslagens bestämmelser om rättelse, skadestånd och information skall tillämpas på behandling som utförs med stöd av förordningarna. Beslut av den personuppgiftsansvarige om rättelse eller om information till den registrerade efter ansökan skall kunna överklagas.

SOU 2001:32 Författningsförslag 15
   

Författningsförslag

1Förslag till förordning om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § Denna förordning gäller utöver personuppgiftslagen (1998:204) vid automatiserad behandling av personuppgifter i Högsta domstolens, hovrätternas och tingsrätternas rättsskipande eller rättsvårdande verksamhet.

En domstol är personuppgiftsansvarig för den behandling av personuppgifter som domstolen utför och Domstolsverket för den behandling som verket utför.

En registrerad har inte rätt att motsätta sig behandling som är tillåten enligt denna förordning.

Verksamhetsregister

2 § En domstol får föra automatiserade register över mål och ärenden som handläggs vid domstolen. Ett register får användas för

1.handläggning av mål och ärenden,

2.fullgörande av underrättelseskyldighet som följer av lag eller annan författning,

3.planering, uppföljning och utvärdering av verksamheten, och

4.framställning av statistik.

3 § Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett mål eller ärende (ärendemening) får

16 Författningsförslag SOU 2001:32
   

känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på ett ändamålsenligt sätt.

4 § Som sökbegrepp får inte användas uppgifter om saken, sakkod, typkod, måltyp, författning, frihetsberövande eller annat tvångsmedel, yrke, titel, adress, nationalitet eller telefonnummer. Uppgift om sakkod, typkod och måltyp får dock användas som sökbegrepp för att framställa statistik, om enskilda personer inte avslöjas.

5 § Uppgifter skall gallras ur ett register

-i tvistemål och ärenden senast sex år efter avgörandeåret

-i brottmål senast två år efter avgörandeåret.

Sådana uppgifter som avses i punkt C 9 i bilaga 1 till denna förordning skall gallras inom fjorton dagar från dagen för underrättelsen.

Innan uppgifter gallras skall domstolen se till att de bevaras i skrift i den omfattning som Domstolsverket föreskriver.

Rättsfallsregister

6 § En domstol får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett register får innehålla endast de uppgifter som anges i bilaga 2 till denna förordning.

Annan automatiserad behandling av personuppgifter

7 § En domstol får behandla personuppgifter automatiserat i löpande text vid sidan av de register som avses i 2 och 6 §§.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet.

8 § Personuppgifter som med stöd av 7 § behandlas automatiserat i ett mål eller ärende skall gallras senast ett år efter det att målet eller ärendet har avslutats.

Personuppgifter som kan hänföras till enskilda endast med hjälp av ett mål- eller ärendenummer får bevaras under längre tid än som anges i första stycket.

Riksarkivet får meddela föreskrifter om att uppgifter skall gallras vid

SOU 2001:32 Författningsförslag 17
   

en senare tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

Rättelse och skadestånd

9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna förordning.

Överklagande

10 § Beslut av en hovrätt eller tingsrätt om rättelse och om information som skall lämnas efter ansökan får överklagas hos kammarrätt. Be- slut av Högsta domstolen får inte överklagas.

______________

1.Denna förordning träder i kraft den 1 oktober 2001, då förordningen (1986:104) om registerföring vid allmänna domstolar med hjälp av automatisk databehandling skall upphöra att gälla.

2.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att förordningen har trätt i kraft beträffande den aktuella behandlingen.

Bilaga 1

Uppgifter i ett verksamhetsregister

A MÅL OCH ÄRENDEN

1.mål- och ärendenummer

2.målkategori och målprefix

3.målgrupp och måltyp

4.sakkod och typkod

5.ansökningsavgift

6.saken (ärendemening)

7.inkommandedatum

8.registreringsdatum och registreringskod

9.målsamband

10.författning

11.förtur

12.prövningstillstånd

13.frihetsberövad

18 Författningsförslag SOU 2001:32
   

14.anslutningsöverklagande

15.om ungdomsmål:

-underårig

-minderårig

16.om underinstansens avgörande:

-underinstans

-mål- och ärendenummer, prefix

-avgörandedatum

-avgörandetyp

-rättens sammansättning

-förhandlingstid

-förhörstid

17.om fastighet m.m.:

-geografisk enhet

-fastighetsbeteckning

-gatuadress

-ort

-SNI-kod

-geografiska x- och y-koordinater

18.fristdag i konkurs

19.uppskattad förhandlingstid

20.avgörandedatum

B AKTÖRER

1.om åklagare eller annan offentlig part:

-partställning

-namn, tjänstetitel och myndighet

-myndighets- eller organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-diarienummer och diariebeteckning

2.om enskild part, sakägare eller intervenient:

-partställning

-namn eller firma,

-yrke eller titel

-person-, samordnings- eller organisationsnummer

-nationalitet

-underårig (endast tilltalad i brottmål)

-ungdom

-grupper av parter

-koppling till andra aktörer

-besöksadress och postadress

SOU 2001:32 Författningsförslag 19
   

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-rättshjälp

-förenklad delgivning

-frihetsberövande eller annat tvångsmedel i den mån uppgiften har betydelse för domstolens hantering av målet eller ärendet

-nytt förhör eller omförhör

-uppskattad förhörstid

-förhörs- och bevistema

-information om ed

-behov av tolk och på vilket språk

3.om ställföreträdare:

-egenskap (vårdnadshavare, konkursförvaltare e. d.)

-namn eller firma

-yrke eller titel

-person-, samordnings- eller organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

4.om biträde, ombud, offentlig försvarare, rådgivare, förlikningsman, tillsynsman:

-egenskap (ombud, biträde e. d.)

-fullmakt

-namn

-yrke eller titel

-koppling till annan aktör

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-F-skatt

5.om vittne, sakkunnig, målsägande som ej för talan, medtilltalad, annan som avses i 36 kap. 1 § rättegångsbalken, konkursgäldenärens make samt annan som målet rör:

-egenskap

-namn

-yrke eller titel

-person-, samordnings-, myndighets- eller organisationsnummer

-koppling till annan aktör

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-förskottsbetalning

20 Författningsförslag SOU 2001:32
   

-nytt förhör eller omförhör

-uppskattad förhörstid

-förhörs- och bevistema

-information om ed

-behov av tolk och på vilket språk

6.om tolk:

-språk och arvodesnivå

-namn och firma

-person-, samordnings- eller organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-generell tolked avlagd vid domstolen

-förskottsbetalning

-F-skatt

7.om tillsynsmyndighet eller annan som skall höras:

-egenskap

-namn, tjänstetitel, myndighet

-myndighets- eller organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-diarienummer och diariebeteckning

C HÄNDELSER

1.om inkomna och hos domstolen upprättade handlingar:

-datum då handlingen kom in eller upprättades

-aktbilage- och löpnummer

-från vem en handling kommit

-i korthet vad handlingen rör och om dess innehåll

2.om delgivning:

-adressat

-handling

-delgivningssätt

-delgivningsnummer

-delgivningsdatum

-övriga åtgärder

3.om förhandling, sammanträde, möte e.d.:

-deltagare

-tidpunkt och plats

-typ av förhandling e.d.

-antal förhandlingar e.d.

-beräknad och verklig förhandlingstid e.d.

-förhandling e.d. inställt och skälen för detta

SOU 2001:32 Författningsförslag 21
   

-händelsetext

4.om handläggningsbeslut, anteckningar:

-art och typ av beslut eller anteckning

-beslutsfattare och handläggare

-datum

-nummer

-innebörd och utgång

-i korthet om innehåll

5.om avgöranden, ersättningsbeslut:

-art och typ av avgörande eller beslut

-domstol samt ställe för meddelande

-datum

-nummer

-kod

-innebörd och utgång

-i korthet om innehåll

-anmälan om missnöje

-nöjdförklaring

-laga kraft

-rättens sammansättning

-ordförande

6.rättshjälpskostnader

7.om expedition:

-dag för expedition

-mottagarens namn och adress

-handling

-yttrandefrist

-utbetalt belopp

8.om överklagande:

-datum

-person som överklagat

-vad som överklagats

-resultat av överklagande

9.brottspåföljd eller andra uppgifter som behövs för fullgörande av underrättelseskyldighet

10.samband med andra händelser i det aktuella målet

11.hänvisning till andra löpnummer

12.datum för händelseregistrering

13.målstatus

14.gallringsbar eller ej

22 Författningsförslag SOU 2001:32
   

D PLANERING

1.målsättning för avgörande

2.handläggnings- och målstatus

3.om bevakning:

-bevakningsdatum och klockslag

-bevakningstext

-bevakare

-händelsens löpnummer

-händelsetyp

4.författning

5.målets art (ensamdomare, förenklad delgivning, prövningstillstånd e.d.)

6.sekretessmarkering

E ORGANISATION

1.enhet (avdelning, rotel, process)

2.namn på domare och andra handläggare vid domstolen

3.jäv

F ÖVRIGA UPPGIFTER

1.tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registret

Bilaga 2

Uppgifter i ett rättsfallsregister

1.beteckning på handling

2.målnummer

3.avgörandedatum

4.avgörandenummer

5.sökord

6.författningshänvisning

7.problembeskrivning (sammanfattning)

8.hänvisning till rättsutredning

9.fullföljd

10.sökkod

SOU 2001:32 Författningsförslag 23
   

2Förslag till förordning om registerföring m.m. vid länsrätt med hjälp av automatiserad behandling

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § Denna förordning gäller utöver personuppgiftslagen (1998:204) vid automatiserad behandling av personuppgifter i länsrätternas rättsskipande eller rättsvårdande verksamhet.

En länsrätt är personuppgiftsansvarig för den behandling av personuppgifter som länsrätten utför och Domstolsverket för den behandling som verket utför.

En registrerad har inte rätt att motsätta sig behandling som är tillåten enligt denna förordning.

Verksamhetsregister

2 § En länsrätt får föra automatiserade register över mål som handläggs vid länsrätten. Ett register får användas för

1.handläggning av mål,

2.planering, uppföljning och utvärdering av verksamheten, och

3.framställning av statistik.

3 § Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett mål (ärendemening) får känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på ett ändamålsenligt sätt.

4 § Som sökbegrepp får inte användas uppgift om saken, sakkod, typkod, måltyp, författning, utfärdandeland för körkort, yrke, titel, adress, nationalitet eller telefonnummer. Uppgift om sakkod, typkod och måltyp får dock användas som sökbegrepp för att framställa statistik, om enskilda personer inte kan identifieras.

24 Författningsförslag SOU 2001:32
   

5 § Uppgifter skall gallras ur ett register

-i mål enligt skatte-, taxerings-, uppbörds-, folkbokförings- och bilregisterförfattningarna samt lagen (1989:479) om ersättning för kostnader i ärenden och mål om skatt, m.m. senast sex år efter avgörandeåret, och

-i övriga mål senast två år efter avgörandeåret.

Innan uppgifterna gallras skall länsrätten se till att de bevaras på annat sätt i den omfattning som skulle följa av förordningen (1979:575) om protokollföring m.m. vid de allmänna förvaltningsdomstolarna, om länsrätten inte hade använt sig av automatiserad behandling.

Rättsfallsregister

6 § En länsrätt får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett register får innehålla endast de uppgifter som anges i bilaga 2 till denna förordning.

Annan automatiserad behandling av personuppgifter

7 § En länsrätt får behandla personuppgifter automatiserat i löpande text vid sidan av de register som avses i 2 och 6 §§.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

8 § Uppgifter som med stöd av 7 § behandlas automatiserat i ett mål skall gallras senast ett år efter det att målet har avslutats.

Personuppgifter som kan hänföras till enskilda endast med hjälp av ett målnummer får bevaras under längre tid än som anges i första stycket.

Riksarkivet får meddela föreskrifter om att uppgifter skall gallras vid en senare tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

Rättelse och skadestånd

9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna förordning.

SOU 2001:32 Författningsförslag 25
   

Överklagande

10 § En länsrätts beslut om rättelse och om information som skall lämnas efter ansökan får överklagas hos kammarrätt.

______________

1.Denna förordning träder i kraft den 1 oktober 2001, då förordningen (1994:90) om registerföring vid länsrätt med hjälp av automatisk databehandling skall upphöra att gälla.

2.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att förordningen har trätt i kraft beträffande den aktuella behandlingen.

Bilaga 1

Uppgifter i ett verksamhetsregister

1.målnummer, målkategori och målprefix

2.avdelning, rotel och rotelchef

3.inkomstdatum

4.saken (ärendemening)

5.sakkod, typkod, målgrupp och måltyp

6.om offentlig part:

-partställning

-namn, tjänstetitel, myndighet och myndighetsnummer/organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-diarienummer och diariebeteckning

7.om enskild part:

-partställning

-namn/firma och yrke/titel

-personnummer/organisationsnummer

-nationalitet

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-rättshjälp

-förenklad delgivning

8.om ställföreträdare:

-egenskap (vårdnadshavare, konkursförvaltare e. d.)

-namn/firma och yrke/titel

26 Författningsförslag SOU 2001:32
   

-personnummer/organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

9.om biträde/ombud:

-egenskap (ombud, biträde e. d.)

-fullmakt

-namn/firma och yrke/titel

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

10.om vittne/sakkunnig samt annan som målet rör:

-egenskap

-namn och yrke/titel

-personnummer/myndighetsnummer/organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

11.om tolk:

-språk och arvodesnivå

-namn

-personnummer/myndighetsnummer/organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

12.frister och annat som bör antecknas enligt 25 § förordningen (1979:575) om protokollföring m. m. vid de allmänna

förvaltningsdomstolarna

13.om expedition:

-dag för expedition

-mottagarens namn och adress

-handling

-yttrandefrist

14.om inkommande handlingar samt hos domstolen upprättade handlingar:

-datum, då handlingen kom in eller upprättades

-aktbilagenummer

-i förekommande fall från vem handlingen har kommit

-i korthet vad handlingen rör

15.om delgivning:

-adressat

-handling

-delgivningssätt

-delgivningsnummer

-delgivningsdag

-övriga åtgärder

SOU 2001:32 Författningsförslag 27
   

16.om dom/beslut/föreläggande:

-domstolen samt ställe för meddelandet

-art och typ

-nummer

-datum

-innebörd och utgång om denna har betydelse för handläggningen

-fullföljd

-laga kraft

-rättens sammansättning

-ordförande (tjänsteställning)

17.namn på domare och andra befattningshavare vid domstolen

18.om förhandling/sammanträde/handläggning e. d.:

-tidpunkt och plats

-typ av förhandling/sammanträde

-antal förhandlingar/sammanträden

-beräknad och verklig förhandlingstid/sammanträdestid

-inställt

19.rättshjälpskostnader

20.om avgörande som överklagats till domstolen:

-avgörandetyp

-datum

-nummer

-myndighet

21.författning

22.målets art (ensamdomare e. d.)

23.uppgift om målsamband

24.taxeringsår

25.typ av taxering

26.fastighetsbeteckning

27.kommun

28.om körkort:

-körkortsklass

-körkortstillstånd

-utfärdandeland

29.förtur

30.handläggningsåtgärd/handläggningsstatus

31.om tillsynsmyndighet eller annan som skall höras:

-egenskap

-namn, tjänstetitel, myndighet och myndighetsnummer/organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

28 Författningsförslag SOU 2001:32
   

- diarienummer och diariebeteckning

32.bevakning

33.tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registret

Bilaga 2

Uppgifter i ett rättsfallsregister

1.beteckning på handling

2.målnummer

3.avgörandedatum

4.avgörandenummer

5.sökord

6.författningshänvisning

7.problembeskrivning (sammanfattning)

8.hänvisning till rättsutredning

9.fullföljd

10.sökkod

SOU 2001:32 Författningsförslag 29
   

3Förslag till förordning om registerföring m.m. vid Regeringsrätten och kammarrätterna med hjälp av automatiserad behandling

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § Denna förordning gäller utöver personuppgiftslagen (1998:204) vid automatiserad behandling av personuppgifter i Regeringsrättens och kammarrätternas rättsskipande eller rättsvårdande verksamhet.

En domstol är personuppgiftsansvarig för den behandling av personuppgifter som domstolen utför och Domstolsverket för den behandling som verket utför.

En registrerad har inte rätt att motsätta sig behandling som är tillåten enligt denna förordning.

Verksamhetsregister

2 § En domstol får föra automatiserade register över mål som handläggs vid domstolen. Ett register får användas för

1.handläggning av mål,

2.återsökning av vägledande avgöranden,

3.planering, uppföljning och utvärdering av verksamheten, och

4.framställning av statistik.

3 § Regeringsrätten och kammarrätterna får ha direktåtkomst till varandras register. Även länsrätterna och Domstolsverket får ha direktåtkomst till registren.

Riksdagens ombudsmän, Riksskatteverket, skattemyndigheter och länsstyrelser får ha direktåtkomst till registren för återsökning av vägledande avgöranden.

4 § Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett mål (ärendemening) får känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och

30 Författningsförslag SOU 2001:32
   

uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på ett ändamålsenligt sätt.

5 § Uppgifter om saken och andra liknande uppgifter om ett mål får inte användas som sökbegrepp tillsammans med uppgifter om parter eller andra aktörer i ett mål.

Myndigheter som enligt 3 § andra stycket har direktåtkomst till ett register får som sökbegrepp inte använda uppgifter om parter eller andra aktörer i ett mål.

6 § Uppgifter skall gallras ur ett register i enlighet med för domstolarna gällande gallringsföreskrifter utfärdade av Riksarkivet.

Om uppgifter gallras skall domstolen dessförinnan se till att de bevaras på annat sätt i den omfattning som skulle följa av förordningen (1979:575) om protokollföring m.m. vid de allmänna förvaltningsdomstolarna, om domstolen inte hade använt sig av automatiserad behandling.

Rättsfallsregister

7 § En domstol får föra andra automatiserade register än de som avses i 2 § för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett register får innehålla endast de uppgifter som anges i bilaga 2 till denna förordning.

Annan behandling av personuppgifter

8 § En domstol får behandla personuppgifter automatiserat i löpande text vid sidan av de register som avses i 2 och 7 §§.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett mål eller om de behövs för handläggningen av målet.

9 § Uppgifter som med stöd av 8 § behandlas automatiserat i ett mål skall gallras senast ett år efter det att målet har avslutats.

Personuppgifter som kan hänföras till enskilda endast med hjälp av ett målnummer får bevaras under längre tid än som anges i första stycket.

Riksarkivet får meddela föreskrifter om att uppgifter skall gallras vid en senare tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

SOU 2001:32 Författningsförslag 31
   
Rättelse och skadestånd  
10 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse

och skadestånd gäller vid behandling av personuppgifter enligt denna förordning.

Överklagande

11 § Regeringsrättens beslut om rättelse och om information som skall lämnas efter ansökan får inte överklagas.

I 56 § förordningen (1996:380) med kammarrättsinstruktion finns bestämmelser om att en kammarrätts beslut i frågor som avses i första stycket får överklagas hos Regeringsrätten.

______________

1.Denna förordning träder i kraft den 1 oktober 2001.

2.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att förordningen har trätt i kraft beträffande den aktuella behandlingen.

Bilaga 1

Uppgifter i ett verksamhetsregister

A MÅL

1.målnummer

2.målkategori och målprefix

3.målgrupp och måltyp

4.sakkod och typkod

5.saken (ärendemening)

6.inkommandedatum

7.registreringsdatum och registreringskod

8.målsamband

9.författning

10.taxeringsår

11.typ av taxering

12.om körkort:

-körkortsklass

-körkortstillstånd

-utfärdandeland

13.förtur

32 Författningsförslag SOU 2001:32
   

14.prövningstillstånd

15.om underinstansens avgörande:

-underinstans

-målnummer, prefix

-avgörandedatum

-avgörandetyp

-rättens sammansättning

-förhandlingstid

-förhörstid

16.om fastighet m.m.:

-geografisk enhet

-fastighetsbeteckning

-gatuadress

-ort

-SNI-kod

-geografiska x- och y-koordinater

17.uppskattad förhandlingstid

18.avgörandedatum

B AKTÖRER

1.om offentlig part:

-partställning

-namn, tjänstetitel och myndighet

-myndighets- eller organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-diarienummer och diariebeteckning

2.om enskild part:

-partställning

-namn eller firma,

-yrke eller titel

-person-, samordnings- eller organisationsnummer

-nationalitet

-grupper av parter

-koppling till andra aktörer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-rättshjälp

-förenklad delgivning

-nytt förhör eller omförhör

-uppskattad förhörstid

SOU 2001:32 Författningsförslag 33
   

-förhörs- och bevistema

-information om ed

-behov av tolk och på vilket språk

3.om ställföreträdare:

-egenskap (vårdnadshavare, konkursförvaltare e. d.)

-namn eller firma

-yrke eller titel

-person-, samordnings- eller organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

4.om biträde, ombud:

-egenskap

-fullmakt

-namn

-yrke eller titel

-koppling till annan aktör

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-F-skatt

5.om vittne, sakkunnig, underårig som berörs av målet utan att vara part samt annan som målet rör:

-egenskap

-namn

-yrke eller titel

-person-, samordningsmyndighets- eller organisationsnummer

-koppling till annan aktör

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-förskottsbetalning

-nytt förhör eller omförhör

-uppskattad förhörstid

-förhörs- och bevistema

-information om ed

-behov av tolk och på vilket språk

6.om tolk:

-språk och arvodesnivå

-namn och firma

-person-, samordnings- eller organisationsnummer

-postadress

34 Författningsförslag SOU 2001:32
   

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-generell tolked avlagd vid domstolen

-förskottsbetalning

-F-skatt

7.om tillsynsmyndighet eller annan som skall höras:

-egenskap

-namn, tjänstetitel, myndighet

-myndighets- eller organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-registreringsdatum för adress

-diarienummer och diariebeteckning

C HÄNDELSER

1.om inkomna och hos domstolen upprättade handlingar:

-datum då handlingen kom in eller upprättades

-aktbilage- och löpnummer

-från vem en handling kommit

-i korthet vad handlingen rör och om dess innehåll

2.om delgivning:

-adressat

-handling

-delgivningssätt

-delgivningsnummer

-delgivningsdatum

-övriga åtgärder

3.om förhandling, sammanträde, möte e.d.:

-deltagare

-tidpunkt och plats

-typ av förhandling e.d.

-antal förhandlingar e.d.

-beräknad och verklig förhandlingstid e.d.

-förhandling e.d. inställt och skälen för detta

-händelsetext

4.om handläggningsbeslut, anteckningar:

-art och typ av beslut eller anteckning

-beslutsfattare och handläggare

-datum

-nummer

-innebörd och utgång

-i korthet om innehåll

SOU 2001:32 Författningsförslag 35
   

5.om avgöranden, ersättningsbeslut:

-art och typ av avgörande eller beslut

-domstol samt ställe för meddelande

-datum

-nummer

-kod

-innebörd och utgång

-i korthet om innehåll

-laga kraft

-rättens sammansättning

-ordförande

6.rättshjälpskostnader

7.om expedition:

-dag för expedition

-mottagarens namn och adress

-handling

-yttrandefrist

-utbetalt belopp

8.om överklagande:

-datum

-person som överklagat

-vad som överklagats

-resultat av överklagande

9.samband med andra händelser i det aktuella målet

10.hänvisning till andra löpnummer

11.datum för händelseregistrering

12.målstatus

13.gallringsbar eller ej

D PLANERING

1.målsättning för avgörande

2.handläggnings- och målstatus

3.om bevakning:

-bevakningsdatum och klockslag

-bevakningstext

-bevakare

-händelsens löpnummer

-händelsetyp

4.författning

5.målets art (ensamdomare, förenklad delgivning, prövningstillstånd e.d.)

6.sekretessmarkering

36 Författningsförslag SOU 2001:32
   

E ORGANISATION

1.enhet (avdelning, rotel, process)

2.namn på domare och andra handläggare vid domstolen

3.jäv

F ÖVRIGA UPPGIFTER

1.tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registret

Bilaga 2

Uppgifter i ett rättsfallsregister

1.beteckning på handling

2.målnummer

3.avgörandedatum

4.avgörandenummer

5.sökord

6.författningshänvisning

7.problembeskrivning (sammanfattning)

8.hänvisning till rättsutredning

9.fullföljd

10.sökkod

SOU 2001:32 Författningsförslag 37
   

4Förslag till förordning om registerföring m.m. vid hyres- och arrendenämnderna med hjälp av automatiserad behandling

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § Denna förordning gäller utöver personuppgiftslagen (1998:204) vid automatiserad behandling av personuppgifter i hyres- och arrendenämndernas rättsskipande eller rättsvårdande verksamhet.

En nämnd är personuppgiftsansvarig för den behandling av personuppgifter som nämnden utför och Domstolsverket för den behandling som verket utför.

En registrerad har inte rätt att motsätta sig behandling som är tillåten enligt denna förordning.

Verksamhetsregister

2 § En nämnd får föra automatiserade register över ärenden som handläggs i nämnden. Ett register får användas för

1.handläggning av ärenden,

2.planering, uppföljning och utvärdering av verksamheten, och

3.framställning av statistik.

3 § Ett register får innehålla endast de uppgifter som anges i bilaga 1 till denna förordning.

Vid angivande av saken i ett ärende (ärendemening) får känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag behandlas endast om det är nödvändigt för att saken skall kunna återges på ett ändamålsenligt sätt.

4 § Som sökbegrepp får inte användas uppgifter om saken, sakkod, typkod, ärendetyp, författning, yrke, titel, adress, nationalitet eller telefonnummer. Uppgift om sakkod, typkod och ärendetyp får dock användas som sökbegrepp för att framställa statistik, om enskilda personer inte avslöjas.

38 Författningsförslag SOU 2001:32
   

5 § Uppgifter skall gallras ur ett register i enlighet med för nämnderna gällande gallringsföreskrifter utfärdade av Riksarkivet.

Innan uppgifterna gallras skall nämnden se till att de bevaras på annat sätt i den omfattning som skulle följa av förordningen (1975:520) om protokollföring m.m. vid arrendenämnd och hyresnämnd, om nämnden inte hade använt sig av automatiserad behandling.

Rättsfallsregister

6 § En nämnd får föra automatiserade register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett register får innehålla endast de uppgifter som anges i bilaga 2 till denna förordning.

Annan behandling av personuppgifter

7 § En nämnd får behandla personuppgifter automatiserat i löpande text vid sidan av de register som avses i 2 och 6 §§.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser m.m. som anges i 21 § samma lag får behandlas endast om uppgifterna har lämnats i ett ärende eller om de behövs för handläggningen av ärendet.

8 § Uppgifter som med stöd av 7 § behandlas automatiserat i ett ärende skall gallras senast ett år efter det att ärendet har avslutats.

Personuppgifter som kan hänföras till enskilda endast med hjälp av ett ärendenummer får bevaras under längre tid än som anges i första stycket.

Riksarkivet får meddela föreskrifter om att uppgifter skall gallras vid en senare tidpunkt än den som anges i första stycket eller att uppgifter skall bevaras.

Rättelse och skadestånd

9 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna förordning.

Överklagande

10 § En nämnds beslut om rättelse och om information som skall lämnas efter ansökan får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

SOU 2001:32 Författningsförslag 39
   

______________

1.Denna förordning träder i kraft den 1 oktober 2001.

2.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att förordningen har trätt i kraft beträffande den aktuella behandlingen.

Bilaga 1

Uppgifter i ett verksamhetsregister

1.ärendenummer, ärendekategori och ärendeprefix

2.avdelning, rotel och rotelchef

3.inkomstdatum

4.saken (ärendemening)

5.sakkod, typkod, ärendegrupp och ärendetyp

6.om offentlig part:

-partställning

-namn, tjänstetitel, myndighet och myndighetsnummer/organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-diarienummer och diariebeteckning

7.om enskild part:

-partställning

-namn/firma och yrke/titel

-personnummer/organisationsnummer

-nationalitet

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

-rättshjälp

-förenklad delgivning

8.om ställföreträdare:

-egenskap (vårdnadshavare, konkursförvaltare e. d.)

-namn/firma och yrke/titel

-personnummer/organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

9.om biträde/ombud:

-egenskap (ombud, biträde e. d.)

-fullmakt

-namn/firma och yrke/titel

40 Författningsförslag SOU 2001:32
   

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

10.om vittne/sakkunnig samt annan som ärendet rör:

-egenskap

-namn och yrke/titel

-personnummer/myndighetsnummer/organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

11.om tolk:

-språk och arvodesnivå

-namn

-personnummer/myndighetsnummer/organisationsnummer

-besöksadress och postadress

-telefonnummer, e-postadress e.d.

12.om expedition:

-dag för expedition

-mottagarens namn och adress

-handling

-yttrandefrist

13.om inkommande handlingar samt hos nämnden upprättade handlingar:

-datum, då handlingen kom in eller upprättades

-aktbilagenummer

-i förekommande fall från vem handlingen har kommit

-i korthet vad handlingen rör

14.om delgivning:

-adressat

-handling

-delgivningssätt

-delgivningsnummer

-delgivningsdag

-övriga åtgärder

15.om beslut/föreläggande:

-nämnden samt ställe för meddelandet

-art och typ

-nummer

-datum

-innebörd och utgång om denna har betydelse för handläggningen

-fullföljd

-laga kraft

-nämndens sammansättning

-ordförande (tjänsteställning)

SOU 2001:32 Författningsförslag 41
   

16.namn på domare och andra befattningshavare vid nämnden

17.om förhandling/sammanträde/handläggning e. d.:

-tidpunkt och plats

-typ av förhandling/sammanträde

-antal förhandlingar/sammanträden

-beräknad och verklig förhandlingstid/sammanträdestid

-inställt

18.rättshjälpskostnader

19.om avgörande som överklagats till nämnden:

-avgörandetyp

-datum

-nummer

-myndighet

20.författning

21.ärendets art (ensamdomare e. d.)

22.uppgift om målsamband

23.om fastighet m.m.:

-geografisk enhet

-fastighetsbeteckning

-gatuadress

-ort

-SNI-kod

-geografiska x- och y-koordinater

24.kommun

25.förtur

26.handläggningsåtgärd/handläggningsstatus

27.om tillsynsmyndighet eller annan som skall höras:

-egenskap

-namn, tjänstetitel, myndighet och myndighetsnummer/organisationsnummer

-postadress

-telefonnummer, e-postadress e.d.

-diarienummer och diariebeteckning

28.bevakning

29.tekniska och administrativa uppgifter som behövs för att tillgodose ändamålen med registret

42 Författningsförslag SOU 2001:32
   

Bilaga 2

Uppgifter i ett rättsfallsregister

1.beteckning på handling

2.ärendenummer

3.avgörandedatum

4.avgörandenummer

5.sökord

6.författningshänvisning

7.problembeskrivning (sammanfattning)

8.hänvisning till rättsutredning

9.fullföljd

10.sökkod

SOU 2001:32 Författningsförslag 43
   

5Förslag till förordning om ändring i förordningen (1996:271) om mål och ärenden i allmän domstol

Härigenom föreskrivs att 2 och 6 §§ förordningen (1996:271) om mål och ärenden i allmän domstol skall ha följande lydelse

Nuvarande lydelse

2 § Varje mål och ärende skall registreras. Registreringen sker i dagböcker eller enligt förordningen (1986:104) om registerföring vid allmänna domstolar med hjälp av automatisk databehandling. Föreskrifter om registreringen i tingsrätt och hovrätt meddelas av Domstolsverket. I Högsta domstolen sker registreringen enligt de föreskrifter som domstolen fastställer.

Innan register gallras enligt

5 § förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling, skall de uppgifter som skall gallras bort framställas i skrift i den omfattning som Domstolsverket föreskriver.

För konkursärenden och ärenden om företagsrekonstruktion som inte registreras enligt förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling, finns närmare bestämmelser i förordningen (1979:802) om dagbok och akter i konkursärenden och ärenden om företagsrekonstruktion.

Föreslagen lydelse

Varje mål och ärende skall registreras. Registreringen sker i dagböcker eller enligt förordningen (2001:000) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling. Föreskrifter om registreringen i tingsrätt och hovrätt meddelas av Domstolsverket. I Högsta domstolen sker registreringen enligt de föreskrifter som domstolen fastställer.

I 5 § förordningen om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling finns bestämmelser om att uppgifter i register som förs med hjälp av automatiserad behandling skall framställas i skrift innan de gallras.

För konkursärenden och ärenden om företagsrekonstruktion som inte registreras enligt förordningen om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling, finns närmare bestämmelser i förordningen (1979:802) om dagbok och akter i konkursärenden och ärenden om företagsrekonstruktion.

44 Författningsförslag SOU 2001:32
   

6 § Om det vid domstolen förs ett särskilt register över pågående eller avgjorda brottmål, får i detta inte tas in några uppgifter om utdömda påföljder eller utredningar om tilltalades levnadsomständigheter eller personliga förhållanden. Registret får inte omfatta mål som har avgjorts tidigare än två år före det löpande kalenderåret. För register som förs enligt förordningen (1986:104) om registerföring vid allmänna domstolar med hjälp av automatisk databehandling gäller i stället bestämmelserna i den förordningen.

______________

Om det vid domstolen förs ett särskilt register över pågående eller avgjorda brottmål, får i detta inte tas in några uppgifter om utdömda påföljder eller utredningar om tilltalades levnadsomständigheter eller personliga förhållanden. Registret får inte omfatta mål som har avgjorts tidigare än två år före det löpande kalenderåret. För register som förs enligt förordningen (2001:000) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling gäller i stället bestämmelserna i den förordningen.

Denna förordning träder i kraft den 1 oktober 2001.

SOU 2001:32 Författningsförslag 45
   

6Förslag till förordning om ändring i förordningen (1996:380) med kammarrättsinstruktion

Härigenom föreskrivs att det i förordningen (1996:380) med kammarrättsinstruktion skall införas en ny paragraf, 56 §, av följande lydelse

56 § Kammarrättens beslut enligt förordningen (2001:000) om registerföring m.m. vid Regeringsrätten och kammarrätterna med hjälp av automatiserad behandling om rättelse och om information som skall lämnas efter ansökan får överklagas hos Regeringsrätten.

______________

Denna förordning träder i kraft den 1 oktober 2001.

SOU 2001:32 Uppdraget 49
   

1 Uppdraget

1.1Utredningens direktiv

Vi har i uppdrag att granska regleringen och användningen av personregister och annan behandling av personuppgifter i verksamhet vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt hyres- och arrendenämnderna. Vi skall även föreslå författningsändringar som behövs för den framtida behandlingen av personuppgifter i dessa verksamheter. Arbetet skall göras med utgångspunkt i personuppgiftslagen (1998:204) samt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Andra viktiga utgångspunkter för arbetet är att vi skall skapa enkla och tydliga regler som är anpassade efter den tekniska utvecklingen på ett sådant sätt att de tillgodoser behovet av ett effektivt IT-stöd i mål- och ärendehanteringen. Det ingår också i vår uppgift att beakta att regleringen av domstolarnas och nämndernas behandling av personuppgifter utformas på ett sådant sätt att enskildas rätt till personlig integritet skyddas.

I vårt uppdrag ingår vidare att undersöka om det finns behov av att ändra eller komplettera de bestämmelser i sekretesslagen (1980:100) som gäller uppgifter vid domstolarna, med anledning av att uppgifternas varierande sekretessgrad innebär såväl rättsliga som praktiska problem vid en utökad automatiserad hantering av personuppgifter.

I ett delbetänkande skall vi redovisa våra förslag när det gäller Regeringsrättens och kammarrätternas målregister, som i dag inte är författningsreglerade, samt övrig behandling av personuppgifter vid domstolar och nämnder som påverkas av att datalagen helt upphör att gälla den 30 september 2001.

Direktiven i sin helhet framgår av bilaga 1.

50 Uppdraget SOU 2001:32
   

1.2Utredningsarbetet

Vårt arbete med delbetänkandet har bedrivits med viss tidspress och målsättningen har varit att göra de anpassningar av bestämmelser om behandling av personuppgifter som är nödvändiga med hänsyn till att datalagen helt upphör att gälla den 30 september 2001. Den grundläggande utgångspunkten har varit att de datorsystem som i dag används av domstolar och nämnder skall kunna användas även fortsättningsvis, i avvaktan på en mer genomgripande reglering. Vi har i den omfattning vi funnit möjligt även tagit hänsyn till de integritetsaspekter som följer av användningen av omfattande automatiserade uppgiftssamlingar i rättsskipande och rättsvårdande verksamhet.

Som ett led i granskningen av användningen av personregister har vi genomfört en enkätundersökning som vänt sig till samtliga av utredningen berörda domstolar och nämnder. Enkäten redovisas som bilaga 2. Arbetet med detta delbetänkande har bedrivits i nära samråd med experter som representerat de berörda domstolarnas och nämndernas intressen samt experter från Domstolsverket, Riksarkivet, Datainspektionen och Justitiedepartementet.

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 51
   

2Rättslig reglering av behandling av personuppgifter

Från och med den 24 oktober 1998 regleras den grundläggande ramen för behandling av personuppgifter i personuppgiftslagen (1998:204), som därigenom ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Detta kapitel innehåller en kortfattad genomgång av datalagen, vissa internationella överenskommelser och dataskyddsdirektivet samt en redogörelse för personuppgiftslagens bestämmelser.

2.1Datalagen

Datalagen från 1973 har nu ersatts av personuppgiftslagen, vars innehåll i väsentliga delar avviker från den tidigare lagstiftningen. Datalagen skall dock fortfarande, fram t.o.m. den 30 september 2001, tillämpas på automatiserad behandling av personuppgifter som påbörjades före den 24 oktober 1998.

2.1.1Allmänt om lagen och dess tillämpningsområde

Enligt 2 kap. 3 § andra stycket regeringsformen skall den enskilde medborgaren skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den närmare omfattningen av skyddet, som inte omfattar juridiska personer, skall enligt bestämmelsen anges i lag.

Den i regeringsformen avsedda lagen var tidigare datalagen, som fortfarande i begränsad omfattning tillämpas parallellt med personuppgiftslagen. Datalagen reglerar användandet av personregister, med vil-

52 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

ket förstås register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgifterna. Datalagen omfattar således endast register som förs med hjälp av automatisk databehandling. Lagen har, så långt den fortfarande tillämpas, till syfte att hindra att hantering av personregister medför otillbörligt intrång i den personliga integriteten. Integritetsskyddet omfattar endast fysiska personer. Den innehåller regler om tillstånd, registeransvarigs skyldigheter, tillsyn samt straff och skadestånd.

Datalagen skyddar endast mot otillbörligt intrång i den personliga integriteten. Enskilda får alltså räkna med visst intrång. Vad som utgör otillbörligt integritetsintrång får avgöras från fall till fall. Vid sådan prövning skall särskild hänsyn tas till vissa i lagen uppräknade omständigheter, nämligen arten och mängden av de personuppgifter som skall ingå i registret, hur och från vem uppgifterna skall inhämtas samt den inställning till registret som föreligger eller kan antas föreligga hos dem som kan komma att registreras. Det skall också särskilt beaktas att inte andra uppgifter eller andra personer registreras, än som står i överensstämmelse med registrets ändamål.

2.1.2Tillstånd m.m.

Endast den som hade anmält sig till Datainspektionen och fått licens fick inrätta och föra personregister som omfattas av lagen. För att få föra register som innehöll särskilt känsliga personuppgifter krävdes dessutom normalt att inspektionen hade meddelat tillstånd. Datainspektionens möjlighet att meddela nya tillstånd upphörde den 24 oktober 1998, när personuppgiftslagen trädde i kraft. Uppgifter ansågs vara särskilt känsliga om de avslöjade att någon t.ex. misstänktes för eller hade dömts för brott, uppbar socialt bistånd eller om uppgifterna berörde personens hälsotillstånd. Också uppgifter om ras, politisk uppfattning, religiös tro eller övertygelse i övrigt föll inom kategorin särskilt känsliga uppgifter.

Tillstånd från Datainspektionen krävdes också när personregister skulle innehålla omdömen om den registrerade eller uppgifter om personer som saknade särskild anknytning till den registeransvarige. Detsamma gällde då personuppgifter inhämtades från andra register och sambearbetades.

Vid tillståndsprövningen skulle Datainspektionen ta ställning till om det fanns anledning att anta att registreringen medförde ett otillbörligt intrång i den registrerades integritet. Om så var fallet skulle tillstånd inte lämnas. Meddelade Datainspektionen tillstånd skulle inspektionen

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 53
   

också meddela föreskrift om ändamålet med registret. I den mån det behövdes för att förebygga otillbörligt intrång i personlig integritet fick inspektionen meddela föreskrifter även om t.ex. vilka uppgifter som fick ingå i registret, de bearbetningar av personuppgifter som fick göras med hjälp av automatisk databehandling, bevarande och gallring av uppgifter samt kontroll och säkerhet.

I vissa fall behövdes inte tillstånd från Datainspektionen trots att registren innehöll särskilt känsliga uppgifter. Personregister vars inrättande beslutats av riksdagen eller regeringen (s.k. statsmaktsregister) var exempelvis undantagna från tillståndsplikt. Sådana personregister reglerades, och regleras än i dag, ofta i särskilda registerförfattningar.

2.1.3Den registeransvariges skyldigheter

Enligt datalagen är den registeransvarig för vars verksamhet ett personregister förs, om han förfogar över registret. Såväl fysiska personer som företag och myndigheter kan vara registeransvariga. Den registeransvarige är skyldig att se till att ett personregister förs så att otillbörligt intrång inte sker i den registrerades personliga integritet. Han eller hon skall även se till att registret förs för sitt ändamål samt att uppgifterna behandlas i överensstämmelse med ändamålet och i enlighet med lag och andra föreskrifter.

Är någon uppgift oriktig eller missvisande skall den rättas, ändras eller uteslutas om det inte saknas anledning att anta att otillbörligt intrång i den registrerades integritet skall ske. Likaså skall den registeransvarige se till att en ofullständig personuppgift kompletteras för att förebygga otillbörligt integritetsintrång eller rättsförlust för den enskilde. Vidare skall den registeransvarige på begäran av en enskild underrätta vederbörande om ett register innehåller personuppgifter om honom eller henne och om så är fallet även underrätta om uppgifternas innehåll (registerutdrag). Om den enskilde lider skada av att oriktiga eller missvisande uppgifter om honom har behandlats i register, skall den registeransvarige ersätta skadan. Den registeransvarige kan även dömas till straff om han eller hon inte följer sina åligganden enligt datalagen.

54 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

2.2Internationella konventioner m.m.

2.2.1Dataskyddskonventionen

Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet i och med att detta införlivats i medlemsländernas nationella lagstiftningar.

2.2.2Riktlinjer från OECD

Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebar att man slog fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.

2.3Dataskyddsdirektivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (data-

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 55
   

skyddsdirektivet). Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av principerna i dataskyddskonventionen från 1981. Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

Dataskyddsdirektivet är direkt bindande för medlemsstaterna i fråga om det resultat som skall uppnås. För att bli gällande rätt måste direktivet införlivas i nationell lagstiftning. Medlemsstaterna bestämmer själva på vilket sätt direktivet skall införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna kan inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.

2.3.1Tillämpningsområde

Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Dataskyddsdirektivet omfattar inte bara automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.

2.3.2Bestämmelser om när personuppgifter får behandlas

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligt angivna vid ti-

56 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

den för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.

Behandling av uppgifter om lagöverträdelser och brottmålsdomar m.m. får utan särskilt stöd i nationell lagstiftning utföras endast under kontroll av en myndighet.

2.3.3Information och rättelse m.m.

Dataskyddsdirektivet föreskriver att den registeransvarige skall informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas skall den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 57
   

behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.

Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

2.3.4Anmälan till tillsynsmyndighet

I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. För icke-automatiserade behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett ett uppgiftsskyddsombud (personuppgiftsombud).

2.3.5Överföring av personuppgifter till tredje land

Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför EU eller EES (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som skall behandlas och ändamålet med behandlingen.

I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid

58 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.

2.3.6Medlemsländernas nationella lagstiftning

Dataskyddsdirektivet skulle vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skall denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år från direktivets ikraftträdande. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen skall dock äldre lagstiftning, dvs. datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter.

2.4Personuppgiftslagen

Med anledning av att dataskyddsdirektivet skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.

2.4.1Allmänt om lagen och dess tillämpningsområde

Dataskyddsdirektivet bygger på att själva hanteringen av personuppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten. I motiven (prop. 1997/98:44, s. 36 f.) konstaterar regeringen dock att en framtida ordning där bara missbruket regleras är

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 59
   

önskvärd, men en sådan ordning måste då föregås av ett reviderat EG- direktiv.

Personuppgiftslagen är utformad så att den är teknikoberoende. Den tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av uppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskapsrätten. Personuppgiftslagen omfattar nämligen, på samma sätt som datalagen, behandling av personuppgifter hos bl.a. polisen och försvaret.

Det är emellertid inte all behandling av uppgifter som omfattas av personuppgiftslagen. Behandling av uppgifter om juridiska personer omfattas över huvud taget inte och sådana uppgifter utgör definitionsmässigt inte personuppgifter (3 §). Inte heller behandling som en fysisk person utför i verksamhet av rent privat natur omfattas av lagen, även om behandlingen avser personuppgifter (6 §). Dessutom undantas all behandling av personuppgifter som skyddas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen eller som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).

Särreglering i lag eller förordning – bl.a. de särskilda registerförfattningarna – gäller enligt 2 § framför personuppgiftslagen. I 8 § anges dessutom särskilt att lagen inte får inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I samma lagrum anges även att lagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i nationell lagstiftning. Ofta är dessa huvudregler och principer allmänt hållna i direktivet. För att kunna tillämpas av de personuppgiftsansvariga har de preciserats och konkretiserats i personuppgiftslagen. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.

2.4.2Definitioner

Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 § på följande sätt. Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som

60 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

är i livet. Det innebär att varken juridiska personer eller avlidna fysiska personer omfattas av lagens tillämpningsområde. Med behandling av personuppgifter avses varje åtgärd som vidtas med uppgifterna, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, lagring, bearbetning, inhämtande, utlämnande, samkörning eller förstöring. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Lagen uppställer alltså inget krav på att samtycke skall vara skriftligt eller på annat sätt formbundet.

2.4.3Förutsättningar för behandling av personuppgifter

Grundläggande krav (9 §)

Enligt personuppgiftslagen skall personuppgifter alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in, vilket bl.a. innebär att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis och genom föreskrifter från regeringen och Datainspektionen. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål.

De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella. Uppfyller personuppgifterna inte kraven skall den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras. Eftersom personuppgiftslagen är sekundär till annan lagstiftning, får uppgifter emellertid inte avidentifieras eller på annat sätt förstöras (dvs. gallras) om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 61
   

När behandling av personuppgifter är tillåten (10–12 §§)

Enligt personuppgiftslagen är det tillåtet att behandla personuppgifter efter den registrerades samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas trots att samtycke från den registrerade saknas. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta automatiserade bearbetningar av personuppgifter också kan utföras manuellt. Nödvändighetsrekvisitet har av Datalagskommittén tolkats så att personuppgifter får behandlas även i de fall det är faktiskt möjligt att utföra uppgiften på annat sätt, om förfarandet underlättas genom användningen av automatisk databehandling (SOU 1997:39 s. 359).

Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet eller när det behövs för att på den registrerades begäran vidta åtgärder innan avtalet träffas. Vidare får behandling utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning.

Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd. Vid intresseavvägningen jämställs med den personuppgiftsansvarige också sådana tredje män till vilka uppgiften lämnas ut.

Förbud mot att behandla känsliga personuppgifter (13 §)

I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får alltså inte behandlas. Likaså är det förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

62 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

Undantag från förbudet (14–20 §§)

Förbudet mot att behandla känsliga personuppgifter är inte undantagslöst. Sådana uppgifter får liksom andra uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga personuppgifter samtycket emellertid vara uttryckligt, dvs. klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas. Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.

Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen utförs inom ramen för ideella organisationers berättigade verksamhet med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Behandlingen får bara avse uppgifter om medlemmar eller personer som organisationen på grund av sitt ändamål har regelbunden kontakt med. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke.

Förbudet gäller inte om behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk skall kunna slås fast, göras gällande eller försvaras. Detta gäller när det förhållande som faller in under definitionen av känsliga personuppgifter också är en förutsättning för att personen i fråga skall ha rätt till en förmån eller ha en rättslig skyldighet gentemot någon annan. Som exempel kan nämnas rätten för en sjuk person att få försäkringsersättning eller skyldigheten för den som tillhör Svenska kyrkan att betala avgift.

Ett ytterligare undantag från förbudet att behandla känsliga personuppgifter är när den registrerade är rättsligt eller fysiskt förhindrad att lämna samtycke och behandlingen samtidigt är nödvändig för att skydda dennes eller någon annans vitala intressen. Vidare undantas behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av hälso- och sjukvård. Behandlas uppgifterna av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt, gäller förbudet inte heller. Slutligen undantas, under vissa förutsättningar, behandling för forskning och statistik från förbudet.

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 63
   

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om brott och användning av personnummer (21–22 §§)

Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar och säkerhetsåtgärder i brottmål. Regeringen eller Datainspektionen har dock möjlighet att föreskriva undantag från förbudet, om det är befogat att behandlingen utförs av annan än myndighet och behandlingen står under tillfredsställande kontroll av en myndighet. Regeringen eller, om regeringen bestämmer det, Datainspektionen får dessutom föreskriva undantag från förbudet i enskilda fall.

Regleringen i personuppgiftslagen om behandling av denna typ av uppgifter innebär ett betydande avsteg från datalagens bestämmelser, enligt vilka det krävdes synnerliga skäl för att annan än myndighet skulle få föra register med uppgift om att någon är misstänkt eller dömd för brott.

Uppgifter om personnummer och samordningsnummer får behandlas bara när den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

2.4.4Information och rättelse m.m.

Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av personuppgifter om honom eller henne pågår, dels begära rättelse av personuppgifter som har behandlats felaktigt.

Information (23–27 §§)

Personuppgiftslagens bestämmelser om informationsskyldighet gäller i första hand den information som den personuppgiftsansvarige självmant har att lämna. Rätten att på begäran få ut uppgifter i allmänna handlingar följer främst av tryckfrihetsförordningen, dock att den rätten i vissa fall begränsas genom bestämmelser i sekretesslagen, men det finns bestämmelser även i personuppgiftslagen.

64 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

Den personuppgiftsansvarige skall självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, skall den registrerade informeras när uppgifterna noteras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut för första gången. Informationen skall omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara sina rättigheter i samband med behandlingen. En- dast sådana uppgifter som den registrerade inte redan känner till behöver lämnas.

Har uppgifterna hämtats in från en annan källa än den registrerade själv behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Inte heller behöver information lämnas om det i lag eller annan författning finns särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter.

Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per kalenderår, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte har fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller – i fråga om uppgifter i löpande text – behandlingen inte har pågått under längre tid än ett år.

Bestämmelserna om informationsskyldighet gäller över huvud taget inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Rättelse m.m. (28 §)

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med den föreslagna personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella personuppgifterna i alla sammanhang skall vara förknippade med tydlig information om att de är spärrade och inte får lämnas ut till tredje man samt om anledningen till spärren.

Om felaktiga personuppgifter har lämnats till tredje man, skall denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera bety-

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 65
   

dande skada eller olägenhet för den registrerade. Eftersom den personuppgiftsansvarige inte har någon skyldighet att hålla reda på till vem uppgifter lämnas ut och då uppgifter ibland kan lämnas till ett stort antal människor, innehåller bestämmelsen det undantaget att underrättelse inte behöver ske om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2.4.5Säkerhet vid behandlingen

Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§ personuppgiftslagen. Den personuppgiftsansvarige har ett stort ansvar för säkerheten. Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Instruktionerna bör i vart fall vara utformade på ett sådant sätt att var och en som arbetar med personuppgifter skall veta vilka ändamålen är med behandlingen och att behandling som är oförenlig med dessa ändamål är förbjuden. För det allmännas verksamhet gäller att om det i annan lagstiftning finns bestämmelser om säkerheten vid behandling av personuppgifter, skall i stället de bestämmelserna tillämpas. Det gäller framför allt bestämmelser om tystnadsplikt och sekretess.

Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är. Ett register som innehåller personuppgifter om ett stort antal personer ställer också ökade krav på säkerheten.

Datainspektionen får enligt 32 § personuppgiftslagen i enskilda fall besluta om vilka skyddsåtgärder en personuppgiftsansvarig skall vidta. Om ett sådant beslut inte följs kan inspektionen enligt 45 § föreskriva vite.

2.4.6Överföring av personuppgifter till tredje land

Det är enligt 33 § personuppgiftslagen förbjudet att föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller både uppgifter som är under behandling och uppgifter som skall undergå behandling i det tredje landet.

66 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

Vid bedömningen av om ett land utanför EU eller EES har en adekvat skyddsnivå skall hänsyn tas till samtliga omständigheter som har samband med överföringen. I lagen anges uttryckligen att särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Från förbudet mot överföring av personuppgifter till tredje land finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tilllåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Uppgifter får även i andra fall föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal – mellan den registrerade och den personuppgiftsansvarige eller mellan den personuppgiftsansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.

Regeringen får meddela föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen och Datainspektionen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.

2.4.7Datainspektionens befogenheter som tillsynsmyndighet

Enligt dataskyddsdirektivet skall en särskild tillsynsmyndighet utses. Den personuppgiftsansvariges anmälan om behandlingar av personuppgifter skall göras till tillsynsmyndigheten, som även skall utöva tillsyn över behandlingen. Vissa av de befogenheter som enligt direktivet tillkommer tillsynsmyndigheten regleras i 43–47 §§ personuppgiftslagen. Således innehåller lagen bestämmelser om att tillsynsmyndigheten (Datainspektionen) skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter skall utplånas.

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 67
   

2.4.8Anmälan till Datainspektionen m.m.

Anmälningsskyldighet (36 §)

Helt eller delvis automatiserad behandling av personuppgifter omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra sådan anmälan till Datainspektionen. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.

Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna följs. Å andra sidan föreskriver dataskyddsdirektivet som huvudregel att den registeransvarige till tillsynsmyndigheten skall anmäla automatiserade behandlingar som skall genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.

För att kunna tillgodose både kravet att följa direktivet och önskemålet att begränsa anmälningsskyldigheten, har i personuppgiftslagen en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag från skyldigheten har utnyttjats fullt ut. När fråga är om särskilt integritetskänsliga behandlingar, som Datainspektionen skall kontrollera innan de påbörjas, föreskrivs dock inga undantag från anmälningsskyldigheten.

Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i personuppgiftsförordningen (1998:1191) för behandling av personuppgifter som utförs till följd bl.a. av en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut allmänna handlingar eller som regleras genom särskilda föreskrifter i lag eller förordning i andra fall.

Personuppgiftsombud (37–40 §§)

Anmälan till Datainspektionen behöver inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personupp-

68 Rättslig reglering av behandling av personuppgifter SOU 2001:32
   

giftsansvarige och att han eller hon skall ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.

I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet skall ha en förteckning över de behandlingar som den personuppgiftsansvarige utför och han skall även hjälpa registrerade personer att få rättelse vid misstanke om att personuppgifter är felaktiga eller ofullständiga.

Förhandskontroll av särskilt integritetskänsliga behandlingar (41 §)

Enligt dataskyddsdirektivet skall medlemsstaterna bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades rättigheter och säkerställa att dessa behandlingar kontrolleras innan de påbörjas. Förhandskontrollen skall enligt direktivet utföras av tillsynsmyndigheten men kan också utgöra ett led i lagstiftningsprocessen. Förhandskontroll kan således ske i samband med att särskilda registerförfattningar beslutas av riksdagen eller regeringen. I fråga om sådana register krävs ingen särskild reglering för att uppfylla direktivets villkor.

I andra fall krävs däremot bestämmelser om vilka behandlingar som skall kontrolleras på förhand. I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar.

2.4.9Sanktioner

Skadestånd (48 §)

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han rätt till ersättning från den personuppgiftsansvarige. Rätten till ersättning omfattar inte bara personskada, sakskada och ren förmögenhetsskada, utan även den kränkning av den personliga integriteten som behandlingen kan ha medfört. Ersättningen för kränkning måste uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet, t.ex. om den registrerade på grund av behandlingen utsatts för något för honom eller

SOU 2001:32 Rättslig reglering av behandling av personuppgifter 69
   

henne negativt beslut. Ersättningen skall fastställas för varje kränkt registrerad för sig.

Skadeståndsansvaret är i princip strikt. Den registrerade behöver bara bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet i behandlingen inte berodde på honom eller henne, får emellertid skadeståndet jämkas i skälig utsträckning.

Straff (49 §)

I personuppgiftslagen har i så stor utsträckning som möjligt andra sanktioner valts än straff. Således har vissa förseelser som i datalagen återfinns i en straffkatalog i stället sanktionerats genom vite eller genom möjligheten att utdöma ideellt skadestånd. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga eller oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser. Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan eller information till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen. Straffbestämmelsens tillämpbarhet är begränsad genom att det inte skall dömas till ansvar vid förfaranden som är ringa.

2.4.10Ikraftträdande- och övergångsbestämmelser

Personuppgiftslagen trädde i kraft den 24 oktober 1998 och samtidigt upphörde datalagen att gälla. I fråga om behandling av personuppgifter som påbörjats före ikraftträdandet skall personuppgiftslagen dock inte tillämpas förrän den 1 oktober 2001. Detsamma gäller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjades före ikraftträdandet. I dessa fall gäller i stället datalagens bestämmelser. I fråga om manuella behandlingar som påbörjades före ikraftträdandet skall vissa bestämmelser i lagen tillämpas först från och med den 1 oktober 2007. Det gäller 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.

SOU 2001:32 Personregister m.m. hos domstolarna och nämnderna 71
   

3Personregister m.m. hos domstolarna och nämnderna

Datorutvecklingen inom rättsväsendet har pågått sedan 1970-talet. Ge- nerellt har domstolarna och nämnderna, jämfört med stora delar av den offentliga sektorn, inte legat i framkant i fråga om utnyttjandet av datorteknik. Fram till mitten av 1980-talet och början av 1990-talet var det främst inom kanslifunktionerna som visst datorstöd utnyttjades. Därefter har utvecklingen gått snabbare och samtliga domstolar och nämnder använder sig i dag av datorteknik för framställning av dokument med hjälp av ord- och textbehandling. De flesta domstolar har dessutom tillgång till större verksamhetsstödjande datorsystem.

I detta kapitel redovisar vi övergripande hur datortekniken i dag används vid domstolar och nämnder. Kapitlet inleds med en genomgång av innehållet i de i dag gällande registerförordningarna för domstolarna. Därefter följer en kortfattad redovisning av de olika personregister som i dag används vid domstolarna och nämnderna. Redovisningen är strukturerad så att verksamhetsstödjande register redogörs för sig och administrativa register för sig. Redogörelsen avslutas med en kort beskrivning av behandling av personuppgifter i löpande text. Med verksamhetsstödjande register avses register som i dag används som stöd i handläggningen av mål och ärenden inom det rättsskipande och rättsvårdande verksamhetsområdet. Det som faller utanför detta område utgör domstolarnas och nämndernas administrativa eller myndighetsinterna verksamhet.

3.1Gällande registerförordningar för allmänna domstolar och länsrätter

Författningsregleringen av användningen av datorteknik vid domstolarna och nämnderna begränsar sig till två förordningar, en för de allmänna domstolarna och en för länsrätterna. Det är förordningen (1986:104) om registerföring vid allmänna domstolar med hjälp av automatisk databehandling samt förordningen (1994:90) om registerföring vid läns-

72 Personregister m.m. hos domstolarna och nämnderna SOU 2001:32
   

rätt med hjälp av automatisk databehandling. De två förordningarna är sinsemellan likartat uppbyggda och i flera avseenden överensstämmer de helt med varandra. Vilka personregister som i dag förs med stöd av förordningarna redovisar vi i avsnitt 3.2.

3.1.1Tillämpningsområde och ändamål

De övergripande tillämpningsområdena för förordningarna är registerföring med hjälp av automatisk databehandling av mål och ärenden samt fullgörande av uppgifter enligt förordningen (1996:271) om mål och ärenden i allmän domstol respektive förordningen (1979:575) om protokollföring m.m. vid de allmänna förvaltningsdomstolarna. De allmänna domstolarna får använda sina register även för att fullgöra uppgifter enligt förordningen (1979:802) om dagbok och akter i konkursärenden och ärenden om företagsrekonstruktion samt för att fullgöra den underrättelseskyldighet som följer av lag eller annan författning.

Domstolarna får dessutom använda registren som hjälpmedel för utskrift och expediering av handlingar i mål eller ärenden, t.ex. domar, beslut, protokoll, stämningar, kallelser, förelägganden, underrättelser eller kungörelser. Vidare får registren utnyttjas som hjälpmedel för delgivningsrutiner, bevakning av frister, framställning av uppropslistor, bokning av förhandlingslokaler samt för framställning av statistik.

3.1.2Innehåll och sökbegränsningar

För båda registerförordningarna gäller att ett register får innehålla endast de uppgifter som anges i en särskild bilaga till respektive förordning. Bilagorna är uttömmande och innehåller en omfattande uppräkning av uppgifter som används vid handläggningen av mål eller ärenden. I stort överensstämmer dessa bilagor sinsemellan, och de skillnader som finns är motiverade av de skilda verksamheterna.

Som exempel på olika uppgifter som anges i bilagorna kan nämnas olika identifieringsuppgifter avseende enskilda och offentliga parter, ombud, ställföreträdare, vittnen och tolkar. Andra uppgifter som registren får innehålla är sådana som identifierar mål eller ärenden, t.ex. målnummer, målkategori, målgrupp och ärendemening. Vidare får registreras uppgifter om tidpunkter eller tidsfrister för olika åtgärder. I en allmän punkt anges att ett register får innehålla sådana administrativa och tekniska uppgifter som behövs för att tillgodose ändamålen med registren.

SOU 2001:32 Personregister m.m. hos domstolarna och nämnderna 73
   

Vid sökning i registren får inte samtliga de uppgifter som registreras användas som sökbegrepp. Undantagna är uppgifter om saken, sakkod, typkod, målgrupp, måltyp, författning, yrke, titel, adress, nationalitet eller telefonnummer. För de allmänna domstolarna gäller dessutom att uppgifter om frihetsberövande eller annat tvångsmedel inte får användas som sökbegrepp, medan länsrätterna inte får använda sig av uppgifter om utfärdandeland för körkort.

Av de uppgifter som normalt inte får användas som sökbegrepp är det trots allt tillåtet att utnyttja vissa sådana uppgifter för att framställa statistik, dock endast om enskilda personer inte avslöjas. Det gäller uppgifter om sakkod, typkod, målgrupp och måltyp.

3.1.3Bevarande och gallring

I båda registerförordningarna finns uttryckliga bestämmelser om gallring av uppgifter i registren. För allmän domstol gäller att uppgifter i tvistemål och ärenden skall gallras senast sex år och uppgifter i brottmål senast två år efter avgörandeåret. Uppgifter om brottspåföljd m.m., som behövs för fullgörelse av skyldighet att lämna underrättelse till rättsväsendets informationssystem eller polisens belastningsregister, skall dock gallras redan inom fjorton dagar från dagen för underrättelsen.

Hos länsrätterna gäller en gallringsfrist om sex år efter avgörandeåret för uppgifter i mål enligt skatte-, taxerings-, uppbörds-, folkbokförings- och bilregisterförfattningarna samt lagen (1989:479) om ersättning för kostnader i ärenden och mål om skatt, m.m. Uppgifter i övriga mål skall gallras senast två år efter avgörandeåret.

För både de allmänna domstolarna och länsrätterna gäller att uppgifter i viss omfattning skall bevaras på annat sätt innan de gallras ur ett register.

3.1.4Register för återsökning av vägledande avgöranden m.m.

Vid sidan av de ovan redovisade bestämmelserna om registerföring, får domstolarna dessutom, med hjälp av automatisk databehandling, föra register för återsökning av vägledande avgöranden, rättsutredningar och liknande rättslig information. Ett sådant register får innehålla endast de uppgifter som anges i en bilaga till förordningarna. De uppgifter det rör sig om är desamma för samtliga berörda domstolar, nämligen beteckning på handling, målnummer, avgörandedatum, avgörande-

74 Personregister m.m. hos domstolarna och nämnderna SOU 2001:32
   

nummer, sökord, författningshänvisning, problembeskrivning, hänvisning till rättsutredning, fullföljd samt sökkod.

3.2Verksamhetsstödjande personregister

Den nedanstående redogörelsen för de verksamhetsstödjande registren eller datorsystemen som används av domstolar och nämnder är kortfattad och har inte till syfte att närmare beskriva de olika systemens funktion. Sammanställningen utgör i stället en orientering över vilka system som finns samt i korthet vad de används för och vad de innehåller.

3.2.1MÅHS

MÅHS är ett målhanteringssystem som, med stöd av de förordningar som redovisas i avsnitt 3.1, används för att administrera mål- och ärendehanteringen vid tingsrätter och länsrätter. Även hyres- och arrendenämnderna i Stockholm, Göteborg och Malmö använder sig av systemet, dock med stöd av tillstånd från Datainspektionen.

MÅHS utgör ett hjälpmedel för utskrift och expediering av domar, beslut, protokoll, kallelser, förelägganden, underrättelser, kungörelser och andra handlingar i mål eller ärenden. Systemet används även för dagbokföring och som stöd för delgivningsrutiner, bevakning av frister och framställning av uppropslistor samt för bokning av förhandlingslokaler. MÅHS används också för framställning av statistik. Till systemet är knutna de dokument som upprättas av domstolarna, t.ex. domar, beslut och skrivelser.

MÅHS innehåller en mängd uppgifter, som i princip motsvarar de uppgifter som anges i bilagor till förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling samt förordningen om registerföring vid länsrätt med hjälp av automatisk databehandling (se avsnitt 3.1.2).

3.2.2Find-It

Find-It (tidigare Imdoc) är ett målregistrerings- och statistikrapporteringssystem som används av Regeringsrätten och kammarrätterna med stöd av tillstånd från Datainspektionen. Vid sidan av målregistreringen används systemet även som ett rättsfallssökningsregister.

SOU 2001:32 Personregister m.m. hos domstolarna och nämnderna 75
   

Find-It skiljer sig från andra verksamhetsstöd genom att de domstolar som använder systemet även har tillgång till de andra anslutna domstolarnas uppgifter. Uppgifterna i Find-It är även sökbara hos länsrätterna, som dock inte själva kan utnyttja systemet för registrering. Också vissa myndigheter har sådan tillgång till registren, nämligen Domstolsverket, Riksdagens ombudsmän, Riksskatteverket och skattemyndigheterna samt vissa länsstyrelser. Registret är tvådelat genom att man kan söka dels på partsuppgifter (namn, personnummer osv.), dels på sakuppgifter (ord i ärendemening, målgrupp osv.). Det går däremot inte att vid samma sökning kombinera parts- och sakuppgifter.

Find-It innehåller ett stort antal uppgifter om registrerade mål. Som exempel kan nämnas parternas namn och personnummer, om parterna har rättshjälp eller offentligt biträde, namn på ombud, målnummer, målgrupp, tillämplig författning, datum för interimistiska beslut och vilket slag av beslut som fattats, avgörandedatum, underinstansens avgörandedag och diarienummer, om målet är överklagat till Regeringsrätten m.m. Speciellt för Find-It är att det dessutom finns ett fritextfält för registrering av saken och/eller en kort ärendebeskrivning. I detta fält är sedan fri sökning möjlig såväl för Regeringsrätten och kammarrätterna som för länsrätterna och andra anslutna myndigheter.

3.2.3Övriga målregister

MÅHS-ÖR (Hovrätten för Västra Sverige)

Hovrätten för Västra Sverige använder sig av ett datorsystem som i grunden är en överrättsanpassad version av det målhanteringssystem (MÅHS) som tingsrätter och länsrätter har tillgång till. Användningsområdet är i stort detsamma som för underrätternas system och registret innehåller även i huvudsak samma typer av uppgifter (jfr avsnitt 3.2.1). Registret förs med stöd av förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling.

Målregister (Högsta domstolen och hovrätterna)

Högsta domstolen och Svea hovrätt för var för sig ett målregister som används för målregistrering, automatisk framställning av dokument (blanketter) samt för framtagning av statistik. Registren innehåller uppgifter om parters namn, personnummer, adress och telefonnummer samt namn, adress och telefonnummer avseende ställföreträdare, ombud och offentlig försvarare m.m. Det finns även uppgifter om namn på domare och andra befattningshavare vid domstolen. Vidare finns upp-

76 Personregister m.m. hos domstolarna och nämnderna SOU 2001:32
   

gifter om mål- eller ärendenummer, inkomstdatum, saken, sak- och typkoder, datum och innebörd av domar och beslut samt uppgifter om underinstansens avgörandedatum och mål- eller ärendenummer. Vad gäller inkomna handlingar kan det förekomma uppgifter om datum, avsändare och i korthet vad handlingen rör.

Göta hovrätt för ett eget målregister som används för förteckning över inkomna tvistemål, brottmål och allmänna domstolsärenden. Re- gistret är ett hjälpmedel för utskrift och expediering av domar, beslut, protokoll, stämningar och andra dokument. Registret innehåller flertalet av de uppgifter som finns i MÅHS för underrätterna (jfr avsnitt 3.2.1), dock inte uppgifter om vittnen, sakkunniga, målsägande och tolkar. Det finns inte heller dagboks- eller delgivningsanteckningar. Inte heller finns vissa uppgifter om brottmål som i MÅHS registreras särskilt, t.ex. uppgift om brottspåföljd.

Hovrätten över Skåne och Blekinge använder sedan början av år 2001 ett nytt datoriserat verksamhetsstöd som används för handläggning av inkomna mål och ärenden. Med hjälp av datorsystemet avses i princip samtliga de uppgifter hanteras som tillåts enligt förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling (se avsnitt 3.1.2), inklusive möjligheterna till ett särskilt register för återsökning av vägledande avgöranden. Systemet har även inbyggda, men ännu ej utnyttjade, funktioner för elektronisk akthantering och automatiskt informationsutbyte med andra domstolar.

Gemensamt för de ovan nämnda målregistren är att de förs med stöd av förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling.

Register för registrering av miljömål (Miljödomstolen vid Stockholms tingsrätt)

Miljödomstolen vid Stockholms tingsrätt för ett register som används för registrering av mål och ärenden enligt miljöbalken. Registret innehåller uppgifter om målnummer, sökande/klagande, motpart/svarande, ombud/biträde, adresser, organisationsnummer, saken och SNI-kod för miljöfarlig verksamhet samt uppgifter om avgörande och överklagande. Registret förs med stöd av förordningen om registerföring vid allmänna domstolar med hjälp av automatisk databehandling.

Konkursregister (Tingsrätter)

Några tingsrätter, bl.a. Göteborgs tingsrätt och Trelleborgs tingsrätt, för med stöd av tillstånd från Datainspektionen konkursregister som an-

SOU 2001:32 Personregister m.m. hos domstolarna och nämnderna 77
   

vänds för dagbokföring av ärenden, som underlag för utfärdande av konkursfrihetsbevis samt för sökning efter registrerade konkursansökningar. Registren innehåller uppgifter om ärendenummer, parter, förvaltare, handlingar och åtgärder samt datum för förhandling och beslut.

Register över egna avgöranden (Kammarrätten i Jönköping)

Kammarrätten i Jönköping för med stöd av tillstånd från Datainspektionen ett register över egna avgöranden. Registret används som ett hjälpmedel i kammarrättens dömande verksamhet genom att det möjliggör jämförelser med tidigare avgöranden. Det innehåller ett urval av kammarrättens domar och beslut i fulltext med angivande av målnummer. Registret är avidentifierat, vilket innebär att parter och andra inblandade endast kan identifieras med hjälp av målnumret, antingen manuellt eller via målregistret Find-It.

3.2.4Rättsfallsregister

Högsta domstolen för med stöd av förordningen om registerföring vid de allmänna domstolarna med hjälp av automatisk databehandling, ett större register för återsökning av vägledande avgöranden (Hdrefer). Registret innehåller samtliga domstolens avgöranden, med undantag av beslut att inte meddela prövningstillstånd, och således inte endast de rättsfall som finns publicerade i NJA. I praktiken fungerar det därför som ett register över innehållet i Högsta domstolens arkiv. Registret innehåller uppgifter om referattyp, lagrum och ämnesord samt en kortfattad ärendemening för varje refererat avgörande. I ärendemeningen är det möjligt att använda fritextsökning. Det finns även referenser till målnummer och avgörandedag samt, i förekommande fall, sidangivelse till NJA.

3.2.5Det nya planerade verksamhetsstödet

Under ledning av Domstolsverket pågår nu arbete med framtagande av ett nytt och heltäckande datorsystem för mål och ärendehantering m.m. i de allmänna domstolarna och de allmänna förvaltningsdomstolarna. Inledningsvis skall systemet introduceras i överrätterna, men tanken är att det så småningom skall ersätta även underrätternas målhanteringssystem, MÅHS. Enligt den nu aktuella tidsplanen för projektet skall delar av datorsystemet tas i bruk på försök i Svea hovrätt under hösten år 2001. Den delen av projektet går under arbetsnamnet Svea Pilot. I

78 Personregister m.m. hos domstolarna och nämnderna SOU 2001:32
   

övriga överrätter, med undantag för Hovrätten för Västra Sverige, skall systemet sättas i funktion under år 2002. Det färdiga systemet skall därefter under år 2003 introduceras även vid underrätterna samt i Hovrätten för Västra Sverige.

3.3Administrativa personregister

Nedan beskrivs mycket kortfattat de olika typer av administrativa datoriserade register som domstolarna och nämnderna använder. Av redogörelsen framgår inte vilka domstolar som använder sig av vilka register och variationerna kan i det avseendet vara stora. Många mindre domstolar och nämnder använder sig bara av några enstaka register, medan flera större domstolar använder sig av i stort sett samtliga de omnämnda registren. Sammanställningen är indelad i register som främst rör anställda vid domstolarna och nämnderna samt register över i huvudsak utomstående personer. Register som av olika skäl inte passar in i den indelningen har samlats under rubriken Övriga register.

3.3.1Register över anställda

Statens löneuträkningssystem (SLÖR/PIR): Registren används som hjälpmedel för beräkning av lön, uppbörd och semester m.m. De innehåller uppgifter om anställdas namn, personnummer, lön och semesterdagar eller andra ledigheter. Databehandlingen utförs centralt av Dafa Data AB. Andra myndigheter som har tillgång till registren är Domstolsverket samt Statens löne- och pensionsverk. Ett litet antal domstolar administrerar och registrerar helt själva i SLÖR, andra sköter delvis registreringen tillsammans med Domstolsverket. De flesta sänder dock enbart in uppgifter på papper till verket, som därefter sköter registreringen.

Reseräkningsregister (Far och flyg): Registren används för registrering av anställdas reseräkningar och innehåller uppgifter om namn och personnummer. Registren är ett delsystem knutet till SLÖR, vilket innebär att vem som hanterar ett reseräkningsregister varierar på samma sätt som för löneregistren (se ovan).

Register över anställda: Registren används för personaladministration och innehåller uppgifter om namn, personnummer, adress, titel, tjänsteställning och tjänstgöring m.m.

SOU 2001:32 Personregister m.m. hos domstolarna och nämnderna 79
   

Personalresursregister: Registren används vid sammanställningar av hur personalresurser har använts. De innehåller uppgifter om namn, semester samt fördelning av arbetstid på olika arbetsuppgifter m.m.

Notarieregister: Registren används vanligen som hjälp vid planering av notarietjänstgöring. De innehåller normalt uppgifter om namn, personnummer, adress, telefonnummer, börje- och slutdag, behörighet, bevis om fullgjord edgång, olika ledigheter samt tjänstgöringsschema. Re- gistren kan innehålla uppgifter om tidigare anställda notarier. Det särskilda registret ”Planering av notarietjänstgöring” förs med stöd av tillstånd från Datainspektionen.

Register för planering av domarutbildning/domartjänstgöring: Registren används för planering av domarutbildning eller domartjänstgöring. De innehåller uppgifter om namn och personnummer m.m. på sökande till aspiranttjänstgöring, anställda aspiranter, fiskaler och assessorer. Registren förs med stöd av tillstånd från Datainspektionen, eftersom de kan komma att innehålla värderande omdömen e.d.

Telefonregister: Registren används som hjälp i telefonväxlar och för upprättande av interna telefonlistor. De innehåller uppgifter om namn, befattning, arbetsställe (rotel, avdelning osv.) samt interna telefonnummer.

Körjournalregister: Registren används som hjälpmedel vid redovisning av utnyttjande av tjänstebil och kan innehålla uppgifter om namn på innehavare, medåkande, förrättningsorter och antal mil m.m.

Kod- och kortregister: Registren används för fördelning och bevakning av personliga koder till passerkort. De innehåller uppgifter om namn, koder och särskilda kortnummer samt eventuellt tidsuppgifter om in- och utpassering.

Nyckelregister: Registren används för fördelning och bevakning av nycklar. De innehåller namn och nyckelnummer.

Flextidsregister (Tidomat): Registren används för registrering av anställdas tidsredovisning och innehåller identifieringsuppgifter samt uppgifter om flexsaldo och summan av arbetad tid.

Sjukfrånvaroregister: Registren används för bevakning av sjukfall, t.ex. om läkarintyg skall krävas in och om kontakt skall tas med försäkringskassa o.d. Registren innehåller normalt uppgifter om namn, person-

80 Personregister m.m. hos domstolarna och nämnderna SOU 2001:32
   

nummer samt tider för sjukfrånvaro och viss annan ledighet, t.ex. föräldraledighet.

Utbildningsregister: Registren används för kartläggning av personalens utbildningsbehov och planering av utbildningstillfällen. De innehåller uppgifter om anställdas namn, personnummer, titel och genomgångna utbildningar (internt eller externt).

Intranät: Intranät används för intern informationsspridning och kan t.ex. innehålla uppgifter om anställdas arbetsuppgifter, telefonnummer och organisatoriska tillhörighet m.m.

Blankettregister: Registren används för framtagning av anställningsbevis m.m. De innehåller uppgifter om anställdas namn, personnummer, lön och anställningsvillkor.

3.3.2Register över utomstående

Redovisningssystem (Agresso, Skapa): Registren används som hjälpmedel för betalning av fakturor och avstämning mot budgeterade medel. Skapa används för utbetalning av arvoden till nämndemän m.fl. Systemet, som är tillgängligt för Domstolsverket, innehåller uppgifter om betalningsmottagares namn, bank- eller postgironummer, betalningsuppdrag, belopp m.m. Ungefär hälften av domstolarna registrerar och hanterar själva Agresso, medan den andra hälften sänder uppgifter till Domstolsverket som sedan sköter registreringen. De flesta hyres- och arrendenämnder har inte tillgång till Agresso.

Administrativa ärendehanteringsregister/diarium (t.ex. Acta): Registren används för registrering av administrativa dokument och ärenden. De innehåller uppgifter om namn på avsändare och adressat, inkomst- eller expedieringsdatum samt typ av dokument e.d. och ansvarig handläggare.

Nämndemannaregister o.d.: Registren används som informationsbas över nämndemän, sakkunniga eller särskilda ledamöter m.fl. (t.ex. i miljömål och laglighetsprövningsmål) samt jurymedlemmar (i tryckfrihetsmål). De kan även användas som arvodesregister. Registren kan innehålla uppgifter om namn, ålder, adress, telefonnummer, yrke, nominerande parti och kön. Även myndighetsuppgifter om indelning i grupper eller placering på viss avdelning förekommer. Vid användning

SOU 2001:32 Personregister m.m. hos domstolarna och nämnderna 81
   

som arvodesregister kan det förekomma information om utbetalt arvode och innehållen preliminärskatt samt kontrolluppgift.

Tolkregister: Registren används som hjälp vid behov av tolkar och innehåller namn och adressuppgifter på tolkar som domstolen eller nämnden använder sig av.

Register över ombud/offentliga biträden m.fl.: Registren används vid kontakter med advokater och biträdande jurister. De innehåller uppgifter om namn, adress och telefonnummer. Registren kan även innehålla uppgifter om antal uppdrag som offentlig försvarare m.m.

Sakkunnigregister: Registren används vid kontakter med sakkunniga läkare i psykiatrimål och innehåller uppgifter om namn, adress och telefonnummer.

Vikarieregister: Registren används som hjälp vid inkallande av vikarier, t.ex. pensionerade domare, och innehåller namn, personnummer, adress och telefonnummer.

Kostnadsersättningsregister (KIM): Registren används för registrering av utbetalning av kostnadsersättningar i den dömande verksamheten och innehåller uppgifter om betalningsmottagares namn och adress samt belopp och konto.

3.3.3Övriga register

E-postregister: Registren innehåller normalt uppgifter om skickad och mottagen E-post i form av loggningsuppgifter.

Biblioteksregister (Libris, Mikro-Marc): Registren används för registrering och sökning av litteratur i biblioteken samt, i vissa fall, för registrering av utlåning. De innehåller uppgifter om författare, låntagare, förlag m.m.

Arkivförteckningsregister: Registren används för kontroll av domstolarnas och nämndernas arkiv och innehåller uppgifter om akter, register och dagböcker m.m.

Statistikregister: Registren används för en rad olika ändamål, t.ex. kontroll av balanssituationer, fördelning mellan målkategorier, tidrapporteringar osv. Typiskt för statistikregistren är att de är avidentifierade, dvs. de innehåller normalt inga personuppgifter.

82 Personregister m.m. hos domstolarna och nämnderna SOU 2001:32
   

3.4Behandling av personuppgifter i löpande text

Vid sidan av de personregister eller datorsystem som beskrivs i tidigare avsnitt, använder sig domstolarna och nämnderna i stor omfattning av annan datorteknik, t.ex. ordbehandlings- och kalkylprogram som Word och Excel, vid framställningen av dokument. Det gäller allt från domar och beslut till promemorior och diverse administrativa handlingar. Så- dan behandling av personuppgifter som inte sker i personregister omfattades inte av datalagen, men faller däremot inom ramen för personuppgiftslagens tillämpning.

SOU 2001:32 Övergripande om nödvändiga förändringar 85
   

4Övergripande om nödvändiga förändringar

I och med tillkomsten av dataskyddsdirektivet och genomförandet av direktivet i Sverige genom personuppgiftslagen (1998:204), har de rättsliga förutsättningarna för att med datorstöd behandla personuppgifter förändrats. I flera avseenden är förändringarna stora, bl.a. genom att inte endast personregister utan även behandling i löpande text (ordbehandling m.m.) omfattas av den nya regleringen. Vi redovisar i detta kapitel vår principiella syn på hur hanteringen av personuppgifter tills vidare bör regleras vid allmänna domstolar, allmänna förvaltningsdomstolar samt hyres- och arrendenämnder.

4.1Behovet av IT-stöd i domstolar och nämnder

Användningen av datorer hos myndigheter i Sverige har ökat kraftigt sedan 1970-talet. Denna utveckling är ett naturligt led i effektiviseringen av verksamheterna och det finns inte någon anledning att anta annat än att behovet av datorstöd kommer att fortsätta öka. Detta gäller inte minst inom de områden som berör domstolarna och nämnderna, som i flera avseenden inte har det effektiva datorstöd som redan finns hos många större myndigheter.

Den snabba utveckling av datoriseringen som ägt rum visar att den lagstiftning som reglerar användningen av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Det är näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen inom dataområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor, men så långt som möjligt lämnar detaljregleringen därhän. Lagstiftningen skall således styra användningen av ny teknik i offentlig verksamhet samtidigt som den rättsliga regleringen inte får tillåtas förhindra eller

86 Övergripande om nödvändiga förändringar SOU 2001:32
   

försvåra en välkommen effektivisering, om det inte är nödvändigt av integritetsskäl.

De förslag som vi lämnar i detta delbetänkande har dock som främsta syfte att förhindra akuta problem i samband med datalagens upphörande. Tiden tillåter inte att vi nu föreslår en sådan lagstiftning som vi helst vill se på området, utan det får bli en fråga i vårt fortsatta arbete.

4.2Effekter av datalagens upphörande

Personuppgiftslagen trädde i kraft den 24 oktober 1998. Samma datum upphörde datalagen (1973:289) att gälla. Enligt övergångsbestämmelserna till personuppgiftslagen skall dock datalagen i vissa avseenden tillämpas t.o.m. den 30 september 2001. Det gäller automatiserad behandling av personuppgifter som har påbörjats före personuppgiftslagens ikraftträdande eller behandling som utförs för ett visst bestämt ändamål om behandling för ändamålet påbörjades före ikraftträdandet. Övergångsbestämmelsen har sin grund i dataskyddsdirektivets artikel 32.2. Där anges att medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelserna antas, bringas i överensstämmelse med bestämmelserna inom tre år från tidpunkten för antagandet.

Personuppgiftslagens övergångsbestämmelser har inneburit en respit för lagstiftaren i fråga om anpassningen av dagens registerreglering till personuppgiftslagen och dataskyddsdirektivet. Eftersom denna respit snart upphör att gälla i fråga om automatiserad behandling, är det nu viktigt att analysera vilka problem som kan uppstå och vilka förändringar som krävs. En uppdelning kan göras på följande fyra problemområden:

Behandling av personuppgifter i personregister som förs med stöd av författning (författningsregister).

Behandling av personuppgifter i personregister som förs med stöd av tillstånd från Datainspektionen (tillståndsregister).

Behandling av personuppgifter i personregister som förs utan författnings- eller tillståndsstöd (oreglerade register).

Behandling av personuppgifter på annat sätt än i personregister, dvs. behandling som inte omfattas av datalagens bestämmelser (behandling av personuppgifter i löpande text).

SOU 2001:32 Övergripande om nödvändiga förändringar 87
   

I de följande avsnitten redovisar vi olika problem som inom respektive område kan uppstå i domstolarnas och nämndernas verksamheter.

4.2.1Författningsregister

I dag finns inga registerförfattningar som är tillämpliga på behandling av personuppgifter i hyres- och arrendenämnderna. För domstolarna finns däremot två förordningar, nämligen förordningen (1994:90) om registerföring vid länsrätt med hjälp av automatisk databehandling samt förordningen (1986:104) om registerföring vid allmänna domstolar med hjälp av automatisk databehandling. För personregister som förs av Regeringsrätten och kammarrätterna finns således inte någon författningsreglering.

De personregister som utgör mål- och ärendestöd vid domstolarna regleras, med undantag för Regeringsrättens och kammarrätternas målregister, samtliga genom författning. Tingsrätter och länsrätter använder sig av två olika versioner av i grunden ett och samma målhanteringssystem (MÅHS) som förs med stöd av förordningarna. Detsamma gäller den överrättsversion av MÅHS som används av Hovrätten för Västra Sverige. Dessutom för Högsta domstolen och flera hovrätter målregister med stöd av förordning. Samtliga dessa domstolar använder således var och en för sig ett författningsreglerat personregister för vilket respektive domstol är registeransvarig. De olika personregistren beskrivs närmare i avsnitt 3.2.

I samband med att datalagen upphör att gälla den 30 september 2001 är det viktigt att bestämmelserna i förordningarna kan tillämpas utan att de kommer i konflikt med bestämmelserna i personuppgiftslagen och det bakomliggande dataskyddsdirektivet. Dessutom måste förordningarna kompletteras i den mån det saknas bestämmelser i frågor som regleras av personuppgiftslagen, om avsaknaden av särskilda bestämmelser skulle förorsaka svårigheter.

En närmare genomgång av förordningarna för allmänna domstolar respektive länsrätter görs i avsnitt 3.1. I korthet innefattar förordningarna bestämmelser som reglerar fyra olika frågor avseende användningen av personregister, nämligen ändamål, innehåll, sökbegrepp och gallring.

Ändamålet med behandling av personuppgifter är en av de viktigare frågorna vid tillämpningen av personuppgiftslagen. Av 9 §, som har sin bakgrund i artikel 6 i dataskyddsdirektivet, framgår att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål, att senare behandling inte får vara oförenlig med de ursprungliga ändamålen, att de personuppgifter som behandlas skall vara

88 Övergripande om nödvändiga förändringar SOU 2001:32
   

adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. De angivna ändamålen intar således en mycket viktig roll vid bedömningen av hur personuppgifter får behandlas i ett datoriserat register. Det är därför viktigt att ändamålen med de register som regleras i förordningarna uttrycks så att det inte uppstår några konflikter med hur registren faktiskt skall användas, samtidigt som ändamålen självfallet måste stå i överensstämmelse med personuppgiftslagens krav.

Av ändamålsbestämmelserna i 9 § personuppgiftslagen framgår att ett personregister inte får innehålla uppgifter som inte står i överensstämmelse med ändamålen med registret. Eftersom personuppgiftslagen är en generell författning avseende behandling av personuppgifter saknas det, med ett undantag, specifika bestämmelser om innehåll. Un- dantaget utgörs av vissa uppgiftstyper som enligt 13 § personuppgiftslagen bedöms vara känsliga (ras, etniskt ursprung, fackföreningstillhörighet, hälsotillstånd m.m.). Sådana uppgifter får, med vissa undantag, inte alls behandlas utan samtycke av den registrerade om det inte särskilt regleras i specialförfattning. För att konflikter med dataskyddsdirektivet och personuppgiftslagen skall undvikas är det därför väsentligt att förordningarna innehåller bestämmelser om behandling av känsliga personuppgifter. Dessa måste utformas så att de överensstämmer med de ändamål som gäller för respektive register.

I dataskyddsdirektivet och personuppgiftslagen regleras inte uttryckligen frågan om sökmöjligheter och sökbegränsningar. Att all behandling skall ske i enlighet med angivna ändamål innebär dock att sökningar och sammanställningar som ger information, vilken inte stämmer överens med ändamålet för ett personregister, inte får förekomma. Den rättsliga regleringen av vilka sökmöjligheter som skall vara tillåtna måste därför ses över.

En viktig fråga avseende vilka personuppgifter som får behandlas i ett personregister är när uppgifter i registret skall gallras. I artikel 6 i dataskyddsdirektivet anges att medlemsstaterna skall se till att personuppgifter förvaras på ett sätt som förhindrar identifiering av registrerade personer under en längre tid än som är nödvändigt för ändamålen med behandlingen. Av 9 § personuppgiftslagen följer att uppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med registren. Innebörden av bestämmelserna är i grunden densamma.

Betydelsen av gallringsbestämmelsen i 9 § personuppgiftslagen begränsas i viktiga avseenden genom att det i 8 § sägs att lagens bestämmelser inte skall tillämpas i den utsträckning det skulle inskränka en myndighets skyldigheter enligt 2 kap. tryckfrihetsförordningen. Dess-

SOU 2001:32 Övergripande om nödvändiga förändringar 89
   

utom sägs uttryckligen i 8 § att lagens bestämmelser inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Trots dessa begränsningar i tillämpligheten av personuppgiftslagens allmänna gallringsbestämmelse, är det viktigt att göra en översyn av de särskilda gallringsbestämmelserna i förordningarna.

4.2.2Tillståndsregister

Det finns i dag ingen författningsreglering av vilka register som får föras av Regeringsrätten, kammarrätterna samt hyres- och arrendenämnderna. Verksamhetsstödjande personregister hos dessa domstolar och nämnder förs därför med stöd av tillstånd från Datainspektionen. Det gäller t.ex. förvaltningsdomstolarnas målregister Find-It samt den version av MÅHS som används av vissa nämnder. Av redovisningen i kapitel 3 framgår att det även finns administrativa personregister som förs med stöd av sådana tillstånd.

Samtliga tillstånd av Datainspektionen upphör att gälla den 30 september 2001, vilket innebär att de personregister som förs med tillstånd därefter helt kommer att omfattas av personuppgiftslagens bestämmelser. En bedömning måste då göras om det finns behov av särskilda bestämmelser, exempelvis i fråga om vilka uppgifter som får behandlas och för vilka ändamål behandlingen får ske samt hur länge uppgifterna skall bevaras. Frågeställningarna blir alltså i stora delar desamma som för författningsreglerade register.

4.2.3Oreglerade register

I många fall får personregister föras enligt datalagen även om det inte finns någon författningsreglering eller något tillstånd från Datainspektionen som reglerar registret. Det gäller när ett personregister inte innehåller några känsliga uppgifter eller uppgifter om personer som saknar naturlig anknytning till den registeransvarige, t.ex. genom anställning. Ett ytterligare krav är att personregistret inte samkörs med andra personregister. Flertalet administrativa register hör till denna kategori av personregister.

På samma sätt som för de personregister som förs med stöd av tillstånd från Datainspektionen kommer samtliga dessa register att omfattas helt av personuppgiftslagens bestämmelser fr.o.m. den 1 oktober 2001. Motsvarande överväganden som krävs för tillståndsregister måste därför göras även i fråga om de i dag oreglerade registren.

90 Övergripande om nödvändiga förändringar SOU 2001:32
   

4.2.4Behandling av personuppgifter i löpande text

Den behandling av personuppgifter som i dag förekommer vid domstolarna och nämnderna är endast reglerad såvitt avser förandet av strukturerade personregister i datalagens mening. En mycket stor del av all automatiserad behandling av personuppgifter sker dock inte i sådana register, utan i löpande text som inte utgör personregister. Det mest självklara exemplet är framställningen av domar och beslut med hjälp av ord- och textbehandling. Det är emellertid betydligt fler dokument än så som bearbetas med datorstöd av såväl juridisk personal som kanslipersonal, t.ex. promemorior som används för enskilda domares och handläggares räkning som ett led i den dömande verksamheten samt kallelser, förelägganden och administrativa dokument m.m.

Denna form av behandling av personuppgifter i löpande text omfattas av personuppgiftslagens bestämmelser. Det innebär att all ord- och textbehandling fr.o.m. den 1 oktober 2001 måste anpassas så att den uppfyller personuppgiftslagens krav, om det inte då finns en särskild författningsreglering av behandlingen.

Personuppgiftslagens bestämmelser sätter upp begränsningar när det gäller vilka uppgifter som får behandlas. Känsliga personuppgifter enligt 13 § personuppgiftslagen får inte alls behandlas utan samtycke från den registrerade, utom i vissa särskilt reglerade fall. Med känsliga uppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening. Även uppgifter som rör hälsa eller sexualliv anses som känsliga i lagens mening. Vid framställandet av domar, beslut och promemorior m.m. är det i många fall nödvändigt att sådana uppgifter behandlas. Från och med den 1 oktober 2001 måste det således finnas någon form av författningsreglering för att behandling av sådana uppgifter skall kunna fortsätta.

Problem kan även komma att uppstå i frågor som rör bevarande och gallring av personuppgifter. Enligt huvudregeln i 9 § personuppgiftslagen skall den personuppgiftsansvarige se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Undantag från denna bestämmelse görs dock i fråga om myndigheters hantering av allmänna handlingar. Be- stämmelserna kommer sannolikt inte att vara helt enkla att tillämpa och det kan därför krävas särskilda regler om bevarande och gallring av uppgifter.

SOU 2001:32 Övergripande om nödvändiga förändringar 91
   

4.3Skyddet för personlig integritet

De grundläggande bestämmelserna om skydd för den personliga integriteten finns i regeringsformen. Redan i 1 kap. 2 § slås fast att det allmänna skall värna om den enskildes privatliv. En särskild bestämmelse som avser integritetsskyddet vid användningen av automatisk databehandling finns i 2 kap. 3 §. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den författning som tidigare har haft som syfte att uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är främst datalagen, vilken numera har ersatts av personuppgiftslagen. Dessutom finns integritetsskyddande bestämmelser i registerförfattningar och i sekretesslagen.

Det finns ingen egentlig definition av integritetsbegreppet. Det råder dock knappast någon tvekan om att stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, utgör en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Domstolarnas och nämndernas användning av datorer i sina verksamheter kan alltså i sig utgöra ett hot mot den personliga integriteten. Detta måste hela tiden beaktas vid utformningen av en författningsreglering inom området.

Vi vill slå fast att vi anser det viktigt att en författningsreglering som bland annat syftar till att underlätta myndigheters användning av datorer för att uppnå effektivitetsvinster i olika samhällsfunktioner, inte får utformas på ett sådant sätt att integritetsskyddet för enskilda urholkas eller försämras. Detta är en mycket viktig utgångspunkt i vårt arbete med att nu i ett delbetänkande ta fram nödvändiga regler med anledning av datalagens upphörande.

92 Övergripande om nödvändiga förändringar SOU 2001:32
   

4.4Personuppgiftslagen eller specialreglering

Vårt förslag: Den behandling av personuppgifter som sker automatiserat i domstolarnas och nämndernas rättsskipande och rättsvårdande verksamhet skall författningsregleras särskilt. Uppgifter i den interna administrativa verksamheten skall behandlas enligt personuppgiftslagens bestämmelser.

Personuppgiftslagen är den generella lagstiftning som reglerar behandling av personuppgifter. Avvikande bestämmelser kan meddelas i lag eller förordning och gäller då framför personuppgiftslagen. För att Sverige skall uppfylla sina åligganden enligt EG-rätten får emellertid avvikande författningar (specialreglering) inte strida mot det underliggande dataskyddsdirektivet.

En första fråga som vi har ställt oss vid bedömningen av hur behandling av personuppgifter vid domstolarna och nämnderna skall regleras, är om det behövs specialreglering eller om det är tillräckligt att personuppgiftslagen är direkt tillämplig på behandlingen. Vi har funnit att en rimlig utgångspunkt är att specialreglering bör tillämpas bara om det finns beaktansvärda skäl för det. Det finns ingen anledning att tynga lagstiftningen med onödig reglering.

Enligt vår bedömning kan specialreglering av en myndighets behandling av personuppgifter generellt anses vara behövlig i ett antal olika situationer. Exempel på sådana situationer, som vi anser att man särskilt måste beakta, är följande:

När en nödvändig behandling över huvud taget inte är tillåten enligt personuppgiftslagen, t.ex. i fråga om behandling av vissa känsliga uppgifter.

När personuppgiftslagen visserligen reglerar ett visst förhållande men det finns anledning att avvika från eller precisera den regleringen, t.ex. i fråga om hur länge uppgifter får bevaras.

När personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, t.ex. i fråga om vem som är personuppgiftsansvarig.

När det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl, t.ex. i fråga om myndigheters registrering av stora eller känsliga uppgiftsmängder.

SOU 2001:32 Övergripande om nödvändiga förändringar 93
   

När det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som olika myndigheter registrerar.

Vid bedömningen av om olika former av behandling av personuppgifter vid domstolarna och nämnderna bör regleras i särskild författning eller inte, har vi funnit en avgörande skiljelinje mellan den egentliga rättsskipande och rättsvårdande verksamheten å ena sidan och den interna administrationen å andra sidan

4.4.1Verksamhetsstödjande datorsystem m.m.

Domstolarnas och nämndernas egentliga verksamhet kan sägas utgöras av deras rättsskipande och rättsvårdande arbetsuppgifter. I dessa verksamheter behandlas personuppgifter automatiserat såväl vid registrering i större datorsystem som vid framställning av dokument med hjälp av ordbehandlingsprogram. De olika sätt på vilka behandling sker redovisas i avsnitt 3.2 och 3.4.

När det gäller större datorsystem som utgör verksamhetsstöd, t.ex. MÅHS och Find-It, anser vi att behandling av personuppgifter bör specialregleras av samtliga de under huvudrubriken till avsnitt 4.4 uppräknade skälen. Även för behandling av personuppgifter i löpande text är det enligt vår uppfattning nödvändigt med särskild reglering, främst på grund av förbudet enligt personuppgiftslagen att behandla känsliga personuppgifter. Vi föreslår därför att den behandling av personuppgifter som sker i den rättsskipande och rättsvårdande verksamheten skall författningsregleras.

En viktig fråga är i vilken form författningsregleringen bör ske, genom lag, förordning eller myndighetsföreskrifter. I domstolarnas datorsystem behandlas mängder av uppgifter om enskilda personer. Uppgifterna är i många fall känsliga, de kan t.ex. röra brott, ekonomiska förhållanden, sociala tvångsåtgärder m.m., och det är därför viktigt att de behandlas på ett sådant sätt att vederbörlig hänsyn tas till den personliga integriteten hos parter och andra aktörer i domstolarna. Frågor om regleringen av personregister har behandlats av Konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48). Regeringen har instämt i dessa uttalanden (se bl.a. prop. 1990/91:60 s. 58 och 1997/98:44 s. 41). Enligt vår bestämda uppfattning är domstolarnas och nämndernas automatiserade behandling av personuppgifter av sådan karaktär och omfattning att de grundläggande principerna för behandlingen skall slås fast i lag.

94 Övergripande om nödvändiga förändringar SOU 2001:32
   

Redan den 1 oktober 2001 inträffar emellertid avgörande förändringar i de rättsliga möjligheterna att behandla personuppgifter. Det är därför av yttersta vikt att en författningsreglering som tillåter nödvändig behandling har trätt i kraft den dagen, för att möjligheterna för domstolar och nämnder att bedriva ett effektivt arbete inte skall gå tillfälligt förlorad. Vi gör bedömningen att det av tidsskäl inte är möjligt att i detta skede föreslå en författningsreglering som skall underställas riksdagens prövning. Vi föreslår därför att domstolarnas och nämndernas behandling av personuppgifter tills vidare regleras i förordning, i avvaktan på att mer heltäckande och genomgripande förslag kan läggas fram. En följd av vår bedömning att en reglering egentligen bör ske i lagform, är att våra förslag till förordningar i princip endast har till syfte att möjliggöra fortsatt behandling av personuppgifter på det sätt som sker i dag. De närmare skälen för författningsförslagen redovisas i kapitel 5.

4.4.2Administrativt datorstöd

Vid sidan av personregister i form av större datorsystem använder domstolar och nämnder ofta även mindre omfattande och mindre känsliga interna administrativa personregister. För sådana register bör en utgångspunkt enligt vår uppfattning vara att specialreglering endast bör förekomma om det är nödvändigt för att viktiga behandlingar skall kunna utföras. Vi redovisar i avsnitt 3.3 de register som vi genom vår enkätundersökning har kunnat konstatera används vid domstolarna och nämnderna.

Avgörande för om dessa personregister kan användas även fortsättningsvis utan särskild författningsreglering, är om behandlingen ryms inom de ramar för det tillåtna området som sätts upp av personuppgiftslagens bestämmelser. Till grund för den tolkning av relevanta bestämmelser som vi redovisar nedan ligger främst Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1987:39) samt prop. 1997/98:44 Personuppgiftslag.

Grundläggande bestämmelser

De grundläggande bestämmelserna om när behandling av personuppgifter över huvud taget är tillåten finns i 10 § personuppgiftslagen. Där anges att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig av vissa punktvis uppräknade orsaker. Nödvändighetsrekvisitet har inte ansetts innebära att en behandling av personuppgifter skall va-

SOU 2001:32 Övergripande om nödvändiga förändringar 95
   

ra omöjlig att utföra på ett sätt som inte omfattas av personuppgiftslagen, t.ex. genom vanlig pappersbehandling eller genom att uppgifter avidentifieras. Det räcker sannolikt att det innebär en påtaglig förenkling för den personuppgiftsansvarige att personuppgifter behandlas på automatiserad väg. Däremot torde det inte vara tillräckligt om en arbetsuppgift kan utföras nästan lika enkelt och billigt på annat sätt. Av intresse bland de uppräknade situationerna i 10 §, när samtycke inte krävs, anser vi i det här sammanhanget vara främst punkterna b, e och f.

Av 10 § b personuppgiftslagen framgår att behandling får utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet. Det är den personuppgiftsansvarige som skall ha den rättsliga skyldigheten, men det är inte klart vad som egentligen avses med begreppet. Ett rimligt exempel är dock arbetsrättsliga skyldigheter. Enligt vår bedömning får en arbetsgivare behandla personuppgifter om det behövs för att fullgöra skyldigheter på arbetsrättens område, t.ex. i olika register med uppgifter om anställningar och löner m.m. Även andra situationer kan naturligtvis komma i fråga.

Enligt 10 § e personuppgiftslagen får uppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige (eller tredje man till vilken uppgifterna lämnas ut) skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. Denna bestämmelse tillåter sannolikt en stor del av den behandling av personuppgifter som utförs inom den offentliga sektorn, i vart fall när det gäller den egentliga verksamheten. Det är mer tveksamt om bestämmelsen är tillämplig i fråga om intern myndighetsadministration, som t.ex. personalfrågor. En rimlig gränsdragning skulle enligt vår bedömning kunna vara om en uppgift används i den faktiska verksamheten (t.ex. tjänstgörings- och arbetsfördelningslistor) eller om uppgiften är av direkt betydelse endast för förhållandet mellan den anställde och arbetsgivaren (t.ex. en uppgift om lön). I det förra fallet torde 10 § e vara tillämplig, men inte i det senare.

I 10 § f personuppgiftslagen anges att personuppgifter får behandlas om det är nödvändigt för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige (eller hos en tredje man till vilken uppgifter lämnas ut) skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Bestämmelsen utgör närmast en generalklausul och innebär att viss befogad behandling kan utföras trots att inte något av kraven i övriga punkter är uppfyllt. Bestämmelsen kan alltså tillämpas vad gäller flera administrativa register om myndighetens behov av viss behandling väger tyngre än de registrerades intresse av att behandlingen inte utförs. Vid en sådan avvägning måste enligt vår uppfattning uppgifternas karaktär ha en avgörande betydelse. Det torde inte före-

96 Övergripande om nödvändiga förändringar SOU 2001:32
   

ligga hinder mot att tillämpa bestämmelsen om de behandlade uppgifterna i sig kan anses harmlösa men är viktiga för den personuppgiftsansvarige. En bedömning som gjorts i förarbetena är dock att den registrerades intresse som regel måste anses väga tyngre om han eller hon har motsatt sig behandlingen.

Uppgifter av känslig karaktär

För vissa uppgifter av känslig karaktär är det inte tillräckligt att de krav som uppställs i 10 § personuppgiftslagen är uppfyllda för att automatiserad behandling skall vara tillåten. Ytterligare krav ställs när det gäller känsliga personuppgifter enligt 13 §, uppgifter om lagöverträdelser m.m. enligt 21 § samt person- eller samordningsnummer enligt 22 §.

Känsliga personuppgifter enligt 13 § är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. De flesta av dessa uppgifter är inte aktuella när det gäller administrativa register, men för en domstol kan det finnas anledning att i undantagsfall registrera uppgifter om politiska åsikter, medlemskap i fackförening eller personers hälsotillstånd (se nedan i avsnittet om våra slutsatser). Känsliga personuppgifter får inte behandlas utan särskilt författningsstöd, utom i de undantagsfall som anges i personuppgiftslagen. Av dessa undantag är det endast två som är av intresse här. Av 15 § framgår bl.a. att känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Enligt 16 § a framgår vidare att uppgifter får behandlas även utan samtycke om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter inom arbetsrätten.

Uppgifter om lagöverträdelser m.m. får enligt 21 § personuppgiftslagen behandlas endast av myndigheter om det inte finns särskilt föreskrivna undantag. Denna bestämmelse utgör enligt vår bedömning inte något egentligt problem, eftersom förbudet endast gäller andra än myndigheter. Dessutom torde det sannolikt saknas anledning att registrera sådana uppgifter i administrativa register.

Person- och samordningsnummer får enligt 22 § behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Innebörden av bestämmelsen är att personnummer inte skall registreras slentrianmässigt om ett register kan fylla sin funktion ändå.

SOU 2001:32 Övergripande om nödvändiga förändringar 97
   

Våra slutsatser

Enligt vår bedömning är det möjligt för domstolarna och nämnderna att med stöd av de ovan redovisade bestämmelserna i personuppgiftslagen fortsätta föra samtliga de personregister över anställda som redovisas i avsnitt 3.3.1.

I vissa register förekommer att det antecknas känsliga personuppgifter som rör anställdas hälsa, t.ex. i sjukfrånvaroregister. Detta torde inte utgöra några problem så länge uppgifterna är relevanta för att domstolen eller nämnden skall kunna fullgöra skyldigheter eller utöva rättigheter inom arbetsrätten, t.ex. för utbetalning av sjuklön eller begäran om läkarintyg.

I fråga om ett av registren över anställda, och då endast i fråga om en viss uppgift, anser vi att viss försiktighet bör iakttas. Det gäller register i vilka uppgifter om notarier registreras. I sådana register bör enligt vår uppfattning inte antecknas information som innefattar omdömen om en notarie, dvs. betyg e.d., om notarien har motsatt sig att sådana uppgifter registreras på automatiserad väg. Motsvarande gäller givetvis även andra anställda än notarier, om sådana uppgifter registreras. Även om uppgifter avseende omdömen inte är känsliga i personuppgiftslagens mening, är de till sin karaktär sådana att de inte bör registreras mot den enskildes vilja. Det torde inte heller vara möjligt att registrera sådana uppgifter med stöd av någon annan bestämmelse än 10 § f personuppgiftslagen.

Sammantaget är någon kompletterande författningsreglering enligt vår uppfattning inte nödvändig för register över anställda.

Även i fråga om register över personer som inte är anställda vid domstolarna eller nämnderna (se avsnitt 3.3.2) gör vi den bedömningen att de i samtliga fall kan fortsätta föras efter den 30 september 2001 utan kompletterande författningsreglering. För ett av registren måste dock vissa särskilda krav ställas. Det gäller register över nämndemän m.fl. Domstolarna behöver registrera uppgifter om vilket parti som nominerat nämndemännen, för att på så sätt kunna fördela uppdrag på ett lämpligt sätt. Uppgifter om nominerande parti är en känslig personuppgift enligt 13 § personuppgiftslagen, och får därför inte registreras utan författningsstöd eller samtycke av den registrerade. Enligt vår uppfattning utgör inte detta problem tillräckliga skäl för en författningsreglering, utan de domstolar som anser att de behöver registrera uppgifterna får i stället begära samtycke från nämndemännen.

I fråga om övriga administrativa personregister, som redovisas i avsnitt 3.3.3, är det enligt vår uppfattning endast register som innehåller information över utgående och inkommande e-post som kan innebära problem. Över huvud taget utgör hanteringen av e-post ett problem för

98 Övergripande om nödvändiga förändringar SOU 2001:32
   

samtliga myndigheter, inte bara i förhållande till personuppgiftslagen utan även i fråga om hur bestämmelser i tryckfrihetsförordningen skall tillämpas. Vi nöjer oss i detta sammanhang med att konstatera att det inte torde utgöra några problem med avseende på personuppgiftslagen att registrera loggningsuppgifter över mottagare och avsändare av e- post. Större försiktighet bör möjligen tillämpas vid elektronisk lagring av e-post under längre tid, i vart fall i fråga om brev från utomstående som innehåller känsliga personuppgifter. Ett sätt att komma ifrån eventuella problem kan naturligtvis vara att gallra e-posten genom att skriva ut den på papper och bevara uppgifterna i den formen. Vägledning i den frågan kan hämtas i Riksarkivets föreskrifter och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (RA-FS 1997:6).

När det slutligen gäller uppgifter som behandlas i löpande text i den administrativa verksamheten, anser vi att samma argument är tillämpliga som för administrativa personregister. Till exempel ser vi inte något behov av att i denna form behandla känsliga personuppgifter i vidare utsträckning än vad som är praktiskt möjligt genom inhämtande av samtycke från de registrerade. Någon reglering av automatiserad behandling av personuppgifter i olika former av dokument eller annan löpande text, utöver vad som gäller enligt personuppgiftslagen, behövs således enligt vår uppfattning inte.

Sammanfattningsvis kan vi inte se att det finns några starka skäl för att särskilt författningsreglera den behandling av personuppgifter som förekommer i domstolarnas och nämndernas interna administrativa verksamhet. Det är dock åtskilligt som de personuppgiftsansvariga bör ha i åtanke i fråga om tillämpningen av personuppgiftslagen. De mer allmänna frågorna om hur register enligt vår uppfattning skall eller bör hanteras enligt den lagen redovisar vi i kapitel 6.

SOU 2001:32 Närmare om skälen för författningsförslagen 99
   

5Närmare om skälen för författningsförslagen

De två förordningar som i dag reglerar automatiserade personregister vid domstolarna är dels förordningen (1986:104) om registerföring vid allmänna domstolar med hjälp av automatisk databehandling, dels förordningen (1994:90) om registerföring vid länsrätt med hjälp av automatisk databehandling. Båda dessa förordningar bygger på att grundläggande bestämmelser om automatiserade register fanns i datalagen (1973:289). Eftersom den lagen helt upphör att gälla den 30 september 2001, måste registerförordningarna anpassas till personuppgiftslagen (1998:204) och dataskyddsdirektivet. Därutöver måste vissa register som i dag saknar författningsstöd regleras.

Som vi redovisar i kapitel 4 är vår utgångspunkt att de personregister som domstolarna och nämnderna för i dag skall kunna användas även fortsättningsvis, i avvaktan på en ny och heltäckande reglering av behandling av personuppgifter. I detta delbetänkande presenterar vi därför endast förslag som innebär dels att nuvarande bestämmelser anpassas till dataskyddsdirektivet och personuppgiftslagen, dels att de områden som i dag saknar särskilt författningsstöd regleras. Vi beaktar även det nya datorstöd som för närvarande utvecklas under ledning av Domstolsverket. Av tidsskäl är det nödvändigt att i detta skede göra så små ingrepp i gällande författningsreglering som möjligt. Större förändringar kommer att kräva särskilda överväganden. Vi återkommer till det i slutbetänkandet.

5.1Förordningarnas disposition

Vårt förslag: Bestämmelser om hantering av automatiserade register och annan automatiserad behandling av personuppgifter skall regleras i fyra nya förordningar; en för de allmänna domstolarna, en för länsrätterna, en för Regeringsrätten och kammarrätterna samt en för hyres- och arrendenämnderna.

100 Närmare om skälen för författningsförslagen SOU 2001:32
   

Vi anser att det är lämpligt att ha de två förordningar som gäller i dag som utgångspunkt för den nya, och tillfälliga, regleringen. De kompletteringar och förändringar som måste göras för att förordningarna skall uppfylla de krav som kommer att ställas fr.o.m. den 1 oktober 2001, är emellertid så omfattande att vi föreslår nya förordningar i stället för ändringar i de nu gällande. Däremot finns det ingen anledning att nu ändra tillämpningsområdet för förordningarna i fråga om vilka domstolar de omfattar. Det innebär att det enligt våra förslag även fortsättningsvis – i avvaktan på en mer fullständig reglering – kommer att finnas en förordning som reglerar de allmänna domstolarna och en som reglerar länsrätterna.

Kvar att reglera är då personregister och annan automatiserad behandling av personuppgifter vid dels Regeringsrätten och kammarrätterna, dels hyres- och arrendenämnderna. Eftersom Regeringsrätten och kammarrätterna använder sig av ett särskilt och i flera avseenden speciellt målregister, Find-It, anser vi det lämpligt att dessa domstolars hantering av personuppgifter regleras i en särskild förordning. Även hyres- och arrendenämndernas behandling kommer enligt våra förslag därför att regleras i en egen förordning. Sammantaget föreslår vi alltså fyra nya förordningar.

De två i dag gällande förordningarna är inbördes likartat uppbyggda och skillnader finns egentligen endast när det är motiverat med hänsyn till verksamheterna. Det finns enligt vår mening fördelar med en sådan ordning. Samtliga fyra nya förordningar är därför enligt våra förslag inbördes disponerade på samma sätt och skiljer sig åt endast när det finns faktiska skäl för det. Efter inledande bestämmelser om förordningarnas tillämpningsområde följer bestämmelser om vad vi har valt att kalla verksamhetsregister, dvs. MÅHS och Find-It samt diverse andra målregister. Därefter regleras frågor om register som utnyttjas för bl.a. återsökning av vägledande avgöranden, vilka vi har valt att kalla rättsfallsregister. Ett helt nytt område, som i dag inte regleras alls, är annan automatiserad behandling av personuppgifter än den som sker i egentliga personregister. Till sådan behandling hör främst hanteringen av filer för ordbehandlings- och kalkylprogram, exempelvis Word och Excel. Samtliga förordningar avslutas med bestämmelser om rättelse, skadestånd och överklagande.

I följande avsnitt redogör vi för de olika förordningarna i ett sammanhang och anmärker särskilt i de fall det finns sakliga skillnader mellan förslagen.

SOU 2001:32 Närmare om skälen för författningsförslagen 101
   

5.2Förordningarnas tillämpningsområde och förhållande till personuppgiftslagen

Vårt förslag: Förordningarna skall gälla utöver personuppgiftslagen vid automatiserad behandling av personuppgifter i domstolarnas och nämndernas rättsskipande eller rättsvårdande verksamhet.

5.2.1Personuppgiftslagens tillämpning

Av 2 § personuppgiftslagen framgår att om det finns avvikande bestämmelser i annan lag eller förordning skall de bestämmelserna gälla. Det är alltså möjligt att frångå eller närmare precisera bestämmelserna i personuppgiftslagen, under förutsättning att avvikelserna inte strider mot dataskyddsdirektivet. I de av oss föreslagna förordningarna finns särskilda bestämmelser om bl.a. ändamål, registerinnehåll och gallring av uppgifter. För frågor som däremot inte särskilt regleras i förordningarna gäller i stället personuppgiftslagens bestämmelser, t.ex. i fråga om information till registrerade och anmälan till Datainspektionen. Även om det inte behöver regleras särskilt anser vi att det ändå är lämpligt att det av förordningarna uttryckligen framgår att de gäller utöver personuppgiftslagen. I vissa fall, t.ex. i fråga om rättelse, krävs emellertid särskilda bestämmelser i förordningarna som hänvisar till personuppgiftslagen för att bestämmelserna i den lagen skall bli tillämpliga (se avsnitt 5.7).

5.2.2Automatiserad behandling

Personuppgiftslagen är enligt 5 § tillämplig på såväl helt eller delvis automatiserad behandling som på viss manuell behandling av personuppgifter. Manuell behandling omfattas bara om de behandlade uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. För sådana manuella register gäller särskilda övergångsbestämmelser, om registret fanns eller påbörjades före personuppgiftslagens ikraftträdande, vilket innebär att flera viktiga bestämmelser i personuppgiftslagen i princip inte blir tillämpliga förrän år 2007. Det finns anledning att närmare se över frågan om även sådana manuella register skall regleras utöver vad som gäller enligt personuppgiftslagens bestämmelser. Vi väljer dock av tidsskäl att inte nu

102 Närmare om skälen för författningsförslagen SOU 2001:32
   

lämna några förslag i den delen, utan de av oss föreslagna förordningarnas tillämpningsområde inskränker sig till den automatiserade behandlingen av personuppgifter.

Begreppet automatiserad behandling omfattar främst datoriserad behandling av uppgifter, oavsett om det sker i vad som enligt datalagen benämns personregister eller i löpande text eller på annat sätt. Enligt vår uppfattning är registerbegreppet, om än inarbetat, inte lämpligt som beskrivning på mer komplexa datorsystem för mål- och ärendehantering. Vi har också för avsikt att i vårt vidare arbete titta närmare på regleringens begreppsapparat. Tills vidare anser vi dock att det är lämpligt att i förordningarna om automatiserad behandling i den rättsskipande och rättsvårdande verksamheten göra skillnad på uppgifter som behandlas i register och uppgifter som behandlas i löpande text.

Det är inte självklart var gränsen skall går mellan behandling av personuppgifter i register och behandling i löpande text. Vår avsikt är att med register skall avses främst de verksamhetsstödjande datorsystem som används av domstolarna och nämnderna (verksamhetsregister). Till kategorin register som omfattas av förordningarna hör även större sammanställningar för återsökning av vägledande avgöranden m.m. (rättsfallsregister). Däremot utgör t.ex. domar och andra vanliga dokument framställda med hjälp av ordbehandling inte register i den betydelse som vi tillskriver begreppet, även om de innehåller personuppgifter. Det gäller också promemorior som upprättas som ett led i handläggningen av ett mål eller ärende, även om de innehåller sammanställningar av rättsfall m.m.

Det avgörande för om en viss behandling i den rättsskipande eller rättsvårdande verksamheten skall omfattas av förordningarnas bestämmelser om verksamhetsregister och rättsfallsregister eller av bestämmelserna om behandling i löpande text, kan enligt vår uppfattning dock inte vara vilken programvara som används. Ett register som utnyttjas som stöd i handläggningen skulle kunna upprättas med hjälp av ett vanligt ordbehandlings- eller kalkylprogram, t.ex. ett register över personer som är föremål för förenklad delgivning. Det avgörande för vilka bestämmelser som skall tillämpas bör enligt vår mening i stället vara för vilket ändamål behandlingen utförs. Om ändamålet är att det upprättade dokumentet skall användas allmänt i verksamheten för sökning efter uppgifter vid handläggningen av mål och ärenden, bör det omfattas av bestämmelserna om verksamhetsregister eller rättsfallsregister. Att ange en exakt definition på vad som är register är emellertid enligt vår uppfattning inte möjligt. Gränsdragningen mellan register och löpande text, i förordningarnas mening, har främst betydelse i fråga om vilka uppgifter som får registreras och vilka sökbegrepp som får användas.

SOU 2001:32 Närmare om skälen för författningsförslagen 103
   

5.2.3Den rättsskipande och rättsvårdande verksamheten

I kapitel 4 redovisar vi våra överväganden om gränsdragningen mellan å ena sidan behandling av personuppgifter i den egentliga verksamheten, dvs. handläggningen av t.ex. mål och domstolsärenden, och å andra sidan behandling av personuppgifter i den administrativa verksamheten, t.ex. personalärenden. Vi gör den bedömningen att någon särskild reglering inte är nödvändig för den administrativa hanteringen och att det således endast är i den egentliga verksamheten som det behövs och bör finnas särskild reglering. För att markera detta anges att förordningarna gäller behandling av personuppgifter i domstolarnas och nämndernas rättsskipande eller rättsvårdande verksamhet.

5.2.4Registrerades rätt att motsätta sig behandling

Av dataskyddsdirektivets artikel 7 e och 14 a framgår att medlemsstaterna i vissa fall, bl.a. när personuppgifter behandlas som ett led i myndighetsutövning, skall tillförsäkra den registrerade rätt att i vissa fall motsätta sig behandling av uppgifter som rör honom eller henne. Det finns dock möjligheter att i nationell lagstiftning göra undantag från denna rättighet för enskilda. I 12 § personuppgiftslagen anges också att en enskild normalt inte har rätt att motsätta sig behandling som är tilllåten enligt den lagen. Bestämmelsens utformning är sådan att den inte täcker in behandling som sker enligt andra författningar. Det är av lagtekniska skäl även svårt att i en särreglering hänvisa till bestämmelsen i personuppgiftslagen. För att inte enskilda i vissa fall skall kunna motsätta sig sådan behandling som domstolarna utför korrekt med stöd av förordningarna, föreslår vi därför att det i förordningarna uttryckligen anges att denna möjlighet inte finns.

5.3Personuppgiftsansvar

Vårt förslag: En domstol eller nämnd skall vara personuppgiftsansvarig för den behandling som domstolen eller nämnden utför. Domstolsverket skall vara ansvarig för behandling som verket utför.

104 Närmare om skälen för författningsförslagen SOU 2001:32
   

Enligt 3 § personuppgiftslagen är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålet med och medlen för behandlingen av personuppgifter. Med tillämpning av denna definition kan det uppstå problem vid bedömningen av vem som är att anse som personuppgiftsansvarig i ett visst fall. Det är t.ex. inte självklart om en domstol och Domstolsverket skall anses vara gemensamt personuppgiftsansvariga när domstolen registrerar uppgifter med hjälp av ett datorsystem som verket ansvarar för. Sådana avgränsningsfrågor kan göra det svårt för enskilda att få rätt gentemot den personuppgiftsansvarige i fråga om exempelvis rättelse av felaktigt hanterade uppgifter i ett register.

För att undvika denna typ av problem anser vi att det av förordningarna mer konkret bör framgå vem som är personuppgiftsansvarig. En lösning skulle kunna vara att ange att den domstol eller nämnd som hanterar ett register är ansvarig för all behandling i registret. Med hänsyn till det samarbete som finns mellan Domstolsverket och domstolarna i fråga om datorsystem, inte minst under den närmaste framtiden då det under ledning av verket pågår arbete med framtagande av nya datorsystem för domstolarna, är det dock sannolikt att det kan komma att uppstå situationer då det snarare är Domstolsverket än den aktuella domstolen som har reell möjlighet att ansvara för hur uppgifter behandlas. Som exempel kan nämnas att den personuppgiftsansvarige enligt 31 § personuppgiftslagen skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas. Detta ansvar kommer i normalfallet inte att kunna läggas på enskilda domstolar eller nämnder när de utnyttjar helhetslösningar för datorsystem som har utvecklats och tillhandahålls genom Domstolsverkets försorg.

Det är således enligt vår mening inte lämpligt att göra domstolarna ensamt ansvariga för all behandling av personuppgifter i den rättsskipande och rättsvårdande verksamheten. Det är å andra sidan av motsvarande skäl inte heller lämpligt att göra Domstolsverket ensamt personuppgiftsansvarigt, eftersom det i de flesta situationer sannolikt är endast domstolarna som kan påverka behandlingen, t.ex. i fråga om vilka uppgifter som faktiskt registreras.

Det återstår då två möjliga lösningar. En är att i förordningarna föreskriva att Domstolsverket och den domstol eller nämnd som för ett visst personregister är gemensamt personuppgiftsansvariga för all behandling. En annan lösning är att Domstolsverket respektive domstolarna och nämnderna var och en ansvarar för den behandling de utför. En fördel med en ordning som innebär ett rättsligt fastställt gemensamt ansvar är att en enskild registrerad aldrig behöver tveka över vem som är personuppgiftsansvarig för en viss behandling. Dessutom skulle tveksamma gränsdragningssituationer kunna undvikas vid en rättslig

SOU 2001:32 Närmare om skälen för författningsförslagen 105
   

prövning. Det finns emellertid även nackdelar med en sådan lösning. Vi anser att det är olämpligt att ge en myndighet ett rättsligt ansvar för frågor som den inte har möjlighet att påverka, vilket skulle bli fallet med ett gemensamt ansvar för samtliga behandlingar. Detta har betydelse inte minst i fråga om det straffrättsliga ansvar som kan följa av personuppgiftslagens bestämmelser. En annan aspekt är domstolarnas självständiga ställning i förhållande till Domstolsverket i fråga om hanteringen av den rättsskipande och rättsvårdande verksamheten.

Enligt vår mening väger nackdelarna med ett strikt och för all behandling gemensamt ansvar tyngre än fördelarna. Vi anser därför att en domstol eller en nämnd bör vara ansvarig för den behandling som domstolen eller nämnden utför och Domstolsverket för den behandling som verket utför. Det bör nämnas att regeringen har föreslagit motsvarande lösning i prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution.

I det konkreta fallet skulle en sådan bestämmelse exempelvis innebära att en domstol är personuppgiftsansvarig för om en uppgift blir korrekt registrerad i datorsystemet (rätt namn eller adress osv.) och används på ett korrekt sätt i verksamheten. Däremot skulle Domstolsverket enligt vår uppfattning komma att anses som personuppgiftsansvarigt för felaktig behandling av en uppgift till följd av funktioner i den fasta programvaran till ett datorsystem som verket ansvarar för. Som ett teoretiskt exempel på det sistnämnda kan nämnas att en uppgift bevaras under längre tid än vad förordningarna tillåter på grund av att datorsystemet är konstruerat så att uppgiften inte kan gallras förrän vid ett senare tillfälle. Det kan dessutom tänkas komma att uppstå situationer när personuppgiftsansvaret måste anses gemensamt för verket och en domstol eller nämnd. I praktiken torde det dock sällan komma att uppstå några problem med fastställandet av vem som har utfört, och därmed är personuppgiftsansvarig för, en viss behandling.

Det kan noteras att arkivansvaret enligt arkivlagen (1990:782) normalt torde sammanfalla med personuppgiftsansvaret. Eftersom Domstolsverket i de flesta fall ansvarar endast för de tekniska lösningarna, medan domstolarna och nämnderna är personuppgiftsansvariga för registreringen av det materiella innehållet i datorsystemen, torde det normalt vara de sistnämnda som också är arkivansvariga. Vi återkommer till denna fråga i slutbetänkandet.

Avslutningsvis bör i detta sammanhang personuppgiftsansvaret för de publika eller allmänt tillgängliga rättsdatabaser m.m. som domstolarna och nämnderna har tillgång till via Internet beröras, t.ex. Sema In- foDatas InfoTorg, Regeringskansliets Lagrummet och riksdagens Rixlex m.fl. Oavsett om databaserna utgör allmänna handlingar hos en domstol eller inte, omfattas användandet av dessa databaser inte av be-

106 Närmare om skälen för författningsförslagen SOU 2001:32
   

stämmelserna i de av oss föreslagna förordningarna (i de fall användningen regleras genom avtal med annan myndighet omfattas databaserna inte av den s.k. biblioteksregeln i 2 kap. 11 § tryckfrihetsförordningen, och uppgifterna utgör då i princip allmänna handlingar hos domstolen eller nämnden). Det är således bestämmelserna om personuppgiftsansvar i personuppgiftslagen som blir tillämpliga. Eftersom domstolarna och nämnderna inte har någon bestämmanderätt över ändamålen med och medlen för behandlingen i dessa databaser, torde de inte kunna anses vara personuppgiftsansvariga. Detta ansvar faller i stället normalt på de myndigheter eller företag som tillhandahåller tjänsterna.

5.4Verksamhetsregister

Vårt förslag: Domstolarna och nämnderna skall få föra automatiserade register över mål eller ärenden som handläggs där. Ett register skall få innehålla en viss uppgift endast om det anges i bilagor till förordningarna. Vissa begränsningar skall finnas för domstolarnas och nämndernas möjlighet att söka i ett register. I förordningarna skall anges vilka regler som gäller för bevarande och gallring av uppgifter.

5.4.1Ändamål

De flesta domstolar och några av nämnderna för i dag personregister av olika slag som stöd för handläggningen av mål eller ärenden. Det mest spridda registret, eller datorsystemet, är underrätternas MÅHS, men det finns flera andra typer av datorsystem, t.ex. Find-It som används av Regeringsrätten och kammarrätterna. De allmänna domstolarnas och länsrätternas användning av dessa datorsystem regleras i dag i särskilda förordningar, medan övriga domstolar och nämnderna för register med stöd av tillstånd från Datainspektionen. Som vi nämnt tidigare är vår avsikt att de register som används i dag skall kunna fortsätta användas även efter den 1 oktober 2001. De förordningar vi föreslår motsvarar därför i princip dagens förordningar och tillstånd från Datainspektionen i fråga om registrens ändamål och användningsområde.

Vi har emellertid valt att förenkla ändamålsbestämmelserna i förhållande till vad som gäller enligt dagens registerförordningar för allmänna domstolar och länsrätter. Exempelvis har vi avstått från att närmare definiera för vilka mål och ärenden som registren får användas.

SOU 2001:32 Närmare om skälen för författningsförslagen 107
   

Under förutsättning att det handlar om mål och ärenden i den rättsskipande eller rättsvårdande verksamheten bör enligt vår mening registren få användas utan begränsning (jfr avsnitt 5.2.3). I praktiken torde det inte innebära några egentliga förändringar mot vad som gäller i dag, men förenklingen har den fördelen att om domstolarna eller nämnderna tillförs nya mål- eller ärendetyper, så kommer det inte att krävas några följdändringar i registerförordningarna.

De i dag gällande förordningarna är relativt detaljerade i fråga om vad ett personregister får användas för. Som exempel kan nämnas att det anges att registret får användas som hjälpmedel för utskrift och expediering av domar, beslut och kallelser m.m. samt för delgivningsrutiner m.m. Enligt vår bedömning kan och bör detta uttryckas enklare, nämligen genom att det anges att ett register får användas för handläggning av mål eller ärenden. Här innefattas enligt vår uppfattning de uppräkningar som i dag görs i gällande förordningar. Liksom i dag skall registren givetvis även få användas för framställning av statistik. Registren bör dessutom generellt få användas även för planering, uppföljning och utvärdering av verksamheten, även om det inte sker i rent statistisk form. För de allmänna domstolarna anges i vårt förslag till förordning dessutom, på samma sätt som gäller i dag, att registren får användas för fullgörande av underrättelseskyldighet som följer av lag eller annan författning.

För Regeringsrätten och kammarrätterna bör enligt vår mening införas motsvarande bestämmelser om användningen av register som gäller för länsrätterna, dock med ett viktigt tillägg. Det målregister (Find-It) som Regeringsrätten och kammarrätterna använder i dag tillåter relativt omfattande sökmöjligheter bland anhängiggjorda mål vid den egna eller de andra anslutna domstolarna, främst genom sökning på uppgifter om parter och genom fritextsökning på saken eller ärendemeningen i ett mål. Det innebär att registren sedan ett tjugotal år tillbaka utgör ett värdefullt arbetsredskap för domstolarna, bl.a. vid återsökning av vägledande avgöranden. Vi anser inte att det finns någon anledning att i detta sammanhang inskränka de möjligheterna. Tvärtom är det viktigt att domstolarna inte fråntas möjligheten att utnyttja ett befintligt och fungerande system, utan att det har övervägts noggrant om det finns skäl för sådana inskränkningar. Vi föreslår därför att det i förordningen för Regeringsrätten och kammarrätterna införs en bestämmelse om att ett verksamhetsregister får användas för återsökning av vägledande avgöranden.

Hyres- och arrendenämnderna bör enligt vår uppfattning få använda register för i princip samma ändamål som domstolarna, dvs. för handläggning av ärenden, planering, uppföljning och utvärdering av verksamheten samt för framställning av statistik.

108 Närmare om skälen för författningsförslagen SOU 2001:32
   

5.4.2Direktåtkomst

I dag förekommer direktuppkoppling för utomstående till en domstols verksamhetsregister endast i fråga om Regeringsrättens och kammarrätternas målregister, Find-It. Dessa domstolar har samtliga fullständig tillgång till varandras register på ett sådant sätt att det vid sökning framstår som ett enhetligt register. Denna direktåtkomst till registren är av väsentlig betydelse för systemets funktion som rättsfallsregister och för att domstolarna skall kunna utföra nödvändig konferering. Som vi påpekar i föregående avsnitt är det viktigt att de möjligheter som finns i dag inte tas ifrån domstolarna annat än om det finns starka skäl för det. Några sådana skäl kan vi för närvarande inte se och föreslår därför att den åtkomst som finns i dag tills vidare skall vara tillåten i avvaktan på en mer genomgripande utredning och reglering.

Förutom Regeringsrätten och kammarrätterna har även Domstolsverket, Riksdagens ombudsmän, Riksskatteverket, länsrätterna, skattemyndigheterna samt vissa länsstyrelser direktåtkomst till Find-It. Denna åtkomst är enligt vår bedömning betydligt mer tveksam från integritetssynpunkt, framför allt när det gäller andra än Domstolsverket och länsrätterna.

Integritetsproblemen till trots anser vi att det inte utan mer noggranna överväganden är lämpligt att helt frånta dessa domstolar och myndigheter de sökmöjligheter som de har i dag. Till skillnad från Regeringsrätten och kammarrätterna själva har myndigheter utanför domstolsväsendet inte en direkt nytta av att kunna söka information på partsuppgifter och inte heller att få tillgång till sådana uppgifter. Länsrätterna har däremot i egenskap av underinstanser behov av uppgifter i registren i sin rättsskipande verksamhet och Domstolsverket behöver tillgång till registren i egenskap av systemansvarig myndighet. Eftersom uppgifter om inblandade personer är de mest känsliga, föreslår vi att andra än de personuppgiftsansvariga domstolarna, Domstolsverket och länsrätterna inte skall få använda registren för andra ändamål än återsökning av vägledande avgöranden. Det innebär att vi föreslår begränsningar i sökmöjligheterna (se avsnitt 5.4.4). I fråga om Domstolsverkets tillgång är vi av den åsikten att den bör begränsas till personer som arbetar med frågor kopplade till just systemansvaret. Såsom personuppgiftsansvarig för viss behandling i registren är det emellertid en fråga för verket att vidta lämpliga säkerhetsåtgärder.

SOU 2001:32 Närmare om skälen för författningsförslagen 109
   

5.4.3Innehåll

Till de i dag gällande registerförordningarna för allmänna domstolar och länsrätter finns en bilaga, i vilken anges vilka uppgifter som får registreras i ett register. Uppräkningen är uttömmande. För flera av de register som förs med stöd av tillstånd från Datainspektionen finns liknande mer eller mindre detaljerade uppräkningar av tillåtna uppgifter. Vi anser att det finns anledning att se över om det alls är nödvändigt att i lag eller förordning i detalj ange vilka uppgifter som får registreras i ett automatiserat domstolsregister. Av tidsskäl har vi dock inte möjlighet att närmare gå in på den frågan i detta delbetänkande. Tills vidare föreslår vi därför att det till samtliga förordningar fogas bilagor motsvarande de som finns i dag, även i fråga om register som nu regleras genom Datainspektionens tillstånd. I den mån det är nödvändigt och kan ske utan fara för de registrerades personliga integritet, föreslår vi en anpassning av bilagorna för att tillgodose det behov av att kunna registrera uppgifter som kommer att uppstå när det nya verksamhetsstödet för domstolarna genomförs (se avsnitt 3.2.5).

I ett avseende anser vi det nödvändigt att komplettera de bestämmelser som gäller i dag. Enligt 13 § personuppgiftslagen får vissa känsliga personuppgifter, t.ex. uppgifter som avslöjar ras eller etniskt ursprung eller som rör hälsa eller sexualliv, över huvud taget inte behandlas, utom i vissa undantagsfall som inte är tillämpliga här. För att sådana uppgifter skall kunna registreras i domstolarnas rättsskipande och rättsvårdande verksamhet, vilket i vissa fall är nödvändigt, måste det uttryckligen framgå av annan lag eller förordning (att det är möjligt att föreskriva undantag framgår av dataskyddsdirektivets artikel 8.4). Detta utgör med ett undantag inga egentliga problem i fråga om verksamhetsregistren, eftersom tillåtna uppgifter framgår av särskilda bilagor. Det enda fall då problem kan komma att uppstå är vid angivande av saken, eller ärendemeningen, i ett mål eller ärende. Det är inte möjligt att i detalj uttrycka vad som får anges i en sådan uppgift, eftersom det är helt beroende av målets eller ärendets karaktär.

Vi väljer därför att i förordningarna ange att känsliga personuppgifter vid angivande av saken får behandlas endast om det är nödvändigt för att saken skall kunna återges på ett ändamålsenligt sätt. Vi anser dessutom att motsvarande begränsning bör gälla i fråga om angivande av uppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen. Bestämmelserna innebär att om det behövs för att beskriva saken i ett mål korrekt så får uppgifterna registreras, t.ex. i misshandelsmål med rasistiska inslag eller i mål om tvångsvård av personer med psykiska störningar. Om uppgifterna däremot endast skulle tillföra en allmän men inte nödvändig upplysning så är registrering inte tillå-

110 Närmare om skälen för författningsförslagen SOU 2001:32
   

ten, t.ex. att en gärningsman i ett stöldmål är av viss etniskt ursprung eller att en part i ett skattemål tidigare har dömts för misshandel.

5.4.4Sökbegränsningar

Enligt de i dag gällande registerförordningarna för allmänna domstolar och länsrätter gäller uttryckliga begränsningar i sökmöjligheterna i verksamhetsregistren (MÅHS m.m.). Som sökbegrepp får t.ex. inte användas uppgifter om saken, målgrupp, måltyp, yrke eller nationalitet. Vi anser att det finns skäl att se över bestämmelserna om sökbegränsningar i dess helhet, men av tidsskäl är det inte möjligt att göra alla nödvändiga överväganden i detta delbetänkande. I det här skedet bör enligt vår mening en utökning av sökmöjligheterna tillåtas endast om det inte har någon beaktansvärd betydelse från integritetssynpunkt, men är av väsentlig betydelse när det gäller effektiviten hos domstolarnas och nämnderna datorsystem.

Av intresse är i detta sammanhang framför allt frågan om det skall vara tillåtet att söka på uppgifter om målgrupp eller måltyp. Med målgrupp avses en grövre sortering av de mål och ärenden som förekommer i domstolarna. Som exempel på målgrupper vilka används i MÅHS vid tingsrätterna kan nämnas Hyrestvist, Övriga allmänna tvistemål, Vårdnad, Expropriation, Domstolsärende samt Annat brottmål. Vid länsrätt används i MÅHS bl.a. målgrupperna Inkomst- och förmögenhetstaxering, Tvång mot person samt ekonomiskt tvång, Hälso- och sjukvård, Kommunala mål samt Allmän försäkring. Totalt finns det ca 40 olika målgrupper vid tingsrätt och länsrätt. Måltyper är undergrupper till målgrupperna, dvs. varje målgrupp delas normalt in i ett flertal måltyper. Exempel på måltyper under målgruppen Övriga allmänna tvistemål i tingsrätt är Konkurrensmål, Patentmål samt Klander av testamente. Under målgruppen Hälso- och sjukvård i länsrätt förekommer bl.a. måltyperna Patientjournallagen och Läkemedelslagen. Vid tingsrätterna används knappt 200 måltyper, medan det vid länsrätterna förekommer närmare 600 olika måltyper.

Enligt vår bedömning är den sortering av mål som sker genom indelning i målgrupper så grov att det inte kan anses föreligga några beaktansvärda risker från integritetssynpunkt att tillåta sökning på uppgifterna. Däremot kan i flera fall indelningen i måltyper innebära att man genom sökning på de uppgifterna kan identifiera enskilda mål och personer, framför allt vid de allmänna förvaltningsdomstolarna. Till exempel skulle en sökning i MÅHS på måltypen Lagen om fastställande av könstillhörighet sannolikt inte ge många träffar. Vi är därför inte beredda att nu föreslå lättnader i fråga om sökbegränsningar annat än

SOU 2001:32 Närmare om skälen för författningsförslagen 111
   

såvitt gäller målgrupper. I vårt fortsatta arbete skall frågan dock utredas närmare.

Tills vidare föreslår vi alltså att de sökbegränsningar som i dag gäller för allmänna domstolar och länsrätter skall fortsätta att gälla, med den förändringen att det skall vara tillåtet att söka på målgrupp. För hyres- och arrendenämnderna bör tills vidare motsvarande sökbegränsningar finnas, vilket innebär att det även där bör vara tillåtet att söka på målgrupper (egentligen ärendegrupper).

Regeringsrätten och kammarrätterna är i dag inte underställda några egentliga begränsningar när det gäller möjligheterna att söka i målregistret (Find-It), något som hänger samman med möjligheterna att använda registret för återsökning av avgöranden. Av samma skäl som vi anför i avsnitt 5.4.2 avseende användningsområdet, anser vi att det inte nu finns anledning att begränsa sökmöjligheterna utöver vad som måste anses gälla redan i dag. Vi anser dock att det uttryckligen bör markeras i förordningen att partsuppgifter och uppgifter om andra aktörer inte får användas som sökbegrepp tillsammans med sakuppgifter och andra uppgifter om målet. Det innebär att det inte är tillåtet att ange eller söka på en partsuppgift eller andra identitetsuppgifter i anslutning till sökning i ärendemeningen.

Inte heller för övriga domstolar och myndigheter som har direktåtkomst gäller i dag några sökbegränsningar till Regeringsrättens och kammarrätternas målregister. Vi framhåller i avsnitt 5.4.2 att det inte finns samma nytta för myndigheter utanför domstolsväsendet att söka på partsuppgifter. Den naturliga följden av att de endast får använda målregistret för återsökning av vägledande avgöranden, är att även begränsa sökmöjligheterna så att de inte omfattar uppgifter om parter och andra aktörer. Vi föreslår därför att det i förordningen tas in en sådan begränsning.

5.4.5Bevarande och gallring

Frågor om bevarande och gallring av uppgifter är av stor betydelse när det gäller elektroniskt lagrad information i domstolarna och nämnderna, liksom i all offentlig verksamhet. Regeringen har t.ex. anfört att gallringsföreskrifter bör ges i lagform (se prop. 1989/90:72 s. 41 ff och s. 77). När det gäller regleringen av de i dag förekommande verksamhetsregistren har vi dock av tidsskäl inte möjlighet att i detta delbetänkande närmare analysera frågor om bevarande och gallring. Vi föreslår därför att de gallringsbestämmelser som finns i de nu gällande förordningarna även fortsättningsvis skall gälla i avvaktan på våra förslag om en mer genomgripande förändring av lagstiftningen.

112 Närmare om skälen för författningsförslagen SOU 2001:32
   

För de personregister som i dag inte regleras i förordning har vi haft de bakomliggande tillstånden från Datainspektionen som utgångspunkt för författningsförslagen. Det innebär att vi för hyres- och arrendenämnderna föreslår att gallring skall ske i enlighet med de för nämnderna gällande gallringsföreskrifterna utfärdade av Riksarkivet. I fråga om Regeringsrättens och kammarrätternas målregister saknas i dag regler om gallring i gällande tillstånd. Däremot har Riksarkivet utfärdat gallringsföreskrifter för registren (RA-MS 1987:19 och 1996:34). Vi föreslår att även uppgifter i dessa register skall gallras i enlighet med Riksarkivets föreskrifter.

Gemensamt för alla fyra förordningarna är att vi föreslår att i de fall uppgifter gallras ur ett register, skall de först bevaras på annat sätt, t.ex. genom pappersutskrifter, i den omfattning som gäller enligt dagens regler. För Regeringsrättens och kammarrätternas del finns ingen motsvarande förordningsreglering i dag. Vi anser emellertid att det är lämpligt att det i förordningen för de domstolarna införs en bestämmelse av motsvarande innehåll. För att uppnå så stor enhetlighet som möjligt föreslår vi att dessa bestämmelser i samtliga fall framgår direkt av registerförordningarna, vilket innebär att vissa ändringar behöver göras i förordningen (1996:271) om mål och ärenden i allmän domstol.

5.5Rättsfallsregister

Vårt förslag: De bestämmelser som tillämpas i dag för allmänna domstolar och länsrätter i fråga om register för återsökning av vägledande avgöranden m.m. skall tills vidare fortsätta gälla. Motsvarande bestämmelser skall införas även för Regeringsrätten och kammarrätterna samt för hyres- och arrendenämnderna.

De allmänna domstolarna och länsrätterna har enligt gällande förordningar i dag möjlighet att föra särskilda register för återsökning av vägledande avgöranden, rättsutredningar och liknande information. Vilka uppgifter som får ingå i ett sådant register framgår av en bilaga till förordningarna. Enligt vår uppfattning saknas det anledning att föreslå några förändringar av dessa möjligheter. Tvärtom bör samma möjlighet införas även hos de domstolar och nämnder som i dag inte har den. Motsvarande bestämmelser återfinns därför i våra författningsförslag för Regeringsrätten och kammarrätterna samt för hyres- och arrendenämnderna.

SOU 2001:32 Närmare om skälen för författningsförslagen 113
   

Vid sidan av dessa rättsfallsregister föreslår vi även generellt att domstolarnas och nämndernas möjlighet att bevara avidentifierade avgöranden i elektronisk form i fulltext skall utökas. Skälen för detta redovisar vi i avsnitt 5.6.1. Det bör i detta sammanhang anmärkas att Re- geringsrätten och kammarrätterna härutöver har möjlighet att använda sina verksamhetsregister för återsökning av vägledande avgöranden (se avsnitt 5.4.1).

5.6Behandling av personuppgifter i löpande text

Vårt förslag: En domstol eller nämnd skall få behandla personuppgifter i löpande text vid sidan av den behandling som sker i verksamhets- eller rättsfallsregister. Känsliga personuppgifter enligt personuppgiftslagen skall få behandlas på sådant sätt endast om de har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Huvudregeln för uppgifter i löpande text skall vara att de skall gallras senast ett år efter att ett mål eller ärende har avgjorts. Personuppgifter som kan hänföras till enskilda endast med hjälp av mål- eller ärendenummer skall dock få bevaras under längre tid, vilket möjliggör för domstolar och nämnder att bevara avidentifierade avgöranden i fulltext.

5.6.1Tillämpningsområdet

I dag behandlas stora mängder personuppgifter automatiserat vid sidan av de genom förordning eller tillstånd från Datainspektionen särskilt reglerade personregistren. Vad vi åsyftar är främst den behandling av personuppgifter som förekommer vid framställning av domar, beslut, kallelser och promemorior m.m. med hjälp av ordbehandlingsprogram. Sådan automatiserad behandling omfattades inte av datalagen. Personuppgiftslagen är däremot tillämplig även på denna form av hantering av personuppgifter.

Utan särskilt författningsstöd kommer det att uppstå problem den 1 oktober 2001, eftersom personuppgiftslagens bestämmelser innebär begränsningar av domstolarnas möjligheter att upprätta t.ex. domar elektroniskt. Mest tydligt av de problem som skulle kunna uppstå utan särskild reglering är att personuppgiftslagen, för den verksamhet som domstolarna och nämnderna utför, inte tillåter behandling av känsliga

114 Närmare om skälen för författningsförslagen SOU 2001:32
   

personuppgifter enligt 13 § utan samtycke av de registrerade. Det behöver knappast sägas vad ett förbud mot behandling av sådana uppgifter skulle innebära för domstolarnas möjligheter att bedriva sitt arbete. Det skulle exempelvis inte vara tillåtet att i en dom upprättad med hjälp av ordbehandling nämna sakomständigheter som avslöjar ras eller etniskt ursprung eller politiska åsikter. Det skulle inte heller vara tillåtet att behandla uppgifter som berör någons hälsotillstånd eller sexualliv. Enligt artikel 8.4 i dataskyddsdirektivet har medlemsstaterna, av hänsyn till viktiga allmänna intressen, möjlighet att i nationell lagstiftning besluta om särskilda undantag från förbudet att behandla känsliga personuppgifter. För att undanröja de ovan nämnda problemen föreslår vi att den möjligheten utnyttjas och att det i förordningarna uttryckligen anges att domstolarna och nämnderna i den rättsskipande eller rättsvårdande verksamheten, vid sidan av verksamhetsregister och rättsfallsregister, får behandla personuppgifter automatiserat i löpande text.

Att ha rättsliga sökbegränsningar för uppgifter i löpande text anser vi inte vara nödvändigt om enskildas integritet kan skyddas på annat sätt, t.ex. genom gallring av känsligt material (se avsnitt 5.6.2). Med hänsyn till att i stort sett alla moderna programvaror för ord- och textbehandling har inbyggda sökhjälpmedel, förefaller det dessutom ytterst opraktiskt att ha sådana begränsningar. Det finns knappast någon reell möjlighet att tekniskt begränsa sökmöjligheterna, och att ha bestämmelser vars efterlevnad är omöjlig att kontrollera är enligt vår uppfattning olämpligt. Vi föreslår därför inga sökbegränsningar för automatiserad behandling i löpande text vid sidan av de särskilt reglerade registren.

När det gäller känsliga personuppgifter enligt 13 § och uppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen, behövs det emellertid enligt vår uppfattning bestämmelser som av integritetsskäl begränsar den tillåtna behandlingen. Naturligtvis skall uppgifterna få behandlas när det är motiverat av verksamheten, men det bör inte ske slentrianmässigt om uppgifterna saknar relevans i ett mål eller ärende. Vi föreslår därför att sådana personuppgifter skall få behandlas endast om uppgifterna har lämnats i ett mål eller ärende eller om de behövs för handläggningen av målet eller ärendet. Det innebär exempelvis att känsliga personuppgifter som någon har lämnat i ett mål alltid kan refereras i ett beslut eller en dom. För den händelse att det behövs, får även känsliga personuppgifter i övrigt förekomma i domen eller beslutet. Det torde närmast ligga på den ansvarige handläggaren att göra den bedömningen, eftersom det naturligtvis ytterst måste vara den som dömer i ett mål som avgör innehållet i domen. Några begränsningar i det avseendet kan givetvis inte accepteras.

SOU 2001:32 Närmare om skälen för författningsförslagen 115
   

5.6.2Bevarande och gallring

När uppgifter behandlas elektroniskt i löpande text hos myndigheter är det vanligt att det med tiden lagras stora mängder uppgifter i elektronisk form vid sidan av särskilt reglerade personregister. Ofta sparas uppgifter elektroniskt även efter att de har skrivits ut på papper. På detta sätt kan det på kort tid växa fram omfattande informationsmängder som ofta är lätt tillgängliga med hjälp av olika sökprogram (jfr avsnitt 5.6.1). Av integritetsskäl bör enligt vår bedömning en domstol eller nämnd inte bevara all sådan information utan att åtgärder vidtas. Enligt vår uppfattning bör som huvudregel gälla att uppgifter som behandlas automatiserat i ett mål eller ärende – utan att behandlingen görs i ett särskilt reglerat personregister – skall gallras senast ett år efter att ärendet har avslutats, eftersom det sällan torde finnas anledning att av verksamhetsskäl bevara elektroniskt upprättade dokument under längre tid. Det kan emellertid finnas anledning att av andra skäl låta uppgifter bevaras under längre tid än ett år. Riksarkivet bör därför enligt vår uppfattning ha möjlighet att meddela föreskrifter om förlängning av den tid som uppgifter får bevaras.

I ett avseende anser vi att det redan av förordningarna bör föreskrivas undantag från huvudregeln. Det gäller bevarande av material som kan användas som vägledning vid senare avgöranden. Kammarrätten i Jönköping har i dag tillstånd från Datainspektionen att bevara domar och beslut i fulltext i elektronisk form under förutsättning att de gallras genom avidentifiering på ett sådant sätt att partsuppgifter och andra personuppgifter inte kan utläsas direkt av domen eller beslutet. Vi har i och för sig ännu inte haft möjlighet att närmare analysera frågan, men det torde inte finnas några starka integritetsskäl som talar mot en sådan ordning. Den möjlighet som Kammarrätten i Jönköping har i dag anser vi dessutom bör finnas även för övriga domstolar samt för hyres- och arrendenämnderna. Vi föreslår därför att det i förordningarna anges att personuppgifter som kan hänföras till enskilda endast med hjälp av ett mål- eller ärendenummer skall få bevaras under längre tid än ett år.

116 Närmare om skälen för författningsförslagen SOU 2001:32
   

5.7Enskildas rättigheter

Vårt förslag: Personuppgiftslagens bestämmelser om rättelse, skadestånd och information skall tillämpas på behandling som utförs med stöd av förordningarna. Beslut av den personuppgiftsansvarige om rättelse eller om information till den registrerade efter ansökan skall kunna överklagas.

5.7.1Rättelse

Den personuppgiftsansvarige är enligt 28 § personuppgiftslagen på begäran av en registrerad skyldig att snarast rätta, blockera eller utplåna uppgifter som inte har behandlats med stöd av den lagen. Enligt vår uppfattning skall den enskilde ha samma möjligheter till rättelse av uppgifter som behandlas med stöd av de förordningar vi föreslår. Av lagtekniska skäl krävs att detta uttryckligen anges i förordningarna (se närmare om rättelse i avsnitt 6.4).

5.7.2Skadestånd

Enskildas rätt till skadestånd enligt personuppgiftslagen regleras i 48 §. Där anges att en enskild har rätt till ersättning från den personuppgiftsansvarige för sådan skada och kränkning av den personliga integriteten som har orsakats av behandling i strid med den lagen. Vi anser att den enskilde bör ha samma möjligheter till skadestånd om han eller hon lider skada av behandling som utförs med stöd av de förordningar vi föreslår. I likhet med vad som gäller i fråga om rättelse, kräver det att det i förordningarna uttryckligen anges att skadeståndskyldigheten gäller även i de fallen.

5.7.3Information

Dataskyddsdirektivets och personuppgiftslagens bestämmelser innebär att det finns en långtgående informationsskyldighet gentemot registrerade, både när uppgifter samlas in från honom eller henne själv eller från en annan källa. Information om registrering av uppgifter som samlas in från den enskilde själv är enligt artikel 10 i direktivet obligatorisk, dvs. det finns ingen möjlighet att föreskriva undantag från motsvarande bestämmelse i 23 § personuppgiftslagen om att den per-

SOU 2001:32 Närmare om skälen för författningsförslagen 117
   

sonuppgiftsansvarige skall lämna sådan information självmant. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

För uppgifter som samlas in från andra än den registrerade, t.ex. från åklagare eller skattemyndigheter, gäller i stället att om det finns bestämmelser om registreringen eller utlämnandet i lag eller förordning behöver information inte lämnas självmant.

Vid sidan av dessa bestämmelser gäller enligt 26 § personuppgiftslagen att den personuppgiftsansvarige alltid på begäran av en enskild skall lämna information om behandling av personuppgifter som rör honom eller henne. Den enskilde har rätt att en gång per år få sådan informationen gratis.

Vad som sägs ovan innebär att vi inte kan föreslå undantag i fråga om skyldigheten att självmant lämna information när uppgifter samlas in från den enskilde själv. Enligt personuppgiftslagen är domstolarna och nämnderna normalt inte skyldiga att självmant lämna information när uppgifter samlas in från andra än den registrerade, eftersom det av förordningarna framgår vilka uppgifter som skall eller får registreras. Vi ser ingen anledning att föreskriva att sådan information ändå skall lämnas. Enligt vår bedömning finns det heller inte anledning att nu föreskriva undantag från bestämmelsen om att information skall lämnas efter begäran av den enskilde. Vi föreslår därför inga särbestämmelser om information i förordningarna (se närmare om informationsskyldigheten i avsnitt 6.3).

5.7.4Överklagande

Beslut av en myndighet som direkt berör en enskild och som inte är av rent intern administrativ karaktär, bör enligt vår uppfattning i allmänhet kunna överklagas. I fråga om behandling av personuppgifter i domstolarnas och nämndernas verksamhet gäller det framför allt beslut att avslå en ansökan om information om pågående behandlingar samt beslut att avslå en begäran om rättelse. Överklagande bör enligt vår uppfattning vara möjligt i båda fallen.

Den normala ordningen när en myndighet fattar ett beslut av förvaltningskaraktär är enligt 22 a § förvaltningslagen (1986:223) att beslutet kan överklagas hos allmän förvaltningsdomstol och att det krävs prövningstillstånd för vidare överklagande till kammarrätten. Detta är också vad som generellt gäller för nyare författningar om behandling av personuppgifter i offentlig verksamhet. För beslut av hyres- och arrendenämnderna är det den logiska ordningen i fråga om de här aktuella

118 Närmare om skälen för författningsförslagen SOU 2001:32
   

besluten och några skäl mot det kan vi inte se. Vårt förslag avseende nämnderna är därför utformade på det sättet.

Vad som skall gälla när det är en domstol som har fattat beslutet är mer tveksamt. Vi bedömer att det finns två praktiska alternativ till hur man kan eller bör lösa överklagandefrågan i de förordningar som gäller domstolarnas behandling av personuppgifter. Till grund för båda dessa alternativ ligger vår bedömning att ärenden eller mål som rör frågor om behandling av personuppgifter bör prövas av allmän förvaltningsdomstol, inte av allmän domstol, eftersom det är den ordning som gäller för annan offentlig verksamhet.

Det första alternativet har sin utgångspunkt i bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100) om överklagande av beslut av domstolar om utlämnande av allmän handling. Framför allt frågor om information till registrerade ligger till sin karaktär i vissa avseenden nära frågor om utlämnande av sådana handlingar. Av bestämmelsen i sekretesslagen framgår att beslut att vägra lämna ut en handling, enligt huvudregeln överklagas hos kammarrätt eller, såvitt gäller beslut i ärende som väckts hos kammarrätt, hos Regeringsrätten. Har ett beslut meddelats av tingsrätt eller hovrätt och rör det handling i domstolens rättsskipande eller rättsvårdande verksamhet, överklagas det hos hovrätt respektive Högsta domstolen. För en tingsrätts eller hovrätts beslut om utlämnande av handling som inte rör den rättsskipande eller rättsvårdande verksamheten gäller som för andra myndigheter att det överklagas till kammarrätt. Beslut av Högsta domstolen eller Regeringsrätten kan inte överklagas.

När en domstol fattar beslut om rättelse eller information avseende den egna behandlingen av personuppgifter, är det enligt vår uppfattning ett beslut i ett administrativt ärende och inte ett led i den rättsskipande eller rättsvårdande verksamheten. Däremot rör det uppgifter som behandlas i den senare verksamheten. Om den ovan beskrivna modellen i sekretesslagen skulle appliceras direkt på beslut om rättelse och information, skulle det således innebära att beslut av tingsrätt skulle överklagas hos hovrätt och beslut av hovrätt, i ärende som väckts där, hos Högsta domstolen. Enligt vår uppfattning kan emellertid frågor om information och rättelse enligt personuppgiftslagen inte anses ha samma anknytning till den rättsskipande och rättsvårdande verksamheten som frågor om utlämnande av allmänna handlingar. Det torde därför inte finnas samma starka skäl för att en allmän domstols beslut skall prövas av en annan allmän domstol.

Som vi nämner tidigare anser vi dessutom att prövning av överklagande i mål om behandling av personuppgifter bör hanteras av allmän förvaltningsdomstol. Vår uppfattning är således att besluten bör överklagas i samma ordning som enligt sekretesslagen gäller för beslut att

SOU 2001:32 Närmare om skälen för författningsförslagen 119
   

vägra lämna ut handlingar i domstolarnas administrativa verksamhet, dvs. att alla beslut av allmänna domstolar och allmänna förvaltningsdomstolar som får överklagas skall prövas av kammarrätt, med undantag för beslut av kammarrätter som i stället överklagas till Regeringsrätten. Högsta domstolens och Regeringsrättens beslut blir med denna ordning inte överklagbara.

Enligt 2 § lagen (1971:289) om allmänna förvaltningsdomstolar prövar Regeringsrätten överklagande av kammarrätts beslut enligt förvaltningsprocesslagen (1971:291) samt överklagande av annat beslut i förvaltningsärende som enligt lag eller instruktion för kammarrätterna skall göras hos Regeringsrätten. För att den ovan nämnda ordningen att en kammarrätts beslut i ärenden som väckts där överklagas hos Regeringsrätten skall vara möjlig krävs således, om en lagändring skall undvikas, att det i förordningen (1996:380) med kammarrättsinstruktion införs en bestämmelse om överklagande till Regeringsrätten. I den av oss föreslagna förordningen avseende Regeringsrätten och kammarrätterna bör då, av upplysningsskäl, endast hänvisas till att bestämmelser om överklagande av en kammarrätts beslut finns i instruktionen.

Det andra alternativet har ovan nämnda huvudregel i 22 a § förvaltningslagen som utgångspunkt. Beslut av allmän domstol skulle således överklagas till allmän förvaltningsdomstol. För beslut av de allmänna förvaltningsdomstolarna är situationen däremot mer komplicerad. Självfallet bör en länsrätt inte pröva ett överklagande av ett beslut som har fattats av länsrätten själv. Det är därför inte möjligt med en generell bestämmelse om överklagande till allmän förvaltningsdomstol. Den möjliga lösning som vi anser föreligga är att samtliga beslut av länsrätt överklagas till en särskild länsrätt. Det naturliga valet är då enligt vår mening Länsrätten i Stockholms län, som har att pröva beslut av Datainspektionen. För att få så enhetliga regler som möjligt för domstolar skulle eventuellt även beslut av allmänna domstolar kunna överklagas till Länsrätten i Stockholms län.

För vissa domstolar skulle det ändå vara nödvändigt att ha en avvikande reglering. Det gäller naturligtvis Länsrätten i Stockholms län, men även kammarrätterna och Regeringsrätten. Även om det inte rör beslut i den rättsskipande eller rättsvårdande verksamheten, är det enligt vår mening olämpligt att en länsrätt prövar beslut av en kammarrätt. Likaså bör en kammarrätt inte pröva beslut av en annan kammarrätt. Den möjlighet som då återstår är att beslut av Länsrätten i Stockholms län prövas av Kammarrätten i Stockholm samt att beslut av kammarrätterna i ärenden som väckts där överklagas direkt till Regeringsrätten. För beslut av Regeringsrätten är det av naturliga skäl inte möjligt att ha bestämmelser om överklagande. Liksom i fråga om den som första alternativ beskrivna ordningen skulle, för att en kammarrätts

120 Närmare om skälen för författningsförslagen SOU 2001:32
   

beslut i ärende som väckts där skall kunna överklagas till Regeringsrätten, en ändring i kammarrättsinstruktionen behöva göras.

Ingen av de ovan nämnda alternativen är enligt vår uppfattning helt tillfredsställande och det finns nackdelar med båda modellerna. Vi anser dock att alternativet att i princip följa de överklagandebestämmelser som gäller enligt sekretesslagen är att föredra och föreslår därför en sådan ordning.

SOU 2001:32 Tillämpning av personuppgiftslagen i vissa fall 121
   

6Tillämpning av personuppgiftslagen i vissa fall

I och med att datalagen (1973:289) helt upphör att gälla den 1 oktober 2001 skall all automatiserad behandling av personuppgifter ske i enlighet med antingen personuppgiftslagen (1998:204) eller särskilda registerförfattningar. Som framgår av våra överväganden i kapitel 4 föreslår vi att personuppgiftslagen skall gälla fullt ut för automatiserad behandling av personuppgifter utanför den rättsskipande eller rättsvårdande verksamheten, dvs. i domstolarnas och nämndernas administrativa verksamhet. Behandling i den rättsskipande eller rättsvårdande verksamheten regleras i särskilda förordningar. Även för behandling i dessa verksamheter kommer emellertid flera bestämmelser i personuppgiftslagen att vara tillämpliga, nämligen i samtliga de fall då några särskilda bestämmelser som preciserar eller avviker från personuppgiftslagen inte finns i den aktuella förordningen.

Personuppgiftslagen är en generell lag. Det innebär att om det inte finns avvikande bestämmelser i andra författningar skall lagens bestämmelser i princip tillämpas på all automatiserad behandling av personuppgifter, utom sådan som en fysisk person utför som ett led i en verksamhet av rent privat natur. Detta gäller oavsett om uppgifter behandlas i omfattande myndighetsregister eller i ordbehandlingsfiler hos ett mindre företag. Personuppgiftslagens bestämmelser är därför ofta allmänt hållna och inte alltid lätta att tolka eller att tillämpa. Inte heller förarbetena är särskilt upplysande i fråga om hur enskilda bestämmelser skall tolkas i olika fall. Anledningen till detta är naturligtvis att personuppgiftslagen baseras på dataskyddsdirektivet och att EG-dom- stolen enligt EG:s rättsordning är exklusivt behörig att göra auktoritativa uttalanden om innebörden av EG:s rättsregler (jfr artikel 220 i Romfördraget).

Vid sidan av Datalagskommitténs betänkande (SOU 1997:39) och regeringens propositioner (prop. 1997/98:44 och 1999/2000:11) kan viss ledning vid tillämpningen av personuppgiftslagen även hämtas i doktrinen. Det finns bl.a. en kommentar till lagen (Öman/Lindblom,

Personuppgiftslagen - En kommentar, Stockholm: Norstedts Juridik, 1998) och en mer praktiskt inriktad handledning (Peterson/Rein-

122 Tillämpning av personuppgiftslagen i vissa fall SOU 2001:32
   

holdsson, Personuppgiftslagen i praktiken, 2 uppl. Stockholm: Norstedts Juridik, 2000). Ytterligare information kan dessutom hämtas i Datainspektionens allmänna råd avseende personuppgiftslagens tilllämpning.

De anvisningar som en tillämpare kan få med stöd av detta och annat material är emellertid av naturliga skäl av mer generell karaktär. Av de svar vi har fått med anledning av den enkät vi skickat till domstolarna och nämnderna (se avsnitt 1.2) har framkommit att det inför förändringarna den 1 oktober 2001 finns önskemål om klargöranden av hur personuppgiftslagen påverkar domstolarna och nämnderna i vissa konkreta fall. Vi anser därför att det kan finnas ett värde i att i detta delbetänkande helt kort kommentera vissa viktiga bestämmelser med domstolarnas och nämndernas verksamheter som utgångspunkt. Vi vill dock markera att det endast är fråga om vår bedömning av hur vissa bestämmelser rimligen bör kunna tolkas och hur berörda domstolar och nämnder kan agera, främst vid upprättandet och användningen av olika register. Genomgången är inte fullständig utan har främst till syfte att peka ut vissa bestämmelser som vi anser vara av särskilt intresse.

6.1Grundläggande krav på behandling av personuppgifter

Vi redogör i avsnitt 4.4.2 för de grundläggande bestämmelserna om när personuppgifter får behandlas enligt 10 § personuppgiftslagen. Vi konstaterar där att det enligt vår uppfattning inte finns några egentliga problem för domstolarna och nämnderna att behandla personuppgifter i register eller på annat automatiserat sätt när det sker som ett led i verksamheten. Det finns emellertid i 9 § vissa grundläggande krav på hur uppgifterna får behandlas.

Personuppgifter skall alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella.

Bedömningen av om personuppgifter behandlas för berättigade ändamål, måste enligt vår uppfattning i första hand ses mot bakgrund av om en behandling är tillåten enligt 10 § personuppgiftslagen. Om per-

SOU 2001:32 Tillämpning av personuppgiftslagen i vissa fall 123
   

sonuppgifter får behandlas på visst sätt med stöd av 10 §, torde sådan behandling därefter anses ske för berättigade ändamål. Vår syn på när det är tillåtet att behandla olika uppgifter redovisar vi i avsnitt 4.4.2.

Att det skall finnas ett bestämt och uttryckligt angivet ändamål eller användningsområde, innebär enligt vår uppfattning att det är lämpligt att domstolen eller nämnden skriftligen dokumenterar de administrativa register som finns och vad de används till, även om det inte finns något absolut krav på skriftlighet. Dokumentationen kan lämpligen göras i en beskrivning på det sätt som föreskrivs i 15 kap. 11 § sekretesslagen (1980:100). En ändamålsbeskrivning får inte vara för vag, utan det måste vara möjligt att utläsa vad ett register faktiskt skall användas till. Det torde t.ex. inte vara tillräckligt att för ett register över samtliga anställda endast ange som ändamål att arbetsgivaren av administrativa skäl skall ha en samlad bild av vilka som arbetar på domstolen eller nämnden. Om registret skall användas för utbetalning av löner, bör det enligt vår uppfattning framgå av ändamålsbeskrivningen. Det är sedan domstolens eller nämndens ansvar att ett register inte används på ett sätt som är oförenligt med vad som angetts i beskrivningen och att det i registret inte antecknas uppgifter som inte behövs för ändamålet med det. Noteras kan att det enligt personuppgiftslagen inte anses oförenligt med de ursprungliga ändamålen att behandla personuppgifterna för statistiska ändamål.

Personuppgifterna i ett register får enligt en särskild bestämmelse i personuppgiftslagen normalt inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras. Personuppgifter får dock ändå bevaras om gallring av dem skulle hindra fullgörandet av en myndighets skyldighet att lämna ut uppgifter enligt 2 kap. tryckfrihetsförordningen. Uppgifter får också bevaras om en domstol eller nämnd arkiverar eller bevarar allmänna handlingar. Det måste således bedömas från fall till fall, med hänsyn till bl.a. arkivlagstiftningen, om uppgifter skall sparas eller förstöras när de inte längre behövs för myndighetens verksamhet.

6.2Behandling av känsliga personuppgifter m.m.

Det är enligt 13 § personuppgiftslagen förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening. Likaså är det förbjudet att behandla personuppgifter som rör hälsa eller

124 Tillämpning av personuppgiftslagen i vissa fall SOU 2001:32
   

sexualliv. Bestämmelsen är i grunden enkel att tillämpa, eftersom det endast finns ett fåtal undantag då uppgifterna trots förbudet får behandlas.

Undantag görs främst när den registrerade har samtyckt till att en uppgift behandlas. Sådant samtycke måste, som vi nämner i avsnitt 4.4.2, inhämtas från nämndemän innan uppgifter om nominerande parti antecknas i ett datoriserat register. Det är enligt vår uppfattning lämpligt att samtycke till behandling av känsliga personuppgifter dokumenteras skriftligt av domstolen eller nämnden.

I tolkregister kan det finnas uppgifter om namn och språkkunskaper, som tillsammans kan utgöra indirekta upplysningar om en tolks etniska ursprung. Det är svårt att uttala sig om gränsdragningen för när sådana uppgifter utgör känsliga personuppgifter och i tveksamma fall kan det därför vara bra om domstolen eller nämnden inhämtar samtycke från tolken innan uppgifterna registreras.

De enda praktiskt tillämpliga fall som vi kan se då känsliga personuppgifter får behandlas i administrativa register utan samtycke, är när uppgifter om anställdas fackföreningstillhörighet eller om deras hälsa (t.ex. vid sjukfrånvaro) registreras för att domstolen eller nämnden skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter på arbetsrättens område. Det innebär att domstolarna och nämnderna får bedöma om de har ett rättsligt behov av sådana uppgifter i sin egenskap av arbetsgivare. Andra känsliga personuppgifter än de som arbetsgivaren verkligen behöver på den angivna grunden får självfallet inte registreras.

6.3Information till den registrerade

I 23–27 §§ personuppgiftslagen finns långtgående bestämmelser om information till registrerade om behandling av personuppgifter. Information skall dels lämnas självmant, dels efter begäran av en registrerad.

Information som skall lämnas självmant

Om personuppgifter samlas in från den enskilde själv, skall den personuppgiftsansvarige i samband med insamlandet självmant lämna den registrerade information om behandlingen av uppgifterna. Någon information behöver dock inte lämnas om sådant som den registrerade redan känner till.

SOU 2001:32 Tillämpning av personuppgiftslagen i vissa fall 125
   

Även när personuppgifter samlas in från någon annan källa än den registrerade, skall den personuppgiftsansvarige enligt huvudregeln självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Information behöver dock inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas om det visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

De nu nämnda bestämmelserna innebär att en domstol inte behöver lämna någon information om behandling av uppgifter som samlas in från andra än den registrerade själv, t.ex. från åklagare eller skattemyndigheter, om behandlingen sker i enlighet med de av oss föreslagna förordningarna, dvs. i den rättsskipande eller rättsvårdande verksamheten. Däremot skall den enskilde informeras i de fall personuppgifter som han eller hon själv har lämnat behandlas automatiserat. Enligt vår uppfattning saknar det betydelse om uppgifterna lämnas på initiativ av den enskilde eller efter uppmaning av domstolen eller nämnden. Om uppgifter i t.ex. en stämningsansökan registreras i ett datorsystem, skall den enskilde således enligt huvudregeln informeras om registreringen. Information behöver emellertid enligt personuppgiftslagen inte lämnas om sådant som den enskilde redan känner till.

Med hänsyn till att i stort sett samtliga myndigheter i dag använder sig av någon form av datoriserat stöd för handläggning av ärenden m.m., kan det argumenteras för att alla som vänder sig till exempelvis en domstol, redan känner till att uppgifter registreras i någon form av automatiserat register. Under förutsättning att de uppgifter som registreras endast används för det ändamål för vilket de sändes in, t.ex. i ett visst mål eller ärende, skulle med stöd av denna tolkning någon information normalt inte behöva lämnas för att den enskilde skall kunna ta tillvara rättigheter i samband med behandlingen. Vi är dock tveksamma till om personuppgiftslagens bestämmelser kan tolkas på det sättet och anser att information regelmässigt bör lämnas, i vart fall om det kan göras på ett smidigt sätt som inte innebär någon större arbetsbelastning för domstolen eller nämnden. Det är emellertid i slutändan upp till den personuppgiftsansvariga domstolen eller nämnden, som ju är ansvarig för att information faktiskt lämnas när den skall lämnas, att bedöma hur bestämmelserna skall tillämpas.

Enligt personuppgiftslagen skall information lämnas i samband med registreringen. Det är svårt att lämna några riktlinjer för vad som kan avses med detta. Enligt vår uppfattning är det orimligt att kräva att en domstol, efter att ha tagit emot en handling från en enskild, omedelbart skall ringa upp eller skriftligen meddela denne om att uppgifterna kommer att registreras. En rimlig utgångspunkt anser vi kunna vara att

126 Tillämpning av personuppgiftslagen i vissa fall SOU 2001:32
   

en domstol eller nämnd första gången den tar skriftlig kontakt med en enskild lämnar information om att uppgifter om denne som lämnas i målet eller ärendet kan komma att registreras och fortsättningsvis behandlas automatiserat vid handläggningen av målet eller ärendet. Detta kan lämpligen anges på den aktuella blanketten, t.ex. en stämning, ett föreläggande eller en kallelse. Det torde då inte vara nödvändigt att upprepa informationen varje gång domstolen eller nämnden får nya uppgifter från den enskilde.

När det gäller personuppgifter som inte behandlas i den rättsskipande eller rättsvårdande verksamheten, t.ex. uppgifter i administrativa register, är situationen något annorlunda. Eftersom vi inte föreslår någon särreglering på det administrativa området, omfattar informationsskyldigheten även uppgifter som hämtas in från någon annan än den registrerade själv. Ofta handlar det då sannolikt om uppgifter avseende anställda som inhämtas från tidigare arbetsgivare eller från olika myndigheter, t.ex. skattemyndigheterna. Oavsett varifrån uppgifterna i administrativa register hämtas, är det viktigt att domstolen eller nämnden informerar anställda och andra registrerade när uppgifter om dem behandlas automatiserat.

Information som skall lämnas efter ansökan

Domstolar och nämnder är skyldiga att, till var och en som ansöker om det, en gång per år gratis lämna information där det framgår om personuppgifter som rör den sökande behandlas eller ej. Om uppgifter om den sökande behandlas skall skriftlig information lämnas om vilka uppgifter det gäller, varifrån de har hämtats, ändamålet med behandlingen och till vilka mottagare som uppgifterna lämnas ut. Information skall normalt lämnas inom en månad från det att ansökan gjordes, men om det finns särskilda skäl för det får information dock lämnas senast inom fyra månader.

Ett viktigt undantag från informationsskyldigheten är att information normalt inte behöver lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande. Det innebär för domstolar och nämnder att de skall lämna information om uppgifter om den sökande som behandlas i datoriserade register, såväl inom den rättsskipande och rättsvårdande verksamheten som inom administrativ verksamhet, samt om uppgifter i meddelade domar och beslut m.m. Däremot behöver information inte lämnas om uppgifter i t.ex. koncept och utkast.

Slutligen bör det noteras att enligt 27 § personuppgiftslagen bryts informationsskyldigheten i de fall uppgifter omfattas av sekretess som gäller gentemot den registrerade själv.

SOU 2001:32 Tillämpning av personuppgiftslagen i vissa fall 127
   

6.4Rättelse

Den personuppgiftsansvarige är enligt 28 § personuppgiftslagen skyldig att på begäran av den registrerade snarast korrigera, dvs. rätta, blockera eller utplåna, personuppgifter som inte behandlas i enlighet med lagen. Rättelse innebär att felaktiga uppgifter ersätts med korrekta. Med blockering avses enkelt uttryckt att en uppgift förknippas med information om att den är spärrad för annat utlämnande än enligt 2 kap. tryckfrihetsförordningen. Att en uppgift utplånas innebär i princip att den raderas på ett sådant sätt att den inte kan återskapas. Personuppgiftslagen säger inget om vilken typ av korrigering den personuppgiftsansvarige skall använda sig av i ett visst fall, vilket innebär att det i normalfallet är upp till domstolen eller nämnden att bestämma metod.

Att en uppgift behandlas i strid med personuppgiftslagen kan innebära antingen att den är oriktig till sitt innehåll eller att den används på ett felaktigt sätt i verksamheten. Typiska exempel på oriktigt innehåll är att fel namn eller personnummer anges för en person. Bedömningen av om en uppgift används på ett felaktigt sätt måste göras mot bakgrund av vilka bestämmelser som gäller för en viss behandling, dvs. personuppgiftslagen och eventuellt andra författningar som reglerar behandlingen. Några generella anvisningar av när och hur rättelse skall vidtas är svårt att ge. Det måste prövas noggrant i varje enskilt fall.

6.5Anmälan till tillsynsmyndigheten

Enligt huvudregeln i 36 § personuppgiftslagen skall all automatiserad behandling av personuppgifter anmälas till Datainspektionen. En sådan anmälan skall enligt inspektionens egna föreskrifter i fråga om skyldigheten att anmäla behandlingar av personuppgifter till Datainspektionen (omtryck genom DIFS 1999:3) innehålla uppgifter bl.a. om den personuppgiftsansvarige och om ändamålet med behandlingen samt beskrivningar av vilka registrerade som berörs av behandlingen och av vilka uppgifter som skall behandlas. Det är tillräckligt att vid endast ett tillfälle anmäla en serie behandlingar med samma eller liknande ändamål. Det innebär att det endast behöver göras en anmälan för ett visst register, så länge ändamålen med registret och uppgiftskategorierna i det är desamma.

Någon anmälan behöver emellertid inte göras om domstolen eller nämnden utser ett särskilt personuppgiftsombud. Denne skall ha till uppgift att självständigt se till att personuppgifter behandlas på ett kor-

128 Tillämpning av personuppgiftslagen i vissa fall SOU 2001:32
   

rekt och lagligt sätt samt att påpeka brister för den personuppgiftsansvarige. När ett ombud utses skall det anmälas till Datainspektionen. Från anmälningsskyldigheten görs dessutom omfattande undantag i personuppgiftsförordningen (1998:1191), även om det inte finns något personuppgiftsombud. Några av de viktigare undantagen när anmälan inte behöver göras, och som kan påverka domstolarna och nämnderna, är följande.

Behandling av personuppgifter i löpande text.

Behandling av personuppgifter som utförs till följd av en myndighets skyldighet att lämna ut allmän handling enligt 2 kap. tryckfrihetsförordningen.

Behandling av personuppgifter som utförs enligt särskilda föreskrifter i lag eller förordning.

Bestämmelser om undantag från anmälningsskyldigheten finns även i de tidigare nämnda föreskrifterna från Datainspektionen (DIFS 1999:3). En domstol eller nämnd behöver enligt föreskrifterna inte anmäla ett register om behandlingen av personuppgifter i registret sker med stöd av samtycke av de registrerade. Under förutsättning att domstolen eller nämnden själv för en förteckning över register eller behandlingar, med samma uppgifter som annars skulle anmälts till Datainspektionen, behöver anmälan inte heller göras i följande fall:

Behandling av personuppgifter avseende registrerade med sådan anknytning till den personuppgiftsansvarige som följer av anställning eller kundförhållande eller därmed jämförligt förhållande, såvida behandlingen inte omfattar känsliga personuppgifter enligt 13 § personuppgiftslagen.

Behandling av personuppgifter om arbetstagares sjukdom som avser tid för sjukfrånvaro, om uppgifterna används för löneadministration eller för att avgöra skyldigheten att påbörja rehabiliteringsutredning.

Behandling av personuppgifter som har samlats in från de registrerade, om behandlingen är nödvändig för att uppfylla bestämmelser i lag eller förordning.

Sammanfattningsvis kan man av det ovanstående dra slutsatsen att domstolarna och nämnderna i stor omfattning inte behöver anmäla behandlingar av personuppgifter till Datainspektionen. Väsentligt är att en domstol eller nämnd inte behöver anmäla i vilken omfattning uppgifter används vid framställning av dokument med hjälp av ord- och textbehandling, t.ex. domar och beslut. En domstol eller nämnd behöver inte heller särskilt anmäla sådan behandling som är en följd av att

SOU 2001:32 Tillämpning av personuppgiftslagen i vissa fall 129
   

handlingar lämnas ut i enlighet med offentlighetsprincipen. Under förutsättning att domstolarna och nämnderna själva för noggranna förteckningar över sina register, behöver inte heller flertalet av de administrativa registren särskilt anmälas till Datainspektionen.

Om en domstol eller nämnd utser ett särskilt personuppgiftsombud framgår det uttryckligen av personuppgiftslagen att någon anmälan inte behöver göras till Datainspektionen. Ombudet skall då avseende de behandlingar som genomförs föra en förteckning som innehåller motsvarande information som en anmälan till Datainspektionen annars skulle ha innehållit.

Vi vill särskilt markera att det är viktigt att domstolar och nämnder under alla förhållanden, särskilt då någon anmälan till Datainspektionen inte görs, har god ordning på den information som rör behandling av personuppgifter.

6.6Överföring av personuppgifter till tredje land

I personuppgiftslagen finns särskilda bestämmelser som reglerar frågor om överföring av personuppgifter till tredje land. Av 33 § personuppgiftslagen framgår att det är förbjudet att till tredje land föra över personuppgifter om landet inte har en adekvat nivå för skyddet av behandling av personuppgifter. Frågan om skyddsnivån är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandling i det tredje landet. Lydelsen överensstämmer i stort med innehållet i dataskyddsdirektivets artikel 25.

Den rättsskipande och rättsvårdande verksamheten vid domstolarna och nämnderna är, till skillnad från vissa andra statliga verksamhetsområden, en nästan uteslutande nationell angelägenhet. Utbytet av information mellan de svenska domstolarna och nämnderna å ena sidan och myndigheter eller personer i andra länder å andra sidan, är därför mycket begränsad. Bestämmelsen i 33 § personuppgiftslagen berör i än mindre omfattning domstolarna och nämnderna till följd av att begränsningarna i rätten att överföra information till tredje land endast gäller när mottagarlandet är en stat som inte ingår i EU eller är ansluten till EES.

130 Tillämpning av personuppgiftslagen i vissa fall SOU 2001:32
   

Bestämmelsen har kanske därför inte i första hand ett omedelbart intresse för de enskilda domstolarna och nämnderna, men i ett specifikt avseende anser vi ändå att det finns anledning att nu närmare kommentera situationen. Det gäller Regeringsrättens och kammarrätternas målregister Find-It, som sedan en tid tillbaka är tillgängligt på Internet via InfoTorg, en tjänst som tillhandahålls av Sema InfoData. Informationen är dock inte allmänt åtkomlig, eftersom det för att komma åt den krävs såväl särskild behörighet (användar-ID) som ett personligt lösenord. Denna möjlighet är begränsad till anställda vid vissa domstolar och myndigheter. De tjänster som InfoTorg erbjuder via Internet och webbläsare är dessutom krypterade för att ge ett skydd mot obehöriga intrång.

I dag utgör det inget rättsligt problem att Find-It finns på Internet, under förutsättning att uppgifter inte därigenom lämnas ut i strid med sekretesslagens bestämmelser, eftersom registret fram till och med den 30 september 2001 inte omfattas av personuppgiftslagen. Därefter måste kraven i den lagen emellertid vara uppfyllda om registret skall kunna vara fortsatt tillgängligt på Internet. Ett problem är att det vid tolkningen av personuppgiftslagens bestämmelser har ansetts att en personuppgift omedelbart anses överförd till världens samtliga länder i och med att den görs allmänt tillgänglig på Internet.

Find-It innehåller stora mängder personuppgifter varav många är känsliga för enskilda från integritetssynpunkt. Flera uppgifter är dessutom känsliga i den betydelse som avses i personuppgiftslagen, t.ex. uppgifter om sjukdomar och hälsotillstånd. Om registret hade varit allmänt tillgängligt på Internet för envar, hade det inte rått några tvivel om att det skulle strida mot bestämmelserna i personuppgiftslagen om överföring av uppgifter till tredje land. Frågan är hur det faktum att uppgifterna är spärrade för alla utom de som har särskild behörighet påverkar situationen. Av avgörande betydelse måste enligt vår bedömning vara när en personuppgift skall anses överförd till ett annat land.

Användningen av Internet för att tillhandahålla uppgifterna i Find-It innebär i och för sig att en person med behörighet kan komma åt uppgifterna i andra länder, till skillnad från om uppgifterna tillhandahålls på ett särskilt och mellan myndigheterna internt nätverk. Det är dock inte fråga om en allmän spridning av uppgifterna. Det är inte heller fråga om att rikta överföringen av uppgifter till ett visst land eller en viss plats, utan endast till vissa personer. Med hänsyn till den personanknutna åtkomstmöjligheten anser vi det rimligt att anse att uppgifterna i registret inte i personuppgiftslagens mening överförs till ett visst tredje land förrän tjänsten de facto utnyttjas av en person som befinner sig i det landet (liknande resonemang förs av Peterson/Reinholdsson i Personuppgiftslagen i praktiken, s. 139 ff, 2 uppl. Stockholm: Norstedts

SOU 2001:32 Tillämpning av personuppgiftslagen i vissa fall 131
   

Juridik, 2000). Personuppgifter skulle med denna tolkning inte behandlas i strid med personuppgiftslagen så länge åtkomstmöjligheterna endast utnyttjas i Sverige eller i andra EU- och EES-stater.

Sammanfattningsvis torde enligt vår uppfattning bestämmelserna i 33 § personuppgiftslagen inte utgöra hinder mot att Find-It finns tillgängligt på Internet på det beskrivna sättet, under förutsättning att registret endast utnyttjas av behöriga personer inom det tillåtna geografiska området. En mycket viktig aspekt är givetvis säkerhetsnivån. Med hänsyn till mängden och typerna av uppgifter, bör det enligt vår mening inte komma i fråga att utnyttja Internet för informationsöverföring, annat än om en mycket hög säkerhet kan garanteras. Om registret skulle utnyttjas felaktigt är det ytterst den som är personuppgiftsansvarig för behandlingen som vid en rättslig prövning skulle kunna bli ansvarig i bl.a. skadeståndshänseende. Med tillämpning av våra författningsförslag torde Domstolsverket generellt anses vara personuppgiftsansvarigt i detta hänseende, eftersom de enskilda domstolarna inte har någon möjlighet att styra över de tekniska lösningarna för informationsflödet. Det är däremot inte uteslutet att personuppgiftsansvaret i ett enskilt fall skulle kunna komma att delas med en domstol eller nämnd.

SOU 2001:32 Ikraftträdande- och övergångsbestämmelser 133
   

7Ikraftträdande- och övergångsbestämmelser

Vårt förslag: De förordningar som reglerar registerföring m.m. med hjälp av automatiserad behandling av personuppgifter vid de allmänna domstolarna, länsrätterna, Regeringsrätten och kammarrätterna samt hyres- och arrendenämnderna skall träda i kraft den 1 oktober 2001.

Samtidigt med att de nya förordningarna träder i kraft skall de förordningar som i dag reglerar förandet av personregister vid de allmänna domstolarna och länsrätterna upphöra att gälla.

De nya förordningarnas bestämmelser om skadestånd skall tilllämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att de nya förordningarna har trätt i kraft.

Dataskyddsdirektivet antogs den 24 oktober 1995. Av artikel 32 framgår att medlemsstaterna senast tre år efter det datumet skall sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet. I fråga om sådan behandling som redan pågår, när de nationella bestämmelser som antas till följd av direktivet sätts i kraft, skall medlemsstaterna se till att behandlingen senast tre år från det datumet bringas i överensstämmelse med direktivets bestämmelser. För viss manuell behandling gäller i stället att medlemsstaterna får föreskriva att behandlingen skall bringas i överensstämmelse med direktivets bestämmelser senast tolv år efter direktivets ikraftträdande.

I enlighet med nämnda bestämmelser i dataskyddsdirektivet trädde personuppgiftslagen (1998:204) i kraft den 24 oktober 1998. Av personuppgiftslagens övergångsbestämmelser framgår att för sådan behandling som pågick vid ikraftträdandet, skall bestämmelser i datalagen (1973:289) tillämpas t.o.m. den 30 september 2001.

De förordningar som vi föreslår för registerföring m.m. vid domstolar och nämnder, ersätter författningar och tillstånd från Datainspektionen som reglerar behandling som pågick när personuppgiftslagen trädde i kraft. Enligt vår mening är det därför lämpligt att våra förslag träder i kraft den 1 oktober 2001, dvs. det datum då Datainspektionens

134 Ikraftträdande- och övergångsbestämmelser SOU 2001:32
   

tillstånd upphör att gälla och personuppgiftslagens bestämmelser blir tillämpliga fullt ut på behandling vid domstolarna och nämnderna.

De författningar som i dag reglerar förandet av personregister inom de för oss aktuella verksamhetsområdena, skall upphöra att gälla i samband med att de föreslagna förordningarna träder i kraft.

När personuppgiftslagen trädde i kraft reglerades vissa frågor särskilt i övergångsbestämmelserna. I fråga om skadestånd angavs att den nya lagens bestämmelser skall tillämpas bara om den omständighet som yrkandet hänför sig till har inträffat efter det att den nya lagen har trätt i kraft. Vi anser att motsvarande övergångsbestämmelse bör gälla avseende behandling enligt de av oss föreslagna förordningarna. Det bör påpekas att för behandling av personuppgifter som har påbörjats före den 24 oktober 1998, kommer skadeståndsbestämmelserna i datalagen att vara tillämpliga när de omständigheter som yrkandet hänför sig till har inträffat innan våra förordningsförslag träder i kraft. För senare påbörjad behandling gäller i stället skadeståndsbestämmelsen i personuppgiftslagen eller motsvarande bestämmelse i våra förordningsförslag, beroende på när den omständighet som yrkandet hänför sig till har inträffat.

SOU 2001:32 Ekonomiska konsekvenser av våra förslag 135
   

8Ekonomiska konsekvenser av våra förslag

Vår bedömning: De förslag som lämnas i betänkandet medför endast ringa kostnader till följd av att vissa mindre tekniska åtgärder måste vidtas i befintliga datorsystem.

Av 14 § kommittéförordningen (1998:1474) framgår att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet.

Utgångspunkten för vårt deluppdrag har varit att anpassa den befintliga regleringen till dataskyddsdirektivets och personuppgiftslagens bestämmelser. Några rättsliga förändringar – utöver vad som är nödvändigt till följd av denna anpassning – som kan innebära ökade kostnader föreslås med två undantag inte. Undantagen rör dels förslaget om begränsningar av vissa myndigheters direktåtkomst till Regeringsrättens och kammarrätternas målregister (Find-It), dels förslaget att det i dessa målregister inte skall vara tillåtet att som sökbegrepp använda uppgifter om parter och andra aktörer tillsammans med uppgifter om saken i ett mål. Det handlar i dessa delar om mindre engångskostnader till följd av att förslagens praktiska genomförande är beroende av att vissa tekniska åtgärder vidtas. Kostnaderna förväntas kunna hanteras inom ramen för Domstolsverkets ordinarie anslag.

SOU 2001:32 Bilaga 1 139
   

Kommittédirektiv

Behandling av personuppgifter vid all- Dir.
männa domstolar, allmänna förvaltnings- 2000:74
domstolar samt hyres- och arrendenämnder  

Beslut vid regeringssammanträde den 19 oktober 2000.

Sammanfattning av uppdraget

En särskild utredare tillkallas för att granska regleringen och användningen av personregister eller annan behandling av personuppgifter i verksamhet vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt hyres- och arrendenämnderna. Utredaren skall föreslå författningsändringar som behövs för den framtida behandlingen av personuppgifter i dessa verksamheter.

Utredaren skall särskilt beakta behovet av en teknikoberoende reglering som tillgodoser såväl domstolarnas och nämndernas behov av en väl fungerande informationshantering som enskildas behov av skydd för den personliga integriteten.

Nuvarande reglering grundar sig på den upphävda datalagen

Den övergripande regleringen av personregister har sedan 1973 återfunnits i datalagen (1973:289). En grundläggande tanke med den lagstiftningen var att förandet av register med hjälp av automatiserad databehandling skulle ske i kontrollerade former, om registren innehöll upplysningar om enskilda personer och av olika skäl ansågs integritetskänsliga. Bland annat krävdes för förandet av sådana register antingen tillstånd från Datainspektionen eller att inrättandet av registren hade beslutats av regeringen eller riksdagen. Flertalet av de personregister som i dag används av domstolar förs med stöd av antingen förordning eller med Datainspektionens tillstånd.

I och med att personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998 upphörde datalagen att gälla. Den skall emellertid tilläm-

140 Bilaga 1 SOU 2001:32
   

pas till och med den 30 september 2001 i fråga om behandling av personuppgifter som påbörjades före den 24 oktober 1998.

Personregister vid de allmänna domstolarna

För de allmänna domstolarna gäller förordningen (1986:104) om registerföring vid de allmänna domstolarna med hjälp av automatisk databehandling, som trädde ikraft den 1 april 1986. Genom förordningen regleras främst det målhanteringssystem som tingsrätterna använder (MÅHS) och den överrättsversion av systemet som för närvarande används av Hovrätten för Västra Sverige (MÅHS-ÖR). Dessa målhanteringssystem innefattar ett heltäckande kanslistöd med funktioner som t.ex. blanketthantering, bevakning av tidsfrister och dagbokföring. Systemen innehåller uppgifter om bl.a. måltyp och målgrupp, parternas namn, adress och personnummer samt en kort beskrivning av saken i ett mål. Till systemen är även knutna de dokument som upprättas av domstolarna, t.ex. domar, beslut och skrivelser. För tingsrätterna innefattar systemen också en domsrutin för brottmål avseende domslut, med en särskild elektronisk rapporteringsrutin för uppgifter som lämnas till Rikspolisstyrelsen.

Förordningen reglerar även de målregister som förs av Högsta domstolen och Svea hovrätt. Dessa register är inte lika omfattande som målhanteringssystemen till funktion och innehåll. De innehåller dock personuppgifter om parter m.fl. samt registreringsuppgifter om målen.

Vid sidan av de personregister som förs av de allmänna domstolarna med stöd av författning finns ett antal register för vilka Datainspektionen har meddelat tillstånd. Det gäller de målregister som förs av hovrätterna, med undantag av Svea hovrätt och Hovrätten för Västra Sverige. Dessa register är förhållandevis enkla jämfört med målhanteringssystemen och innehåller främst registreringsuppgifter.

Tingsrätterna använder sig dessutom av ett särskilt personregister för bouppteckningar. Bouppteckningsverksamheten skall dock den 1 juli 2001 föras över från domstolsväsendet till skatteförvaltningen (prop. 1999/2000:1 utgiftsområde 4, bet. 1999/2000:JuU1, rskr. 1999/2000:78). För närvarande pågår ett lagstiftningsarbete för att genomföra reformen.

Stockholms tingsrätt är vid sidan av övriga register ansvarig även för sjöfartsregistret. Inskrivningsmyndigheten vid Malmö tingsrätt är ansvarig för företagsinteckningsregistret. Regeringen har emellertid i budgetpropositionen för 2001 (prop. 2000/01:1 utgiftsområde 4) föreslagit att riksdagen godkänner att dessa verksamheter förs över från tingsrätterna till Sjöfartsverket respektive Patent- och registreringsverket. Regeringen har aviserat att den under våren 2001 avser att lägga

SOU 2001:32 Bilaga 1 141
   

fram en proposition i syfte att förändringarna skall kunna träda i kraft den 1 juli 2001 såvitt avser företagsinteckningsregistret och den 1 december 2001 såvitt avser sjöfartsregistret.

Hos inskrivningsmyndigheterna, som är knutna till tingsrätterna, förs inskrivningsdelen av fastighetsregistret. Inskrivningsmyndigheterna är emellertid inte personuppgiftsansvariga, utan detta ansvar har Lantmäteriverket.

Den omfattande automatiserade behandling av personuppgifter vid allmänna domstolar som inte sker i personregister är i dag helt oreglerad. Det gäller t.ex. framställning av domar och beslut m.m. med hjälp av ord- och textbehandling.

Personregister vid de allmänna förvaltningsdomstolarna

För de allmänna förvaltningsdomstolarna finns författningsreglering av datorstöd endast i fråga om länsrätterna. Samtliga länsrätter använder sig av ett målhanteringssystem (MÅHS) med stöd av förordningen (1994:90) om registerföring vid länsrätt med hjälp av automatisk databehandling, som trädde i kraft den 1 april 1994. Systemen innehåller motsvarande funktioner och uppgifter som de ovan beskrivna målhanteringssystemen i allmän domstol, naturligtvis med undantag för de särskilda funktionerna som finns för tingsrätter avseende uppgifter i brottmål.

Regeringsrätten och kammarrätterna använder sig av ett datoriserat målregister som förs med stöd av tillstånd från Datainspektionen (Findit). Detta målregister tillåter till skillnad från övriga verksamhetsstöd att en domstol gör sökningar i de andra domstolarnas register såväl som i sitt eget. Målregistren innehåller dels registreringsuppgifter om mål och inblandade parter m.fl., dels uppgifter om tidigare avgöranden. Till skillnad från övriga system är det möjligt att i dessa register göra rättsfallssökningar med hjälp av sökordsfunktioner hänförliga till beskrivningar av saken i ett mål. Domar och beslut finns dock inte lagrade i fulltext.

Kammarrätten i Jönköping har dessutom tillstånd att föra ett personregister över egna avgöranden som lagras elektroniskt i fulltext, dock i avidentifierad form.

Liksom för de allmänna domstolarna gäller för förvaltningsdomstolarna att den automatiserade behandling av personuppgifter som inte sker i personregistren är helt oreglerad. Det gäller t.ex. framställning av domar och beslut m.m. med hjälp av ord- och textbehandling.

142 Bilaga 1 SOU 2001:32
   

Personregister vid hyres- och arrendenämnderna

För hyres- och arrendenämnderna finns ingen författningsreglering av datorstöd och registerföring. De större hyresnämnderna i Stockholm, Göteborg och Malmö använder sig liksom tingsrätter och länsrätter av ett mål- och ärendehanteringssystem (MÅHS), dock med stöd av tillstånd från Datainspektionen. Systemet innehåller motsvarande funktioner och uppgifter som de ovan beskrivna målhanteringssystemen i länsrätterna. Övriga hyres- och arrendenämnder för inte några tillståndspliktiga personregister.

Utredningsuppdraget

Behandling av personuppgifter

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Därigenom genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L 281, 23.11.1995, s. 31, Celex 395L0046), det s.k. dataskyddsdirektivet. Beträffande sådan behandling av personuppgifter som hade påbörjats vid ikraftträdandet skall dock datalagen (1973:289) tillämpas till utgången av september 2001.

Införandet av personuppgiftslagen innebär att det är nödvändigt att granska de befintliga registerförfattningarna för de allmänna domstolarna och länsrätterna. I och med att Datainspektionens tillstånd för personregister upphör att gälla vid utgången av september 2001, är det även nödvändigt att granska de register som inte regleras i författning. Av särskild betydelse i det avseendet är Regeringsrättens och kammarrätternas målregister (Find-It).

Samtidigt är det viktigt att överväga hur domstolarna och nämnderna skall kunna utnyttja möjligheterna till informationsbehandling och informationsöverföring för att ytterligare effektivisera inom respektive verksamhetsområde.

En särskild utredare tillkallas för att kartlägga användningen av personregister och annan behandling av personuppgifter i verksamhet vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt hyres- och arrendenämnderna. Även frågan om gallring och arkivering av ADB-material i detta sammanhang skall utredas. Personregister och annan behandling av personuppgifter i inskrivningsmyndigheternas verksamhet omfattas dock inte av utredarens uppdrag. Detsamma gäller behandling av personuppgifter i tingsrätternas bouppteckningssystem samt i sjöfartsregistret och företagsinteckningsregist-

SOU 2001:32 Bilaga 1 143
   

ret. Utredaren skall föreslå de författningsändringar och andra regler som bedöms vara motiverade.

En utgångspunkt för utredningsarbetet skall vara att skapa enkla och tydliga regler som är anpassade efter den tekniska utvecklingen. En annan viktig utgångspunkt skall vara att anpassa regleringen av behandling av personuppgifter så att den tillgodoser behovet av ett effektivt IT-stöd i mål- och ärendehanteringen. Av betydelse är därvid att det inom regelverket ges möjligheter att utveckla datorsystem som underlättar utbytet av information såväl inom och mellan domstolar som mellan domstolar och myndigheter inom rättsväsendet, parter och andra som berörs av ett mål eller ärende. Utredaren skall även beakta möjligheterna för domstolarna och nämnderna att i framtiden tillämpa en sammanhängande elektronisk mål- och ärendehantering.

Utredaren skall i detta sammanhang också analysera vad som krävs för domstolarnas interna administration, t.ex. ekonomiadministration.

I 2 kap. 3 § regeringsformen anges att varje medborgare, i den utsträckning som närmare anges i lag, skall skyddas mot att den personliga integriteten kränks genom registrering av uppgifter med hjälp av automatisk databehandling. Denna princip kommer även till uttryck i dataskyddsdirektivet och personuppgiftslagen. Utredaren skall i enlighet härmed beakta att en reglering av domstolarnas och nämndernas behandling av personuppgifter måste utformas på ett sådant sätt att enskildas rätt till personlig integritet skyddas.

Det kan på goda grunder antas att det finns ett behov av särregler för domstolarnas och nämndernas verksamheter. Regleringen av behandlingen av personuppgifter bör emellertid så långt det är möjligt utformas i överensstämmelse med personuppgiftslagens bestämmelser. Givetvis får regleringen inte strida mot dataskyddsdirektivet.

Utredaren har stor frihet att ta upp andra frågor som anknyter till detta område och där så bedöms vara angeläget lämna förslag på lösningar.

Sekretess m.m.

Särskilda bestämmelser om sekretess för uppgifter hos domstolarna återfinns bl.a. i 12 kap. sekretesslagen (1980:100). Dessa bestämmelser innebär i korthet följande. I förekommande fall följer sekretessen med till domstolen. Domstolen har sedan att vid skilda tillfällen under processen pröva om sekretessen skall bestå eller inte, exempelvis vid en förhandling eller när målet eller ärendet avgörs. För uppgifter vid domstolarna gäller emellertid ingen enhetlig sekretess. De sekretessbestämmelser som i förekommande fall blir tillämpliga i olika måltyper kan skilja sig åt vad avser det intresse som sekretessen skall skydda.

144 Bilaga 1 SOU 2001:32
   

Därtill innebär vissa sekretessbestämmelser absolut sekretess medan andra sekretessbestämmelser är utformade så att presumtionen är att uppgifterna är offentliga.

Detta förhållande kan innebära såväl rättsliga som praktiska problem vid en utökad hantering av personuppgifter på automatiserad väg. Det förhållandet att många uppgifter i domstolarna inte omfattas av sekretess över huvud taget kan även innebära problem från integritetssynpunkt när allt fler uppgifter samlas i datorsystem med omfattande sökmöjligheter. Utredaren skall med detta som utgångspunkt undersöka om det finns behov av att ändra eller komplettera de bestämmelser i sekretesslagen som gäller uppgifter vid domstolarna eller föreslå rättsliga begränsningar av domstolarnas och därmed allmänhetens sökmöjligheter.

Redovisning av uppdraget

Utredaren skall i ett delbetänkande senast den 31 mars 2001 redovisa sina förslag när det gäller Regeringsrättens och kammarrätternas målregister samt övrig behandling av personuppgifter som påverkas av att datalagen helt upphör att gälla den 30 september 2001. Uppdraget i övrigt skall redovisas senast den 31 december 2001.

Utredaren skall i enlighet med 14 § kommittéförordningen (1998:1474) redovisa de eventuella ekonomiska konsekvenserna av de förslag som läggs fram. Utredaren skall hålla sig underrättad om Of- fentlighets- och sekretesskommitténs arbete (Ju 1999:06 ).

(Justitiedepartementet)

SOU 2001:32 Bilaga 2 145
   

2000-11-01

Domstolsdatautredningen Till

(Ju 2000:08)

Domstolens/nämndens dataansvarige eller motsvarande

Förfrågan om personregister vid domstolar och nämnder

Regeringen beslutade den 19 oktober 2000 (direktiv 2000:74) att tillkalla en särskild utredare för att granska regleringen och användningen av personregister eller annan behandling av personuppgifter i verksamhet vid de allmänna domstolarna och de allmänna förvaltningsdomstolarna samt hyres- och arrendenämnderna. Utredaren skall föreslå den författningsreglering som behövs för den framtida behandlingen av personuppgifter. Särskild utredare är undertecknad kammarrättslagman Sten Wahlqvist. Utredningen har tagit sig namnet Domstolsdatautredningen (Ju 2000:08).

Utredningens uppdrag skall vara slutfört den 31 december 2001. Redan den 31 mars 2001 skall utredningen emellertid lämna ett delbetänkande i vilket den skall redovisa förslag till de rättsliga åtgärder som behöver vidtas för att befintliga verksamhetsstöd m.m. skall kunna användas även efter den 30 september 2001, då datalagen (1973:289) enligt övergångsbestämmelserna till personuppgiftslagen (1998:204) helt upphör att gälla.

För att kunna kartlägga användningen av personregister i de aktuella verksamheterna behöver utredningen en komplett sammanställning av de personregister som i dag används vid domstolarna och nämnderna. Utredningen ber därför om hjälp med insamlingen av denna information. Det material som behövs och som utredningen gärna ser att domstolarna och nämnderna bistår med är följande.

Förteckning enligt 7 a § datalagen över samtliga personregister som domstolen eller nämnden ansvarar för.

146 Bilaga 2 SOU 2001:32
   

Beskrivning av ADB-register enligt 15 kap. 11 § sekretesslagen (1980:100).

Kopior av tillstånd från Datainspektionen avseende personregister som används vid domstolen eller nämnden (såväl grundbeslut som eventuella senare ändrings- eller tilläggsbeslut).

Med hänsyn till den begränsade tid som utredningen har till sitt förfogande för att lämna delbetänkandet, är det av stor vikt att informationen erhålls skyndsamt. Tack på förhand.

Materialet bör skickas till: Domstolsdatautredningen Att. Peder Liljeqvist

Regeringskansliets utredningsavdelning Box 187

201 21 Malmö

Med vänliga hälsningar

Sten Wahlqvist

Peder Liljeqvist