Innehållsförteckning

Inledning

EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda pers o- ner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter) har genomförts i Sverige genom bl.a. pe r- sonuppgiftslagen (SFS 1998:204, PUL). Justitiedepartementet har gjort en enkät för en offentlig utvärdering av EG-direktivet om personup p- gifter. I mitten av februari 2001 remitterades enkäten till 109 myndigheter, organisationer och företag som inbjöds att svara på denna senast den 30 mars 2001. Under samma period inbjöds allmänheten att besv a- ra enkäten på Internet via Justitiedepartementets webbplats. Även svar som inkommit efter denna tid har beaktats.

Sammanlagt har det inkommit 94 svar på enkäten, varav 52 via Just i- tiedepartementets webbsida och sju anonyma. Av de lämnade enkä t- svaren har 15 svar inte bedömts vara allvarligt menade i sak. Dessa har därför bortsetts från i den följande sammanställningen. I bilaga 1 finns det en numrerad förteckning över de som svarat. Numren återfinns i sammanställningen nedan.

I bilaga 2 finns enkäten. Den innehåller 16 frågor om eventuella problem med olika bestämmelser i EG-direktivet. Regeringen och riksdagen vill att EG-direktivet skrivs om så att det blir möjligt med en lagstiftning som är mer inriktad på att ingripa mot missbruk av perso n- uppgifter än på att reglera själva hanteringen av personuppgifter. Inom Justitiedepartementet har det gjorts en skiss till en sådan lagstiftningsmodell mot missbruk av personuppgifter (missbruksmodell), bilaga 3.

Enkäten innehåller också ett par frågor om synpunkter på Justitied e- partementets skiss samt en fråga om övriga synpunkter på ändringar av EG-direktivet.

Enkätsvaren har för överskådlighetens skull ställts upp under för e- kommande positiv eller negativ kritik eller andra allmänna synpunkter under respektive fråga om eventuella problem med EG-direktivet. I viss mån har svaren förko rtats.

Nedan redovisas en sammanfattning med antalet svarande under respektive fråga.

6

Eventuella problem med EG- direktivet

Definitioner

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om definitioner av olika begrepp som används, t.ex. personuppgift och samtycke (artikel 2, jämför 3 § PUL)

Positiv kritik

Tullverket (18): Definitionerna på dessa och andra begrepp är ganska tydliga.

Uppsala kommun (20): Inga problem hittills, ganska klar definition vad gäller personuppgift och samtycke. Samtycke är sa m- tycke och skall självklart vara uttryckligt.

Statens personadressregisternämnd (51) : Definitionerna i sig vållar inga större problem.

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Anonym (93): Begreppen är utförligt beskrivna i såväl direktiv som lag så konkreta problem känner jag inte till.

Negativ kritik

Lars Aronsson (1): Både EG-direktivet och det nu framlagda lindrigare förslaget är alltför förbjudande. Det bör vara en mänsklig rättighet att läsa och skriva om vad som helst och att utnyttja d a- tateknik som ett verktyg i denna intellektuella verksamhet. Gåsfjäder, penna, skrivmaskin, ordbehandlare eller reguljär databas skall inte göra någon skillnad. Den gamla datalagen (1973) til l- kom under antagandet att enbart storföretag och myndigheter a n- vände datorer. Den nu föreslagna lindringen i EG-direktivet föru t- sätter att enbart storföretag och myndigheter använder reguljära databaser. Det är inte fallet. Tusentals svenska ungdomar driver egna webbsajter baserade på PHP och MySQL, som är en reguljär databas. Deras val av tekniska hjälpmedel ska rimligen inte göra dem till kriminella. PUL har förtjänsten över datalagen att den tillåter registrering under samtycke, vilket var förbjudet under datalagen. Felet med PUL är att den inte långt nog anpassar la g- stiftningen efter de rådande tekniska omständigheterna. Inte heller den nu föreslagna lindringen av EG-direktivet går långt nog i lib e- raliseringen. Resultatet är att de svenska webbsajterna inte följer lagen. De är så många, att ingen vill eller orkar åtala eller döma alla sajtägarna. I slutänden blir den enda följden att svensk (och europeisk) lagstiftning framstår som otidsenlig och tandlös, vilket undergräver moralen och förtroendet för övriga lagar.

Lunds universitet (2): Problem med definitionen av manuell behandling av personuppgifter. Vad menas egentligen med att uppgifterna skall vara “tillgängliga för sökning eller sammanställning enligt särskilda kriterier”? Manuell behandling bör i görligaste mån undantas från lagen.

Anders Andersson (4): Definitionen av “personuppgift” är oklar, då det har framkommit att även registreringsnummer för moto r- fordon, fastighetsadresser, myndigheters diarienummer och namn på enskilda firmor enligt Datainspektionens bedömning kan utg ö- ra personuppgifter enbart av det skälet att någon fysisk person kan associeras med dessa uppgifter, varför lagen får ett oerhört vitto m- fattande tillämpningsområde.

Ordval Journalistik (11): Samtycket är väl hårt definierat. Tel e- fonsamtal har räckt för mig. Och varför kräva samtycke över h u-

8

vud taget? Det viktiga är väl att uppgifter tas bort om någon kä n- ner sig illa berörd. Dessutom verkar Datainspektionens nedslag på sidor som lagt ut uppgifter om småföretag vettlöst. Givetvis vill vi småföretagare bli omnämnda så ofta som möjligt, bara det inte handlar om rent förtal - och sådant finns r edan lagstiftning för!

Jonas Flygare (12): Insamling av information är för luddigt. Som det är idag kan företag utan hinder samla all information som en person lägger ut på nätet, inklusive e-postadresser - och den e n- skilda personen kan inget göra för att påverka till vad uppgifterna används.

Hemsidan Potatis (13): Det är inte rimligt att begära att den som vidarebefordrar vad som förefaller vara en personuppgift måste leka detektiv och ta reda på huruvida en fysisk person som är i l i- vet kan spåras eller ej och vem denne är. Ett sådant förfarande motverkar ju snarare strävan att skydda individens integritet. På Internet svävar uppgifter om riktiga och påhittade personer o m- kring utan att man normalt vill eller enkelt kan ta reda på vem eller vilka personer som ligger bakom. Det borde vara operatörernas ansvar att hålla sina eventuella personakter hemliga, och det är där kopplingen från signatur till verklig person finns - om personen bakom signaturen inte själv röjer sig, se nedan. När en person publicerar uppgifter om sig själv på nätet måste detta i sig räknas som samtycke till behandling av dessa personuppgifter. Detta uttrycks inte explicit i direktivet, vilket är en svaghet som tydligen lett den svenska tolkningen fel.

Svenska kyrkans Församlingsförbund (15) : Samtyckesproblematiken.

Peter Rydén (16): Samtycke vad gäller en privat databas med släktingar - tveksamheter huruvida detta måste finnas med.

Martin Pettersson (17): Tydligare definition vore önskvärt, då i n- divider som ombedes ge samtycke enligt definition i PUL förstår inte vad det handlar om, och onödiga arbetsmoment uppstår i att klargöra.

SLU (19): Begreppet “personuppgift” i EG-direktivet har inom myndigheten föranlett många diskussioner sedan PUL:s tillkomst. Med direktivets och PUL:s definition kan i stort sett varje uppgift rörande en människa intolkas. Som exempel på diskussion som

9

förevarit inom universitetet kan tas frågan om uppgifter om vilka personer som är anmälda att delta i ett seminarium (som i det a k- tuella fallet skulle hållas av en kontroversiell filosof med djurens rätt som specialitet) är att betrakta som personuppgifter. PUL och EG-direktivet borde därför bättre precisera innebörden av begre p- pet. Sådana uppgifter om en anställd inom en myndighet som rör dennes befattning och funktion m.m. samt andra uppgifter som inte är av privat natur i mer snäv mening bör t.ex. inte betraktas som personuppgifter i PUL.

Forskningsrådet för arbete och socialvetenskap (27) : De problem vi ställts inför är eventuellt samtycke i samband med reg i- strering i projekthanteringssystemet alternativt adressregistret. Vår tolkning är att då en projektansvarig insänt en ansökan om bidrag till rådet, har vederbörande implicit godkänt registrering av de personuppgifter som lämnats i ansökan, som är en offentlig han d- ling.

TCO (31): En oklar fråga när det gäller definitioner är vad som a v- ses med personuppgiftsbiträde kontra medhjälpare.

Riksskatteverket (32): Begreppet personuppgift ges en så vid innebörd att det medför oklarheter och praktiska och pedagogiska problem. Det framstår t.ex. som oklart om de mer detaljerade uppgifterna om fastigheter är att anse som personuppgifter. RSV har behov av att informera om vägledande nya och gamla rättsfall inom sina olika verksamhetsområden. En automatiserad behandling som sker för sådant ändamål kan komma i konflikt med d i- rektivet och därigenom med PUL. Rättsfallen kan till viss del anonymiseras genom att namn och annat direkt personidentifierande tas bort. Målnummer och andra beteckningar måste dock finnas kvar för att rättsfallet i sin helhet ska kunna tas fram eller beställas vid behov. Om detta innebär att PUL blir tillämplig ska t.ex. information, i princip, lämnas utan anmodan.

Vägverket (36) : Pedagogiskt kan det leda fel att alltjämt tala om “den registrerade”. Detta leder lätt till uppfattningen att PUL, i likhet med datalagen, enbart gäller personuppgifter i register.

Rikspolisstyrelsen (40): Begreppet behandling av personuppgifter har en mycket vidsträckt definition. Det är i stort sett omöjligt att vidta någon som helst automatiserad åtgärd som inte faller in u n-

10

der begreppet. Eftersom PUL reglerar själva hanteringen av personuppgifter, vållar detta begrepp ofta stora problem i praktiken. Begreppet personuppgift har också en mycket vidsträckt definition, eftersom det innefattar även en indirekt personuppgift. En sådan uppgift kan, åtminstone i den svenska lagstiftningens tol k- ning av begreppet, vara en uppgift som på komplicerade vägar l e- der fram till en fysisk person. Det kan ifrågasättas om alla de re g- ler till skydd för den personliga integriteten som anges i direktivet skall tillämpas i sådana fall, eftersom behandlingen som sådan normalt inte kan anses vara särskilt integritetskränkande. Begre p- pet personuppgiftsansvarig har vållat problem i vissa fall där flera myndigheter har direktåtkomst till samma system. En fråga som har aktualiserats är hur en myndighet som enligt lag är perso n- uppgiftsansvarig skall kunna uppfylla sitt ansvar enligt PUL när andra myndigheter enligt lag registrerar uppgifter i systemet. Tolkningsproblem har uppkommit när det gäller begreppet personuppgiftsbiträde . En fråga är om en myndighet som är perso n- uppgiftsansvarig för ett system i vilket andra myndigheter b e- handlar personuppgifter som de är personuppgiftsansvariga för skall betraktas som personuppgiftsbiträde åt de andra myndigh e- terna.

Svenska Förläggareföreningen (42) : Personuppgiftsbegreppet är så omfattande att efterlevnad av lagen i praktiken är svår att up p- nå.

Riksdagens ombudsmän (JO) (43) : Den vida definitionen av begreppet personuppgift försvårar vissa av de problem som redov i- sas nedan under fråga C 11. Om man t.ex. skall anonymisera ett JO-beslut inför publicering på en hemsida, så räcker det inte att ta bort namnuppgifter. Om det framgår att föremålet för tillsyn varit t.ex. en angiven tingsrätt och JO i beslutet riktar kritik mot lagmannen, torde man ha behandlat en personuppgift (information som indirekt kan hänföras till en person som är i livet) och dessu t- om - än värre med EG-direktivets och PUL:s sätt att se på saken - överfört denna i och för sig helt offentliga information till tredje land.

Unite AB (44): Benämningen personuppgiftsbiträde kan uppfattas vara person som är biträdande personuppgiftsansvarig (ersättare).

11

Personuppgifthandläggare eller personuppgiftförare skulle vara mer tydligt.

KLYS (45): En personuppgift är enligt PUL all slags information som direkt eller indirekt kan hänföras till en levande fysisk pe r- son. Vad som i detta avseende ställer till problem för bildkonstn ä- rer, såsom tecknare och fotografer, är att bilder på identifierbara personer därmed betraktas som personuppgifter enligt PUL. Definitionen av personuppgifter är enligt KLYS alltför vid.

Sveriges Försäkringsförbund (47) : Bolagen har i sina förberede l- ser i samband med att övergångsreglerna upphör den 30 septe m- ber 2001, funnit flera områden där man kan befara tillämpning s- problem. Ett sådan område är t ex definitionen av manuella regi s- ter, där det kan ställa till problem med att avgöra i vilken u t- sträckning som direktivet är tillämpligt på uppgifter lagrade i pa p- persform (löpande text).

Göteborgs stad (49) : En strikt tolkning av begreppet personuppgift enligt direktivet innebär att också indirekt till individ hänförbara uppgifter omfattas. Detta leder i många fall till orimliga konsekvenser, eftersom en personuppgift nästan alltid på något sätt kan hänföras till en enskild individ. Definitionen bör utformas på ett sätt som bättre stämmer överens med vad som i allmänt språkbruk menas med personuppgift.

Svenska Fotografers Förbund (53) : Tyvärr är definitionen av “personuppgift” alltför allmänt hållen, många anser att fotografier inte omfattas av begreppet. När ordet “fotografi” används i denna enkät avses genomgående fotografier som återger identifierbara, levande personer.

Patent- och registreringsverket (58): Det förhållandet att EG- direktivet (och PUL) träffar även personuppgifter i löpande text ger direktivet ett oerhört vitt tillämpningsområde. PUL innehåller ett stort antal begrepp och definitioner varav flera upp upplevs som svåra att innehållsmässigt bestämma. Vidare utgör t.ex. fot o- grafier personuppgifter i PUL:s mening. Det är även märkligt att underåriga kan ge medgivande till behandling av sina personuppgifter. I likhet med många andra rättsliga sammanhang så borde det även här finnas en åldersgräns på förslagsvis 18 år.

12

Lantmäteriverket (59) : Begreppet personuppgift upplevs i vissa sammanhang som svårhanterligt. Det gäller i synnerhet sådan uppgifter som är indirekta och där kränkningspotentialen, gen e- rellt sett, kan bedömas som låg. En svårighet kan vara att avgöra om det är en personuppgift överhuvud. Beskrivningen i lagen och främst i direktivet är besvärlig. I direktivet anges ett antal olika kriterier som kan vara svåra att applicera. Kriterierna för vad som är personuppgift bör göras mer precisa. Exempel: Uppgifterna i fastighetsregistret avser i första hand den fasta egendomen och dess egenskaper. Men där finns även uppgifter om vem som är lagfaren ägare av fastigheten. Är t.ex. en adressuppgift i registret till en fastighet som ligger i en viss kommun en personuppgift efter som den kan säga något om personens sociala eller ekonomi s- ka identitet? En annan svårighet kan uppkomma när man skall a v- göra om det finns någon egentlig koppling mellan en indirekt uppgift och personen (direkt personuppgift). En fråga är hur många led man 'behöver' gå i efterforsning för att anse att det är en personuppgift. Exempel: En uppgift i en karta, t.ex. uppgift om fastighetsbeteckning eller en koordinat, kan kopplas ihop med en uppgift, t.ex. en kod (indirekt uppgift) i ett register som i sin tur kan kopplas ihop med en kodad uppgift i ett register, etc. Behov finns att för vardagliga och vanliga situationer kunna behandla personuppgifter utan att behöva göra behandlingen i enlighet med PUL. I viss mån har detta blivit möjligt genom den avvägning som kan ske med stöd av § 10 f) och konstruktionen 'harmlös uppgift'. Vi upplever dock att vägen i många fall är tung, genom att bedömningar av frågorna kräver kompetens, viken många gånger är svår att upprätthålla i en decentraliserad verksamhet. Konstruktionen 'harmlös personuppgift' synes strida mot den h u- vudprincip (hanteringsprincipen) som direktivet och PUL bygger på. Lantmäteriet är för att undantag, grundade på en missbruk s- princip, kan göras i PUL. Vi föreställer oss att ett antal 'vardagl i- ga' behandlingar av personuppgifter därigenom kan erhålla legalt stöd utan att prövning i det enskilda fallet skall göras. (Vi stöder i princip det förslag till justering av direktivet som bifogats denna enkät. Se vidare kommentar nedan.) Begreppet “samtycke” är även det svårt, särskilt i det fallet det inte handlar om känsliga

13

personuppgifter (Känsliga personuppgifter förutsätter ju uttryc k- ligt samtycke). I denna sfär synes det, med ledning av främst 10 § f) vara möjligt att kunna komma till olika slutsatser om vilken 'grad' av samtycke som erfordras, t.ex. passivitet, tyst samtycke eller genom konkludent eller faktiskt handlande. Jfr vad som anförts ovan. Frågan om samtycke kan även ställas mot förval t- ningslagens regel (7 §, andra punkten samt 15 kap. 4 § sekretesslagen) som säger att myndigheter inte skall besvära medborg a- ren med förfrågningar om information vid handläggning av äre n- den i de fall uppgiften kan erhållas av en annan myndighet. Frågan är hur denna skyldighet skall hanteras framöver. En prövning bör väl i princip innefatta en vägning av sekretesslagens bestä m- melse mot direktivets/PUL:s regler. Begreppet behandling av personuppgifter är allomfattande. Det påverkar - inte genom att nyt t- jandet av informationen blir omöjlig, utan genom att nyttjandet belastas med en administrativ/judiciell överbyggnad i form av kontroller, interna beslut etc. Exempel: I en del kartor finns personuppgifter angivna (Fastighetskartan, skala 1:10 000/20 000). Att betraktandet av en 'ointelligent' kartbild på en bildskärm skall ses som behandling av en personuppgift har många svårt att inse. Än svårare är att förstå följderna av detta faktum. Distribution, spridning och nyttjande i samhället av denna typ av geografisk information hämmas av regleringen. Behov finns av ett nyanserat behandlingsbegrepp. I dagsläget kan ett sådant nyanserat förhål l- ningssätt indirekt erhållas genom den prövning som måste göras mot 10 § PUL och då främst generalklausulen i punkt f). Ett alte r- nativ är att konstruera stöd för vissa behandlingar genom positiva bestämmelser för vissa situationer/verksamheter.

Sveriges advokatsamfund (63): Vad som krävs för att ett giltigt samtycke skall föreligga förefaller vara väl formalistiskt. Att det t.ex. är tveksamt om ett konkludent handlande kan konstituera samtycke är inte tillfredsställande.

Svenska Inkassoföreningen (68) : Definitionerna av personuppgiftsansvarig/personuppgiftsbiträde leder till stundom till tolkningsproblem med avseende på registreringar av personuppgifter som användas för mer än en uppdragsgivares räkning (vilket sker när en gäldenär har skulder till mer än en borgenär). Av effektiv i-

14

tetsskäl och för att undvika att t.ex. ansöka om utmätning flera dagar i följd för olika uppdragsgivares räkning är det nödvändigt med sådan central registrering.

Riksåklagaren (70) : Eftersom en stor del av brottmålsärendena leder till kontakter med domstolen där uppgifterna är offentliga medför det att definitionen av personuppgift blir mycket vid. Samtycke för registrering i brottmålsärenden kan svårligen i n- hämtas. Definitionen av personuppgiftsbiträde är oklar, kan en “vanlig” användare omfattas av definitionen.

Region Skåne (71) : Definitionerna är omfattande och vida, vilket medför restriktioner för att kunna ge medborgare samhällsinfo r- mation. Detta berör både personal och politiker.

Telia Nära AB (72) : Personuppgift - Definitionen är mer vidsträckt i PUL (och i datalagen) än i direktivet, vilket gör att gränsdra g- ningen blir svårare. Med nuvarande definition kan oerhört många slags uppgifter i enskilda fall anses utgöra “personuppgift”, även om uppgiften egentligen inte har särskilt mycket med den aktuelle personen att göra. Som exempel kan nämnas ett telefonnummer, där i och för sig en viss fysisk person utpekas som abonnent och uppgift härom kan sökas i katalog, nummerupplysningstjänst etc., men där abonnemanget likaväl kan användas av flera olika pers o- ner. Samtycke – Enligt definitionen är detta en frivillig, särskild och otvetydig viljeyttring. I 15 § anges även uttryckligt samtycke. Föreligger här en gradskillnad? Är samtycke, dvs. att man genom signatur på kontrakt e. dyl. där tillhörande villkor upplyser om att samtycke lämnas för behandling av personuppgifterna enligt a n- givna förutsättningar, att betrakta som den otvetydiga viljeyttring lagen föreskriver? Är inte detta då lika med uttryckligt samtycke? Landstingsförbundet (75) : Definitionen av “behandling av personuppgifter” är vid, eftersom även uppgifter i löpande text o m- fattas. Detta medför oönskade inskränkningar i möjligheten att kunna ge samhällsinformation till medborgarna. Det gäller t.ex. beskrivning av verksamheter, vem som gör vad inom organisati o- nen, var man skall söka för att få information. Inte heller kan d i-

arier göras tillgängliga.

Svensk Handel (76): Problemen som uppkommer om bestämmelserna i PUL gäller framförallt den begreppsförvirring som råder.

15

Exempelvis är begreppet personuppgift inte klart definierat. I lagen står endast att personuppgift är all slags information som d i- rekt eller indirekt kan hänföras till en fysisk person som är i livet. Den juridiska definitionen är vidare än det allmänna språkbruket vilket skapar ytterligare förvirring. Behandling av personuppgifter är enligt lagens mening att någon vidtar en åtgärd eller en serie av åtgärder i fråga om personuppgifter, vare sig det sker på autom a- tisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, använ d- ning, utlämnande genom översändande, spridning eller annat til l- handahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Detta är inte tillfredsstä l- lande från rättsäkerhetssynpunkt.

Stockholms Handelskammare (77): Begreppsapparaten är öve r- huvudtaget ej möjlig att tillämpa på Internetverksamhet på något sätt. Ändringar i denna begreppsapparat har därför liten om än n å- gon inverkan eftersom den från början baserats på felaktiga gru n- der, nämligen hålkort istället för de informationsflöden i en i n- formationsekonomi det är fråga om. Begrepp som samtycke, den registrerade, biträde och ombud m.fl. stöter i första skedet inte på några omfattande svårigheter i praktiken. Det gör emellertid några av direktivets och integritetsområdets mest centrala begrepp, personuppgift och behandling. Vad beträffar personuppgift kan inledningsvis konstateras att direktivets intention att frångå registe r- begreppet tycks vara god. En kränkning skall bedömas som en s å- dan, oavsett om den åtföljs av flera andra eller utgör ett enstaka intrång. Den vida definitionen av personuppgift får dock oanade, för att inte säga ytterst, svårbedömda effekter inom en rad omr å- den där “behandling” blivit en självklarhet idag. Eftersom perso n- uppgifter också inbegriper sådana uppgifter som indirekt utpekar enskild, blir i stort sett alla uppgifter om Internetanvändares klickbeteenden på webbplatsen eller uppgifter om exempelvis ett hushålls elkonsumtion automatiskt något som måste hanteras e n- ligt direktivet (PUL), oavsett om informationshanteringen i sig normalt sett medför en minimal risk för att den enskildes integritet kränks. Som så ofta konstateras finns det få likheter med den up p- giftsbehandling som ligger till grund för dessa begrepp och den

16

behandling i form av informationsflöden som är verklighet idag. Att elektroniska spår per definition är att se som personuppgifter i lagens mening leder till en ohållbar regleringssituation. Det är nyttjandet av dessa som måste stå i fokus. Det för oss in på b e- greppet behandling som omfattar alla åtgärder beträffande pe r- sonuppgifter. Denna definition leder till den minst sagt märkliga situationen att man vid en strikt tolkning av direktivet/lagen också måste inhämta samtycke för att stryka uppgifter som inte får b e- handlats p.g.a. att den ansvarige inte lyckats inhämta samtycke till behandling från den som uppgifterna avser. Den som söker efter information med en sökmotor på Internet med vissa (indirekta eller direkta) personuppgifter, behöver på samma sätt inhämta samtycke för dels själva sökningen och dels för de uppgifter som framkommer av svaret (vilket naturligtvis är omöjligt att förutse). Att regelverket bjuder till sådana tolkningssvårigheter – bortsett från om lagen tillämpas på detta sätt eller inte - visar på att valet av nomenklatur är olyckligt. Frågan är om det finns någon vidare förståelse för hur direktivets regler slår mot förekomsten av ele k- troniska spår. Ytterligare tecken som stödjer det här sagda är oc k- så Justitiedepartementets förslag till missbruksmodell som innebär just ett steg tillbaka mot ett registerbegrepp istället för fokusering på spridning och annan användning av enskilda personuppgifter.

Svenska Bankföreningen (81) : Definitionen av “behandling av personuppgifter” innebär att varje åtgärd som kan vidtas med pe r- sonuppgifter omfattas av definitionen. Vid tillämpningen av lagen är det emellertid önskvärt att inte bara varje enskild åtgärd eller serie av åtgärder ses som en behandling, utan att även olika typer av åtgärder tillsammans kan anses utgöra en behandling. Exe m- pelvis bör insamling, registrering och bearbetning av personup p- gifter om kunder, i vart fall såvitt avser en viss typ av tjänst, ku n- na betraktas som en behandling när det gäller tillämpning av b e- stämmelserna om information och anmälningsskyldighet. Mot denna bakgrund bör det klargöras att en serie av åtgärder som u t- gör naturliga delar i en process bör kunna betraktas som en behandling. Personuppgifter definieras som information som kan hänföras till en fysisk person. I kommentarerna har begreppet “hänföras” getts en mycket vidsträckt tolkning. Även om det

17

krävs att de egna uppgifterna kombineras med uppgifter som innehas av någon utomstående för att koppling till en viss fysisk person skall kunna göras anses detta omfattas av definitionen. E n- ligt Bankföreningens uppfattning är resonemanget alltför teor e- tiskt. Det bör som en förutsättning anges att den personuppgift s- ansvarige formellt och reellt sett kan förfoga över de olika up p- gifter som behöver kombineras för att uppgifterna skall betraktas som personuppgifter. Uppgifterna bör dessutom vara sökbara med hjälp av något begrepp som har anknytning till den fysiska pers o- nen. Begreppet “hänföras” behöver därför preciseras.

Sjöfartsverket (83) : Begreppet “behandling” är alldeles för omfa t- tande för att inte ställa till i viss mån onödiga problem för ver k- samheten. I princip varje åtgärd som företas med en personuppgift anses vara behandling. Dessutom är det vårt att förstå varför m a- nuell hantering av personuppgifter skall omfattas av lagen. I ö v- rigt är definitionerna acceptabla.

Anonym (87): Ett helsike att alla som skall omnämnas vid namn eller som medverkar på publicerat foto först måste säga OK.

Anonym (88): Det är väldigt svårt att få fram skriftligt samtycke från alla personer som man har i alla dataregisterna.

Anonym (94): Samtycke upplevs som ett luddigt ord. Exakt vad definieras som samtycke? Vad krävs för att samtycket skall vara giltigt? Underskrift, information eller vad?

Post och Telestyrelsen (PTS) (97): EG-direktivet ger utrymme för olika tolkningar av begreppet samtycke, t.ex. om det måste vara direkt uttalat eller om det räcker med ett s.k. konkludent handlande.

Tidningsutgivarna (99): Definitionen av “personuppgift” – all slags information som direkt eller indirekt kan hänföras till en f y- sisk person som är i livet - är alltför vidsträckt, vilket leder till att marginella, harmlösa och från integritetsskyddssynpunkt ointre s- santa uppgifter/förhållanden aktiverar PUL. Kravet på “frivillig, särskild och otvetydig viljeyttring” för att klassas som “samtycke” är likaså alltför långtgående. Det framkallar osäkerhet och okla r- heter – t.ex. när någon för att undanröja varje tvivel om otvet y- dighet tar fram en samtyckesblankett, varpå det mot detta kan erinras att samtycket inte längre är helt frivilligt.

18

Allmänna synpunkter

Zenita Brandin (5): Persondatan samlar jag in via olika arkiv. Personliga uppgifter får jag via personerna själva som har lämnat, muntligen, sitt samtycke att jag registrerar dem i mitt program.

Länsförsäkringar Göteborg & Bohuslän (7) : Många problem, främst inte för oss som administratörer för kunden - utan för ku n- den själv. Tänk vilken katastrof det blir om man inte betalar in sin villapremie och huset brinner upp. Alla personer vet inte vilket försäkringsbolag man har och få bevakar sina betalningar... Ännu en administrativ process som gör att vi hinner prata mindre med kunden. (Kunden får även betala högra premie för administrati o- nen)

Teleadress (28): TA känner inte till några konkreta problem med EG-direktivet.

Kriminalvårdsstyrelsen (29) : Flertalet av kriminalvårdens register förs enligt datalagens bestämmelser. Kriminalvården har ännu inte haft någon större erfarenhet av tillämpning av PUL.

Statskontoret (33): Statskontoret har inte haft några konkreta problem. Våra adressregister omfattas av övergångsbestämmelserna i datalagen. När det gäller ny behandling av personuppgifter har Statskontoret tillämpat samtycke som grund för behandling av personuppgifter.

Arbetsmarknadsstyrelsen (41): Som nämnts har verket f.n. registerförfattningar samt datalagen “i botten” för sin behandling av personuppgifter, varför vi egentligen inte har någon egen erfare n- het eller uppfattning om konkreta problem av det slaget som enkätrubriken efterfrågar. Ett projekt pågår för fullt som syftar till att anpassa verkets registerlagstiftning till PUL. Det kan inte uteslutas att man i detta arbete kommer att identifiera problem av det slag som tas upp i frågorna.

Riksförsäkringsverket (55) : Eftersom RFV tillämpat PUL i så få fall är det svårt att ha en uppfattning om problemen med bestä m- melserna i PUL. Det är för RFV:s del därför för tidigt att svara på dessa frågor. I de fall vi haft att tillämpa PUL har vi inte stött på några problem.

Pliktverket (65): 3 § PUL bereder oss inga större svårigheter. Mö j- ligen kan det vara vanskligt att dra gränsen mellan personupp-

19

giftsansvarig och personuppgiftsbiträde i vissa fall men för Plik t- verket har den frågan ännu inte ställts på sin spets.

SWEDMA (Swedish Direct Marketing Association) (95): Definitionerna av personuppgiftsansvarig, personuppgiftsbiträde och personuppgiftsombud har stundom gett upphov till mindre missförstånd. Inte minst i den undervisningsverksamhet Swedma bedrivit har det visat sig att man blandar ihop de aktuella begreppen och har svårt att skilja dem åt. Exempel på en inte helt ovanlig missuppfattning, särskilt när PUL var helt ny, är att man tror att personuppgiftsansvarig måste vara en fysisk person. Dessa problem har dock inte varit större än att missförstånden kunnat u n- danröjas med tydligare information. I vissa situationer där Swedmas medlemsföretag på uppdrag av en kund är involverade i delar av kundens behandling kan dock osäkerhet om man är personup p- giftsbiträde i lagens mening uppstå. I den mån man enbart fö r- medlar personuppgifter införskaffade från annat håll till en kund för dennes fortsatta behandling, torde många inte se sig som pe r- sonuppgiftsbiträde. Så snart man på något sätt förädlar perso n- uppgifterna, t.ex., genom att aktualisera, sortera, kontrollera eventuella dubbletter eller liknande, torde man dock uppfatta sig som personuppgiftsbiträde. Även om parterna inser att man fo r- mellt inte följer anvisningarna i 30 § andra stycket PUL, torde det förekomma att man bl.a. på grund av tidspress och mycket korta behandlingstider för denna typ av tjänster underlåter att manifest e- ra uppdraget i ett skriftlig avtal. När all behandling av personuppgifter faller under PUL torde detta slag av bristande efterlevnad av lagen komma att öka. Swedma anser att man borde utreda möjli g- heten av att i vissa rutinbetonade situationer släppa på formkravet enligt 30 § andra stycket PUL. Definitionen av samtycke ger i sig knappast upphov till några tolkningsproblem. Däremot kan det i många tämligen banala situationer uppfattas som tungrott och väl formalistiskt att leva upp till definitionen av samtycke. Den hittillsvarande tillämpningen av PUL har dock inte drivits så långt att detta blivit ett påtagligt problem. Se också nedan angående info r- mation enligt PUL.

Svenska kyrkan (96): Vad gäller personuppgift är det knappast några problem med sådana uppgifter som direkt kan hänföras till

20

Tillämpningsområdet

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om tillämpningsområdet, inklusive undantagen för det som är grundlagsskyddat och för privat behandling, (artikel 3, 4 och 9, jämför 4-8 §§ PUL)

Positiv kritik

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Sjöfartsverket (83) : Inga problem.

Negativ kritik

Lars Aronsson (1): Hela den här enkäten är sorgligt nog uppbyggd under antagandet att man har läst och följt PUL. Så är inte fallet med den övervägande majoriteten av de idag befintliga databaser som PUL gör kriminella.

Landsarkivet i Härnösand (3) : Direktivet torde innebära, att även personuppgifter i icke-elektroniskt källmaterial av äldre datum, t.ex. äldre personuppgifter, endast kan lämnas ut med vederböra n- des samtycke. Om detta blir verklighet skulle det allvarligt rubba offentlighetsprincipen. För en stor arkivinstitution skulle hante r- ingen med att förhöra sig om samtycke medföra en svåröverskå d- lig och mycket dyrbar hantering. Detta riskerar att medföra al l- varliga återverkningar för forskningen (val av forskningsämnen) samt även verka hindrande för kulturskapande aktiviteter i al l- mänhet.

Anders Andersson (4): Undantaget för “privat behandling” synes inte avse fallet att enskilda sluter sig samman i en ideell organisation och där behandlar personuppgifter inom ramen för organis a- tionens ändamål. Undantaget för grundlagsskyddad behandling är dels onödigt, därför att grundlagen automatiskt äger företräde

framför PUL, dels (tillsammans med undantaget för journalistisk, konstnärlig och litterär verksamhet) otillräckligt, eftersom info r- mations- och yttrandefriheten inbegriper även annan behandling av information än sådan som skyddas av TF eller YGL (offentliga anföranden, teater, enskildas korrespondens för att nämna några saker).

Ordval Journalistik (11): Det är barockt att direktivet nästan helt stryper privatpersoners rättigheter att kommentera och diskutera namn på nätet / i digital form, medan det lämnar fältet helt fritt för företag att datalagra, sälja och sprida även felaktiga uppgifter. Och tjafset om att inte sprida till 'tredje land' , land utanför EU, är märkligt - vem utanför EU skulle bry sig?

Jonas Flygare (12): Det stinker att undantag finns för den extra statsmakten - pressen, medan medborgarna är ålagda andra regler.

Hemsidan Potatis (13): De förespeglade undantagen för journali s- tisk och konstnärlig verksamhet är mycket problematiska, efte r- som det inte är rimligt att grunda en lags tillämpningsområde på något som är så vagt och godtyckligt definierat. I den svenska tolkningen blev det i praktiken ett återinförande av skråväsendets yrkesprivilegier med Datainspektionen som borgmästare. Den privata behandling som tillåts är alltför snäv. Den grundar sig på den tillfälligt uppståndna situationen i efterkrigstidens industr i- samhälle, där medborgarna varit tysta konsumenter av inform a- tion. I interaktiva medier är det inte rimligt att begränsa den pr i- vata sfären till det egna hemmet och den egna familjen. Internet ger medborgarna en demokratiskt attraktiv möjlighet att inte bara deltaga i debatten utan också umgås med vänner och bekanta (och obekanta) på ett sätt som visserligen är möjligt att beskåda utifrån, till och med från länder utanför EU, men där detta beskådande inte nödvändigtvis är ett hot mot den personliga integriteten. Det är en frihet under eget ansvar, som man inte nödvändigtvis måste förmena medborgarna. Rimligtvis bör krävas att en personuppgift är både skadlig och oönskad, och att detta kan påvisas, innan den skall kunna undantas från yttrandefriheten genom att förbjudas i en data- eller personuppgiftslag.

Svenska kyrkans Församlingsförbund (15) : Vad som avses med journalistisk verksamhet.

24

Peter Rydén (16): Även här finns det stora problem huruvida en släktforskning är att betrakta som privat behandling eller något som är mer av offentlig natur.

Tullverket (18): I de praktiska tillämpningarna kan det ibland uppstå oklarheter, det kan vara svårt att veta hur man ska tolka det som står. Vad innebär det egentligen och hur ska vi bära oss åt för att inte bryta mot lagen.

SLU (19): Vad gäller den kritik och oro som framfördes vid inf ö- randet av PUL, bl.a. av Jan Evers och Rolf Nygren, många remissinstanser (däribland SLU) samt lagrådet vad gäller förenli g- het med den svenska offentlighetsprincipen kan sägas att kritiken och oron i huvudsak var befogad. Det allmänna intrycket är att väldigt många uppgifter som före införandet av PUL utan närmare reflexion betraktades som offentliga, numera blir föremål för di s- kussioner om de kan lämnas ut till allmänheten eller ej. Den a d- ministrativa effektiviteten har därmed påverkats negativt. Enligt SLU har EG-direktivet och PUL allvarligt skadat innebörden av begreppet “den svenska offentlighetsprincipen”. Det är således mycket angeläget att få till stånd en ändring av både EG-direktivet och PUL. Att göra skillnad på allmänhetens rätt att ta del av up p- gifter (och därigenom orsaka behandling av personuppgifter) och behandling av personuppgifter för journalistiska ändamål och konstnärligt eller litterärt skapande får ses som särskilt anmär k- ningsvärt. Rent allmänt kan sägas att frågor som rör offentlighet och sekretess är svåra att hantera för den enskilde befattningsh a- varen. Med införandet av PUL har rättsläget ytterligare försvårats med ökat administrativt arbete som följd. Möjligheten att få au k- toritativ hjälp från tillsynsmyndigheten i olika bedömningsfrågor har dock med tiden förbättrats och upplevs nu som bra.

Uppsala kommun (20): Totalt oklart för mig! Om PUL är subsid i- är till andra lagar kan den knappast inskränka något som komm u- nen måste göra för att följa lag (och en kommun är en ganska la g- styrd figur!). Varför behöver t ex undantagen i 7 och 8 §§ överh u- vudtaget vara med i lagen - annat är som en information?

Dracaena AB (21): Ett problem som finns för framförallt småför e- tagare där företaget/företagaren endast förfogar över en dator och där såväl företagarens privata behandlingar som företagets b e-

25

handlingar finns. Då ju dessa betraktas olika enligt lagen, men då det tekniskt tillkommer nya finesser såsom fulltext indexering på hela datorn direkt som en följd av uppgradering till ny modernare version av programvaran finns stora risker att man utan att vara medveten därom gör sig skyldig till brott mot PUL/direktivet. Dvs. om man skall vara konsekvent så bör leverantörer av pr o- gramvara ha en större skyldighet än tidigare att upplysa om att när jag installerar den nya programvaran så kommer t.ex. automatiskt register över hela innehållet i datorn, inkluderande t.ex. såväl pr i- vata brev, journalistiskt material (om man sysslar med det) och t.ex. företagets kundregister etc. att rent tekniskt samköras.

Landstinget Västernorrland (30) : Sjukvården blir mer och mer gränsöverskridande, med sjukvårdspersonal i kommuner andra landsting och privata vårdgivare, som arbetar med samma patient. Samtliga landsting är sammankopplade med Sjunet och kan enkelt dela patientuppgifter vid behov. Behovet att ha tillgång till samma uppgifter om patienten är stort och att kunna registrera uppgifter där patienten befinner sig. Datainspektionen har tolkat reglerna om samtycke så att när någon som ej är anställd hos personup p- giftsansvarig, skall samtycke begäras in av både landstinget och den andra parten. Samtycke borde ej behövas i dessa fall när det är fråga om behörig sjukvårdspersonal. För patienten kan det knappast betyda något att t.ex. en sjuksköterska i kommunen får läsa journalen hos Primärvården i Landstinget. Motivet för lättn a- der är de tunga rutiner som det innebär för vårdpersonalen.

TCO (31): TCO har kritiserat PUL då den kan sätta den svenska offentlighetsprincipen ur spel. Detta är allvarligt eftersom offentlighetsprincipen är en omistlig del av vår demokrati. PUL har nämligen i kombination med 7 kap. 16 § sekretesslagen lett till en restriktiv tillämpning av våra öppenhetsregler. I PUL anges i och för sig att lagen inte skall tillämpas om det skulle inskränka my n- digheternas skyldighet att lämna ut personuppgifter enligt tryckfrihetsförordningens regler. Det är dock tveksamt om PUL är fö r- enlig med EG direktivet på denna punkt. Avgörande från EG domstolen saknas. Enligt TCO:s uppfattning bör Sverige verka för att denna osäkerhet undanröjs. EG direktivet behöver således r e- videras i grunden så att den inriktas på en reglering av missbruket

26

av personuppgifter samt att den i övrigt bringas i samklang med de svenska öppenhetsreglerna. Det är även viktigt att grundlag s- skyddet för yttrandefrihet görs mer oberoende av vilken teknik man använder sig av för att förmedla yttranden och annan info r- mation till allmänheten.

Riksskatteverket (32): RSV kan förväntas få problem med att b e- döma om 7 kap. 16 § sekretesslagen bör tillämpas eller inte. Det skulle i vissa fall kunna upplevas som stötande om alltför stora mängder med personuppgifter avseende befolkningen skulle lä m- nas ut med stöd av undantagen. Sådana utlämnanden kan också negativt påverka skattskyldigas och andra uppgiftslämnares i n- ställning till att lämna uppgifter till myndigheterna.

Partille kommun (35): 8 § PUL har mot bakgrund av 7 kap. 16 § sekretesslagen vållat problem. Bestämmelserna kolliderar. I pra k- tiken har bestämmelserna inneburit att offentlighetsprincipen inskränkts. Vidare har fråga uppkommit om när ett manuellt register (5 § andra stycket PUL) omfattas av PUL.

Svenska Förläggareföreningen (42) : Det är absolut nödvändigt att PUL inte tillämpas på det område som täcks av TF. Skälen härför är uppenbara. Vi tvingas dock konstatera att skyddet för yttrand e- friheten är väsentligt svagare om förlagen väljer att publicera samma text i elektronisk form. Något skydd under TF uppnås inte och i regel skyddas förlagens verksamhet inte heller av YGL. Detta kan endast bli fallet om förlagen parallellt med sin bokfö r- lagsverksamhet har en utgivning av periodisk skrift e.d. och därmed s.a.s. indirekt åtnjuter skydd för sin kärnverksamhet. Detta är förvisso ett problem som har en vidare räckvidd än enbart i sa m- band med en diskussion om PUL. I avvaktan på en helhetslösning av grundlagsskydd för nya medier vore dock en missbruksmodell som den som föreslås nedan att föredra. I regel kommer behan d- ling av personuppgifter i texter avsedda för elektronisk utgivning istället att skyddas av undantaget för litterärt skapande. Detta u n- dantag är dock otydligt och har föranlett gränsdragningssvårigh e- ter i ett par konkreta fall, i synnerhet som PUL även gäller löpa n- de text. Problemet accentueras av att förlagen i sin verksamhet dels har en sedvanlig personuppgiftsbehandling som faller inom PUL, dels sysslar med en grundlagsskyddad och/eller litterär

27

verksamhet som är undantagen hela eller väsentliga delar av PUL. KLYS (45): Enligt 7 § PUL undantas från lagens tillämpningso m- råde sådan behandling av personuppgifter som skyddas av tryc k- frihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL). Vidare undantas sådan behandling som sker uteslutande för jou r- nalistiska ändamål eller konstnärligt eller litterärt skapande från huvuddelen av lagens bestämmelser, t ex gäller inte kravet på i n- hämtande av samtycke. Denna särbehandling är dock svårtolkad. Det räcker inte med att den enskilde journalisten eller konstnären själv anser att hans text/bild är konstnärlig eller journalistisk. A v- görandet om vad som är konst, litteratur eller journalistik sker hos Datainspektionen och ytterst av domstolen. Vad som är innebö r- den i undantaget i 7 § PUL är därför svårt att på förhand bedöma.

Det är t ex inte klart om/när fotografer och skribenter av olika slag omfattas av undantaget. Innan PUL trädde i kraft 1998 lovade Ju- stitiedepartementet att begreppet 'journalistiska ändamål' skulle tolkas brett. Men Svea hovrätt har fattat ett beslut som innebär en mycket strikt tolkning av vad som är och inte är journalistik och som kan komma att utgöra praxis i framtiden. Fallet gällde en f ö- retagare som på en hemsida hade pekat ut olika personer som ansvariga för bankkrisen på 90-talet. Företagaren försvarade sig u n- der rättegången med att han bedrev journalistik. Hovrätten fann att även om syftet med publiceringen delvis var journalistiskt, den åberopade undantagsbestämmelsen inte var tillämplig då syftet också varit att sprida kännedom om de nedvärderande personup p- gifter som det var fråga om.

Göteborgs stad (49) : Vi är positiva till förslaget att begränsa ti lllämpningen av PUL till sådan behandling som syftar till up p- rättande av register (strukturellt uppbyggda samlingar av sökbara personuppgifter). Konflikten mellan offentlighetsprincipen och det skydd för personuppgifter som dataskyddsdirektivet skall ge ger upphov till många svårbemästrade problem. I Göteborg har denna konflikt blivit mycket tydlig i ett mål vid Kammarrätten i Göteborg som gäller en begäran av GP om utlämnande av perso n- uppgifter från kommunens personaladministrativa register om ett mycket stort antal förtroendevalda och tjänstemän (2006 pers o- ner). Ärendet visar tydligt att skyddet för personuppgifter är

28

mycket svagt. Enligt kommunstyrelsens uppfattning skulle ett utlämnande av uppgifterna strida mot dataskyddsdirektivet. Kammarrätten har emellertid nu i dom 2001-03-29 (mål nr 7459-2000) förklarat att sekretess enligt 7 kap. 16 § sekretesslagen inte hin d- rar att uppgifterna lämnas ut. Det bör framhållas att den i målet åberopade sekretessregeln i 7 kap. 16 § sekretesslagen inte heller torde hindra ett utlämnande till enskild person, om denne uppger att uppgifterna skall användas för privata ändamål. Även detta v i- sar hur bräckligt skyddet för personuppgifter är i Sverige. Vi anser att denna konflikt i förhållande till offentlighetsprincipen bör lösas antingen genom att undantagen i PUL med hänsyn till grundlagsskyddet och för privat användning modifieras, så att integritet s- skyddet kan upprätthållas i enlighet med dataskyddsdirektivets grundtankar, eller genom ett förstärkt sekretesskydd för perso n- uppgifter. Särskilt angeläget är det med ett skydd för personnu m- mer.

Statens personadressregisternämnd (51) : Tillämpningen av regelverket är svår. Bestämmelserna i 4 § PUL om det territoriella området gäller för personuppgiftsansvariga som är etablerade i Sverige respektive i tredje land, men vad gäller för personup p- giftsansvariga däremellan, dvs. för sådana som är etablerade i andra EU-länder? Vidare är 7-8 §§ PUL om tryckfriheten, yttrandefriheten och offentlighetsprincipen svåra att tillämpa i näm n- dens verksamhet.

Svenska Fotografers Förbund (53) : Lagens tillämpningsområde innebär att en stor grupp av medborgare inte kan använda ko m- munikationskanalen Internet på samma sätt som de undantagna grupperna. Bland undantagen finns även tolkningsproblem. Kan en frilansande fotograf som huvudsakligen arbetar för pressen åberopa uteslutande journalistiskt ändamål eller konstnärligt sk a- pande när fotografier visas på den egna hemsidan?

Statstjänstemannaförbundet (ST) (54) : Ett problem för ST:s journalister. PUL är ett hot mot den svenska offentlighets- och yttrandefrihetsmodellen.

Patent- och registreringsverket (58): Det finns problem avseende PUL:s tillämpningsområde i samband med försölning av uppgifter

29

ur register. Problemen är förknippade med utformningen av lagen som en s.k. hanteringslag (det som är tillåtet regleras i lagen)

Lantmäteriverket (59) : I 7 § andra stycket finns det ett undantag för konstnärligt och litterärt skapande. Omfånget av denna u n- dantagsbestämmelse är oklar. Bestämmelsen är knuten till Artikel 3 i direktivet som behandlar yttrandefrihet. Ordalydelsen i lagbestämmelsen uppehålla sig endast vid själva skapandet, medan spridningen av det konstnärliga eller litterära verket inte berörs. Bör förtydligas.

Sveriges advokatsamfund (63): En advokats verksamhet torde i dag innebär att vederbörande faller (eller inom kort kommer att göra det) inom PUL:s tillämpningsområde. Klientregister förs i dag oftast så att de kan behandlas automatiskt och är i andra fall sådana att de är strukturerade för sökning.

Pliktverket (65): För Pliktverket har frågan om PUL :s förhållande till offentlighetsprincipen och därmed frågan om 7 kap. 16 § se k- retesslagen vållat problem. Det är möjligt att det finns en rak och klar tanke från lagstiftarens sida men det är angeläget att princ i- perna tydliggörs i lagstiftningen. De kammarrättsavgöranden som hittills finns sprider inte mycket ljus och de sakkunnigas uppfattning går i vissa fall emot domstolarnas. Även 5 § andra stycket PUL väcker vissa frågor. Här definieras begreppet register utan att ordet register nämns. Det är inte klart utrett om det måste finnas flera sökmöjligheter i ett manuellt register för att lagen skall bli tillämplig eller om det räcker med en sådan möjlighet. Det kan på sikt ställa till problem.

Riksåklagaren (70) : EG-direktivet undantar straffrättens område vilket inte PUL gör. PUL innehåller i princip samma regler som EG-direktivet. Straffrättens område blir därför svårhanterligt i PUL.

Region Skåne (71) : Vårdregisterlagen löser många av de problem som skulle uppstå om behandling av patientinformation skulle ske enligt PUL. Beträffande personal så finns möjlighet att sekretes s- belägga information om hälso- och sjukvårdspersonal.

Svensk Handel (76): Lagen är svårtolkad och svårtillämpad trots förarbeten och direktiv. När vi producerar information för våra olika hemsidor uppkommer problem. Det är nämligen inte alls

30

klart definierat vad som är förbjudet enligt PUL. Vidare är det mycket olyckligt att den praxis som framkommit inte innebär någon hjälp för tolkning och tillämpning av lagen. Konsekvent praxis krävs för rättssäkerheten. PUL berör Svensk Handel och våra medlemsföretag i den dagliga yrkesutövningen precis som den berör alla företag och organisationer som arbetar med någon form av information där personuppgifter behandlas. Vardaglig behandling måste undantagas ur definitionerna då detta ej överen s- stämmer med lagens skyddsobjekt.

Stockholms Handelskammare (77): Undantaget för behandlingar som sker för privat bruk är välkommet men synes alltför begränsat i dess restriktiva form. Vad gäller för behandling av personup p- gifter om kollegor eller arbetspartners som också är en del av det privata umgänget? Nog bör det vara fullt tillåtet att använda sitt kontaktregister även för andra ändamål än att bara skicka julkort. Denna avgränsning är ytterligare ett exempel på att regleringen sker efter den bästa av världar, vilket i och för sig kan tyckas lo v- värt. Det kan inte vara bra för någon med regler som alla bryter mot men som inte kan leda till påföljder eftersom tillsynsmyndi g- heten ifråga medvetet och till och med uttalat bortser från att övervaka denna typ av överträdelser. Vad beträffar tillämpning s- området leder den nuvarande lagstiftningen till att Datainspektionens skönsmässiga bedömningar är, inte bara tolkningsföreträdets, utan också den sekundära nationella rättens upphov. Det är otil l- fredsställande att en tillsynsmyndighet inte bara bestämmer hur en lag skall tillämpas utan också om den skall göra det. Stöd för de n- na linje finns exempelvis i praxis om konflikten mellan yttrandefriheten och integriteten i fallet kring ett tillstånd för register som använts i författningsprocessen av en bok. Nyare exempel utgörs av församlingsmedlemmens grova brott i att på scoutgruppens hemsida skriva för barnen om en av ledarnas olyckshändelse som orsakat en stukad fot. En stukad fot är en uppgift om hälsa, tillika känslig uppgift som inte utan samtycke får exporteras till tredje land enligt direktivet/PUL.

Landsarkivet i Uppsala (78): 8 § PUL kopplad till 7 kap. 16 § sekretesslagen har i praktiken, som fler rättsfall visar, inneburit att vissa myndigheter hänvisat till sagda koppling som skäl för att

31

inte lämna ut begärda uppgifter. EG-direktivet och PUL har på så sätt kommit att i viss mån inskränka offentlighetsprincipen.

Svenska Bankföreningen (81) : I 5 § andra stycket PUL anges att lagen gäller bl.a. samling av personuppgifter som är tillgänglig för sökning enligt särskilda kriterier. Det sistnämnda uttrycket har enligt vad som framgår av kommentaren medfört tolkningspr o- blem. Även Bankföreningen anser att det bör klargöras vad som krävs för att lagen skall vara tillämplig även på behandling av pe r- sonuppgifter som inte är automatiserad.

Sveriges Radio AB (82): Det är viktigt att konflikten mellan allas rätt att ta del av offentliga allmänna handlingar och 7 kap. 16 § sekretesslagen undanröjs så att öppenheten främjas.

Anonym (88): Hela PUL bryter mot grundlagen, då den starkt fö r- bjuder att man presenterar information om någon om man tydligt pekar ut denna person i texten.

Anonym (93): Det kan råda osäkerhet hos dem som hanterar detta särskilt vad gäller utlämnandet av allmänna handlingar kontra 7 kap. 16 § sekretesslagen.

Anonym (94): Bör ej tillämpas på direktreklam (samtycket) - dock bör man förstås alltid använda det s.k. Nixregistret.

SWEDMA (Swedish Direct Marketing Association) (95): Swedma har inte mottagit några reaktioner från medlemsföretagen som tyder på några problem vad gäller PUL:s tillämplighet vid gränsdragningen gentemot privat behandling samt det grundlagsskyddade området. Däremot har medlemsföretag ställts inför fr å- gor rörande PUL:s geografiska tillämplighet. Sålunda har det f ö- rekommit att behandlingen sker i exempelvis Sverige med av ett Swedmaföretag tillhandahållen utrustning medan den personup p- giftsansvarige befinner sig i annat EU- eller EES-land. Dessutom kan det handla om personuppgifter rörande registrerade i flera ol i- ka EU- eller EES-länder. Frågan om tillämplig nationell lag i d y- lika situationer är inte alltid lätt att besvara. Enligt Swedmas erfarenhet från diskussioner med kollegor i andra länder besvaras inte heller frågan på samma sätt i alla länder. Problemet är också enligt vad Swedma erfarit uppmärksammat i anslutning till departementets diskussioner om en försiktig övergång till en missbruk s-

32

modell. Det är angeläget att den nu berörda osäkerheten unda n- röjs.

Svenska kyrkan (96): Bestämmelserna om undantag för det som är grundlagsreglerat berör Svenska kyrkan inom de områden där Svenska kyrkan handhar myndighetsuppgifter. Ett sådant område där den offentligrättsliga regleringen alltjämt gäller är begra v- ningsverksamheten. Ett annat sådant område är fördelning och användning av den kyrkoantikvariska ersättningen. Vidare förv a- ras alltjämt en stor mängd allmänna handlingar hos Svenska ky r- kan vilka berörs av nämnda undantag. Eftersom Svenska kyrkan före den 1 januari 2000 har varit en del av det allmänna är detta dock knappast problematiskt. Vad som däremot kan väcka frågor är hur den offentlighetsprincip som numera gäller inom Svenska kyrkan enligt 11 § lagen (1998:1591) om Svenska kyrkan förhå l- ler sig till den svenska lagstiftning som genomför EG-direktivet. En rimlig tolkning är att bestämmelserna i lagen om Svenska ky r- kan är sådana särskilda bestämmelser för vilka PUL:s regler får vika enligt 2 § PUL, om det uppstår konflikter dem emellan. Detta skulle konkret innebära t.ex. att den rätt som lagen ger var och en att ta del av kyrkans handlingar tar över den begränsning som a n- ges i 17 § PUL om utlämnande till tredje man av känsliga uppgi f- ter hos ideella organisationer. En effekt av detta blir dock att de fall där en känslig uppgift kan komma att lämnas ut trots PUL, närmare bestäms av den inomkyrkliga reglering som reglerar b e- gränsningarna i nämnda offentlighetsprincip, dvs. kyrkoordnin g- en. Här kan alltså kyrkan i praktiken själv bestämma räckvidden av undantaget från PUL. I vilken utsträckning PUL:s betydligt strängare utlämnanderegler i sådana fall bör inverka på graden av offentlighet inom kyrkan kan vara svårbedömt och föranleder emellanåt diskussioner om vilken grad av öppenhet som är rimlig med beaktande av andra skyddsvärda intressen, t.ex. den enskildes intresse av skydd för sin integritet.

Tidningsutgivarna (99): Undantaget för det grundlagsskyddade området synes ha fungerat – och respekterats – hyggligt av de rättstillämpande myndigheterna. Det gäller inte minst undantaget för TF- och YGL-området enligt 7 § första stycket PUL. Vad gäl l- er undantaget enligt 7 § andra stycket PUL är läget mera oklart.

33

Det gäller särskilt frågan om vad som är ett “journalistiskt änd a- mål”. Om detta kan sägas att genom de förarbetsuttalanden som gjordes på denna punkt har många av problemen undanröjts. Det är dock likafullt principiellt oacceptabelt att myndigheter, t ex Datainspektionen, skall sätta sig till doms över vad som är eller inte är ett journalistiskt ändamål. Undantaget enligt 7 § har också haft stor betydelse vid tolkningen av 7 kap. 16 § sekretesslagen. Samtidigt har detta åskådliggjort den skiktning av medborgarnas rätt att ta del av allmänna handlingar som blivit en följd därav, dvs. om detta sker under åberopande av TF eller journalistiska ä n- damål är PUL inget hinder – i andra fall nekas åtkomst. Vad sedan gäller undantaget enligt 8 § PUL för offentlighetsprincipen har detta i praxis respekterats hyggligt. Ett undantag synes vara det uppmärksammade ärendet mellan Göteborgs-Posten och Göt e- borgs kommun, som nu dock avgjorts av kammarrätten i Göt e- borg.

Allmänna synpunkter

Zenita Brandin (5): Problemet uppstår när man vill lägga ut sin forskning på nätet för att andra ska kunna få hjälp genom detta.

Svenska Inkassoföreningen (68) : PUL synes alltid vara tillämplig på behandling av personuppgifter i inkassoverksamhet. Detta innebär i sig inget problem för inkassoföretagen. Problem följer däremot av PUL:s utformning.

34

Grundläggande krav

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om de grundläggande kraven på behandling av pe r- sonuppgifter (artikel 6, jämför 9 § PUL)

Positiv kritik

Ordval Journalistik (11): Det är väl den rimliga delen!

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Anonym (94): OK.

Negativ kritik

Anders Andersson (4): Om uppgifter samlats in från de registrerade själva under förespeglig att de endast skall användas för ett visst ändamål, t.ex. en opinionsundersökning, så torde all använ d- ning därutöver vara att anse som ett avtalsbrott, som kanske kan beivras även utan hänvisning till 9 § första stycket d) PUL. Om den registrerade däremot frivilligt och uppenbart villkorslöst har lämnat ut uppgifter om sig själv, så är det svårt att se något hinder mot att uppgifterna används för ett vid insamlandet ännu ej p å- tänkt syfte. Det senare torde även gälla när den registrerade har medgivit publicering av uppgifterna i exempelvis tryckt skrift eller annat medium. Detta bör kanske förtydligas i lagtexten.

Hemsidan Potatis (13): Här har man försökt bemöta myndigheters omfattande missbruk av mer eller mindre tvångs- eller auktoritetsinsamlade personuppgifter, men genom att inte begränsa sig till aktiv insamling har man fått alla frivilligt och spontant lämn a- de personuppgifter - som utgör stora delar av den ickekommersiella aktiviteten på Internet - i håven. Problemet kan i stället lösas genom avtal som sluts med dem som lämnar perso n- uppgifter till vetenskapliga undersökningar och liknande. Det är

inte rimligt att ställa dessa krav på alla personuppgifter alla kat e- gorier.

Peter Rydén (16): ”skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de änd a- mål för vilka de har samlats in och för vilka de senare behandlas”. I släktforskning, eller vilken personforskning som helst egentligen, är fullständig information om personerna av yttersta vikt. Det går här inte att bortse från delar av en persons liv, då de historiskt sett kan vara värdefulla. Man måste se längre framåt i tiden, vad som kan vara av vikt då.

Uppsala kommun (20): Mycket diffust - vad är god sed, korrekt sätt, berättigade ändamål etc. etc.?? Måste förtydligas långt innan rättspraxis hunnit göra det!

Dracaena AB (21): Praktiskt finns en svårighet i hur back-up tejper etc. sparas och hanteras. I dessa lagras av naturliga skäl hela system/databaser. Det finns en tendens att de då och då av praktiska skäl sparas (enstaka band) under mycket lång tid. Det betyder att man kan tänkas ha kvar personuppgifter (t.ex. i kundregister) betydligt längre än uppgifterna finns tillgängliga i “ live-systemet”. Det är givetvis sällan dessa band används, men det förekommer, speciellt i rättstvister med amerikansk motpart (affärsrättsliga tvister - jfr vilka gamla e-brev som hittades i Microsoftmålet på gamla back-up tejper). Speciellt kommer man här in på frågor med hänsyn till att dagens moderna indexerings och sökverktyg ju kan användas även på gamla back-up data. Det är troligen mer praktiska problem än hur lagen är utformad, men behöver ändå lyftas fram.

Vägverket (36) : En omfattande checklista som kan upplevas begränsande och med risk för ineffektivitet. Den s.k. finalitetsprincipen i 9 § första stycket d) PUL är av central betydelse för ha n- teringen av personuppgifter och kan med fördel lyftas fram eller markeras särskilt i uppräkningen.

Svenska Förläggareföreningen (42) : Kombinationen av kravet på att personuppgifter bara behandlas “a, om det är lagligt samt b, …alltid behandlas på ett korrekt sätt och i enlighet med god sed,” är i sig ett underligt sätt att utforma en lag på. Att i lag ange att handlingar måste vara lagliga är närmast en tautologi. När det

36

Ds 2001:27 Eventuella problem med EG-direktivet – Grundläggande krav

kombineras med ett krav därutöver på god sed, varmed får förstås branschöverenskommelser, föreskrifter från myndigheter m.m. får väl lagen förstås så att även ett brott mot dessa är ett brott mot l a- gen i sig. Det förekommer att lag hänvisar till branschsedvänja o.d. Detta är framför allt fallet i reglering som avser obligation s- rättsliga förhållanden. Även om PUL rymmer ett inslag av avtal s- reglering mellan enskilda är lagen till sin karaktär en offentli g- rättslig reglering som tydligt bör ange vad som är förbjudet. Vad det ytterligare rekvisitet “korrekt” har för reell innebörd är oklart. Kan det tänkas att en behandling är laglig och i enlighet med god sed men inte korrekt? Huruvida denna reglering uppfyller kraven på förutsebarhet i lagstiftningen kan starkt ifrågasättas.

Unite AB (44): Tydligare om det i 9 § PUL står “.....än som sagts i första stycket delen i).”

Statens personadressregisternämnd (51) : De grundläggande kraven för behandling av personuppgifter är i princip tillgodosedda genom SPAR-författningarna. Problemet är att utöver dessa gäller PUL.

Svenska Fotografers Förbund (53) : Enligt 9 § PUL får personuppgifter bara samlas in för särskilda, uttryckligt angivna och b e- rättigade ändamål. Detta krav är i praktiken mycket svårt att up p- fylla för en fotograf. Dels finns i samhället ett oändligt antal fot o- grafier som härrör från tiden före lagens ikraftträdande. Fotograf e- ringen gjordes kanske inte för något särskilt ändamål och pers o- nerna kan vara okända. Samtidigt kan fotografierna vara av intresse av historiskt, politiskt, vetenskapligt, kulturhistoriskt eller annat skäl. Att dessa fotografier inte skulle kunna visas och tillhandahållas genom den nya distributionskanalen vore olyckligt. Dels arbetar många fotografer på platser där många människor rör sig.

Att vid fotograferingstillfället kunna informera om “angivna ä n- damål” – i det här fallet visning på Internet - är en omöjlighet. Det går inte ens att vid tillfället veta vilka människor som särskilt framträder och vilka fotografier som över huvud taget kan komma ifråga för användning.

Patent- och registreringsverket (58): Hur långt sträcker sig den personuppgiftsansvariges ansvar ? Så länge uppgifterna behandlas hos den personuppgiftsansvarige eller gäller det även när myndi g-

37

heten har sålt eller förmedlat uppgifterna vidare. Gäller ett eve n- tuellt samtycke bara hos den personuppgiftsansvarige eller gäller det även vidare i kedjan.

Sveriges advokatsamfund (63): För att kunna fullgöra sin skyldi g- het att iaktta de regler om frihet från intressekonflikter som gäller för advokatverksamhet måste en advokat bevara klientregister och annat material en förhållandevis lång tid. Som ett riktmärke för skyldigheten att bevara aktmaterial har Advokatsamfundets styrelse i annat sammanhang tidigare angett tjugo års förvaring som en lämplig tid (se TSA 1973 s. 329 f. och 1974 s. 85).

Pliktverket (65): 9 § PUL anger delvis vilka krav på behandlingen som finns, dels att det är den personuppgiftsansvariges sak att se till att kraven är uppfyllda. Som personuppgiftsansvarig myndighet har vi funnit att bestämmelser i första stycket d) är svårtolkad. När är behandlingen oförenlig med de ändamål för vilka uppgi f- terna insamlades? Lagens förarbeten ger mycket liten vägledning.

Svenska Inkassoföreningen (68) : Dessa krav torde i princip ligga helt nära de krav som inkassoföretagen själva ställer upp. Därmed innebär de inga problem. Tillämpningssvårigheter kan dock mö j- ligen följa i frågan om i vilken utsträckning det är nödvändigt att behandla personuppgifter.

Riksåklagaren (70) : Svårt att tillämpa beträffande e-post och I n- ternet.

Stockholms Handelskammare (77): Riktlinjer för hur behandling skall gå till är just vad den registeransvarige behöver. Att konst a- tera att behandling bara får ske om det är “lagligt” är dock (för att använda en i detta sammanhang känd beskrivning) endast löj e- väckande och fyller ingen funktion utöver att ge stöd åt att ifråg a- sätta regelverket. Syftet med “lagligt” enligt direktivets ingress är detsamma som för direktivets övriga bestämmelser i allmänhet och om informationsplikt (att behandling inte får ske i hemlighet) i synnerhet. Vidare är kraven så allmänt hållna att det är hart när omöjligt att utläsa vad som menas. Ett “ändamål för behandling” är, som tidigare påpekats men förtjänar att upprepas, förpassat till hålkortens tid och finner inte grunder för tillämpning i ett globalt nätverk.

38

Sjöfartsverket (83) : Kraven som uppställs i artikel och lagen är i sig rimliga. Lagen är dock stora delar, bl.a. avseende denna paragraf, svår att följa eftersom det är så mycket avgränsningar som och tolkningar som skall göras av den registeransvarige. Det var bättre på datalagens tid, då det ofta var möjligt att få ett beslut e l- ler besked från Datainspektionen.

Anonym (88): Kraven är orimliga.

Svenska kyrkan (96): Inga konkreta problem har än så länge up p- stått kring dessa krav. Rent allmänt är dock bestämmelserna svårtolkade och överlappande. Eftersom bedömningen av vad som är “laglig” behandling med direktivets och PUL:s uppbyggnad i stor utsträckning lämnas till den personuppgiftsansvarige att avg ö- ra, är det oklart vad som menas med att den personuppgiftsansvarige skall se till att personuppgifter bara behandlas om det är lagligt (eller med direktivets formulering, på ett “lagligt sätt”).

Allmänna synpunkter

Zenita Brandin (5): Uppgifterna samlas in för att delge övriga i n- tresserade var släktens rötter finns. Personuppgifter som är känsl i- ga bör varje släktforskare ha moraliska och etiska regler för att inte visa.

Länsförsäkringar Göteborg & Bohuslän (7) : Det räcker om vi kan använda de sex första siffrorna i personnumret. Det skulle vara tillräckligt, för så många kombinationer brukar inte finnas på samma namn. Men Anders Andersson finns det många av...

Tullverket (18): Nej.

Läkemedelsindustriföreningen (LIF) (39) : Nationella och internationella regler angående biverkningsrapportering medför att b e- handling av personuppgifter enligt PUL måste ske. Säkerhetsn i- vån vid biverkningsrapportering uppfyller kraven i nationella och internationella regler.

Anonym (93): Det är viktigt att sprida kunskaper om tillämpnin g- en. Det som dock kan vara problematiskt i stora organisationer är flera olika personer som hanterar detta och som inte har det som huvudsaklig uppgift.

39

SWEDMA (Swedish Direct Marketing Association) (95): De grundläggande kraven enligt 9 § PUL har inte visat sig medföra några egentliga praktiska problem. De torde väsentligen stå i överensstämmelse med de krav som den som behandlar perso n- uppgifter själv upplever som naturliga och därför själva ställer upp. Dock ger naturligtvis vissa formuleringar i bestämmelsen utrymme för olika tolkningar. Ett exempel på detta är ordet nödvä n- digt i f). Man torde få räkna med att det när PUL slår igenom fullt ut dyker upp ärenden som rör olika tolkningar av sådana b egrepp.

40

När behandling är tillåten

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om de fall där behandling av personuppgifter i al l- mänhet är tillåten (a rtikel 7 och 14, jämför 10-12 §§ PUL)

Positiv kritik

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Kravet på “nödvändighet” har kritiserats såväl under lagstiftningsarbetet som efter lagens ikraftträdande. Pliktverket anser dock att förarbeten och kommentarer till PUL på ett tillfredsställande sätt ger vägledning för hur det kravet skall to l- kas.

Negativ kritik

Lunds universitet (2): Mycket svårt att praktiskt tillämpa en ha n- teringsmodell. I de allra flesta fall landar man i en svår avvägning enligt 10 § f) PUL.

Anders Andersson (4): 11 § PUL, angående behandling av personuppgifter för direkt marknadsföring, har av någon anledning kommit att räknas in bland de paragrafer som enligt 7 § andra stycket PUL inte skall tillämpas vid behandling för journalistisk, konstnärlig eller litterär verksamhet. Det är svårt att se någon sit u- ation när användning av ett adressregister för direktreklam skulle anses berättigad av det skälet att adressregistret betraktas som ett konstnärligt verk. Skillnaden mellan journalistens källregister och tidningens prenumerantregister är avsevärd.

Jonas Flygare (12): 11 § PUL är så tandlös den kan bli. Om allmän insamling av e-postadresser blir tillåten så kan man lika gärna ti lllåta uppringning av alla nummer i telefonkatalogen också. Publ i- kation av kontaktuppgifter är inte detsamma som samtycke. Skill-

naden är att telefonin är relativt lätt att spåra - vilket avhåller os e- riösa aktörer från att missbruka de register som finns. E-mail är så lätt att göra svårspårad att allt annat än ett direkt förbud mot ön s- kad reklam kommer att bli helt verkningslöst.

Hemsidan Potatis (13): Se föregående fråga (C 3) m.fl. Invän d- ningar mot personuppgifter borde kunna regleras som förtal och förolämpning.

Uppsala kommun (20): Även här ganska svårt att tolka - vad är t.ex. någons vitala intressen? Av allmänt intresse? Även om detta kan det finnas hur många uppfattningar som helst!

Dracaena AB (21): Det gränsland som jag ofta stöter på är loggar, dvs. uppgifter om vem som gjort vad vid vilken tidpunkt och som är till stor hjälp vid uppspårning av tekniska fel, rättning av up p- gifter (oavsett om det är personuppgifter eller andra uppgifter) etc., och som tidigare varit svårtillgängliga för annan behandling än för sitt tekniska syfte, men som idag genom att verktygen blir mer generella och smartare kan dyka upp i betydligt fler icketänkta behandlingar och sammantaget visa persons arbetsmönster eller annan mera känslig uppgift.

Forskningsrådet för arbetsliv och socialvetenskap (27) : Då rådet beviljar bidrag för ett projekt eller motsvarande ges bl.a. inform a- tion om detta i en projektdatabas på Internet. I det kontrakt som den projektansvarige undertecknar när ett forskningsbidra beviljats finns en klausul med följande innebörd: “Personuppgifter i anslutning till av rådet beviljade bidrag och därmed sammanhän g- ande annan information kommer att göras tillgängliga på Inte r- net”. Spridning av person uppgifter i detta sammanhang kan, enligt vår uppfattning, inte betraktas vara till skada för den registr e- rade och är därtill av stort allmänt intresse. Det är emellertid i detta avseende som för närvarande fråga uppkommer om event u- ellt samtycke skall krävas. Ett klargörande på denna punkt bör eftersträvas. Även beträffande rådet interna adressregister, som är ett redskap för vår möjlighet att informera om rådets verksamhet, bör klargörande ges.

Uppsala universitet (34): Vad avser uppräkningen i 10 § PUL av situationer när behandling av personuppgifter är tillåten, är det särskilt intresseavvägningen i punkten f som varit problematisk.

42

Detta gäller i synnerhet när myndigheten får en begäran om att ta del av allmän handling enligt TF och det kan vara aktuellt att tilllämpa 7 kap. 16 § sekretesslagen, dvs. det kan antas att ett utlä m- nande av personuppgift skulle medföra att uppgiften behandlas i strid med PUL. Rörande personuppgifter som inte ha strukturerats för att underlätta sökning av personuppgifter kommer denna sv å- righet att minska om den nedan behandlade missbruksmodellen skulle komma till stånd. I övrigt kommer problemen antagligen att lösas allteftersom praxis utbildats på området.

Vägverket (36) : Mot bakgrund av att 10 § PUL uttömmande talar om i vilka fall behandling av personuppgifter är tillåten, är det otillfredsställande att uppräkningen är såväl begränsande som y t- terst svårtolkad. Redan nödvändighetsrekvisitet i 10 § är oklart och kan uppfattas som ett alltför högt ställt krav för att en b e- handling skall få utföras. När det gäller intresseavvägningen i f) tenderar den att bli den “utväg” man tillgriper för att få PUL n å- gorlunda praktiskt tillämpbar.

Riksdagens ombudsmän (JO) (43) : Det grundläggande kravet på samtycke (10 §) är i praktiken helt omöjligt att tillämpa för att l e- galisera en på många sätt önskvärd publicering på Internet av de JO-beslut som är av allmänt intresse. Det skulle bli orimligt a r- betskrävande att inhämta samtycke från alla, vilkas personup p- gifter förekommer i besluten. Dessutom kan man på goda grunder befara att en del av dessa personer skulle visa sig ovilliga att lämna sitt samtycke.

Unite AB (44): På vilket sätt får man täckning för ett “indirekt a v- tal”? Ex: Person är anställd i (har ett avtal med) företaget A, som anlitar (har funktionsavtal med) företaget B som äger och admin i- strerar registret i vilket delar av företagets A anställda registreras för att funktionsavtalet skall kunna utföras.

KLYS (45): Publicering av personbilder på Internet kräver sa m- tycke från de identifierbara personerna annars riskerar fotografen eller den hemsidesansvarige upp till två års fängelse eller böter. Det är många gånger svårt för fotografer att inhämta samtycke från de fotograferade personerna. Samtycke kan inhämtas vid o r- ganiserade fotograferingar då fotografen normalt vet vilka de fotograferade är. Men en fotograf som under en dag vill skildra ett

43

gatumyller med tusentals personer som passerar, varav kanske hundratals av dem är identifierbara, skulle omöjligt kunna nå samtliga dessa för att inhämta samtycke för publicering av bilde r- na. PUL missgynnar på så vis fotografer som specialiserat sig på att fotografera människor i vardagslivet.

Statens personadressregisternämnd (51) : I den intresseavvägning som skall göras enligt 10 § f) PUL är det i brist på rättspraxis svårt att värdera den registrerades intresse av integritetsskydd.

Svenska Fotografers Förbund (53) : Kravet på samtycke är i många fall svårt att uppfylla. Det kan i princip bara ske vid org a- niserade fotograferingar där den/de avbildade är känd/a för fot o- grafen. Övriga fotografier som återger samhällsliv och skilda miljöer är utestängda från publicering via Internet så snart ige n- kännbara personer återges. Många fotografer arbetar utomlands, många gånger i länder där Internet är ett okänt begrepp. Att infö r- skaffa samtycke kan vara omöjligt både av språkskäl och beroe n- de på kulturskillnader. Ofta kan fotografen få ett godkännande av den avbildade endast genom teckenspråk eller blickarnas samfö r- stånd. Samtidigt kan fotografierna återge väsentlig information av värde för samhällsdebatten. Att av det skälet inte kunna presentera fotografierna via Internet medför allvarliga begränsningar i info r- mations- och yttrandefriheten.

Patent- och registreringsverket (58): Svårigheter att göra intre s- seavvägning enligt artikel 7 f). Problem med samtycke även här.

Sveriges advokatsamfund (63): Den allmänna förutsättningen för behandling av personuppgifter är att den registrerade gett sitt samtycke. I fråga om en klient föreligger i det fallet knappast n å- got problem. Värre blir det i fråga om motparten. Något samtycke till behandlingen är ofta inte att förvänta och i övervägande antalet fall av t.ex. affärsmässiga hänsyn inte ens realistiskt att söka. Det är endast med svårighet man under reglerna 10 § a)–e) PUL kan hänföra den behandling som inom ramen för en normal advoka t- rörelse kan förväntas ske i fråga om uppgifter om en motpart, p o- tentiella vittnen etc. Den möjlighet som finns är att hänvisa till 10 § f), bestämmelsen om en intresseavvägning. Det förefaller min d- re lämpligt att lagligheten av en behandling av personuppgifter

44

som ur alla synpunkter är socialt adekvat och lämplig skall vara hänvisad till en allmän generalklausul.

Svenska Inkassoföreningen (68) : Behandling av personuppgifter är tillåten bl.a. efter samtycke, för administration av avtal och e f- ter en intresseavvägning som utfaller “positivt”. I de fall ett ombud behandlar personuppgifter under eget ansvar kan det ifrågasättas om någon av dessa grunder för behandlingen är tillämplig. Regeln om avtal gäller till synes endast avtal som ingåtts av den personuppgiftsansvarige, men knappast avtal som ingåtts av annan än den personuppgiftsansvarige. Därmed finns en oklarhet om tillåtligheten för inkassoföretag att självständigt behandla perso n- uppgifter för att samordna indrivning på uppdrag från mer än en borgenär mot en och samme gäldenär. Sådan behandling synes självklart bör vara tillåten men omfattas inte lika självklart av vare sig direktivet eller PUL. Frågeställningen påpekades också både vid tillkomsten av PUL och (av föreningen i sitt remissvar) i f ö- rarbetena till PUL. Som ytterligare synpunkt noterar jag att behandling av personuppgifter är tillåten efter samtycke och i vissa fall som anges i PUL, t.ex. för administration av avtal. Därmed torde avses endast parternas egen administration, direkt eller enligt uppdrag. Ett inkassoombud har dock ett berättigat behov att behandla personuppgifter därutöver. Detta gäller t.ex. i fall flera borgenärer lämnat inkassouppdrag till samma ombud och mot samme gäldenär. För att i sådana fall samordna t.ex. ansökningar om utmätning krävs att inkassoombudet för ett eget register för vilket ombudet självt blir personuppgiftsansvarigt. Eftersom inkassoombudet inte har något eget avtalsförhållande med gälden ä- ren synes sådan behandling inte kunna grundas på bestämmelsen om avtalsadministration. Det är ett problem att PUL inte ger uppdragstagare en otvetydig rätt att behandla personuppgifter i fall som dessa och i motsvarande situationer.

Riksåklagaren (70) : Svårt att tillämpa på straffrättens område.

Telia Nära AB, Risk Management (72) : Regleringen kan leda till orimliga konsekvenser. Det är sannolikt lättare att kunna förutse vilka slags behandlingar som är skadliga och därmed förbjuda dessa, d v s en återgång till den “missbruksmodell” som datalagen innefattade. Nuvarande reglering innebär att vissa behandlingar

45

som den registrerade egentligen inte har någon anledning att invända emot kommer att vara förbjudna, vilket i sin tur försvårar utövandet av normal affärsverksamhet där behandlingen i och för sig inte är nödvändig för att fullgöra avtal etc., men där behan d- lingen underlättar verksamheten på ett sätt som kommer både den registrerade som samhällslivet i stort till nytta.

Stockholms Handelskammare (77): Undantagen från samtyckeskravet stöter uppenbarligen på många praktiska problem. Av d e- batten som följt sedan direktivet antogs, hävdar en rad experter att dessa undantag skall tillämpas ytterst restriktivt. Andra hävdar det motsatta, nämligen att undantagen leder till ett i praktiken minimalt integritetsskydd och snarare är exempel på stöd för direkt i- vets andra målsättning. Den registeransvarige kan alltså komma att företa en rad kostsamma åtgärder eller inga alls, beroende på vilka råd man väljer att lyssna till. I detta perspektiv syns inga i n- dikationer på att efterlevnaden kommer att förbättras mot de sif f- ror som Datalagskommittén presenterade vad gäller datalagens efterlevnad. Samtyckeskravet bör kompletteras med andra lö s- ningar än det direkta uttryckliga otvetydiga samtycket, t.ex. konkludent handlande från den uppgifterna avser eller en utvidgad tillämpning av strykningsrätten. De undantag som anges i Artikel 7 punkterna a) till e) har alla samma motiv, nämligen att behandling som sker för ett intresse som överstiger den registrerades i n- tresse, dvs. vad som anges under punkt f). Artikel 7 skulle således med fördel kunna förenklas genom att föreskriva uttryckligt sa m- tycke för behandling av känsliga personuppgifter, medan sa m- tycke genom vad som närmast kan beskrivas som konkludent handlande tillåts i andra fall (om samtyckeskrav alls). Undantaget från denna regel bör vara att samtycke inte behövs för det fall b e- handlingen sker för ett ändamål som rör ett berättigat eller allmänt intresse. Denna ändring torde bl.a. klargöra att informationsplikt och samtyckeskrav inte krävs för det fall den registeransvarige inte själv inhämtat uppgifter, utan istället fått dem tillsända från den som uppgifterna avser. En sådan förenkling ligger också i linje med den övervakning som Datainspektionen angivit som pr i- oriterad ordning.

46

Svenska Bankföreningen (81) : I 10 § a) PUL anges att behandling är tillåten om den är nödvändig för att fullgöra eller ingå avtal mellan den personuppgiftsansvarige och den registrerade. Bankföreningen vill i detta sammanhang peka på att stora delar av bankväsendet är så organiserat att bankerna inom sina koncerner och/eller tillsammans med samarbetspartners erbjuder ett stort antal finansiella tjänster som t.ex. inlåning, banklån, hypotekslån, leasing, korttjänster, betalningsförmedling, fondsparande, värd e- pappershandel och livförsäkringar. Detta tjänsteutbud är tillgän g- ligt via t.ex. bankkontor, bankkoncernens hemsida och telefonbank. Dessa enheter är gemensamma försäljnings- och distrib u- tionskanaler för de formellt sett fristående bolagen inom konce r- nen. En person som genom någon av dessa kanaler blir kund t.ex. i en koncerns fondbolag torde inte göra åtskillnad mellan fondb o- laget och banken/bankkoncernen. För kunden torde det därför vara naturligt att personuppgifter som lämnats till t.ex. fondbolaget även behandlas av banken. I den beskrivna situationen bör det därför anses råda ett förhållande mellan koncernen och den reg i- strerade som kan jämställas med ett kundförhållande, varför b e- handling av personuppgifter bör vara tillåten inom koncernen som sådan och inte vara begränsad till den juridiska enhet som är pe r- sonuppgiftsansvarig i det enskilda fallet. Koncernens formella juridiska struktur bör inte vara styrande för i vilken utsträckning b e- handling av personuppgifter är tillåten. Ändamålet med behan d- lingen får självfallet inte vara oförenligt med de ändamål för vilka personuppgifterna samlades in. Liknande organisatoriska och juridiska uppbyggnader torde finnas inom andra delar av näringslivet och i samhället i övrigt. Mot denna bakgrund finner Bankför e- ningen det angeläget att det görs sådana förtydliganden av direkt i- vet och PUL att den beskrivna behandlingen uttryckligen anges som tillåten. Enligt 10 § f) PUL kan behandling vara tillåten efter en intresseavvägning mellan den personuppgiftsansvarige och den registrerade. För bankkoncernernas vidkommande är det av stor betydelse att kunna genomföra en rad behandlingar som inte kan sägas vara nödvändiga för att fullgöra avtal med de registrerade, men likväl måste anses utgöra berättigade intressen. Det kan vara fråga om att göra marknads- och kundanalyser som underlag för

47

riskhantering, marknadsföring, statistik samt metod- och affärsu t- veckling. Detta kan innefatta behandlingar av hela eller delar av kundstocken, varvid personuppgifter avseende en enskild kund är av underordnat intresse. Motsvarande behandlingar torde genomföras av flertalet företag och myndigheter, varför det finns ett p å- tagligt behov av att det klargörs att nämnda typ av behandlingar får genomföras med stöd av 10 § f) PUL eller med stöd av en sä r- skild ny bestämmelse.

Sjöfartsverket (83) : Det är svårt att få besked om vad som gäller i det enskilda fallet. Även om man läser direktiv, lagtext, förarbeten och doktrin samt kontaktar Datainspektionen går det inte alltid att avgöra om en viss behandling faller under en viss punkt. Ett krav på att registrerade skall lämna sitt samtycke innan behandling av personuppgifter får ske är bra i teorin. Bestämmelsen skulle också kunna vara av stor praktisk betydelse om den avgränsades på ett tydligare sätt. Som det är i dag hamnar man ofta i ett läge där det är oklart om en behandling får genomföras med stöd av andra b e- stämmelser än samtycke.

Anonym (87): Ett helsike att alla som skall omnämnas vid namn eller som medverkar på publicerat foto först måste säga OK.

Anonym (88): Var går gränsen?

Svenska kyrkan (96): En vanlig missuppfattning är att EG- direktivet (och PUL) bara tillåter behandling av personuppgifter när det finns samtycke till behandlingen, förmodligen eftersom den modellen är lättast att förstå. Att bedöma när en behandling är nödvändig och därmed tillåten på någon av de övriga grunder som räknas upp i bestämmelserna är inte lika enkelt. Särskilt svårt är det att bedöma när en sådan situation föreligger som anges i art i- kel 7 f i direktivet (10 § f) PUL). Det kan knappast vara så som antyds i vissa kommentarer att den enskilde i princip alltid kan motsätta sig en behandling och att det är den enskildes uppfattning som i så fall som regel kommer att vara avgörande. Med en sådan snäv tolkning som närmar sig krav på samtycke, får punkten knappast någon självständig innebörd. En konkret fråga som för kyrkans vidkommande kan bli problematisk, är möjligheten att i tillhörighetsregistret anteckna dels barn som inte själva tillhör Svenska kyrkan men där någon av barnets vårdnadshavare gör

48

det, dels vårdnadshavare som inte tillhör Svenska kyrkan men som har ett barn under 18 år som är medlem. Det har varit ett u t- tryckligt önskemål från Svenska kyrkans högsta beslutande organ, Kyrkomötet, att även familjemedlemmar skall få registreras i de kyrkliga registren. En sådan registrering har också varit tillåten t i- digare enligt Datainspektionens föreskrifter, DIFS 1995:3. Hur u- vida det även efter den 1 oktober 2001 kommer att vara möjligt för kyrkan att utan samtycke få registrera familjemedlemmar i r e- gistren, t.ex. med stöd av nämnda intresseavvägning, är en fråga som kommer att diskuteras med Datainspektionen.

Post och Telestyrelsen (PTS) (97): Enligt PTS mening kan det uppkomma tillämpningssvårigheter vid bedömningen av när pe r- sonuppgifter får behandlas endast med den registrerades samtycke eller när det är tillåtet att behandla personuppgifter för att behan d- lingen är nödvändig av de skäl som anges i artikel 7 i EG- direktiven. Enligt PTS mening finns det behov av en bättre vä g- ledning för detta ändamål.

Svenska Kommunförbundet (98) : Ett av de viktigaste problemen vid tillämpningen av PUL är bestämmelsen i 10 § om när behan d- ling av personuppgifter är tillåten. En kommunal nämnd behan d- lar i allmänhet personuppgifter för ett antal olika ändamål. Det kan gälla handläggning av ärenden som avser myndighetsutö v- ning och handläggning av ärenden som avser annat än myndi g- hetsutövning, nämndadministration, personaladministration, di a- rieföring, hantering av traditionella personregister som befol k- ningsregister och fastighetsregister med mera. Bestämmelserna i 10 § om när behandling av personuppgifter överhuvudtaget är ti lllåten är mycket allmänt hållna och förarbetena lämnar knapphä n- dig vägledning. Med undantag för personuppgiftsbehandling i myndighetsutövningsärenden så är det i den kommunala ver k- samheten många gånger svårt redan när det gäller den mest grundläggande förutsättningen nämligen att bedöma i vilka fall behandling av personuppgifter är tillåten eller ej. Eftersom lagen bygger på att den personuppgiftsansvarige själv skall avgöra om en tilltänkt behandling av personuppgifter är laglig eller ej så är avsaknaden av vägledning en klar brist i lagen och i direktivet. Eftersom de allmänt hållna bestämmelserna i 10 § medför att

49

gränserna för det lagliga området många gånger är oklar så finns en uppenbar risk för att respekten i samhället i stort för lagen minskar.

Tidningsutgivarna (99): Regleringen av när behandling av personuppgifter är tillåten (§ 10) är å ena sidan den som möjliggör en någorlunda dräglig hantering av PUL. Det gäller då förutom pp. a)

– e), avvägningsbestämmelsen i punkten f). Å andra sidan fra m- kallar denna avvägningsbestämmelse en betydande osäkerhet och det är orimligt att kräva enskilda företag utifrån denna skall kunna göra en rättssäker bedömning.

Allmänna synpunkter

Tullverket (18):Nej

Läkemedelsindustriföreningen (LIF) (39) : Behandling av personuppgifter vid biverkningsrapportering kräver ej patientens samtycke.

Anonym (94): OK, men se svar ovan.

SWEDMA (Swedish Direct Marketing Association) (95): Veterligen har inte heller bestämmelserna i 10 – 12 § PUL ännu gett upphov till några större tolkningsproblem. Regleringen i 11 – 12 § är på intet sätt kontroversiell. Det är en självklarhet att sådana önskemål från den registrerade som behandlas i dessa bestämme l- ser skall respekteras. När det gäller tillåten behandling enligt 10 § torde det i direktmarknadsföringssammanhang i bred bemärkelse huvudsakligen bara vara p. a, b och f som kan åberopas som stöd för behandlingen av personuppgifter. Swedma har naturligtvis noterat att det enda praktiska exemplet på en intresseavvägning enligt punkten f) som nämns i PUL:s förarbeten är direktmar k- nadsföring och att det där framförs att näringsidkarens intresse av att få genomföra sin direktmarknadsföring normalt väger tyngre än risken för att behandlingen är att uppfatta som otillbörligt i n- trång i den personliga integriteten. Trots detta klara ställningst a- gande till att behandling av personuppgifter normalt inte är kontroversiellt från integritetssynpunkt och trots lagstiftarens i flera propositioner på området betonande av att direktmarknadsföring många gånger är den enda ekonomiskt och praktiskt tillgängliga

50

Känsliga personuppgifter m.m.

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om när känsliga personuppgifter och personuppgifter om lagöverträdelser m.m. respektive personnummer får behandlas (artikel 8, jämför 13-22 §§ PUL)

Positiv kritik

Tullverket (18): Inga problem

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Pliktverket har enligt pliktergisterlagen tillstånd att behandla känsliga personuppgifter och har därför inte några särskilda problem med tolkningen av PUL i denna del.

Sjöfartsverket (83) : Inga märkbara problem för närvarande. Kän s- liga uppgifter används på Sjöfartsverket främst inom sjöräddnin g- en och då vid akuta räddningsinsatser. Dessutom används uppgi f- ter om facklig tillhörighet under löneförhandlingsperioder.

Anonym (94): Bra.

Negativ kritik

Ordval Journalistik (11): Fallet med konfirmandläraren som dö m- des för att berättat om en persons fotvrickning visar väl korttänkt det var att förbjuda allt som har med hälsa etc. att göra. Återigen borde en förtalslagstiftning vara bättre. Ett större problem är att man satt Datainspektionen som tillsynsmyndighet för en lagstif t- ning som ytterst inte alls handlar om databehandling utan om IN- NEHÅLL, låt vara digitalt förmedlat.

Hemsidan Potatis (13): Här har vi ju sett rent löjeväckande exe m- pel på tillämpningen av personuppgiftslagen. Jag förstår inte vad man vill uppnå med denna artikel, men det är helt klart att punkt e) måste ges ett betydligt större avseende i en förbättrad version

av personuppgiftslagen. Om Personuppgiftslagen gällde verkliga livet skulle det vara förbjudet att fråga “hut gick det lilla vän” till ett barn som ramlat och slagit sig. Det är en uppenbar perversion. För en sådan “känslig personuppgift” har en svensk medborgare dömts till straffansvar. Det är en skymf för ett civiliserat samhälle.

Svenska kyrkans Församlingsförbund (15) : Datalagen var klarare på personnummerhantering.

Peter Rydén (16): Inom släktforskargruppen har det varit allmänt vedertaget att personnummer inte förs in. Det är lika vedertaget att lagöverträdelser inte bör behandlas för levande personer, annat än på pappersmedia, åtskilt från övrig forskning. Större tydlighet i detta område är dock välkommet.

Uppsala kommun (20): Roligaste paragrafen! Ingen använder väl personnummer om han inte anser att det är motiverat med hänsyn till ändamålet! Och han torde alltid ha funnit ett beaktansvärt skäl? Mycket flummigt och utan praxis i stort sett alltid OK att använda personnummer, väl?

Dracaena AB (21): Ett område där kunskapen är låg hos de flesta systemadministratörer är när det gäller behandlingar vars syfte är att uppspåra kriminell verksamhet riktad mot ett företags dat o- rer/nätverk. Efter de modifieringar av PUL som gjordes från den ursprungliga har detta område blivit lite enklare att hantera, men kunskapen om vad som är tillåtet och inte samt vilka behandlingar man ser på detta område, gör att jag ändå tycker att man bör titta över detta ännu mera. Särskilt med hänsyn till vad som ovan a n- förts med nya kraftigare sökmotorer etc. Det är ju särskilt viktigt att för den som behandlar personuppgifter kunna skilja på när b e- handlingen är till för att uppspåra om någon bryter mot ett i n- gånget avtal respektive om någon bryter mot andra lagar. Speciellt intressant är det när någon bryter samtidigt mot såväl avtal som lagar och behandlingar för att uppspåra den avtalsstridiga aktiv i- teten och man samtidigt som sidoinformation får resultat som på person visar (misstänkta) brott som personen utfört.

TCO (31): Enligt artikel 8 betraktas medlemskap i fackförening som en känslig uppgift. Som framgår ovan lämnar förbunden ut personuppgifter till tredje person som banker, arbetsgivare etc. Inledningsvis kan sägas att det utifrån svenska förhållanden känns

54

helt fel att medlemskap i fackförening som sådant är känslig pe r- sonuppgift. Enligt TCO:s uppfattning bör Sverige verka för en öppning i direktiven på denna punkt så att det blir upp till me d- lemsstaten - i samverkan med arbetsmarknadens parter - som har att ta ställning om medlemskap är en känslig uppgift eller inte. Ett annat problem är de som är förenade med det absoluta förbudet av behandling av brottmålsdom – problemen uppstår när förbunden företräder medlemmar i sådana mål exempelvis arbetsmilj öbrott.

KLYS (45): Efter en uppmjukning av PUL enligt den lagändring som trädde i kraft 1 januari 2000 är det nu tillåtet att publicera harmlösa personuppgifter på nätet. Förbudet mot behandling av känsliga uppgifter i 13 § PUL kvarstår dock. Hit hör uppgifter om någons politiska uppfattning, religiösa tro, fackliga tillhörighet, sexuella läggning eller begångna brott. Det är därför fortfarande i princip inte tillåtet att ge negativ kritik eller göra vissa avslöja n- den om personer på nätet, eftersom uppgifterna kan betraktas som känsliga enligt PUL. Genom sin ordalydelse omfattar bestämme l- sen om känsliga personuppgifter i stort sett alla fotografier. Ut- ifrån en bild på en person kan man t ex nästan alltid avgöra de n- nes ras och etniska ursprung. Det borde dock enligt KLYS vara tillåtet att på nätet fritt kritisera politiker och andra makthavare samt att publicera bilder på personer, även om bilderna avslöjar politisk uppfattning, facklig tillhörighet osv.

Sveriges Försäkringsförbund (47) : Vad gäller känsliga perso n- uppgifter kan informationsreglerna komma att skapa en del problem bl.a. vad avser utlämnande till den registrerade av känsliga uppgifter, t.ex. om hälsa.

Göteborgs stad (49) : Det är angeläget att möjligheten att behandla känsliga personuppgifter utan samtycke vidgas för myndigheter. Ett generellt undantag bör t. ex. införas för behandlingar som har samband med myndighetsutövning eller som är nödvändiga för att den personuppgiftsansvarige skall fullgöra en rättslig skyldighet.

Statens personadressregisternämnd (51) : Reglerna i 22 § PUL för behandling av personnummer är alltför vaga.

Svenska Fotografers Förbund (53) : Bestämmelsen om känsliga personuppgifter är så utformad att den i princip omfattar samtliga fotografier. En avbildad persons ras avslöjas nästan alltid, likaså

55

det etniska ursprunget. Ett fotografi från en demonstration avslöjar en politisk åsikt och betraktas som åsiktsregistrering. En rel i- giös åsikt framkommer av fotografiet från det buddistiska klostret och medlemskapet i en fackförening visas på fotografiet från fackmötet. Fotografiet där en person med kryckor syns avslöjar hälsotillståndet. Eftersom fotografier nästan undantagslöst avsl ö- jar känsliga personuppgifter som PUL definierar dem torde få f o- tografier kunna falla under de lättnader som införts i 33 §. B e- stämmelsens syfte är ju att skydda den enskildes integritet. Det är svårt att inse varför integriteten skadas mer via en fotografs he m- sida än via en Internetpublicering med stöd av tryckfrihetsföror d- ningen och yttrandefrihetsgrundlagen. Antalet besökare på ex vis Aftonbladets nätupplaga överstiger ju vida antalet besökare på en enskild fotografs hemsida.

Statstjänstemannaförbundet (ST) (54) : Att medlemskap i facklig organisation, enligt PUL, är en känslig uppgift, vilket vållar pr o- blem för fackliga organisationer i Sverige där uppgiften bör b e- traktas som harmlös.

Patent- och registreringsverket (58): Uppgifter i register om näringsförbud och konkurser.

Svenska Inkassoföreningen (68) : Problem kan uppkomma när uppgifter rörande hälsotillstånd, läkarbehandling och förstånd s- statuts är av betydelse för genomförandet av ett inkassoärende. Det framstår som berättigat att alla relevanta personuppgifter skall få behandlas i inkassoverksamhet. Det är därför önskvärt att u n- dantagen som tillåter behandling av känsliga personuppgifter u t- sträcks att omfatta även behandling för indrivning av fordran mot den som avses med uppgifterna. Föreningen har tidigare i skilda sammanhang, bl.a. i remissvar rörande kreditupplysningslagen och till över Bulvanutredningen påtalat att det föreligger ett i n- tresse som bör anses berättigat att i inkassoverksamhet behandla både känsliga personuppgifter och uppgifter om lagöverträdelser. Detta gäller även kreditgivning. Bulvanutredningen föreslog att kreditupplysningsföretag skall få möjlighet att förmedla uppgifter om lagakraftvunna domar och godkända strafförelägganden avs e- ende ekonomisk brottslighet. Uppgifter skulle dock få lämnas e n- dast om annan påföljd än böter pålagts och vidare endast beträ f-

56

längre få användas i kreditupplysning. Föreningen anser inte att det var en rimlig avvägning.

Riksåklagaren (70) : Behandlar ej straffrättens område vilket ger otydlighet.

Stockholms Handelskammare (77): Begreppet känsliga uppgifter är som beståndsdel i den redan kritiserade begreppsapparaten o b- solet eftersom uppgifters känslighet beror på i vilken kontext de förekommer i ett informationsflöde snarare än om de i ett isolerat register skiljer sig från vad vi bedömer som mer frekvent för e- kommande uppgifter. Möjligheten att t ex med hjälp av information mining sammanställa en profil som ger upplysning om politisk åskådning ger således “känslig information” utan att innehålla en enda känslig personuppgif t. Se också ovan under C 1 om begreppsapparaten.

Anonym (88): Jag är förbjuden att lagra mina vänners personnu m- mer på min dator så att jag kan komma ihåg när de fyller år.

Svenska kyrkan (96): De personuppgifter som Svenska kyrkan behandlar är i stor utsträckning att beteckna som “känsliga” i d i- rektivets mening eftersom de på ett eller annat sätt kan sägas a v- slöja en religiös övertygelse hos den registrerade. Flera av de la g- bestämmelser som trots allt tillåter behandling av känsliga up p- gifter kan dock vara tillämpliga på den registrering som sker inom kyrkan idag. Det gäller inte minst undantaget i artikel 8 punkt 2 d (17 § PUL) för ideella organisationer att registrera sina medle m- mar och dem som har regelbunden kontakt med organisationen. Här kan det finnas en svårighet i att bedöma när en kontakt är så regelbunden att den kan anses uppfylla lagens krav. En givare som lämnar gåvor regelbundet, t.ex. genom autogiro, bör kunna omfattas av bestämmelsen men hur många gånger skall det i andra fall krävas för att regelbundenheten skall anses uppfylld? En följdfråga är när i så fall en laglig behandling kan påbörjas – måste en behandling avvaktas till dess att regelbundenheten har visat sig eller blir det i så fall nödvändigt med samtycke, om inte annat för att behandlingen med säkerhet skall anses tillåten? Pr o- blemet med förbudet mot utlämnande av känsliga uppgifter till tredje man i relation till den offentlighetsprincip som gäller enligt lag inom Svenska kyrkan, har redovisats tidigare under punkten C

58

2. Här kan tilläggas att i den mån de känsliga uppgifterna skall lämnas ut för att t.ex. uppfylla den uppgiftsskyldighet som Sven s- ka kyrkan har gentemot Riksskatteverket för den lagreglerade hjälpen med uppbörd av kyrkoavgiften, blir i stället artikel 8 punkt 2 e (16 § PUL) tillämplig varvid problemet inte uppstår. När det gäller förbudet mot behandling av uppgifter om lagöve r- trädelser m.m. uppkommer frågan om det kan uppstå någon ko n- flikt mellan förbudet i direktivet och PUL för andra än myndi g- heter att behandla sådana uppgifter och den s.k. registerkontrollagen (SFS 2000:873). Den sistnämnda lagen berör många kyrkliga församlingar och samfälligheter i egenskap av arbetsgivare för s å- dan förskoleverksamhet m.m. där det nu är obligatoriskt att i n- hämta utdrag ur belastningsregistret. Visserligen torde den “behandling” som sker med de inhämtade uppgifterna ofta vara en manuell behandling (personakter och liknande) och därmed underkastad PUL bara om det är fråga om ett sökbart “register” i l a- gens mening. Möjligen är PUL även i dessa fall undantagen efte r- som även insamling av personuppgifter är att se som behandling och registerkontrollagen i detta avseende avviker från PUL. Slutligen vad gäller personnummer har frågan uppkommit om det enligt PUL nu är tillåtet att i fler fall än enligt datalagen ta med pe r- sonnummer i registerutdrag som lämnas ut enligt den inomkyrkliga offentlighetsprincipen. Bakgrunden är att det i några fall, bl.a. från journalister, har begärts tämligen omfattande uppgifter ur de kyrkliga registren, t.ex. uppgift om alla präster och diakoner i Svenska kyrkan. Även om personnummer finns i registren och är nödvändiga för en säker identifiering av de registrerade, har ky r- kokansliet som utgångspunkt att tillämpa samma restriktivitet i fråga om att utlämnande av personnummer som tidigare har gällt enligt datalagen. Datainspektionen har också på förfrågan gett b e- skedet att PUL inte innebär någon ändring i praktiken i detta a v- seende.

Svenska Kommunförbundet (98) : Bestämmelsen i 13 § PUL om generellt förbud mot behandling av känsliga personuppgifter har inneburit att behandling av känsliga personuppgifter i flera specialreglerade kommunala verksamheter som tidigare kunnat ske med stöd av Datainspektionens tillstånd enligt datalagen nu inte

59

kan fortsätta. När det gäller socialtjänstens verksamhet har genom förslaget till lag om behandling av personuppgifter inom socia l- tjänsten i prop. 2000/2001:80 frågan lösts för socialtjänstens del. För hälso- och sjukvårdens del så har utrymme skapats genom vårdregisterlagen (1998:544) som reglerar all behandling av personuppgifter inom hälso- och sjukvården. När det däremot gäller behandling av känsliga personuppgifter i skolans verksamhet så har den behandling av känsliga personuppgifter som tidigare kunnat ske med stöd av datalagen och Datainspektionens föreskrifter i DIFS 1997:1, genom PUL:s ikraftträdande inte längre något la g- stöd. Det är främst skolpsykologers, skolkuratorers, skolskjut s- verksamheters och skolbespisningarnas behandling av personuppgifter som berörs av förbudet i 13 §. Efter PUL:s ikraftträdande har i de flesta kommuner behandling av personuppgifter i skolans verksamhet kunnat fortsätta med stöd av datalagen enligt punkt 2 i övergångsreglerna till PUL. Men för att sådan behandling av känsliga personuppgifter skall kunna få fortsätta efter den 31 se p- tember 2001 så krävs särskild registerlagstiftning. När det gäller kommunernas uppgifter enligt färdtjänstlagen (1997:736) är sit u- ationen likartad den på skolans område. Färdtjänstlagen omfattas inte av förslaget till lag om behandling av personuppgifter inom socialtjänsten. Beviljande av färdtjänst är myndighetsutövning. Särskilt författningsstöd saknas för att kommuner och andra skall kunna behandla känsliga personuppgifter i samband med beviljande av färdtjänst och utförande av densamma. Behandling av uppgifter om funktionshinder har tidigare kunnat ske med stöd av Datainspektionens tillstånd enligt datalagen både vid utredningar om beviljande av färdtjänst och vid utförande av färdtjänst. För närvarande så förs uppgifterna i de flesta fall med stöd av datal a- gen och PUL:s ikraftträdande – och övergångsregler. Samma n- fattningsvis så anser vi att EG-direktivet bör ändras så att utry m- me kan ges direkt i den nationella lagen för offentliga myndigh e- ter att behandla de känsliga personuppgifter som krävs för att myndigheten skall kunna fullgöra en obligatorisk lagreglerad uppgift oavsett om uppgiften avser myndighetsutövning eller ej.

60

Allmänna synpunkter

Anders Andersson (4): Under förutsättning att behandling som inte utgör myndighetsutövning eller näringsverksamhet undantas från lagens tillämpningsområde, så är restriktionerna för behan d- ling av känsliga personuppgifter rimliga. Om lagen däremot skall tillämpas också på exempelvis den verksamhet som Amnesty I n- ternational bedriver, med undersökning av brott mot de mänskliga rättigheterna, så är det inte rimligt att denna verksamhet unde r- ställs tillståndsprövning av en myndighet i något land, såsom för e- skrivs i 20 § PUL.

Zenita Brandin (5): När personer som är ute i oärligt ärende får tag i uppgifter som kan utnyttjas så att den registrerades namn smutskastas eller personnumret används för att tillskansa sig pengar e l- ler annat.

Vägverket (36) : Frågan om åtkomst för en bredare krets av chefer och sekreterare till verkets personaluppgifter har varit föremål för diskussion inom verket. På motsvarande sätt har också persona l- representanternas åtkomst till enhets-/avdelningsvisa personaluppgifter diskuterats. Verket har i båda dessa frågor intagit en r e- striktiv hållning.

Sveriges advokatsamfund (63): I fråga om 21 § PUL skall bara anmärkas att Datainspektionen meddelat föreskrift med undantag från förbudet att behandla personuppgifter om lagöverträdelser, se 1 § c)–d) DIFS 1998:3.

Telia Nära AB, Risk Management (72) : Ett generellt förbud som utgångspunkt är värdefullt dels för att skydda integriteten, dels för att detta främjar förtroendet för behandlingen. Detta slags uppgi f- ter skall inte få behandlas annat än i särskilda tydligt angivna u n- dantagsfall. Det bör även övervägas huruvida en reglering av “värderande omdömen” kan vara lämplig och under vilka föru t- sättningar sådana uppgifter får behandlas, t ex liknande 6 § i d a- talagen.

Anonym (93): Myndigheter som begär detta bör kunna få material i filformat särskilt mot bakgrund av om orsaken till begäran gru n- das på forsknings- och statistikändamål.

SWEDMA (Swedish Direct Marketing Association) (95): Ty- piskt sett har känsliga personuppgifter enligt 13 § inget eller föga

61

intresse för direktmarknadsföringsändamål. Känsliga uppgifter b e- rörs därför inte särskilt i den nämnda branschöverenskommelsen. Av såväl PUL som överenskommelsen följer därför att behandling av känsliga personuppgifter för direktmarknadsföringsändamål, som möjligen kan ha intresse i vissa speciella och tydligt avgrä n- sade situationer, förutsätter den registrerades samtycke. Ifråga om behandling av personnummer utan samtycke uppställs i 22 § nå g- ra särskilda skäl för detta. Utgångspunkten vid tillkomsten av PUL har uttryckligen varit att, med undantag för samtyckessitu a- tionen, den praxis som gällt enligt datalagen skall komma att tilllämpas även i framtiden. Även om detta återspeglas i överen s- kommelsen om behandling av personuppgifter för DM-ändamål vill Swedma ta tillfället i akt att väcka frågan om det berättigade i den restriktiva synen på behandling av personnummer för DM- ändamål. Swedma anser visserligen att, såsom anges i branschöverenskommelsen p. 6.1, vikten av en säker identifiering är det skäl som kan åberopas för att i dessa sammanhang behandla pe r- sonnummer. Datainspektionens praxis är dock att vikten av en sä - ker identifiering sällan eller aldrig är så stor att det är acceptabelt att behandla personnummer i dessa sammanhang. Normalt ingår därför inte heller personnummer i en kunddatabas – särskilt inte de som fortfarande faller under datalagen. Det är emellertid branschens erfarenhet att bristen på möjlighet till en säker identifiering leder till allvarligt försämrad kvalitet i olika kundregister. Detta leder i sin tur inte bara till försämrad kostnadseffektivitet i ha n- teringen av kunddatabaser utan också till en mängd typiska inte g- ritetsintrång som drabbar de registrerade. Då en kunddatabas som saknar personnummer aktualiseras, kompletteras eller kontrolleras gentemot SPAR uppstår alltid oklarheter rörande en stor mängd av de registrerade. Det är inte ovanligt att “säkra” identifieringar bara föreligger i ca 60 % av en kunddatabas. Eftersom den perso n- registeransvarige naturligt nog ofta drar sig för att kassera up p- emot hälften av sin kunddatabas får en mängd “osäkra” uppgifter stå kvar. Detta kan leda till en mängd för både den personup p- giftsansvarige och de registrerade tråkiga situationer. Således kan en registrerad i praktiken komma att återfinnas som flera personer i ett och samma register. Skälen härtill kan vara många. Vederb ö-

62

Information

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om information som självmant skall lämnas till den registrerade (artikel 10, 11 och 13, jämför 23-25 och 27 §§ PUL)

Positiv kritik

Länsförsäkringar Göteborg & Bohuslän (7) : Söker man info r- mationen i databasen, ska man givetvis få det utskrivet...

Tullverket (18): Inga problem.

Sjöfartsverket (83) : Inga problem. Sjöfartsverket kommer att genomföra åtgärder innan datalagen upphör att gälla.

SWEDMA (Swedish Direct Marketing Association) (95): Informationsreglerna har, i motsats till vad många säkert befarade vid lagens tillkomst, inte lett till några större praktiska problem. Det är branschens uppfattning att tydlig information om behandlingen av personuppgifter till de registrerade är ett effektivt och nödvä n- digt medel för att bygga och underhålla långsiktiga kundförhå l- landen. Förvisso råder dock fortfarande viss oklarhet om hur långtgående information som måste lämnas i olika sammanhang. Swedma ser det som positivt att Datainspektionen inte strävat efter att detaljreglera informationskraven i olika sammanhang utan gett branschen tillfälle att vinna större och större erfarenhet samt i viss utsträckning utnyttja informationen som ett konkurrensmedel. Kvaliteten i den information som lämnas i anslutning till olika direktmarknadsföringskampanjer har också enligt Swedmas mening påtagligt förbättrats under det senaste året.

Negativ kritik

Jonas Flygare (12): Återigen - vilket reklamföretag tror ni kommer att lämna uppgift om när och var de samlar i e-postadresser?

Hemsidan Potatis (13): Det är förstås rena nojan att varje perso n- uppgift som sprids på Internet skall skickas som kopia till den som omtalas. När det gäller insamling av uppgifter är det nog bra, men i övrigt är det ogörligt, och dessutom inget som vi gjort tid i- gare när vi pratat strunt om varandra på stan, i tidningar och i böcker. Se ovan om det onödiga i att leka detektiv för att kunna kontakta en person som man annars inte alls vill veta vem det är i verkliga livet.

Peter Rydén (16): Som släktforskare har jag ej för avsikt att lämna information till samtliga registrerade. Om detta skulle vara tvunget, skulle nog mången forskning bli begränsad.

Uppsala kommun (20): Kan bli oerhört arbetskrävande och dyrbart för alla som annat än undantagsvis använder personuppgifter.

Dracaena AB (21): Det stör mig speciellt att folkbokföringen vid överföring av gamla uppgifter ej har detaljkontrollerat riktigheten i samtliga överförda data. Känner till ett speciellt fall där en avl i- dens anhörig fick meddelande om att den avlidne hade en annan far, vilken givetvis visade sig helt fel vid kontroll mot originaldata. Myndighetens svar var att det förekommer rätt mycket sådan felaktig information. Det vore därför särskilt vid övergång till ny lag lämpligt (även om det kostar) att folkbokföringen till alla nu levande utsände ett fullständigt utdrag. På det sättet skulle en kvalitetshöjning kunna ske och framtida felbehandlingar och fe l- aktiga uppgifter som lätt kan sprida sig vid kopplade behandlingar (även vid avkodifierade medicinska forskningsbehandlingar).

Polismyndigheten i Blekinge län (22) : Informationsplikten innebär stora praktiska problem i samband med utredning av ekonomiska brott. I samband med utredning av misstänkta ekonomiska brott förekommer det en mängd handlingar innehållande perso n- uppgifter. Sådana kan behövas scannas in i datormiljö. Det kan röra sig om följande typ av handlingar: leverantörslistor, kun d- fordringar, utdrag ur PRV, förvaltarberättelser i samband med konkurser, konkursbouppteckningar, anmälningar från skattemy n- dighet, revisionspromemorior upprättade hos skattemyndighet, fakturor, avtal, skrivelser från målsäganden m.fl. handlingar. B e- aktar man då att det finns en mängd personuppgifter i nämnda t y- per av handlingar samt andra uppgifter som indirekt kan knytas

66

till en mängd personer och på så sätt utgör personuppgifter, blir informationsplikten allt för omfattande. Informationsplikten bör inte heller omfatta harmlösa uppgifter. Vad som är harmlöst bör definieras. Informationsplikten bör inte gälla personuppgifter i l ö- pande text. Däremot bör den avse sådana personer som hörs i samband med utredningar (målsägande, misstänkta, vittnen och sakkunniga) eftersom dessa lämnar utsagor samt att deras personnummer, adresser m.m. registreras. I övrigt är det lämpligt med informationsplikt med anledning av att personuppgifter registreras med avsikten att registreringen i sig utgör en bas för att man e n- bart skall kunna få fram personuppgifter i form av personers adresser, personnummer och dylikt för att kunna använda i olika sammanhang.

TCO (31): PUL tydliggör inte med tillräcklig tydlighet när info r- mationsplikt föreligger.

Riksskatteverket (32): RSV:s verksamhet regleras till största del av registerförfattningar. Det framstår många gånger som betun g- ande att behöva lämna information i de fall uppgifter vid myndi g- hetsutövning inhämtas direkt från de registrerade. Det kan i många fall ifrågasättas vilken behov sådan information fyller, t.ex. på en blankett för flyttningsanmälan eller självdeklaration. Det finns redan bestämmelser i andra författningar om myndighetens skyldigheter att informera, bl.a. om att kommunicera och att underrätta om beslut.

Partille kommun (35): Fråga har uppkommit om när kommunen är skyldig att självmant lämna information till de registrerade.

Vägverket (36) : Lätt att glömma bort.

Rikspolisstyrelsen (40): Skyldigheten att informera den registrerade har i vissa fall visat sig svår att uppfylla i den polisiära ver k- samheten. När Polisen samlar in uppgifter om personer och hä n- delser sker det ofta i sådana situationer som inte ger utrymme för information om registreringen. Ett exempel utgör det system som används i polismyndigheternas kommunikationscentraler, som bl.a. används för att ta emot anmälningar eller önskemål från al l- mänheten om olika polisiära insatser.

Sveriges Försäkringsförbund (47) : När det gäller information som ska lämnas självmant till den registrerade är en viktig uppgift att

67

anpassa informationsinnehållet till de praktiska sökmöjligheter som bolagen har. Frågan är t ex om informationen kan begränsas till att avse viss typ/kategori av information som bolaget har i vissa hänseenden, t ex uppgifter av administrativ karaktär om tidig a- re försäkringar. En annan fråga är vad som gäller för inscannade uppgifter och textuppgifter i t ex intyg och kvitton.

Göteborgs stad (49) : Om tillämpningen av PUL begränsas på sätt som föreslås i förslaget enligt missbruksmodellen elimineras de flesta svårigheter när det gäller information till de registrerade.

Svenska Fotografers Förbund (53) : Enligt 24 § tredje stycket behöver information inte lämnas till en registrerad om det skulle i n- nebära en oproportionerligt stor arbetsinsats. Möjligtvis skulle stycket kunna åberopas för fotografier med okända människor från tiden innan lagens ikraftträdande och för fotografier från miljöer med många människor. Det är dock oklart vad som menas med att informationsplikt alltid inträder när “uppgifterna används för att vidta åtgärder som rör den registrerade”. Är det en sådan “åtgärd” när fotografen visar fotografiet på sin hemsida?

Statstjänstemannaförbundet (ST) (54) : PUL klargör inte med tillräcklig tydlighet när informationsplikt inträder.

Centrala studiestödsnämnden (CSN) (57) : Behandlingen av personuppgifter i CSN:s verksamhet är i dag inte reglerad i någon r e- gisterlag utan genom tillstånd från Datainspektionen. Genom samverkan med skolor och antagningsnämnder får CSN uppgifter om personer som antagits till utbildning och önskar studiestöd. Vidare får CSN uppgifter om studieresultat, deltagande i utbildning etc. från skolor. Mot den bakgrunden kan det bli svårt att lämna en uttömmande information till den som söker studiestöd. För CSN:s del är det önskvärt med att behandlingen av perso n- uppgifter blir reglerad i en registerlag. CSN har i december 2000 gjort en sådan framställan till Utbildningsdepartementet. Det är dock inte känt om Utbildningsdepartementet kommer att påbörja ett lagstiftningsärende.

Patent- och registreringsverket (58): Svårigheter avseende vad som är omöjligt eller “oproportionerligt stor arbetsinsats”.

Lantmäteriverket (59) : Behov finns att begränsa den registrerades rätt att erhålla information efter ansökan (§ 26) ur arkiv på grund

68

av 'oproportionerligt stor arbetsinsats'. (Se även förslaget till än d- ring i Artikel 12). Exempel: För närvarande håller Lantmäteriets förrättningsarkiv på att digitaliseras genom att handlingarna ska n- nas av. I arkivet kommer det att finnas personuppgifter. Dessa kommer dock inte att vara sökbara så att man kan enkelt kan svara på frågan om en person finns registrerad i det digitala arkivet. Vid fullgörande av informationsskyldighet till den registrerade ko m- mer myndigheten att få lägga ner ett mycket stort arbete för att kunna svara upp mot kraven i PUL.

Sveriges advokatsamfund (63): Allmänt kan i detta fall hänvisas till vad som under punkt 4 sagts om samtycke. Lika lite som det i flertalet fall är realistiskt att från t.ex. motparten inhämta sa m- tycke till att behandla personuppgifter om denne är det från t.ex. processtaktisk synpunkt lämpligt att underrätta motparten om att man i syfte att undersöka förutsättningarna för att väcka talan mot vederbörande behandlar personuppgifter om denne. I fråga om möjligheten att underlåta att informera den registrerade hänvisas till nästa punkt.

Pliktverket (65): Detta är en av de svårare bestämmelserna att e f- terleva i PUL. Läget har emellertid klarnat något sedan Datai n- spektionens allmänna råd om information till de registrerade kom ut. DI:s allmänna råd innehåller tolkningar av lagtexten som mö j- ligen är något djärva, men som underlättar för dem som har att tillämpa dem. Datainspektionen säger följande: “Om den registr e- rade själv har lämnat in personuppgifter till den personuppgiftsa n- svarige, t.ex. genom att till kommunen lämna in en ansökan om ekonomiskt bistånd, behöver kommunen inte lämna information så länge uppgifterna bara behandlas för det ändamål som den reg i- strerade kan förutse. I en sådan situation får den registrerade anses känna till den personuppgiftsansvariges identitet och ändamålen med behandlingen. Vidare får det anses att den registrerade under nämnda förutsättningar inte är i behov av ytterligare information för att kunna tillvarata sina rättigheter. “ Detta stämmer enligt Pliktverkets uppfattning dåligt med 25 § första stycket c) i PUL där det med exempel anges vad den registrerade behöver veta för att kunna ta tillvara sina rättigheter (t.ex. mottagarna av uppgifter och rätten att ansöka om information och få rättelse). Tas EG-

69

direktivet upp för omförhandling i vissa delar bör informationen till de registrerade utgöra en av huvudpunkterna.

Svenska Inkassoföreningen (68) : Föreningen bedömer att det kan te sig märkligt för gäldenärer att de i samband med t.ex. ett inka s- sokrav också får besked att inkassoföretaget behandlar perso n- uppgifter om dem. Det kan ifrågasättas om denna regel bör ti lllämpas i inkassoverksamhet.

Riksåklagaren (70) : I princip omöjligt att tillämpa i brottmålsha n- teringen.

Telia Nära AB, Risk Management (72) : Regleringen bör ses över. Det är tveksamt om de registrerade verkligen är intresserade av att få information enligt nuvarande regler. Det skulle kunna räcka om denna information lämnas efter förfrågan.

Landstingsförbundet (75) : För verksamhet som rör hälso- och sjukvård gäller Vårdregisterlagen, som är anpassad till verksa m- hetens behov. Användande av patientinformation för väsentliga uppgifter regleras i PUL. Forskningen försvåras, eftersom det är oklart hur långt ett samtycke sträcker sig och samtycket inte får avse ett alltför brett område. En tolkning är dessutom att samtyc k- et enbart kan avse redan befintliga uppgifter för ett givet ändamål.

Stockholms Handelskammare (77): Informationsplikten är administrativt betungande och medför en omotiverad kostsam hante r- ing för den registeransvarige. Den är också kontraproduktiv g e- nom att den skapar ytterligare flöden som innefattar bl.a. risker för felaktiga utlämnanden. Informationsplikten är därmed allt för långtgående och dess bakomliggande motiv kan väl tillgodoses genom den informationsplikt som råder efter förfrågan från den enskilde. Viss informationsplikt följer dessutom redan i kravet på ändamålets avgränsning och samtyckesbegreppet som förutsätter att den registrerade ges någon information om vad det är hon eller han samtycker till. Den registrerade ges därmed själv fullständig frihet att kräva in den information som behövs för att avge sitt samtycke, vilket naturligtvis varierar för den enskilde till följd av motprestationens värde. Ett gement krav bör alltså ge vika för ett flexibelt sådant enligt den enskildes egna preferenser. Vidare garanteras rätten till information och rättelse m.m. dels genom mö j- lighet till påtryckningar från tillsynsmyndigheten, och dels till

70

följd av den registeransvariges egna ansvar att investera och värna sitt kundkapital genom en adekvat hantering av kundintegriteten. Man kan konstatera att medvetenheten om att kundintegriteten är en del av kundkapitalet och inte dess motsats, väsentligen ökat. Ingen aktör på marknaden behåller sina kunder om denna princip åsidosätts.

Domstolsverket (85): I artikel 10 i EG-direktivet finns en bestämmelse om skyldighet att informera den registrerade när uppgifter samlas in. I samma artikel finns ett undantag från informationsskyldigheten, nämligen då den registrerade redan känner till i n- formationen. Någon definition av begreppet “samlar in” ger inte direktivet. När uppgifter samlas in finns inte något undantag från informationsskyldigheten för de fall det finns bestämmelser om registrerandet eller utlämnande av uppgifter i författning. DV ifrågasätter om inte bestämmelsen om information bör klargöras för de fall den registrerade själv lämnar in uppgifter till en my n- dighet och att det i allt fall bör göras undantag från den inform a- tionsskyldighet som skall ske självmant när det finns bestämme l- ser om registrerandet i författning. Med en sådan undantagsb e- stämmelse skulle det inte bli nödvändigt att skicka ut information när personer t.ex. ger in allmänna handlingar till en myndighet. I Personuppgiftslagen En kommentar, Öman och Lindblom, första uppl., sid. 124, uttalas att bestämmelsen i 23 § PUL skall tillä m- pas om personuppgifterna kommer direkt från den registrerade till den personuppgiftsansvarige. Det uttalas där att det inte torde vara möjligt att med framgång hävda att t.ex. personuppgifter som den registrerade på eget initiativ sänt in till en personuppgiftsansvarig inte har samlats in av denne. När en person sänder en allmän handling till en myndighet och denna diarieförs med uppgift om ingivarens namn, så måste myndigheten - med denna tolkning av bestämmelsen - skicka ut information till den registrerade. Detsamma gäller t.ex. ansökningar i ärenden, stämningsansökningar m.m. Bestämmelsen innebär med denna tolkning en omfattande informationsskyldighet. Det kan ifrågasättas om en så långtgående informationsskyldighet är motiverad särskilt mot bakgrund av att den hantering av personuppgifter som förekommer vid myndi g- heter ofta är noggrant reglerad i lag eller förordning. I dag fra m-

71

ställs de flesta beslut skrivelser o. dyl. i dom/otb och det får föru t- sättas att de som ger in handlingar o. dyl. till en myndighet är medvetna om detta. Ett klargörande av denna bestämmelse skulle vara motiverad. I allt fall bör det enligt DV:s uppfattning införas undantag från informationsskyldigheten i de fall en person själv lämnar in uppgifter och registrerandet eller utlämnandet framgår av författning. Det kan här nämnas att Datainspektionen i sina allmänna råd, Information till registrerade enligt PUL, s.14, uttalar att i de fall den registrerade självmant har lämnat personuppgifter till den personuppgiftsansvarige, t.ex. genom att lämna in en ansökan om bistånd behöver kommunen inte lämna information så länge uppgifterna bara behandlas för de ändamål som den reg i- strerade kan förutse.

Anonym (93): Information som ska lämnas kan betraktas som en stor administrativ börda vad gäller behandling av harmlösa up p- gifter.

Svenska kyrkan (96): För flera av de kyrkliga registren gäller all t- jämt datalagen. Därmed har det ännu inte varit aktuellt för kyrkan att självmant lämna information beträffande t.ex. kyrkotillhöri g- hetsregistret. Såvitt kan utläsas av Datainspektionens information om övergången behöver sådan information inte heller lämnas när PUL träder i kraft för redan insamlade uppgifter. Med hänsyn till den storlek som registreringen av kyrkans medlemmar har, skulle det annars kunna diskuteras om information till de ca 8 miljoner individerna skulle kräva en sådan arbetsinsats som medger u n- dantag från informationsplikten enligt lagen. Det är dock troligt att en del av den registrering som sker inom Svenska kyrkan är sådan att den kan omfattas av undantaget för lagstadgad registr e- ring eller uppgiftslämnande, t.ex. i fråga om de uppgifter som skall lämnas till Kammarkollegiets trossamfundsregister om behöriga företrädare på kyrkans olika nivåer. I den mån det har byggts upp nya register, t.ex. inför kyrkovalet, har information kunnat lämnas på exempelvis anmälningsblanketter. En liknande modell kommer troligen att kunna användas också framöver vad gäller exempelvis nytillkomna medlemmar i Svenska kyrkan, eftersom det i sådana fall alltid finns ett skriftligt underlag i någon form som kan innehålla den aktuella informationen. När det gäller fr å-

72

gan om vilken information som skall lämnas uppstår tolkning s- problem främst med undantaget för sådant som den enskilde redan känner till. Såsom undantaget har beskrivits i förarbetena till PUL torde det inte vara nödvändigt att informera om det utlämnande som kan ske enligt offentlighetsprincipen, eftersom denna är så väl känd. Eftersom detsamma knappast kan sägas om den ino m- kyrkliga offentlighetsprincipen får det antas att kyrkan bör info r- mera även om den.

Post och Telestyrelsen (PTS) (97): PTS använder olika register vid in tillståndsgivning, tillsyn m.m. Registren innehåller bl.a. up p- gifter om tillståndshavarna. Uppgifterna till registren hämtas no r- malt sett manuellt från inkomna handlingar. En fråga som up p- kommer vid en jämförelse av EG-direktiven med PUL är vid vi l- ken tidpunkt som den aktuella informationen skall lämnas till den enskilde när uppgifterna samlas in från den enskilde själv. Som PTS uppfattar bestämmelsen i artikel 10 i EG-direktiven är den närmare tidpunkten när uppgiftslämnandet skall ske oreglerad. (Se dock Datalagsutredningen SOU 1997:39 s. 384, jfr prop. 1997/98:44 s. 78 f. och 130). I 23 § 1 st PUL sägs att om uppgifter om en person samlas in från personen själv, skall den personup p- giftsansvarige i samband därmed självmant lämna den registrer a- de information om behandling av uppgifterna. Datalagsutredningens uttalande tyder på att informationslämnandet skall ske samt i- digt som uppgifterna samlas in från den enskilde. Enligt PTS mening skulle emellertid uttrycket i samband därmed kunna även kunna tolkas så att informationslämnandet även kan ske efter de n- na tidpunkt. Utifrån PTS förutsättningar är en hanterbar ordning av informationslämnandet att informationen lämnas först då i n- formationsbeslutet meddelas den enskilde. Enligt PTS mening torde denna tidpunkt mot bakgrund av EG-direktivens lydelse vara fullt tillräcklig. Ett ytterligare problem uppkommer exempelvis när en juridisk person ansöker om att erhålla ett visst tillstånd och en kontaktperson, som inte är tillståndshavare, registreras. Det kan i den situationen vara svårt för myndigheten att bedöma om uppgifterna samlas in från kontaktpersonen själv eller om de samlas in från någon annan källa. Frågan har betydelse för om u n- dantaget i artikel 11.2 (24 § tredje stycket PUL) vid behov är till-

73

lämpligt. En annan situation i fråga om tidpunkten för inform a- tionslämnandet aktualiserar sig vid den behandling av personuppgifter som sker av myndighetens anställda m.m. De uppgifter som därvid behandlas inhämtas i stort sett enbart från de anställda, e x- empelvis ur ansökningshandlingar eller andra handlingar som hä r- rör från den anställde. En för PTS lämplig ordning vore att info r- mationen lämnas först i den anställdes lönebesked. Om detta är förenligt med bestämmelserna i EG-direktiven och PUL är oklart.

Allmänna synpunkter

Zenita Brandin (5): Den registrerade förstår kanske inte p.g.a. hjärnskada eller annan sjukdom. Då är det svårt att få en korrekt tillåtelse.

Ordval Journalistik (11): Visst, om det är kommersiellt, men...

Läkemedelsindustriföreningen (LIF) (39) : Biverkningsrapportering kan ske utan åsidosättande av i PUL stadgad information s- plikt.

Landsarkivet i Uppsala (78): Landsarkivets uppgifter lämnas ut med stöd av offentlighetsprincipen, och därmed skulle inform a- tion enligt 24 § PUL första stycke inte behöva lämnas. Det skulle inte heller behöva ske enligt tredje stycket samma paragraf, då det ju skulle innebära en oproportionerligt stor arbetsbörda. Måhända skulle informationsplikt kunna föreligga enligt tredje stycket andra meningen.

Anonym (94): OK då den registrerade själv efterfrågar. Annars inte.

74

Registerutdrag

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om information (s.k. registerutdrag) som skall lämnas när den registrerade ansöker om det (artikel 12 a och 13, jämför 26 och 27 §§ PUL)

Positiv kritik

Tullverket (18): Inga problem Uppsala kommun (20): OK!

Pliktverket (65): Torde inte innebära några problem. Sjöfartsverket (83) : Inga problem för närvarande.

Anonym (94): Bra.

SWEDMA (Swedish Direct Marketing Association) (95): PUL innebär i detta avseende ingen förändring jämfört med datalagen. Branschen är alltså van vid regleringen och upplever den normalt inte som problematisk.

Negativ kritik

Landsarkivet i Härnösand (3) : En arkivmyndighet förvarar pe r- sonregister från hela den statliga förvaltningen. Om var och en som berörs av uppgifter i dessa databaser har rätt till registeru t- drag skulle detta medföra en för arkivmyndigheterna mycket svårhanterlig situation.

Zenita Brandin (5): Ska alltid lämnas ut oavsett den tid som har gått eller vad det handlar om.

Jonas Flygare (12): Hur ofta tror ni att insamlare av e-postadresser kommer att ge information om vart man kan vända sig för ett r e- gisterutdrag eller borttagande?

Peter Rydén (16): Begär en person att få veta vad som finns, skall detta självklart utfärdas. Dock vet de oftast inte om att de är reg i-

strerade och det är därför ytterst osannolikt att det skulle bli en större ansamling av förfrågningar. Jämför med svaret på fråga 6.

Riksskatteverket (32): Begreppet personuppgift medför att det kan framstå som oklart vilken omfattningen utdragen ska ges.

Vägverket (36) : När det gäller 26 § PUL är det bara att konstatera att det är en omöjlighet att tillämpa denna bestämmelse fullt ut när det gäller löpande text. Att man i tredje stycket undantar löpande text “som inte fått sin slutliga utformning” visar mer på en ver k- lighetsfrämmande utgångspunkt i informationsfrågan än ett seriöst försök att åstadkomma ett realistiskt resultat. Inga problem för e- ligger ifråga om statsmaktsregistren med tillhörande stödregister, där det går att ställa frågan direkt till, och få svar direkt från, den för registren gemensamma databasen. Automatiserade rutiner finns för denna hantering. I övrigt innebär informationsskyldi g- heten däremot stora administrativa problem eftersom det inte är möjligt att ställa en “samkörd” fråga till övriga register och ti lllämpningar. Dessa uppgår till ett stort antal och har som regel inte möjlighet att “tala” med varandra. Varje inkommen begäran får därför behandlas “manuellt”. Verket har för ändamålet byggt upp en organisation med kontaktpersoner. När en begäran om regi s- terutdrag inkommer till verket ombeds var och en av dessa att söka igenom sina respektive applikationer/tillämpningar/filer efter personen i fråga. Konstruktionen och resursåtgången är inte på något sätt tillfredsställande, men ändå det bästa som hittills gått att åstadkomma. Antalet ansökningar har lyckligtvis ännu inte varit särskilt stort (max. 10 om året). Verket har givetvis diskuterat möjligheten att ordna uppgiftssamlingarna så att det blir möjligt att ställa en enkel fråga till “systemet”, men har ännu inte funnit någon lösning på detta. En sådan kan ju också innebära ett hot mot den personliga integriteten, genom den härigenom ökande möjligheten att kartlägga en person.

Rikspolisstyrelsen (40): Reglerna om information enligt 26 § PUL (s.k. registerutdrag) vållar problem eftersom informationsskyldigheten i princip gäller all behandling av personuppgifter. Det fö r- hållandet att Rikspolisstyrelsen hanterar ett stort antal ansökningar om registerutdrag varje vecka (för närvarande 800 per vecka) för med sig svårigheter vid tillämpningen av 27 § PUL.

76

Göteborgs stad (49) : Informationsskyldigheten enligt 26 § PUL är förenad med mycket stora praktiska problem. Om information s- skyldigheten skall omfatta samtliga behandlingar som sker vid en myndighet rörande en viss person ställer detta krav på avancerade sökmöjligheter, vilka i sig kan medföra betydande integritetsrisker för de registrerade. Bl.a. finns det risk för att de sammanställnin g- ar av personuppgifter som kan göras med hjälp av sådana sö k- verktyg blir allmänna handlingar, vilka kan begäras ut med stöd av offentlighetsprincipen. Till detta kommer svårigheten att kunna fastställa att en behandling verkligen avser den person som har begärt ut utdraget, eftersom behandlingarna inte alltid är kopplade till ett personnummer eller annan säker identifikation. Om emellertid tillämpningen av PUL begränsas på sätt som föreslås i fö r- slaget enligt missbruksmodellen elimineras även de svårigheter som sammanhänger med tillämpningen av 26 § PUL.

Svenska Fotografers Förbund (53) : En fotograf kan under sin yrkesverksamhet framställa hundratusentals fotografier. Bildbyråer kan ha motsvarande mängder fotografier som upplåts för använ d- ning. I regel är de systematiserade med nummer, siffer- eller sö k- ordskombinationer. Om fotografierna återger okända människor finns inget känt söksystem som medför att fotografen/bildbyrån kan redovisa alla fotografier där en bestämd person återges. Fot o- grafen/bildbyrån kan alltså inte efterleva 26 § i PUL. När fotogr a- fier återger kända personer är det vanligt att fotografierna kan s ö- kas efter namnet; i de fallen kan redovisningen till den registrerade ske.

Centrala studiestödsnämnden (CSN) (57) : CSN anser att detaljnivån på de uppgifter som skall lämnas bör begränsas. CSN a n- vänder i dag elektronisk dokumenthantering för alla inkommande ansökningshandlingar. Att i ett registerutdrag bifoga utskrifter av sådana handlingar kommer att bli tidskrävande och kostsamt. Antalet framställningar om registerutdrag har under senare år varit 100 - 200 per år. Det är förenat med stora kostnader att utveckla och underhålla utsökningsprogram. Kostnaden per registerutdrag blir mycket stor. Det bör vara möjligt att kunna begränsa antalet uppgifter som behöver lämnas ut i form av registerutdrag till en registrerad person.

77

Patent- och registreringsverket (58): Om man som underårig gett samtycke till behandling, men kanske inte kan skriva ned sin begäran, gäller i så fall företrädares begäran i sådant fall och tar f ö- reträdares eventuella återkallelse av samtycke över den underår i- ges eget givna samtycke.

Sveriges advokatsamfund (63): 23–26 §§ PUL innehåller bestämmelser om när information skall lämnas till den registrerade och också om vilken information som skall lämnas ut. Av bl.a. de skäl som berörts i föregående punkt infördes en undantagsb e- stämmelse i fråga om skyldigheten att lämna såväl information enligt 23 § som 26 §. I propositionen anfördes som exempel att man inför en förestående domstolsprocess hade anledning att hemlighålla personanknuten information, se prop. 1997/98:44 s. 84. Den konstruktion som lagen fått är emellertid inte särdeles lyckad. Enligt bestämmelsen får en personuppgiftsansvarig som inte är en myndighet i motsvarande fall som avses i sekretesslagen vägra lämna ut uppgifter om motparten. Hur långtgående detta undantag är och hur det skall tillämpas framstår emellertid som högst oklart. Kan t.ex. en brottmålsadvokat åberopa förundersö k- ningssekretess sedan åtal väckts? Kan en advokatbyrå som är pe r- sonuppgiftsansvarig åberopa att den enskildes ställning som part försämras i en förestående rättegång, när det är klienten som är part (jfr 6 kap. 7 § sekretesslagen)? Från advokatsynpunkt framstår den nuvarande regleringen som djupt otillfredsställande.

Socialstyrelsens arkivgrupp (69): Till Socialstyrelsen inkommer tusentals förfrågningar varje månad, vilket leder till hög arbet s- belastning och höga kostnader. Många av de registerutdrag som begärs är irrelevanta: Man vill t.ex. veta om man finns med i metadonregistret oavsett om man någonsin figurerat i de sammanhangen, eller i registren över legitimerad hälso- och sjukvårdspe r- sonal trots att man inte utbildats eller arbetat inom området öve r- huvudtaget. Vi försöker ändå rikta förfrågningarna med hjälp av en blankett där den sökande väljer alternativ (istället för att aut o- matiskt begära utdrag ur “alla” register).När den medborgerliga rätten till utdrag tar sig sådana uttryck tenderar den samtidigt att inverka negativt på andra rättigheter - de som ligger inom en myndighets egentliga verksamhetsområden att bevaka. Vi vä l-

78

komnar därför en begränsning i skyldigheten att tillhandahålla r e- gisterutdrag; där oproportionerligt stora ansträngningar kan un d- vikas och ställas i relation till relevans.

Riksåklagaren (70) : Möjligt att hantera i de författningsreglerade systemen, men omöjligt att tillämpa betr. ordbehandling, e-post, Internet.

Region Skåne (71) : Skyldigheten att ge information (registerutdrag) till den registrerade kräver stora insatser f.n. och kommer att bli allt mer omfattande 2001-10-01 då de manuella journalerna också omfattas. Organisationsförändringar och förändrade drift s- former inom hälso- och sjukvården medför också att detta är en komplex hantering.

Telia Nära AB, Risk Management (72) : OK att lämna information efter ansökan. Lagen ger dock i nuvarande skick inte någon möjlighet till avgränsning av vilka uppgifter som skall lämnas då stora volymer hanteras. (Se förslag i Justitiedepartementets skiss till missbruksmodell). Även gränsdragningsproblem förekommer i förhållande till annan lagstiftning (Telelagen).

Riksarkivet (74): För arkivmyndigheterna innebär kravet på ett årligt registerutdrag i praktiken en omöjlig uppgift.

Landstingsförbundet (75) : Skyldigheten att ge information (registerutdrag) till den registrerade kräver stora insatser för närv a- rande och detta kommer att bli än mer omfattande då de stora p a- tientjournalerna inbegrips.

Stockholms Handelskammare (77): Handelskammaren ifrågasä t- ter konstruktionen av en regel som förutsätter att undantag görs för det fall “det visar sig vara omöjligt” att uppfylla regelns krav (jfr impossibilium nulla est obligatio). Eftersom möjligheterna att på kort sikt lätta på informationskravet synes små, kan förslaget om att den registeransvariges aktiva och passiva informationsskyldighet skall vara densamma motvilligt godtas.

Landsarkivet i Uppsala (78): Det är av största vikt att man kan komma fram till en tolkning av 26 § PUL som undanröjer sky l- digheten att en gång om året lämna besked om personuppgifter som rör den sökande har behandlats eller ej, då det enbart skett genom ett tillhandahållande med stöd av offentlighetsprincipen.

79

Svenska Bankföreningen (81) : Den registrerade har enligt 26 § PUL rätt att efter ansökan få information om i princip alla perso n- uppgifter som den personuppgiftsansvarige behandlar om vederbörande. Den personuppgiftsansvarige skall därvid utnyttja alla de sök- och sammanställningsmöjligheter som han har tillgång till. Enligt Bankföreningens uppfattning har direktivet och lagen här utformats utan tillräckligt hänsynstagande till hur bestämmelsen i praktiken skall kunna tillämpas. Föreningen vill här framhålla att relationerna mellan bankerna och deras kunder, t.ex. avtal om kreditgivning och inlåning, vanligen sträcker sig över många år, vilket medför att bankerna efter hand kommer att ha omfattande personuppgifter om många kunder. Uppgifterna förs successivt över från aktiva kundregister till olika medier för långtidsförv a- ring och arkivering. I de sistnämnda lagringsformerna är sökmö j- ligheterna begränsade och utesluter ofta sökning t.ex. med anvä n- dande av person- eller kundnummer. Även när det gäller perso n- uppgifter som finns i ordbehandlingsdokument och på de lokala hårddiskarna på de anställdas datorer är de praktiska sökmöjli g- heterna ytterst begränsade, särskilt i stora koncerner med en ge o- grafiskt spridd verksamhet. Det måste beaktas att dessa uppgifter inte har strukturerats för att underlätta sökning. Mot denna ba k- grund är det enligt Bankföreningens uppfattning nödvändigt att begränsa den personuppgiftsansvariges skyldighet att lämna r e- gisterutdrag till de registrerade efter ansökan. Kraven på den a n- svariges sökansträngningar måste avvägas mot det värde uppgi f- terna kan ha för den registrerade. Föreningen ansluter sig därför helt till förslaget i Justitiedepartementets promemoria om vissa undantag från rätten till registerutdrag, nämligen att utdrag inte skall behöva lämnas om det innebär en oproportionerligt stor a n- strängning.

Anonym (88): Visst låter det bra, men fungerar det i verkligheten? Svenska kyrkan (96): Även om Svenska kyrkans nuvarande r e- gister bara till en mindre del omfattas av PUL finns redan nu frågetecken kring hur man rent praktiskt skall ta om hand en begäran om information från en enskild. Svenska kyrkan på nationell nivå hanterar idag flera separata register på olika avdelningar inom kyrkokansliet och någon gemensam funktion som kan ge besked

80

om samtliga registreringar om en person finns inte ännu. Huruvida detta skall ordnas och i vad mån datasystemen tillåter sökningar för att snabbt ta fram alla sådana uppgifter samlat, är en fråga som återstår att utreda. Svårigheten här ligger förstås i att få grepp om personuppgifter som kan finnas i löpande text och också i att b e- döma hur stora ansträngningar som måste göras i detta fall för att uppfylla lagens krav.

Svenska Kommunförbundet (98) : Bestämmelsen i 26 § PUL om rätt för den registrerade att erhålla information efter ansökan (r e- gisterutdrag) skall bl. a. innehålla de personuppgifter som den personuppgiftsansvarige behandlar om den registrerade. Bestämmelsen har, med det tillämpningsområde som PUL har, i prakt i- ken blivit omöjlig att uppfylla. I datalagen fanns en liknande b e- stämmelse om rätt för den registrerade att erhålla registerutdrag. Eftersom datalagen var avgränsad till personregister, dvs. information som var sökbar på ett enkelt sätt så var det sällan problem att ta fram registerutdrag Eftersom PUL omfattar även personuppgifter som inte är strukturerade i register eller på något annat sätt så ställs krav på den personuppgiftsansvarige att ta fram uppgifter som kanske inte är sökbara med tillgängliga programvaror eller som går att söka fram endast med mycket stor arbetsinsats genom manuell genomläsning. Detta problem blir särskilt påtagligt när det gäller de kommunala arkiven. Vi instämmer i förslaget i ski s- sen till förenklat skydd för personuppgifter med missbruksmodell som innebär tillägg i artikel 13.2 i EG-direktivet om att den pe r- sonuppgiftsansvarige skall kunna slippa lämna registerutdrag, om det skulle visa sig omöjligt eller innebära en oproportionerligt stor arbetsinsats.

Allmänna synpunkter

Länsförsäkringar Göteborg & Bohuslän (7) : Ja.

Ordval Journalistik (11): Tja, helt rimligt när det gäller databaser i kommersiell och organiserad verksamhet - men borde kunna gå till så att var och en får tillgång till “sin” fil.

Svenska Inkassoföreningen (68) : Inkassoföretagen har redan en motsvarande plikt under datalagen. Såvitt föreningen har sig b e-

81

Rättelse

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om rättelse av personuppgifter (artikel 12 b och c, jämför 28 § PUL)

Positiv kritik

Tullverket (18): Inga problem Uppsala kommun (20): OK!

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Torde inte innebära några problem.

Svenska Inkassoföreningen (68) : Det är mycket väsentligt att alla personuppgifter som behandlas i inkassoverksamhet. Därför leder ett krav på rättelse av felaktiga uppgifter inte till några svårigheter i sådan verksamhet.

Sjöfartsverket (83) : Inga problem. Anonym (94): Bra.

SWEDMA (Swedish Direct Marketing Association) (95): Att felaktiga personuppgifter skall rättas är en självklarhet för varje seriöst företag som önskar ha en bestående relation med en kund.

Negativ kritik

Landsarkivet i Härnösand (3) : Om medborgarna får möjlighet att begära rättelser i de personregister som överförts till arkivmy n- dighet, innebär detta att arkivmyndigheterna får ta på sig en trol i- gen mycket stor men för närvarande svåröverskådlig arbetsup p- gift.

Zenita Brandin (5): Detta är däremot svårt trots att det bara kräver några knapptryckningar. Speciellt inom sjukvården är detta va n- ligt.

Rikspolisstyrelsen (40): Reglerna om rättelse vållar problem när uppgifter behandlas t.ex. i en databas för spaningsuppgifter. I de s- sa fall är uppgifterna till sin karaktär sådana att de inte alltid kan sägas vara objektivt kontrollerbara. Att rätta sådana uppgifter efter att ha konstaterat att de inte är riktiga är därför i de allra flesta fall inte möjligt. Dessa regler måste därför ses över. En möjlig väg att gå i detta fall är att införa specialregler om rättelse i polisdatal a- gen i stället för att ändra i direktivet.

Svenska Fotografers Förbund (53) : Av samma skäl som anges under föregående punkt kan en fotograf/bildbyrå inte utplåna f o- tografier av okända personer. Endast enstaka fotografier kan spåras för utplåning. Det kan ske då de publicerats och publiceringen därefter kan hänföras till en viss upplåtelse med fotografiets kod.

Patent- och registreringsverket (58): Även här kan uppkomma problem vid avvägningen av vad som är oproportionerligt stor a r- betsinsats. I direktivet talar om “oproportionerligts stor ansträngning”. Önskvärt vore att samtliga felaktiga uppgifter rättas eller utplånas, att endast blockera synes mindre bra eftersom den felaktiga uppgiften då finns kvar i registret.

Riksåklagaren (70) : Tveksamt om regeln kan tillämpas, det visar sig säkert omöjligt eller medföra för stor arbetsinsats i de flesta fall.

Region Skåne (71) : Oklart om PUL eller patientjournallagen gäller vid rättelse av journaler.

Riksarkivet (74): I direktivet och i PUL finns ett krav på rättelse personuppgifter som är felaktiga. Detta krav har orsakat viss osäkerhet inom arkivvärlden. Enligt Riksarkivets uppfattning är de n- na oro obefogad. När en arkivmyndighet tar emot arkivmaterial är uppgiften att bevara den överlämnande myndighetens arkiv. Mat e- rialet skall spegla den överlämnandes (arkivbildarens) verksamhet och samtid. I den meningen är materialet alltid korrekt så länge det inte har förvanskats efter överlämnandet. I den omfattning som arkivbildaren har antecknat något som rent objektivt sett kan betraktas som fel, t.ex. angivit fel förnamn på en person, så är uppgiften korrekt i den meningen att den riktigt återger hanteringen av ärendet. I de fall en rättelse i det överlämnade materialet kan övervägas är det den ursprungliga arkivbildarens uppgift att ta

84

ställning till rättelsen. Om den tanken att all registrering kan a n- gripas med åberopande av PUL accepteras av rättsordningen skulle det få egendomliga konsekvenser. Som exempel kan tas en domstols dom. Den som är missnöjd med en dom är hänvisad till att överklaga den. Han kan varken före eller efter det att tiden för överklagande gått ut vända sig till domstolen med påstående att en uppgift i domen är felaktig och med stöd av PUL begära att d o- men skall ändras. Ännu mer egendomlig är tanken att han efter det att domen har överlämnats till arkivmyndighet kan begära att a r- kivmyndigheten skall ta ställning och ändra i domen. Vid utvärd e- ring av EG-direktivet är det önskvärt att förtydliga vad som avses med att en uppgift är riktig. I betänkandet Skatt Tull Exekution Normer för behandling av personuppgifter SOU 1999:105, s. 396 nederst, berörs denna fråga.

Svenska kyrkan (96): De register som förs inom Svenska kyrkan är av olika slag. I vissa fall sker registrering enbart lokalt eller regionalt eller på den nationella nivån. Bland de register som förs hos församlingar, samfälligheter och stift finns dock även sådana som har en direkt koppling till ett centralt register. Det gäller t.ex. för kyrkans medlemsregister men också för registreringen av dop m.m. och av behöriga företrädare. Systemet är uppbyggt så att uppgifter som registreras av en församling med automatik öve r- förs till det centrala registret. Den nuvarande registreringen byg g- er på Datainspektionens föreskrifter vad gäller församlingsregis t- ren och på tillstånd från samma myndighet vad gäller de centrala registren. Därmed har det också stått klart vem som är registeransvarig och vem som har ansvaret för att rätta en felaktig uppgift. Beroende på att PUL (och EG-direktivet) definierar den personuppgiftsansvarige som den som “ensam eller tillsammans med andra bestämmer ändamålen med och medlen för” behandlingen av personuppgifter, kan det i en organisation med Svenska kyrkans struktur, här tänkas uppstå vissa praktiska problem. I den nya situationen kommer registreringen att i praktiken ske på samma sätt som tidigare men nu “styrd” genom regler i kyrkoordningen, dvs. genom ett “centralt” beslut av Kyrkomötet. Ändå är det n a- turligtvis önskvärt att det även i fortsättningen skall vara den som samlar in och registrerar den “ursprungliga” uppgiften som också

85

ansvarar för att uppgiften är korrekt. För att det hela skall kunna hanteras praktiskt är det alltså nödvändigt att kunna fördela ansv a- ret mellan de olika självständiga enheterna (församlingar, samfä l- ligheter och stift) inom Svenska kyrkan. Det är visserligen tekniskt möjligt att också med dagens system rätta en lokalt registr e- rad uppgift centralt, för några få med sådan särskild behörighet.

När det gäller medlemsregistret har korrigeringar i vissa fall e n- dast kunnat göras av systemkonstruktören. Dessa möjligheter har dock utnyttjats endast undantagsvis och förhoppningen är att d i- rektivet och PUL inte kommer att kräva några större förändringar i dessa avseenden.

Allmänna synpunkter

Ordval Journalistik (11): Rimligt, borde kanske rentav stärkas - det borde vara lättare för individer att själva (automatiskt) komma åt registerutdrag t.ex. genom företags hemsidor, och själva kunna ändra i dessa. Men det förutsätter kanske först en spridning av elektroniska ID-kort, för säkerh etens skull.

Riksskatteverket (32): RSV har ännu ingen erfarenhet av bestä m- melsen. RSV kan dock konstatera att den, genom att avse det “som inte har behandlats i enlighet med denna lag …” har en vidare innebörd än motsvarande bestämmelse i 8 § datalagen, som avser “oriktig uppgift”.

86

Automatiserade beslut

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om automatiserade beslut (artikel 15 och 12 a tredje strecksatsen, jä mför 29 § PUL)

Positiv kritik

Tullverket (18): Inga problem.

Svenska Fotografers Förbund (53) : Förorsakar inga konkreta problem för fotografer.

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Torde inte innebära några problem.

Svenska Inkassoföreningen (68) : PUL:s säkerhetskrav torde inte vara strängare än de som uppställs av inkassoföretagen själva och innebär i så fall inga svårigheter. Föreskrifter om säkerhet vid b e- handling av personuppgifter utgör i nuläget därför inte något stö r- re problem.

Sjöfartsverket (83) : Inga problem.

Negativ kritik

Patent- och registreringsverket (58): Det hela ter sig märkligt när det är just sådana här personuppgifter som man inte vill ska b e- handlas, och i de fall de behandlas ska det ske med samtycke eller vissa särskilt angivna ändamål. Återigen – hur långt går ett “berättigat intresse av behandling” resp. samtycke ? I praktiken kan det uppstå problem när beslut drabbar en enskild, exempelvis. ej fått sökt arbete p.g.a. uppgifter som behandlats. PUL talar här om att man ska kunna få beslutet omprövat av någon person – vad menas i praktiken härmed ? Är det behandlingen av personup p- gifterna eller beskedet ett man inte fick sökt jobb som ska kunna omprövas av någon person, och vem är det ?

Telia Nära AB, Risk Management (72) : Bör ses över. Det är i och för sig viktigt att klargöra att ansvaret gäller även för detta slags beslut. Rätten till överprövning och motivering torde inte vara a n- gelägen bara vid automatiserade beslut utan även i övriga fall. Därmed är det tveksamt om det behövs en särreglering.

Svenska kyrkan (96): Det är i nuläget oklart om det förekommer några “automatiserade beslut” i PUL:s mening inom Svenska kyrkan. Bestämmelserna är svårtolkade.

Allmänna synpunkter

Ordval Journalistik (11): Man kunde ju börja med att tvinga t.ex. skatte- och kronofogdemyndigheten att tillfråga individer/företag INNAN de fattar fatala beslut.

Uppsala kommun (20): OM bestämmelsen innebär att man i vissa fall skall få ett helt automatiserat beslut över- eller omprövat av en människa så är det OK.

Svenska Inkassoföreningen (68) : Erfarenheten av automatiserade beslut torde inte vara stor i inkassoverksamhet. Föreningen ser det dock som naturligt att den som blivit föremål för ett felaktigt a u- tomatiserat beslut får tillfälle till rättelse. Detsamma gäller alla felaktiga beslut. Automatiserade beslut torde fattas på grundval av en statistik mall. Det är då inte rimligt att vid en omprövning av ett sådant beslut använda andra kriterier än de som ingår i mallen eftersom det rycka undan förutsättningarna för det statiska unde r- laget. Därför kan förmodas att en omprövning ofta inte skulle leda till annat resultat än det automatiserade beslutet. I så fall är b e- stämmelsen inte av större vikt. En grundprincip i inkassoärenden är att för icke bestridda förfallna fordringar görs efter viss tid a n- sökan om betalningsföreläggande. Under vissa förutsättningar kan dock undantag göras från denna princip, t.ex. därför att beloppet är litet samtidigt som utsikterna till framgång är dåliga. Sådana undantag kan göras på grund av automatiserade beslut. I dessa fall leder dock de automatiserade besluten inte till någon belastning för gäldenären utan endast till förmånen att borgenären avstår från att vidtaga rättsliga åtgärder frö att uppnå betalning eller annan fullgörelse.

88

Riksåklagaren (70) : Ej tillämpligt i vår verksamhet (än!).

SWEDMA (Swedish Direct Marketing Association) (95): Automatiska beslut har inte någon praktiskt relevans för den verksa m- het som Swedmas medlemmar bedriver.

89

Säkerhet

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om säkerheten vid behandlingen av personuppgifter (artikel 16 och 17, jämför 30-32 §§ PUL)

Positiv kritik

Ordval Journalistik (11): Viktigt! Tullverket (18): Inga problem. Uppsala kommun (20): OK!

Svenska Fotografers Förbund (53) : Förorsakar inga konkreta problem för fotografer.

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Torde inte innebära några problem.

Sjöfartsverket (83) : Inga problem. Anonym (94): OK.

Post och Telestyrelsen (PTS) (97): PTS ser inga problem med att uppfylla kraven på teknisk säkerhet vid behandling av personup p- gifter utifrån EG-direktivet eller PUL.

Negativ kritik

Statens personadressregisternämnd (51) : Reglerna för perso n- uppgiftsbiträdet finns i 30 § PUL under rubriken “Personer som behandlar personuppgifter”. Lagstiftaren tycks inte ha tänkt sig den situation som gäller för nämnden, nämligen den att perso n- uppgiftsbiträdet är ett stort affärsdrivande företag.

Patent- och registreringsverket (58): Svårigheter att avgöra om lagen här är dispositiv eller tvingande. Vad ska gälla om avtal och lag är motstridiga ? Registeransvarig och registerförare kan också finnas i olika länder med olika lagstiftning. Vidare kan det synas problematiskt med beaktande av kostnaderna när säkerhetsnivån

ska avgöras. Är det kostnaderna hos registeransvarig el. registe r- förare ? Och hur bedöms den eller nivån på den ? Vem avgör vad som är rimligt ?

Riksåklagaren (70) : Kopplingen mellan Datainspektionen och myndighetens personuppgiftsansvarige är oklar.

Telia Nära AB, Risk Management (72) : Säkerhetsfrågorna är av utomordentlig betydelse för det allmänna förtroendet för IT i al l- mänhet. Det är dock mycket tveksamt om det är lämpligt eller över huvud taget möjligt att införa någon fast säkerhetsstandard, inte minst med hänsyn till den oerhört snabba utvecklingen inom IT. En bestämd standard skulle tämligen snabbt bli “omkörd” av utvecklingen, så att säkerhetsåtgärderna enkelt kan kringgås.

Anonym (88): Säkerhet? Inget datorsystem är säkert, därigenom kan ingen behandling av personuppgifter ske säkert.

Svenska kyrkan (96): Det finns redan idag ett antal bestämmelser i kyrkoordningen som reglerar vad som får registreras i olika slags register och vilka uppgifter om en enskild person som får för e- komma. Bestämmelserna bygger i allt väsentligt på nuvarande f ö- reskrifter av Datainspektionen. I vad mån det därutöver kommer att krävas närmare instruktioner till dem som arbetar dagligen med personuppgifter eller finnas behov av avtal med s.k. personuppgiftsbiträden är en fråga som behöver analyseras ytterligare i n- för övergången till PUL. Klart är redan nu att det finns ett stort behov av information och utbildning kring lagens innebörd. De nuvarande datasystemen är uppbyggda för att uppfylla Datai n- spektionens krav på säkerhet med bl.a. krav på behörighet för å t- komst till uppgifterna och med särskilt skydd för t.ex. spärrmark e- rade adresser. I vad mån nuvarande modell kan anses tillräcklig även enligt direktivet och PUL är något som får diskuteras med Datainspektionen.

Allmänna synpunkter

Länsförsäkringar Göteborg & Bohuslän (7) : Sekretess finns hos samtliga anställda.

Peter Rydén (16):Om nu släktforskning berörs av PUL eller li k- nande lag, är nog säkerheten omkring dessa uppgifter låg.

92

Stockholms Handelskammare (77): Dataintegriteten, dvs. skyddet för otillbörlig åtkomst och spridning av data, är givetvis starkt förknippat med skyddet för den registrerades personuppgifter. Vad direktivet föreskriver i denna del är alltså inga konstigheter, och bara det väcker frågan varför det över huvud taget uttrycks explicit. Vad som däremot saknas är vägledning i den nationella anpassningen. Det är dock något som det finns skäl att återkomma till i andra sammanhang.

SWEDMA (Swedish Direct Marketing Association) (95): Swedma har inte fått några reaktioner från medlemmarna om att man upplevt problem med reglerna för säkerhet i behandlingen. Normalt torde det vara så att företagets intresse i dessa avseenden sammanfaller med intresset hos de registrerade. Se dock reflexionen ovan om skriftliga avtal för uppdraget som personuppgiftsb i- träde.

93

Export

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om överföring av personuppgifter till tredje land, dvs. utanför EU och EES (artikel 25, 26 och 31, jämför 33-35 §§ PUL)

Positiv kritik

Tullverket (18): Inga problem.

Negativ kritik

Lunds universitet (2): Medför stora svårigheter i den internati o- nella kontext som forskningsprojekt idag bedrivs. Väldigt många projekt är samarbetsprojekt med tredje land som USA, Australien, Japan m fl.

Landsarkivet i Härnösand (3) : Bestämmelser som förbjuder öve r- förande till tredje land även av normalt sett harmlösa personup p- gifter riskerar att förhindra en önskvärd utveckling mot utvidgat utlämnande av arkivinformation via Internet och kan även komma att utgöra ett hinder mot utveckling av elektronisk demokrati.

Anders Andersson (4): Publicering av information innebär normalt att den blir tillgänglig för vem som helst i hela världen som önskar ta del av informationen, och det går inte att kontrollera vem som köper exemplar av svenska tidningar eller läser svenska webbs i- dor. Därför bör förbudet mot överföring till tredje land ej omfatta publicerad eller offentliggjord information.

Ordval Journalistik (11): Visst, när det gäller kommersiell eller storskalig hantering av uppgifter. men patetiskt om det innebär att varje Internetpublicering på lokala språk betraktas som spridning till Yemen.

Martin Pettersson (17): Borde enbart gälla för känsligare uppgi f- ter. definition på detta bör utarbetas av kommissionen.

SLU (19): Vid behandling av personuppgifter i form av utläggning av information på Internet har PUL haft stor inverkan. SLU har ansett sig vara tvunget att bli mer restriktiv med dessa uppgifter. SLU gör bedömningen att PUL i detta avseende har hjälpt till att “städa”. Onödiga uppgifter och överinformation har därigenom undvikits, vilket i detta avseende får ses som en positiv effekt av PUL.

TCO (31): Reglerna om överförande av personuppgifter till tredje land ställer till stora problem när det gäller att snabbt informera medlemmarna genom förbundens hemsidor. Med hänsyn till den – ur demokratisk synpunkt - omistliga yttrandefriheten är skyddet alldeles för omfattande. Kravet på samtycke för publicering av personuppgift medför att möjligheterna att använda hemsidorna för att snabbt kunna informera medlemmarna omöjliggörs. Re g- lerna visar att verkligheten sprungit ifrån direktivet och att en grundlig revidering av EG direktivet är nödvändig. Avslutningsvis vill TCO ånyo understryka att våra förbund alltjämt arbetar med den gamla datalagen som grund för registerhantering varför det säkerligen kommer att uppstå en mängd ytterliggare problem efter den 1 oktober 2001.

Vägverket (36) : Redan från sitt ikraftträdande i Sverige var ju de n- na bestämmelse omodern och föga effektiv. Ändringen som infö r- des i 33 § PUL under 1999 ger uttryck för en pragmatisk tolkning, men är alltjämt otillräcklig för att få Internet och e- posthanteringen att vara så effektiva verktyg som de kan vara. Frågan om huruvida en adekvat skyddsnivå föreligger i tredje land ter sig närmast omöjlig att besvara i Internetsammanhang. Att i stället, som sker i praktiken, titta på de aktuella uppgifternas grad av “harmlöshet” är en grannlaga uppgift. Det som upplevs som harmlöst av en person kan ge precis motsatt reaktion hos en a n- nan. Till slut är det därför ändå enklare att regelmässigt be om samtycke, med den extra “byråkrati” detta kan föra med sig. I synnerhet ifråga om e-posthanteringen blir detta betungande.

Riksdagens ombudsmän (JO) (43) : Det är här som de stora pr o- blemen har uppkommit hos JO. Vår erfarenhet är att EG-direktivet och PUL på ett mycket besvärande och dessvärre effektivt sätt lägger hinder i vägen, när man vill utnyttja de tekniska landvi n-

96

cember förra året). Något som gör den nuvarande situationen än mer bisarr är att vissa JO-beslut (inte på något sätt anonymiser a- de) redan finns tillgängliga på Internet och detta fullständigt la g- ligt. Det rör sig om de beslut som publicerats i de senaste fem å r- gångarna av JO:s ämbetsberättelse, sammanlagt c:a 600 beslut av vilka flertalet är sådana som innehåller mer eller mindre skarp kritik mot namngivna befattningshavare, alltså “icke harmlösa” personuppgifter. Denna utläggning på Internet ombesörjs av rik s- dagen som en del av publiceringen av hela riksdagstrycket, allt med stöd av den särskilda lagen (1993:825) om personregister i riksdagens informationssystem rixlex.

Göteborgs stad (49) : Även när det gäller förbudet enligt 33 § PUL bör vi försöka verka för en reglering enligt missbruksmodellen. Ett alternativ skulle kunna vara att förbudet inskränks till att gälla enbart känsliga uppgifter samt uppgifter som är ägnade att utsätta någon för andras missaktning.

Statstjänstemannaförbundet (ST) (54) : Svårigheter när personer får omnämnas på hemsida eller i e-post.

Centrala studiestödsnämnden (CSN) (57) : CSN beviljar och utbetalar studiestöd till personer som studerar i tredje land. Vidare aviserar CSN personer bosatta i tredje land om återbetalning av studiestöd. Sådan överföring torde vara tillåten enligt 34 § PUL.

Ett förtydligande i t.ex. en registerlag är emellertid önskvärt.

Patent- och registreringsverket (58): Svåra intresseavvägningar återigen svårt när det gäller samtycket.

Lantmäteriverket (59) : Möjligheten att göra undantag i “exportregeln” bör vidgas. Undantagen som anges i Artikel 26 s y- nes förutsätta agerande från lagstiftaren. Möjligheter för perso n- uppgiftsansvariga att besluta undantag i vissa väl definierade situationer bör införas.

Finansinspektionen (61): Datainspektionen beslutade 1997-07-16 (DI dnr 1942-97) att Finansinspektionen inte fick lägga ut den dagliga ärendelistan från diariet på Internet. Finansinspektionen överklagade beslutet till regeringen som avslog överklagandet i beslut 1998-04-02 (Ju 97/2923). Finansinspektionen anser att den nya tekniken erbjuder en vidgad möjlighet att uppfylla den grundtanke som finns bakom den svenska öppenheten inom den

98

offentliga förvaltningen. Dessutom effektiviseras inspektionens arbete och en möjlighet skapas att snabbt göra informationen til l- gänglig även till avlägsna orter i landet.

Sveriges advokatsamfund (63): Publiceringen på Internet av Ad- vokatsamfundets matrikel, innehållande vad som torde utgöra fö r- hållandevis harmlösa uppgifter om namn, adress och verksa m- hetsinriktning, och vars publicering för närvarande faller inom ramen för ett av Datainspektionen meddelat tillstånd, torde i framtiden kräva medgivande av var och en av ledamöterna samt de biträdande juristerna. Med hänsyn till ändamålet med public e- ringen, marknadsföring och ökad tillgänglighet, framstår det som en överloppsgärning att kräva samtycke i detta fall.

Pliktverket (65): Dessa regler måste ses över. Resultaten av förb u- det ställt mot den tekniska utvecklingen kan annars bli absurt.

Svenska Inkassoföreningen (68) : I inkassoverksamhet föreligger behov att överföra personuppgifter till tredje land om fullgörelse söks i det tredje landet. Sådant överförande framstår som ytterst berättigat och bör inte kunna stoppas av reglerna om behandling av personuppgifter. Vidare kan det vara motiverat att överföra personuppgifter till tredje land för indrivning därifrån mot gäld e- närer i Sverige. Sådant överförande synes också vara fullt berätt i- gat och bör inte heller tillåtas hindras av bestämmelserna om b e- handling av personuppgifter.

Riksåklagaren (70) : Internet skapar en särskild komplikation här eftersom uppgifterna alltid blir tillgängliga i tredje land.

Telia Nära AB (72) : Samhällslivet blir alltmer internationaliserat och IT-utvecklingen leder till att nationsgränserna alltmer suddas ut, inte bara mellan länder inom EU utan även mellan länder inom EU och utanför EU. Att generellt förbjuda information att överf ö- ras till olika länder hämmar utvecklingen av Internet och IT och leder till praktiskt komplicerade konsekvenser. Det bör unders ö- kas om det finns möjligheter att begränsa detta förbud till endast vissa slags uppgifter och vissa angivna förutsättningar.

Riksarkivet (74): Två av Riksarkivets fyra huvudsakliga verksamhetsgrenar är att tillhandahålla och tillgängliggöra arkivmaterialet. En viktig kanal för att tillhandahålla och tillgängliggöra är idag Internet. Riksarkivet har genom ett regeringsbeslut (2000-04-19,

99

Ju 1997/1070 och 1998/4792) fått tillstånd att i personregistret NAD, som är tillgängligt över Internet, i vissa fall registrera bl.a. politisk uppfattning. NAD regleras av datalagen. Också ARKIS- systemet är delvis tillgängligt över Internet. För att arkivinstit u- tioner på ett rationellt sätt skall kunna ge forskare och allmänhet tillgång till kulturarvet har det stor betydelse att reglerna för vad som får läggas ut på Internet inte är för snäva och detaljerade. Det är självklart att den personliga integriteten skall skyddas. De up p- gifter som är aktuella att registrera i nu nämnda register är dock harmlösa och av sådan art att de kan överföras till tredje land/läggas ut på Internet utan att den personliga integriteten kränks. Det pågår för närvarande ett stort arbete i Europa så att en forskare skall kunna hitta arkivinformation oavsett i vilket land en handling finns. Detta arbete bör få utvecklas utan hinder av on ö- diga regler. Vid en utvärdering av EG-direktivet bör också dessa aspekter vägas in.

Svensk Handel (76): PUL:s syfte att hindra kränkning mot person på Internet uppfylls inte. Lagen är oproportionerligt utformad. En precisering av lagens tillämpningsområde till att den skall syfta till att skydda mot skadliga förfaranden av missbrukartyp, vilket innebär ett förenklat skydd för personuppgifter, är ett steg i rätt riktning men inte tillräckligt. Många lagar gäller även på Internet. Brottsbalkens 5 kapitel angående ärekränkning är tillämplig på i n- formation på Internet. Verksamhet på Internet är inte till sin k a- raktär skild från verksamhet i andra medier. Särreglering skapar förvirring och försvårar.

Stockholms Handelskammare (77): Detta avsnitt i direktivet avslöjar under vilken tid bestämmelserna kom till stånd. Det var u n- der samma period som personer som Bill Gates offentligt klargjorde att Internet är en fluga. Förvisso utgör behandling som sker via Internet endast en del av den export av uppgifter som sker i jämförelsen med export inom bank- och försäkringsbranschen. Behandling av personuppgifter blir emellertid allt mer en del av vardagen och fler och fler aktörer inom olika branscher utökar och anpassar sin Internetverksamhet. Överföringen till tredje land medför särskilda integritetsrisker för känslig information och bör således endast omfattas av ett samtyckeskrav i dessa fall. I övriga

100

fall bör strykningsrätten övervägas som alternativt instrument för skyddsobjektet att värna sina intressen. Vidare bör tilläggas att överföringsreglerna utgör ett direkt handelshinder genom att fö r- hindra utvecklingen av centrala förutsättningar inom inform a- tionsekonomin, inte minst nödvändigheten till kundkännedom som förutsättning för kommersiell överlevnad. Dessa regler bör därför tas bort eftersom de är baserade på förutsättningar som inte längre existerar.

Anonym (93): Information som ska lämnas kan betraktas som en stor administrativ börda vad gäller behandling av harmlösa up p- gifter.

Svenska kyrkan (96): Bestämmelserna är svårtolkade. Om de ti lllämpas alltför snävt finns risk för att möjligheten att använda t.ex. Svenska kyrkans hemsida som informationskanal inskränks. Det är väsentligt för en organisation som Svenska kyrkan, med så många enheter runt om i landet, att kunna fortsätta sprida info r- mation via Internet. Det kan också sägas vara en del i den öppe n- het som karaktäriserar Svenska kyrkan att t.ex. publicera namn och bilder på de demokratiskt valda Kyrkomötesombuden, up p- gifter om vilka som är ledamöter i de olika organen på nationell nivå, t.ex. Svenska kyrkans Överklagandenämnd etc. Idag löses detta med inhämtande av samtycke. Svenska kyrkan har dock ingen sådan rätt som t.ex. kommuner har enligt personuppgiftsfö r- ordningen att publicera sammanträdesprotokoll via nätet. Ytterl i- gare undantag för sådana harmlösa och i andra sammanhang “offentliga” uppgifter vore därför önskvärt.

Svenska Kommunförbundet (98) : Den ändring i 33 § PUL som trädde ikraft den 1 januari 1999 (1999:1210) och som innebar att det generella förbudet mot överförande av personuppgifter till tredje land lättades upp något har genom sin luddiga formulering och otydliga förarbetsuttalanden lett till stor osäkerhet om var gränserna går för ett lagligt spridande av information på Internet. Bestämmelsen bör förtydligas.

Tidningsutgivarna (99): I fråga om förbudet mot överföring till tredje land är den ändring som gjordes förvisso en förbättring, men illustrerar samtidigt omöjligheten för den enskilde att tillä m- pa lagen, då denne saknar varje möjlighet att avgöra “adekvat

101

skyddsnivå” i andra länder och likafullt genom t ex en Internetpublicering de facto gör ett material tillgängligt i alla länder.

Allmänna synpunkter

Länsförsäkringar Göteborg & Bohuslän (7) : Nej.

Peter Rydén (16): Innebär detta publicering av material om nu levande personer, via Internet?

Uppsala kommun (20): En mycket svår bestämmelse att följa - hur skall man kontrollera?

Uppsala universitet (34): Den ursprungliga lydelsen av 33 § PUL ställde till stora problem vid behandling av personuppgifter på Internet. Sedan överföringsförbudet i 33 § fr.o.m. den 1 januari 2000 modifierats så att det inte längre omfattar överföring om det tredje landet har en adekvat skyddsnivå för personuppgifterna, har behandlingen av personuppgifter på Internet förenklats. PUL a n- sluter dessutom numera närmare till motsvarande bestämmelse i EG-direktivet. Införandet av en missbruksmodell enligt Justiti e- departementets förslag skulle ytterligare underlätta en rationell användning av personuppgifterna på Internet.

Partille kommun (35): Lättnader i möjligheterna till Internetpubl i- cering av allmänna och offentliga handlingar som innehåller e n- bart harmlösa personuppgifter t.ex. sådana handlingar som ligger till grund för protokoll som man redan nu får publicera, skulle u n- derlätta insynen i kommunens handlingar och hanteringen av kommunala ärenden.

Läkemedelsindustriföreningen (LIF) (39) : Till följd av uppgi f- ternas art och ändamålet med behandlingen kan personuppgifter enligt den ordning som tillämpas internationellt överföras till tredje land, utan att mottagarlandets skyddsnivå undersöks i varje enskilt fall.

Svenska Fotografers Förbund (53) : Den sedan drygt ett år införda lättnaden i 33 § innebär bl.a. att personuppgiftens art, ändamålet med behandlingen och hur länge den pågår ska ligga till grund för bedömningen om skyddsnivån är adekvat eller inte. Om kriterie r- na innebär att fotografier som saknar kränkande inslag kan visas på Internet är bestämmelsen i dess nuvarande form till hjälp för

102

fotografen/bildbyrån. Innebär kriterierna däremot att inga fotogr a- fier kan visas som faller under lagens definition av känsliga personuppgifter är fotograf/bildbyrå utestängda från att utnyttja den nya och alltmer spridda kommunikationsformen.

Sjöfartsverket (83) : En intressant paragraf. Sjöfartsverket (inspe k- tionen) deltar i ett samarbete som kallas PARIS MOU. Det rör hamnstatskontroller. Flera länder deltar i samarbetet, även icke EU-länder. Inom PARIS MOU har man inrättat en databas som kallas SIRENAC. I denna databas redovisas uppgifter om fartyg som har kontrollerats vid en hamnstatskontroll. I vissa fall innehåller det även personuppgifter. Frågan om detta register förs i enlighet med direktivet utreds för närvarande och då främst med hänsyn till bestämmelsen om utlämnande av uppgifter till tredje land.

Anonym (94): Nej.

SWEDMA (Swedish Direct Marketing Association) (95): Gränsöverskridande reklam torde främst förekomma som direktmar k- nadsföring i bred bemärkelse. Trots detta är direktmarknadsföring ännu i första hand en nationell företeelse. Detta beror på för e- komsten av olika typer av handelshinder som på intet sätt endast har med behandling av personuppgifter att göra. Intresset för ökad direktmarknadsföring, inte minst gentemot tredje land, kommer dock att öka och problem kan komma att uppstå. Detta gäller sä r- skilt genom Internet tillgängliga personuppgifter. Safe-harbour principerna är ett bra steg för att minska riskerna för sådana pr o- blem.

Post och Telestyrelsen (PTS) (97): PTS har byggt upp en egen hemsida. Samtycke inhämtas vid varje tillfälle personuppgifter ska publiceras på hemsidan.

103

Anmälan

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om anmälan av behandlingar till tillsynsmyndigheten (Datainspektionen) (artikel 18-20, jämför 36-41 §§ PUL)

Positiv kritik

Tullverket (18): Inga problem.

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Inga kända problem.

Svenska Inkassoföreningen (68) : Föreningen har ingen invän d- ning mot att fysiska personer har möjlighet att anmäla felaktig b e- handling av personuppgifter till en statlig tillsynsmyndighet. Tvärtom kan ett sådant system motverka missbruk av personup p- gifter.

Sjöfartsverket (83) : Inga problem.

SWEDMA (Swedish Direct Marketing Association) (95): Den formella huvudregeln om anmälan till Datainspektionen av automatisk behandling skulle utan alla de undantag som getts, leda till påtagliga praktiska problem. När det gäller behandling för DM- ändamål torde nästan alltid något eller flera av medgivna unda n- tag från anmälningsskyldigheten göra sig gällande. Om inte annat räcker det att den personuppgiftsansvarige marknadsföraren b e- handlar personuppgifterna i enlighet med branschöverenskomme l- sen. Med nuvarande utformning av reglerna om anmälan till Da- tainspektionen medför de inga praktiska problem.

Negativ kritik

Uppsala kommun (20): Är det v e r k l i g e n meningen att b e- handlingen av varje enstaka personuppgift i löpande text skall anmälas till Datainspektionen? På särskild blankett? Tala om

många blanketter till Datainspektionen från Uppsala! Och inte u n- derlättar det om en kommun har ett personuppgiftsombud - då skall ju allt till denne!

Riksskatteverket (32): Bestämmelsen är betungande framför allt vid behandling av personuppgifter vid särskild skattekontroll. När nya registerförfattningar enligt prop. 2000/01:33 träder i kraft den 1 oktober 2001 för RSV, SKM och KFM, behöver anmälan inte längre göras.

Partille kommun (35): Fråga har uppkommit om 36 § PUL – hur bör man lämpligen organisera det med personuppgiftsombud (skall det finnas ett eller flera, skall ombudet vara internt eller externt, vilken kompetens är lämplig), vilka behandlingar skall pe r- sonuppgiftsombudet förteckna (hur allmänt kan man formulera ändamålet med behandlingen och vilka behandlingar omfattas då av detta ändamål).

Unite AB (44): Utlämning av uppgifter enligt artikel 19 f kan medföra inkörsport för obehörig att ta sig in i systemet.

Sveriges Försäkringsförbund (47) : Regeln om anmälningsskyldighet kan ses som onödig, eftersom den endast innebär en adm i- nistrativ börda för tillsynsmyndigheterna. Det är att märka att i princip all informationsbehandling idag sker med stöd av datorer och i stort sett alla näringsidkare torde ha personuppgifter registrerade.

Svenska Fotografers Förbund (53) : Det förefaller som om anmä l- ningsplikten endast är känd av ett fåtal. En stor mängd hemsidor där personuppgifter återges har inte anmälts till tillsynsmyndi g- heten.

Sveriges advokatsamfund (63): Datainspektionen har också i fråga om skyldigheten att göra anmälningar enligt 36 § första stycket PUL meddelat föreskrifter med betydelse för advokatverksamhet. I 5 § e DIFS 1999:3 görs ett undantag från skyldigheten att a n- mäla behandling av personuppgifter i advokatverksamhet som har betydelse för att utföra uppdrag i verksamheten eller för att ko n- trollera att en jävsituation inte föreligger, om den personuppgift s- ansvarige själv för en förteckning över behandlingarna.

Riksåklagaren (70) : Oklart vad som gäller. Vilken roll ska Datainspektionen ha. Med personuppgiftsombud vid samtliga myndig-

106

Ds 2001:27 Eventuella problem med EG-direktivet – Anmälan

heter får Datainspektionen ingen information om vilken behandling som pågår.

Telia Nära AB (72) : Genom regleringen i PUL och möjligheten att inrätta personuppgiftsombud, torde de formella mellanhavandena med Datainspektionen underlättas betydligt. Det är dock viktigt att samarbetet mellan Datainspektionen och personuppgiftsombuden etableras och stärks för att uppnå en sådan förenkling. Pe r- sonuppgiftsombudens roll som kontaktperson för de registrerade bör göras tydl igare.

Stockholms Handelskammare (77): Anmälningspliktiga behandlingar 24 är i dagsläget så vanliga att en fullständig åtlydnad av dessa regler förmodligen skulle överösa Datainspektionen med ärenden. Vad beträffar personuppgiftsombud har Handelskamm a- ren erfarit att flertalet större organisationer valt att inte införa ett sådant. Skälet till det är helt enkelt att man p.g.a. det omfattande antalet behandlingar istället väljer att anmäla direkt till Datai n- spektionen och därmed sparar en rejäl slant och kan passa på att ställa frågor direkt.

Svenska Bankföreningen (81) : Anmälningsskyldigheten gäller i princip för all behandling av personuppgifter eller serier av sådana behandlingar. Som anförts under fråga C 1 “Definitioner av olika begrepp” är det viktigt att det klargörs att med behandling avses här typer av behandlingar, som kan innefatta flera olika moment, och inte varje enskild åtgärd med personuppgifter. Föreningen a n- ser vidare att det behöver klargöras vem som är anmälningssky l- dig för behandlingar som utförs med personuppgifter i en databas som är gemensam för t.ex. flera bolag inom en koncern.

Anonym (88): Krångligt...

Anonym (93): Tillsynsarbetet underlättas för Datainspektionen om myndigheten inte behöver ansvara för anmälningar om behan d- lingar. Det innebär även för Datainspektionen kontakt med färre antal personer om varje myndighet har ett personuppgiftsombud. Myndighet som har personuppgiftsombud har dessutom själv möjlighet att ha kontroll på b ehandlingar.

Anonym (94): Nej ej för direktreklam men för övriga ändamål (o f- fentliga register, myndighetsregister).

107

Svenska kyrkan (96): För Svenska kyrkan på nationell nivå finns två personuppgiftsombud utsedda. På grund av detta och med de undantag som anges i 3-5 §§ personuppgiftsförordningen och i Datainspektionens föreskrifter torde Svenska kyrkan inte behöva anmäla de nuvarande behandlingarna till Datainspektionen. Be- stämmelserna är dock inte särskilt lättillgängliga eftersom unda n- tag från anmälningsskyldigheten har föreskrivits på flera olika n i- våer i det svenska regelsystemet.

Allmänna synpunkter

Länsförsäkringar Göteborg & Bohuslän (7) : Ja.

Svenska kyrkans Församlingsförbund (15) : Vi har personuppgiftsombud.

Post och Telestyrelsen (PTS) (97): PTS har hittills inte gjort någon anmälan till Datainspektionen om sådan behandling av perso n- uppgifter som omfattas av anmälningsskyldighet enligt 36 § PUL. PTS har inte utsett någon att vara personuppgiftsombud.

108

Upplysningar till allmänheten

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om upplysning till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten (Datainspektionen) (artikel 21.3, jämför 42 § PUL)

Positiv kritik

Tullverket (18): Inga problem. Uppsala kommun (20): OK!

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Sjöfartsverket (83) : Inga problem.

SWEDMA (Swedish Direct Marketing Association) (95): Regeln i 42 § PUL torde en bredare allmänhet knappast vara eller kunna antas bli närmare förtrogen med. Den praktiska betydelsen är dä r- för tveksam. Å andra sidan är enligt Swedmas mening, som framgått, öppenhet hos företagen gentemot de registrerade ett grun d- läggande inslag i en seriös affärsverksamhet. Swedma upplever inte några problem med denna regel.

Negativ kritik

Riksskatteverket (32): Det framstår som tveksamt om allmänheten inte har ett större behov av information än vad 42 § innefattar. För myndigheter kanske upplysningsskyldigheten i stället borde regleras i förvaltningslagen eller i 15 kap. sekretesslagen.

Svenska Fotografers Förbund (53) : Få fotografer/bildbyråer kan efterleva bestämmelsen.

Patent- och registreringsverket (58): PUL har ett skyndsamhetskrav som inte omnämns i direktivet.

Riksåklagaren (70) : Svårt att tillämpa.

Telia Nära AB (72) : Det är tveksamt om en sådan uppgiftsskyldi g- het egentligen tillför något om den aktuella behandlingen är av tillåten natur efter en återgång - helt eller delvis - till en mis s- bruksmodell.

Svenska Bankföreningen (81) : Skyldigheten för den personup p- giftsansvarige att till var och en som begär det lämna upplysningar om behandlingar är enligt Bankföreningens uppfattning omotiv e- rad. Denna skyldighet kan medföra ett betungande uppgiftslä m- nande till personer som inte har någon relation över huvud taget till den personuppgiftsansvarige. Enligt Bankföreningens uppfat t- ning måste det anses vara fullt tillräckligt dels att de registrerade kan få information om behandlingar som avser dem, dels att tillsynsmyndigheten kan begära att få tillgång till de personuppgifter som behandlas. Allmänhetens intresse kan tillgodoses inom ramen för tillsynsmyndighetens verksamhet.

Allmänna synpunkter

Länsförsäkringar Göteborg & Bohuslän (7) : Ja.

Pliktverket (65): Vid Pliktverket pågår ett arbete med att sanna n- ställa uppgifter om våra register och de behandlingar av perso n- uppgifter som förekommer vid verket. Arbetet är ännu inte slu t- fört, men några särskilda problem med att föra den här typen av förteckningar har vi inte upptäckt.

Svenska Inkassoföreningen (68) : Detta synes vara ett institut som en bredare allmänhet knappast kan förmodas vara eller bli närm a- re förtrogen med. Föreningen lutar åt att det är tillräckligt att d o- mar och beslut som utfärdas av domstolar och andra myndigheter i princip är offentliga. Någon särskild upplysningsordning för b e- handling av personuppgifter synes inte vara påkallad.

Svenska kyrkan (96): Eftersom det skall finnas en förteckning hos personuppgiftsombuden över flera av de behandlingar som också skall upplysas om, bör det vara möjligt att använda den förtec k- ningen för den upplysningsskyldighet som det här är fråga om. Svårigheten blir att identifiera de manuella behandlingar som kan förekomma så att upplysning också kan ges om dem.

110

Post och Telestyrelsen (PTS) (97): Någon begäran enligt artikel 21.3 har ännu inte framställts till PTS.

111

Tillsynsmyndighetens befogenheter

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om tillsynsmyndighetens (Datainspektionens) befogenheter (artikel 28 och 24, jämför 43-47 OCH 51 §§ PUL)

Positiv kritik

Tullverket (18): Inga problem. Uppsala kommun (20): OK!

Svenska Fotografers Förbund (53) : Förorsakar inga konkreta problem för fotografer.

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Pliktverket (65): Inga kända problem.

Svenska Inkassoföreningen (68) : Föreningen bedömer att Datai n- spektionens befogenheter är tillräckliga utan att vara alltför lång t- gående.

Sjöfartsverket (83) : Inga problem. Anonym (94): OK.

SWEDMA (Swedish Direct Marketing Association) (95): Swedma anser att Datainspektionens befogenheter väsentligen är balanserade och tillräckliga.

Svenska kyrkan (96): Inga konkreta problem.

Negativ kritik

Zenita Brandin (5): Borde vara större än vad den är i dag.

Ordval Journalistik (11): Datainspektionen må ha synpunkter på databaslagring - men ska inte bedöma vad som är konst, litteratur, journalistiskt verksamhet eller något annat som direkt beror på INNEHÅLLET.

BitoS (37): Tidigare har Datainspektionen haft stor frihet att tillämpa PUL. Det skall tillstyrkas att Datainspektionen mot bakgrund

av de befarade problemen har gjort ett mycket gott arbete. De vid lagens ikraftträdande befarade många konflikterna mellan vad som gäller för yttrande- och tryckfrihet i andra medier och vad som skulle följa av PUL på Internet har i stort kunnat undvikas. Det beror företrädesvis på att tjänstemännen på Datainspektionen varit synnerligen liberala med att tolka PUL och dess undantag för journalistisk verksamhet. Vissa mindre lyckade incidenter har dock redan varit föremål för prövning, såsom det uppmärksa m- made fallet med Bodil Lindqvist. Det största skälet till att bety d- ligt fler liknande fall inte blivit föremål för Datainspektionens prövning är att PUL:s övergångsbestämmelser gjort att datalagen reglerat många av de spridningar av personuppgifter som annars kunde bli föremål för Datainspektionens prövning.

Unite AB (44): Beslut av tillsynsmyndighet att förstöra/utplåna r e- gister bör väl inte utföras innan begärd prövning i domstol (ev. överklagat) gjorts. Registret må dock plomberas intill dom eller beslut.

Patent- och registreringsverket (58): Vilket lands lag ska egentligen gälla vid exempelvis tillämpningen av art. 28 p 6-7. Vidare saknas motsvarighet i PUL till art. 28 p 7. Hur överensstämmer art. 28 p 7 med yttrandefriheten ?

Telia Nära AB, Risk Management (72) : OK. Dock efterlyses en klarare reglering av förhållandet mellan Datainspektionens til l- synsroll och den tillsynsroll som ankommer på andra myndigheter, t.ex. PTS för tel eoperatörernas del.

Anonym (93): De vittgående befogenheterna är förmodligen nö d- vändiga för att Datainspektionen ska kunna utöva sin tillsyn. Dock kan rätten att bestämma “att dess beslut ska gälla även om det överklagas” eventuellt medföra obefogade åtgärder från anmäld myndighet.

Allmänna synpunkter

Länsförsäkringar Göteborg & Bohuslän (7) : Ja.

Peter Rydén (16): De har väl knappast befogenhet i privatäre nden.

114

Sanktioner

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om skadestånd och straff (artikel 22 och 23, jämför 48 och 49 §§ PUL).

Positiv kritik

Tullverket (18): Inga problem. Uppsala kommun (20): OK!

Svenska Fotografers Förbund (53) : Förorsakar inga konkreta problem för fotografer.

Centrala studiestödsnämnden (CSN) (57) : F.n. inga kända problem.

Svenska Inkassoföreningen (68) : Föreningen har ingen invän d- ning mot att missbruk av personuppgifter kan vara både skadeståndsgrundade och straffsanktionerade.

Sjöfartsverket (83) : Inga problem. Anonym (94): OK.

SWEDMA (Swedish Direct Marketing Association) (95): Den praktiska betydelsen av att missbruk av personuppgifter kan vara både skadeståndsgrundade och straffsanktionerade är sannolikt klart begränsad. Principiellt finns det dock ingen invändning mot en sådan reglering

Negativ kritik

Zenita Brandin (5): Ej tillräckligt, om någon person har tagit skada både vad det gäller som person eller ekonomiskt.

Unite AB (44): Otydligt om skada i artikel 23 även omfattar indirekt skada t.ex. beräknade förlorade affärsintäkter?

Patent- och registreringsverket (58): Enligt direktivet, det kan vara ett svagt skydd för en enskild att den registeransvarige kan undgå ansvar om han bevisar att han inte är ansvarig för den hä n-

delse som orsakade skadan. (Det kan nog vara svårt att som enskild visa på orsakssammanhang, exempelvis fallet med att inte få sökt jobb p.g.a. samkörning av olika uppgifter). I PUL talas det om jämkning av skadeståndet. Märkligt att inte kunna utkräva a n- svar för den gärning som omfattas av vitesföreläggandet. Detta betyder att den otillåtna behandlingen kan fortsätta ?

Pliktverket (65): Det är inte tillfredsställande att straffsanktioner a- de bestämmelser är svåra att tolka och tillämpa.

Riksåklagaren (70) : Enligt den bedömning som gjorts vid RÅ:s kansli är Datalagens regler om skadestånd förmånligare för den som åsamkats skada. Straffbestämmelserna är svårtillämpliga.

Stockholms Handelskammare (77): Införandet av ett ideellt i n- strument medför oanad problematik när inkorporerat i ett rege l- verk som saknar stöd härför. Det är mycket svårt att se hur värd e- ringen av ett intrång skall gå till, och tankarna för närmast till det amerikanska institutet punitiv damages som används för att a v- skräcka från ett visst beteende. Är detta den utveckling som vä n- tas?

Svenska Bankföreningen (81) : Enligt 49 § PUL räcker det för straffansvar att man av oaktsamhet t.ex. lämnar osanna uppgifter eller behandlar personuppgifter i strid med vissa bestämmelser. Under Bankföreningens och bankernas förberedelser för tilläm p- ningen av PUL har det klart framkommit att direktiven, lagen och förarbetena är svårtolkade på flera centrala punkter. Det gäller bl.a. hur omfattande information som skall lämnas till de registrerade och när anmälningsskyldighet föreligger. Det är inte rimligt att denna brist på klarhet i lagen skall kunna leda till att befattningshavare hos en personuppgiftsansvarig ställs till ansvar. Mot denna bakgrund bör kravet på straffbarhet skärpas till grov oak t- samhet.

Anonym (87): Var finns proportionerna, 2 års fängelse!!!

Svenska kyrkan (96): Problemet med skadeståndet är att det inte förutsätter någon form av oaktsamhet hos den personuppgiftsa n- svarige, vilket möjligen hade varit mer tilltalande mot bakgrund av de tolkningssvårigheter som lagen innebär. Särskilt nu när l a- gen är relativt ny och någon mer omfattande praxis ännu inte finns, är det höga krav som ställs på den personuppgiftsansvarige

116

att i alla avseenden veta lagens närmare innebörd. Även på denna punkt kan det uppstå problem med Svenska kyrkans struktur och den ansvarsfördelning som är tänkt att fungera inom Svenska ky r- kan när det gäller t.ex. medlemsregistret. Av skrivningar i ko m- mentarer till den svenska lagstiftningen tycks det som om en sådan ansvarsfördelning inte skall beaktas när det skall göras en skälighetsbedömning av ett skadeståndskrav. Om det reson e- manget håller kan det betyda att Svenska kyrkan på nationell nivå, dvs. Kyrkostyrelsen som det verkställande organet, kan bli skadeståndsskyldig för felaktigheter som har begåtts av en försa m- ling. Mot bakgrund av att det finns ca 2700 självständiga juridiska enheter inom Svenska kyrkan och de kontrollsvårigheter som det innebär kan det tyckas orimligt. Möjligen lindras problemet något om det kan anses föreligga åtminstone ett delat personuppgiftsa n- svar så att skadeståndsskyldigheten blir en solidarisk sådan.

Allmänna synpunkter

Anonym (93): Det kan i nuläget endast påpekas att det finns para l- lell funktioner, dels tillsyn och dels rättstillämpning. För de fall båda blir inblandade i ett ärende bör de inte avgöra ärende oa v- hängigt varandra.

117

Övrigt

Finns det några övriga konkreta problem med EG-direktivet som ni känner till?

Zenita Brandin (5): För många förbud som inte verkar befogade gör att folk inte tar dem på allvar. Vi har redan för många sådana lagar. Både som folk känner till och sådana som man inte har en aning om att man bryter mot så gott som dagligen.

Uppsala kommun (20): För mycket av ramlag, svårtolkad för den som vill vara laglydig men ändå vill/måste använda sig av den moderna tekniken - ytterligare konkreta problem utöver vad som redovisats ovan dyker troligen upp i framtiden.

Vägverket (36) : Utifrån den erfarenhet Vägverket har av intern PUL-undervisning och av frågeställningar från organisationen kan konstateras att PUL upplevs som mycket abstrakt, svårtillgänglig och - när det materiella klargörs - verklighetsfrämmande i flera avseenden. Eftersom lagen berör i princip alla och envar, är det ett problem att “avståndet” mellan lagen och tillämparna är så stort. Resultatet är svårigheter att förankra PUL i organisationen.

Svenska Fotografers Förbund (53) : Det största problemet – som inte bara berör fotografkåren – är det faktum att lagen uppställer ett antal krav som dels är okända för flertalet i samhället, dels är omöjliga att efterleva för många. Som exempel kan nämnas att t u- sentals lagbrott sker dagligen då fotografier distribueras via e- post. Internet är en kommunikationsform som allt fler använder, såväl enskilda personer som företag, organisationer, myndigheter m.fl. Allt tyder på att denna användning kommer att öka i framt i- den. Den lag som reglerar användningen måste därför anpassas till den verklighet som redan finns. Lagen måste ställa krav som känns rimliga och motiverade för användarna av den nya tekniken och den måste ge samma grundlagsskyddade informations- och yttrandefrihet till alla.

Lantmäteriverket (59) : Sekretesslagen 7 kap. 16 § kommer att få ökad betydelse och användning. Detta gäller i synnerhet om my n- digheterna kommer att bli skyldiga att lämna ut uppgifter i elek-

tronisk form. Exempel: I lagen (2000:224) om fastighetsregister anges att fastighetsinformation får nyttjas för vissa ändamål. Vid en begäran om utdrag med stöd av offentlighetsprincipen ur fa s- tighetsregistret i digital form kommer begäran att prövas mot de i lagen angivna ändamålen. I de fall nyttjandet inte ligger i linje med ändamålen med regleringen i TF eller i lagen om fastighet s- register/direktivet kan det förutskickas att utlämnande kommer att vägras.

Sveriges advokatsamfund (63): En fråga som inte direkt omfattas av enkäten men som från advokatsynpunkt ändå är av intresse är förhållandet mellan PUL och andra författningar (2 §), främst reglerna i rättsgångsbalken som på olika sätt skyddar förtroligh e- ten mellan advokaten och dennes klient (8 kap. 4 § om tystnadsplikt, frågeförbudet i 36 kap. 5 § etc.). Man kan tänka sig att en klient i ett vårdnadsmål lämnat en uppgift till en advokat om mo t- parten på ett sådant sätt att uppgiften i fråga hos advokaten o m- fattas av PUL. Advokaten skulle normalt inte – utan samtycke från klienten – kunna tvingas vittna om den uppgiften. Huruvida motparten har rätt att med stöd av PUL på annat sätt få ut uppgi f- ten kan möjl igen sättas i fråga.

Riksåklagaren (70) : Det har blivit oklart i vilken omfattning fö r- fattningsreglering krävs för känslig personuppgiftsbehandling. Enligt PUL förefaller det vara teoretiskt möjligt att ägna sig åt vilken känslig personuppgiftsbehandling som helst bara det finns personuppgiftsombud som angivit tydliga ändamål med behan d- lingen. Det kan väl inte ha varit lagstiftarens mening.

Telia Nära AB (72) : Det är rimligt att det är tillåtet att behandla sådana personuppgifter som måste anses “ofarliga”, samtidigt som det är svårt att dra en gräns mellan “ofarliga” personuppgifter som borde kunna få behandlas rent generellt och övriga.

Svenska kyrkan (96): Nej, inte för närvarande. Det övergripande problemet med EG-direktivet är att det kräver att en så pass ko m- plicerad tolkning innan det kan relateras till den praktiska verkligheten, att det blir nästan omöjligt att tillämpa.

120

Missbruksmodell

Föredras missbruksmodell

Anser ni att en sådan lagstiftning är att föredra framför EG- direktivet i nuvarande utformning?

Positiv kritik

Lunds universitet (2): Ja, definitivt!

Landsarkivet i Härnösand (3) : Det är mycket angeläget att få till stånd en lagstiftning som tar sikte på att hindra missbruk men som samtidigt snarast främjar användande av ny teknik i information s- utbytet på olika plan.

Zenita Brandin (5): Ja. Ordval Journalistik (11): Ja.

Tomas Ohlin (14): Departementets skiss är ett steg i rätt riktning, men flera sådana steg erfordras.

Svenska kyrkans Församlingsförbund (15) : Ja.

Peter Rydén (16): Helt klart en starkare utformning än tidigare. Svar: Ja.

Tullverket (18): Absolut JA.

SLU (19): Justitiedepartementets missbruksmodell är givetvis att föredra framför nuvarande utformning av EG-direktivet.

Uppsala kommun (20): Ja, det anser jag definitivt! Modellen är bra och PUL gäller ju då fortfarande för viss hantering.

Dracaena AB (21): Ja, den är att föredra.

Konkurrensverket (24): Verket är dock medvetet om att tillämpningen av PUL kommer att innebära svårigheter särskilt vid den typ av harmlös behandling som beskrivs i Justitiedepartementets promemoria 2000-09-12. Verket delar också den uppfattningen som kommer till uttryck i promemorian att reglerna måste fö r- enklas för att få acceptans och genomslag. Komplexiteten i b e- stämmelserna medför en uppenbar risk att skyddet mot skadliga förfaranden, vilket är det mest angelägna att upprätthålla, uteblir helt. Såvitt Konkurrensverket kan bedöma är Justitiedeparteme n- tets förslag till ändring att föredra framför det nuvarande EG- direktivet. Ändringsförslaget innebär också att den öppenhet mot medborgare, företag m.fl. som skall karaktärisera svensk statsfö r- valtning och som redovisas i handlingsprogrammet En förvaltning i demokratins tjänst inte motverkas mer än vad som behövs för att skydda enskilda personer från skadliga förfaranden.

SGU (26): Ja absolut. Acceptans och genomförande av nuvarande system kommer inte att kunna fungera.

Forskningsrådet för arbetsliv och socialvetenskap (27) : Ja.

Teleadress (28): TA ser positivt på ett eventuellt nytt EG-direktiv som är mer inriktat på att ingripa mot missbruk av personuppgifter än på att reglera själva hanteringen av personuppgifter.

Kriminalvårdsstyrelsen (29) : Styrelsen anser att en s.k. missbruksmodell är att föredra.

Landstinget Västernorrland (30) : Ja detta förslag är bra och u n- derlättar för verksamheten.

TCO (31): Ja definitivt. TCO är tillskyndare av att nuvarande reglering av bruket av personuppgifter ersätts med en missbruksmodell. De ändringar som föreslås är bra och går i rätt riktning. De borde dock även gälla personregister dvs. strukturerade samma n- ställningar - i annat fall riskerar alla sökmotorer hamna i en gr å- zon. Vidare ar det bra med ett rakt skaderekvisit för den registr e- rade och med ett utökat yttrandefrihetsskydd när informationen har ett allmänintresse.

Riksskatteverket (32): Ja.

Statskontoret (33): Statskontoret ställer sig bakom Justitiedepartementets initiativ.

122

Uppsala universitet (34): Uppsala universitet anser att en missbruksmodell av den typ som Justitiedepartementet föreslagit är att föredra framför EG-direktivet i nuvarande utformning.

Partille kommun (35): Genom en s.k. missbruksmodell torde man kunna tillgodose kravet på skydd mot kränkningar av enskilda personers integritet. Mot bakgrund av detta och då en missbruksmodell skulle innebära förenklingar i kommunernas hantering är denna att föredra.

Vägverket (36) : Ja, Vägverket anser absolut att en lagstiftning i enlighet med Justitiedepartementets skiss till missbruksmodell är att föredra framför EG-direktivet och PUL i sin nuvarande u t- formning. Vägverket har redan i sitt yttrande den 3 juli 1997 över Betänkandet Integritet, Offentlighet, Informationsteknik, SOU 1997:39, (dnr AL 90 B 97:4153, Ert dnr Ju97/1280) förordat en övergång till en reglering enligt den i betänkandet nämnda mis s- bruksmodellen.

BitoS (37): BitoS förordar starkt en missbruksmodell och har också aktivt arbetat för en sådan sedan 1998. BitoS genomförde exe m- pelvis 1998 under parollen “Rör inte mitt Internet” en Interne t- kampanj och samlade in 40 000 namnunderskrifter mot PUL:s nuvarande skrivning som innebär en hanteringsprincip. BitoS har arbetat för en missbruksmodell som innebär att en förbudskatalog skall finnas och att alla de åtgärder som inte är listade i förbud s- katalogen skall vara tillåtna.

Folkhälsoinstitutet (38) : Folkhälsoinstitutet välkomnar det förslag till omskrivning av EG-direktivet, enligt den missbruksmodell som Justitiedepartementet skissat på.

Rikspolisstyrelsen (40): Enligt Rikspolisstyrelsens uppfattning är Justitiedepartementets förslag till en missbruksmodell ett mycket bättre alternativ än EG-direktivets nuvarande utformning.

Arbetsmarknadsstyrelsen (41): Ja. AMS föreslog i sitt remissyt t- rande över SOU 1997:39 att den nya lagstiftningen borde gen e- rellt sett vara av typ missbruksmodell. AMS ställde sig bakom kommitténs önskan att diskussionen om en övergång till en mis s- bruksmodell skulle få fortsätta och tillstyrkte att arbetet skulle drivas vidare i lämpliga former med syfte att Sverige så snart

123

Umeå universitet (50) : Mot bakgrund av tillämpningsproblematiken i förevarande ordning tillstyrks förslaget att utforma lagen enligt traditionell missbrukarmodell.

Sveriges Industriförbund (52): Förbundet välkomnar regeringens initiativ till en förenklad reglering av dataskyddsdirektivet baserad på en missbruksmodell men anser att förslaget inte går tillräckligt långt.

Svenska Fotografers Förbund (53) : För fotograf/bildbyrå är det ibland av värde att kunna strukturera fotografier, nämligen de som återger kända personer och som t ex kan efterfrågas i samband med nyhetspubliceringar. För fotografen är det viktigt att kunna visa och distribuera fotografierna via Internet och e-post. Den föreslagna ändringen skulle alltså inte innebära någon lättnad i de fallen. Flertalet fotografier är idag inte strukturerade för att u n- derlätta sökning efter personuppgifter. Exempel på sökord kan vara sommar, fotboll, glädje, skola m.m. I dag utvecklas programvaror där man med beskrivning av ett fotografis motiv kan söka igenom en databas och få upp bilder ur olika sökordsgrupper. En ändring enligt den s.k. missbruksmodellen skulle med morgondagens teknik inte innebära en lättnad. En framkomlig väg i Sverige skulle kunna vara den modell som diskuterats i annat sammanhang, nämligen att medge alla hemsidor skydd enligt yttrandefrihetsgrundlagen genom registrering av den ansvarige.

Statstjänstemannaförbundet (ST) (54) : Ja.

Riksförsäkringsverket (55): Ja. Idag är regleringen så generellt utformad att det är svårt att förutse vilka behandlingar som o m- fattas av PUL. RFV ser förslaget som ett första steg i riktningen att göra regleringen i direktivet/PUL mer förutsägbar och lättare att tillämpa.

Centrala studiestödsnämnden (CSN) (57) : Ja.

Patent- och registreringsverket (58): Ja, en missbruksmodell är definitivt att föredra framför nuvarande ordning.

Lantmäteriverket (59) : Lantmäteriverket stöder idén att införa någon form av undantag i regelsystemet grundat på missbruk s- principen. Verket stöder i princip även förslaget.

Finansinspektionen (61): Ja.

125

Sveriges advokatsamfund (63): Såvitt kan bedömas på föreligga n- de underlag skulle en utformning av direktivet i enlighet med departementets förslag vara att föredra framför den nuvarande.

Pliktverket (65): Generellt är skissen att föredra framför EG- direktivets nuvarande lydelse.

Telia AB (66): Telia stöder en förenkling av regleringen av skyddet för personuppgifter och instämmer i bedömningen att regelverket måste koncentreras på det väsentliga, nämligen att skydda mot skadliga förfaranden av missbrukstyp. Departementet har föresl a- git en närmare angiven ny artikel 3 A, inriktad på att förhindra missbruk vid sådan vardaglig hantering av löpande text och ljud- och bilduppgifter som oftast är helt harmlös. Telia anser att en s å- dan lagstiftning är att föredra framför EG-direktivet i dess nuv a- rande utformning.

Svenska Inkassoföreningen (68) : Ja, föreningen förordar bestämt att behandling av personuppgifter regleras genom en allmänt hå l- len lagstiftning som förbjuder att personuppgifter missbrukas utan att i detalj reglera behandlingen. Det får sedan bli domstolarnas sak att avgöra vad som är missbruk. Lagstiftning är sedvanligt u t- formad efter sådan missbruksmodell, t.ex. lagstiftningen om brott mot person och egendom.

Riksåklagaren (70) : Ja.

Region Skåne (71) : En lagstiftning enligt missbruksmodellen är att föredra framför befintligt EG-direktiv.

Riksarkivet (74): Ja, Riksarkivet instämmer i analysen och tillstyrker förslaget. Det innebär betydande fördelar mot nuvarande r e- glering och en koncentration på det som är väsentligt. Genomförs detta förslag kommer direktivet att vinna i trovärdighet.

Landstingsförbundet (75) : Landstingsförbundet anser att en la g- stiftning enligt missbruksmodellen är att föredra framför EG- direktivet i nuvarande omfattning.

Stockholms Handelskammare (77): Förslaget är ett initiativ som kan leda till en liten förbättring inom en snar framtid.

Landsarkivet i Uppsala (78): Justitiedepartementets skiss till missbruksmodell är välkommen.

Svenska Bankföreningen (81) : Bankföreningen förordar att r e- gleringen av hanteringen av personuppgifter helt baseras på en

126

missbruksmodell, eftersom en sådan är mer flexibel och tillåter anpassning till den snabba tekniska utvecklingen för behandlingen av personuppgifter. Enligt vad som framkommit är stödet för en missbruksmodell begränsat inom övriga EU-länder. I avvaktan på en mer generell översyn välkomnar Bankföreningen därför d e- partementets förslag att införa missbruksmodellen när materialet inte strukturerats så att sökning av personuppgifter underlättas.

Sveriges Radio AB (82): Sveriges Radio anser att anser att en missbruksmodell är att föredra framför den typ av reglering som nu gäller.

Sjöfartsverket (83) : Ja, den är att föredra.

Företagarnas Riksorganisation (84) : Företagarnas Riksorganis a- tion anser att en sådan missbruksmodell som Justitiedepartementet föreslår är att föredra framför EG-direktivet i nuvarande utfor m- ning eftersom en sådan modell innebär en förenkling för företagen i deras hantering av personuppgifter.

Domstolsverket (85): DV anser att en missbruksmodell är att för e- dra framför nuvarande lagstiftning.

Anonym (93): Denna modell underlättar avsevärt i det dagliga a r- betet. Särskilt med tanke på att förmodligen alla arbetar med utan att reflektera över det. Eftersom det i de flesta fall är harmlösa uppgifter.

Anonym (94): Ja

SWEDMA (Swedish Direct Marketing Association) (95): Swedma förordar bestämt att behandling av personuppgifter regl e- ras genom en allmänt hållen lagstiftning som förbjuder att perso n- uppgifter missbrukas utan att i detalj reglera behandlingen. Det får sedan bli domstolarnas sak att avgöra vad som är missbruk. Det bakomliggande EU-direktivet samt PUL är förvisso inte utform a- de enligt en missbruksmodell. Datainspektionen har dock hittills huvudsakligen tillämpat PUL på ett sådant sätt. Detta är tillfred s- ställande men det vore en stor fördel, inte minst av pedagogiska skäl, om lagstiftningen gavs en sådan uppläggning och utfor m- ning.

Svenska kyrkan (96): Ja.

Post och Telestyrelsen (PTS) (97): PTS skulle välkomna en ändring av EG-direktivet enligt den skiss till missbruksmodell som

127

föreslås. PTS ser annars att det skulle kunna uppkomma ett antal tillämpningssvårigheter vid sådan behandling av personuppgifter som inte har strukturerats för att underlätta sökning.

Svenska Kommunförbundet (98) : Vi välkomnar en förenkling av reglerna och en snävare avgränsning av regelverket kring integr i- tetsskydd vid behandling av personuppgifter eftersom en stor del av den personuppgiftsbehandling som sker i samhället är harmlös och motiverar inte sådana begränsningar och krav som uppställs i EG-direktivet och i PUL.

Tidningsutgivarna (99): Tidningsutgivarna tillstyrker den skissade missbruksmodellen och anser att en sådan lagstiftning är att för e- dra framför EG-direktivet i sin nuvarande utformning.

Negativ kritik

Jonas Flygare (12): NEJ! Jag får idag ta emot mer än 3 M-byte oönskad e-post per år. Med den föreslagna modellen kommer den mängden att öka. Sätt er ner och räkna på vad det skulle kosta aktörer och medborgare i kronor och ören att inte få bukt med missbruket av allmänna e-postadresser!

Anonym (88): Mycket luddigare. Vem avgör om en text struktur e- ras på ett sätt eller inte? Idag kan man lätt hitta namn genom att söka på dem på sidan, alltså är alla hemsidor strukturerade så att man kan direkt hitta namn. Ingen av dem är att fördra då de b e- gränsar individen och kollektivets användning av medier likt I n- ternet.

Allmänna synpunkter

Hemsidan Potatis (13): Delvis. Det är bra att endast skadliga personuppgifter stoppas och regleras, men det är inte meningsfullt att skilja på strukturerade uppgifter och strukturerade. Alla uppgifter som kan överföras elektroniskt kan utan vidare struktureras om för alla upptänkliga ändamål. Fritextsökning är mycket snabbt och effektivt och tillhandahålls rent av gratis och automatiskt på WWW.

128

Telia Nära AB (72) : Se yttrande från Telia AB (44).

Svensk Handel (76): En precisering av lagens tillämpningsområde till att den skall syfta till att skydda mot skadliga förfaranden av missbrukartyp, vilket innebär ett förenklat skydd för personup p- gifter, är ett steg i rätt riktning men inte tillräckligt.

129

Andra synpunkter

Har ni några andra synpunkter på Justitiedepartementets skiss?

Ordval Journalistik (11): Om den korta sammanfattningen och modellskissen håller vad den lovar är det smått lysande!

Jonas Flygare (12): Den är som jag ser det tandlös och otillräc klig. Tomas Ohlin (14): Det är olämpligt att definiera en vissa typer av behandling genom att hänvisa till “sådana som strukturerats för sökning”. Sökning är relevant för de flesta typer av behandling, och passar därför dåligt som avgränsningsbegrepp. Bättre är att d i- rekt ange rena tillämpningsområden, som ord- och textbehan d- ling, Internet och e-post. Särskilt de senare två, som kännetecknas av att de är nära begreppet “kommunikation”, kan utgöra grund för en egen typ av personuppgiftsbehandling. Ett undantag för s å- dana “kommunikativa tillämpningar” kan komma att visa sig alltmer generellt viktigt, när kommunikation blir alltmer väsen t- ligt. Till detta kan man sedan lägga kompletterande undantag för en annan typ, nämligen ord- och textbehandling, men det utgör exempel på en från “kommunikation” artskild behandling. Det kan vara klokt att arbeta med olika typer av motiv för undantag för dessa två olika typer av behandlingar. Det kan krävas större

precision för den som rör “ord- och textbehandling”.

SLU (19): Justitiedepartementets missbruksmodell är långt ifrån tillräcklig för att råda bot på de allvarliga problem som EG- direktivet och PUL inneburit för den svenska offentlighetsprinc i- pen. Det är svårt att ge förslag på hur det nuvarande EG-direktivet kan förbättras . Sällan har en lagprodukt harmonierat så illa med den svenska rättsordningen i övrigt. Svårigheterna att efterfölja PUL kan i värsta fall bidra till att minska människors intresse av efterfölja andra lagar. Enligt SLU måste EG-direktivet ersättas med en modern lagprodukt som inte ifrågasätter centrala svenska grundlagsregler, viktiga för demokratin så som den är utformad i Sverige.

Dracaena AB (21): Dock bör man redan nu fundera på att ostrukt u- rerad text behandlas av sökmotorer och KM-verktyg (Knowledge

management) som i sin tur upprättar mer eller mindre regelrätta databaser, mer eller mindre automatiskt. En bra test för den som skriver förslaget är att titta på hur Lotus K-station (www.lotus.com - ett IBM företag) - Knowledge management verktyg fungerar med just “personrelation” till data oavsett orginalstrukturering. Det är dels viktigt att skydda integritet, dels att inte stänga möjligheter för utveckling. Där finns åtminstone ett bra testfall på var den applikationen skulle hamna.

TCO (31): Man bör beakta våra ovannämnda synpunkter. Det vore av stort värde om Sverige skulle kunna medverka till att direktivet “avbyråkratiseras” och att den revideras utifrån den svenska yt t- rande och öppenhetsaspekten.

Uppsala universitet (34): Det är viktigt att det, såsom anges i fö r- slaget, endast är personuppgifter som inte strukturerats för att u n- derlätta sökning av personuppgifter, som undantas från bestä m- melserna om själva hanteringen. Behandling av personuppgifter som strukturerats i register bör även fortsättningsvis omfattas av det nuvarande skyddet.

Vägverket (36) : Verket noterar att skissen innebär en uppdelning av lagstiftningen i en missbruksmodell (när uppgifterna inte är strukturerade för att underlätta sökning av personuppgifter) och en hanteringsmodell (annan behandling av personuppgifter). Det kan i och för sig ifrågasättas om en sådan “mix” underlättar förståe l- sen och tillämpningen av PUL som helhet. Man återvänder i viss mån till detta med “register”, även om begreppet inte nödvändig t- vis används i författningen. Är det otänkbart att skissa på ett fö r- slag som fullt ut bygger på en missbruksmodell? Verkets uppfattning är att en sådan modell skulle öka förståelsen för det grun d- läggande syftet med lagen och - med tiden och en utvecklad praxis - även underlätta tillämpningen. I sak har verket dock fö r- ståelse för den föreslagna skissen och ser den som ett betydande steg i rätt riktning.

BitoS (37): Justitiedepartementets skiss påminner i sin skrivning mycket om förtalslagstiftningen. Enligt BitoS mening bör istället för en förtalsliknande lagstiftning, som dessutom redan finns i l a- gen, en förbudskatalog skapas. I denna förbudskatalog skall listas vilka typer av behandling av personuppgifter som inte är tillåten.

132

Förbudskatalogen skall väga det skyddsvärda intresset av den pe r- sonliga integriteten mot yttrandefrihet och vikten av ett fungerande näringsliv på Internet.

Folkhälsoinstitutet (38) : Förslaget att ord- och textbehandling och användning av Internet och e-post undantas från EG-direktivet skulle innebära ett förenklat arbetssätt och gynna den fortsatta u t- vecklingen av Internet som huvudkanal för information och ko m- munikation.

Rikspolisstyrelsen (40): Rikspolisstyrelsen anser att Justitiedepartementets förslag till missbruksmodell är ett steg i rätt riktning men att det vore önskvärt med ytterligare förändringar i EG- direktivet i de hänseenden som har berörts i detta svar.

Arbetsmarknadsstyrelsen (41): Den är bra i nuvarande läge.

KLYS (45): Den missbruksmodell som departementet föreslår innebär att det endast är missbruk av personuppgifter i datorer som regleras i lag och att övrig användning lämnas fri utan i n- blandning från lagstiftningen. Enligt departementets förslag skall det bli tillåtet att sprida vissa typer av uppgifter om andra personer på nätet om det sker i löpande text, när materialet inte har strukturerats så att sökning av personuppgifter underlättas . Men gränsen mellan regelrätta register och löpande text existerar i realiteten inte idag. Webbläsare och ordbehandlingsprogram innehåller funktioner som gör det lätt att söka efter namn eller vilken uppgift som helst. Förslaget kan slå hårt mot europeiska sökmotorer. KLYS anser det orimligt att olika yttrandefrihet skall råda för texter jämfört med sammanställningar på nätet. KLYS vill inte avvisa behovet av en personuppgiftslag, men anser att det bakomliggande direktivet istället för att utsättas för mindre justeringar bör ses över från grunden.

Sveriges Försäkringsförbund (47) : När det gäller Justitiedepart e- mentets förslag till ändring av direktivet enligt missbruksmode l- len, som vi förespråkar i stort, bör förtydligas vad som avses med “inte har strukturerats” och vad som ska ses som “skada för den registrerade”. Införandet av ett nytt begrepp som “spridning” kan enligt vår mening medföra problem i förhållande till yttrandefr i- heten. Problemet med direktivet – som vi förstår det – torde gälla behandling över Internet. “Spridning” är dock ett vidare begrepp

133

som inte bara gäller Internet. Enligt direktivet kan spridning ske inom EU enligt en intresseavvägning så länge uppgifterna inte är känsliga. Frågan är om departementet nu föreslår en begränsning i detta hänseende.

Göteborgs stad (49) : Skissen behöver naturligtvis utvecklas. Des s- utom måste en analys göras vilket genomslag användandet av en missbruksmodell skall ges på andra artiklar i direktivet.

Sveriges Industriförbund (52): Förbundet anser att förslaget till ny artikel 3 A bör omformuleras för att uppnå sitt syfte. För att uppnå en riktig missbruksmodell krävs emellertid en mer genomgripande förändring än den som nu föreslås. Det är inte endast s.k. harmlösa behandlingar av personuppgifter i löpande text som b e- höver undantas. Nästan all databehandling bygger idag på en sammanställning av uppgifter från en eller flera samlingar av data. All text i ett elektroniskt dokument är således strukturerad på så sätt att sökning av element i texten, alltså även personuppgifter, ska underlättas. Detta gäller oavsett om sammanställningen ifråga utgör ett ordbehandlingsdokument eller viss samlad information om en person, t.ex. en skärmbild på banken över en persons til l- gångar. Idag finns en skillnad mellan dessa sammanställningar genom att man i ordbehandlingsdokumentet knappast utan mänsklig intervention kan koppla t.ex. omdömen eller egenskaper till ett personnamn som förekommer i texten. På sikt kommer dock denna skillnad att minska eller försvinna genom bruket av intelligenta agenter och liknande tekniker. Å andra sidan för e- kommer en mängd sammanställningar som inte är löpande text men som upplevs som naturliga av de som registrerats eftersom det är en del av den tjänst de kan erhålla. Behandling i registe r- form kan således också vara harmlös i den mening som regeringen avser. Den skillnad som görs i förslaget mellan register och l ö- pande text kan alltså tyckas naturlig men måste ifrågasättas som en strategi för en långsiktigt hållbar lagstiftning. Det anförda leder till att man inte bör göra en uppdelning i löpande text m.m. å ena sidan och andra behandlingar å den andra sidan. I stället bör en långsiktigt hållbar reglering ta sikte på vilket syfte en behandling har oavsett hur den sker och förbjuda sådana behandlingar som kan anses utgöra ett missbruk. Även om man väljer den föreslagna

134

lösningen måste man ta hänsyn till att text i elektroniska dok u- ment som sagt är strukturerad så att sökning av personuppgifter underlättas. Den föreslagna nya artikeln 3 A kan alltså tolkas som att artikeln inte skall tillämpas på löpande text, dvs. tvärtemot vad regeringen avser med förslaget. För att uppnå syftet att artikeln ska undanta löpande text måste enligt Industriförbundets uppfat t- ning tilläggas i direktivtexten att syftet med behandlingen inte får vara att åstadkomma en fristående sammanställning av perso n- uppgifter utan att skapa löpande text. Industriförbundet anser även att förslagen att den registrerade ska kunna befria den registera n- svarige från de flesta kraven på samtycke för andra ändamål än de ursprungliga är ett steg i rätt riktning. Det gör hanteringen lättare. Emellertid kvarstår det grundläggande problemet att regleringen är inriktad på hantering och inte på missbruk. På samma sätt är det naturligtvis positivt att göra ytterligare undantag från rätten till r e- gisterutdrag. Men även i detta sammanhang är det frågan om u n- dantag från en i grunden felaktig regleringsprincip. - Industrifö r- bundet delar regeringens uppfattning att det är olyckligt att frågan om tillämplig nationell rätt inte är klar. Emellertid är detta inte den enda artikel i direktivet som implementerats på olika sätt i medlemsstaterna. Idag tvingas företag som vill ha verksamhet i mer än ett EU-land att lägga ned stora kostnader på rättsutre d- ningar kring de olika medlemsstaternas dataskyddslagstiftningar. Enligt uppgift rör det sig om kostnader i storleksordningen en miljon kronor. För att uppnå ett verkligt fritt flöde av personup p- gifter skulle de nationella regleringarna behöva tillnärmas ytterl i- gare.

Centrala studiestödsnämnden (CSN) (57) : Det är absolut nö d- vändigt för en myndighet som CSN att kunna få göra undantag vid utskrift av registerutdrag.

Lantmäteriverket (59) : Artikel 3A Verket ser visst problem kring kriteriet “….när materialet inte har strukturerats så att sökning av personuppgifter underlättas…”. Genom denna begränsning ko m- mer nyttjandet av landskapsinformation i t.ex. geografiska informationssystem att falla utanför det angivna undantaget. Lantmät e- riverket anser att behandling av personuppgifter i Geografiska informationssystem (GIS) utgör behandling som bör hanteras i e n-

135

lighet med PUL. Behov finns dock att i vissa fall kunna mer smidigt kunna tillgodose samhället med information till GIS-system. Artikel 6 Lantmäteriverket stöder förslaget till ändringar i artikeln. Artikel 12.Lantmäteriverket stöder förslaget att begränsa den reg i- strerades rätt att i vissa fall erhålla registerutdrag (Jfr ovan punkt 16).

Sveriges advokatsamfund (63): Vad som framstår som oklart är framför allt vad som avses med ett allmänt intresse och vilka faktorer som skall tas med vid övervägandena av vad som utgör ett sådant.

Pliktverket (65): Det grundläggande problemet är att EG-direktivet var föråldrat redan när det kom. Lagstiftaren har inte hunnit med att på ett förnuftligt sätt göra avvägningarna mellan effektivitet och skyddet för den enskildes personliga integritet. Det förefaller vara en bättre idé att frångå låsningen vid tekniken och i stället skydda den enskilde genom en lagstiftning inriktad på förbud mot behandling av för syften som inte kan godtas. Det ligger förmo d- ligen utanför möjligheternas horisont att åstadkomma en sådan svängning nu, men en sådan missbruksmodell som skissats kan ändå vara ett sätt att balansera lagstiftningen mot verkligheten.

Telia AB (66): Telia AB vill framföra följande synpunkter på d e- partementets 'skiss' till missbruksmodell. En generell utgångspunkt i regleringen måste vara en balans mellan olika legitima intressen. Vad gäller personuppgifter är det främst integritetsintre s- set och yttrandefriheten som berörs. Skyddet för privatlivet såväl som yttrandefrihetsintressen måste väga lika tungt 'on-line' som 'off-line'. Telia vill framhålla att reglerna måste utformas på sätt att de tillgodoser såväl det legitima behovet av skydd för den pe r- sonliga integriteten som näringslivets och informationssamhällets behov av behandling av personuppgifter. Regleringen bör således naturligen utformas som ett förbud för sådan hantering av up p- gifter som utgör ett missbruk. En sådan förbudskatalog skulle medföra såväl skydd för den personliga integriteten som rättss ä- kerhet och förutsebarhet vad gäller vilken behandling som är ti lllåten. Härtill kan noteras följande gällande departementets förslag som sådant. Förslaget bygger på en skillnad i regelverket mellan 'register' och 'löpande text' och föreslår att endast sådan behan d-

136

Ds 2001:27 Missbruksmodell – Andra synpunkter

ling av personuppgifter som inte har strukturerats för att unde r- lätta sökning av personuppgifter skall undantas från bestämme l- serna om själva hanteringen av personuppgifter. Frågan som kan ställas är om en sådan uppdelning är tillräckligt teknikneutral. Text i elektroniska dokument är strukturerad så att sökning av personuppgifter underlättas. Den föreslagna nya artikeln 3 A kan alltså tolkas som att artikeln inte skall tillämpas på löpande text, dvs. tvärtemot vad departementet avser med förslaget. Regelän d- ringen bör tydligt ange att den vardagliga behandlingen av pe r- sonuppgifter i form av ljud- och bilduppgifter och i löpande text undantas från regleringen.

Svenska Inkassoföreningen (68) : Föreningen bedömer att depa r- tementets skiss inte är så långtgående som önskvärt är. I stället i n- nehåller den fortfarande många hanteringsregler och undanröjer möjligen inte risken att behandlingen av harmlösa personuppgifter fortfarande kommer att vara strängt reglerad. Föreningen anser att det bör övervägas om inte missbruksmodellen bör utformas på ett betydligt mer generellt sätt, ev. med någon anvisning om vad som skall anses utgöra missbruk.

Riksåklagaren (70) : Lagen bör klart ange i vilka fall författning s- reglering krävs. Straffrättens område bör beaktas även i direktivet (bör väl vara möjligt efter Amsterdamfördraget). Författningsr e- gleringen på detta område bör vara funktionsorienterad och inte som idag myndighetsorienterad. Det skapar merarbete och ett otydligt regelsystem. Alla myndigheter som deltar i den brottsutredande verksamheten borde ha ett regelverk.

Riksarkivet (74): Förslag till ändring av artikel 12. I både datal a- gen och PUL finns bestämmelser om att den enskilde har rätt att en gång om året kostnadsfritt få uppgift om han är registrerad, 10 § datalagen och 26 § PUL. Det föreligger dock, för arkivmyndi g- heter, en stor skillnad mellan dessa paragrafer. I 10 § tredje stycket datalagen görs ett undantag från skyldighet att lämna utdrag för uppgifter som tagits emot för förvaring av arkivmyndighet. Mo t- svarande undantag finns inte i PUL. I propositionen kommenteras inte denna fråga. Däremot tas den upp av Datalagskommittén i d e- ras betänkande Integritet Offentlighet Informationsteknik, SOU:1997:39 s. 393 f. I utredningen beskrivs att uppgiften att

137

söka igenom alla datoriserade personregister i Riksarkivet fö r- modligen skulle ta mer än ett år i anspråk även om all arkivpers o- nal hjälpte till. Problemet är detsamma för alla arkivmyndigheter. I bilaga finns en uppskattning av resursåtgången för registerutdrag vid Riksarkivet. Riksarkivet har idag ca 20 000 filer med personinformation på band vilket motsvarar en datamängd på ca 2 Ter a- byte. Avsikten är att verket även i fortsättningen skall ta emot a r- kivmaterial på elektroniska databärare. Mängden data hos verket kommer att öka kraftigt i framtiden om inte policyn för vad som skall tas emot radikalt ändras. Genomförs kravet på årligt regi s- terutdrag kan detta leda till att arkivmyndigheterna anskaffar kraftigare sökmotorer för att uppfylla kraven. Det bör noteras att även med avsevärt kraftigare sökmotorer innebär årliga registe r- utdrag om fler än enstaka personer begär det - en allvarlig stö r- ning av verksamheten. Riksarkivets främsta invändning mot kra f- tigare sökmotorer är dock att de strider mot grundtanken i dat a- skyddsdirektivet att värna om den enskildes integritet. Integriteten främjas inte av att myndigheterna avsevärt förbättrar de tekniska möjligheterna att kartlägga den enskilde. Förslaget till ändring av artikel 12 skulle lösa dessa problem. Som framgår av vad som nu redovisas innebär kravet på registerutdrag en omöjlig eller opr o- portionerligt stor ansträngning för arkivmyndigheter. Enligt fö r- slaget skulle myndigheterna i dessa fall således undantas från kr a- vet. En begäran om registerutdrag ur en databas med begränsat innehåll är en annan sak. En del sådana utdrag kommer att behöva lämnas också om förslaget genomförs. Riksarkivet tillstyrker fö r- slaget. Det innebär en tillfredsställande lösning på ett allvarligt problem.

Landstingsförbundet (75) : Landstingsförbundet är positivt till de förslag till förändringar som departementet anger, dvs. ny artikel 3 A samt artiklarna 6 och 12. Förbundet kan också se behov av fö r- tydliganden i artikel 4.

Stockholms Handelskammare (77): En förändring i linje med Handelskammarens yttrande är förmodligen tyvärr endast möjlig på längre sikt genom en omförhandling av direktivet. Den utvä r- dering som nu sker av kommissionen kan utgöra rätt tillfälle för att initiera en sådan förhandling. Om så inte bedöms vara fallet är

138

åtminstone en lättnad i samtyckeskravet enligt lagda förslag ett steg i rätt riktning. I detta avseende välkomnas förslaget. Av vad som framgått ovan ställer vi oss dock frågande till införandet av begreppet harmlösa personuppgifter och rekvisitet att uppgifterna också skall vara sammanställda eller annars presenterade på ett sådant sätt att sökning underlättas (registerbegreppet). Det mindre lyckade i denna konstruktion, som tidigare också nämnts, innebär att alla index med sökord som är grunden i sökmotorerna på I n- ternet även i fortsättningen inte kan bedömas som annat är illeg a- la. Själva missbruksbegreppet är också problematiskt i sig genom att avgränsningen kring vad som är ett faktiskt intrång i den pe r- sonliga integriteten och inte, är omöjlig att göra mot bakgrund av vår traditionella syn på integritetsreglering som avser att hindra att ens risker för intrång uppstår. Lagstiftningen har med andra ord inriktats mot riskerna och därmed ingripit på ett så tidigt stadium att någon praxis kring faktiska intrång inte erbjuds. Det IT- rättsliga observatoriets tidigare arbete har också påvisat detta g e- nom de omfattande diskussioner som alla slutat i frågan om vad som är skyddsobjektet och således var gränserna för vad som är missbruk skall dras. Vidare kan man också fråga sig vilka prakti s- ka förändringar detta förslag kommer att leda till, särskilt med b e- aktande av att Datainspektionen klargjort att man tänkt sig tillä m- pa lagen enligt missbruksprincip. Om med detta menas att endast grova intrång i integriteten skall vara otillåtna uppstår följaktligen frågan om direktivet överhuvudtaget fyller någon funktion, efte r- som det i praktiken naturligtvis är omöjligt att hämta vägledning från direktivet om dess tillämpningsprinciper utgår från helt andra (oklara) förutsättningar.

Svenska Bankföreningen (81) : Bankföreningen instämmer vidare i departementets förslag till ändring av artikel 6 innebärande att det införs en möjlighet för den registrerade att lämna samtycke till en behandling som är oförenlig med det ändamål för vilket uppgi f- terna samlades in. Bankföreningen ansluter sig också, som tidig a- re anförts, till departementets förslag till ändring av artikel 12 a n- gående den registrerades rätt till registerutdrag. Likaså välkomnar föreningen ett klargörande av vilken nationell rätt som är tilläm p- lig.

139

Domstolsverket (85): DV tillstyrker föreslagen skiss. DV vill emellertid framhålla följande vad gäller förslag till ny artikel 3 A. Direktivet gäller behandling som företas helt eller delvis på aut o- matiserad väg eller på manuella register. I direktivet ges en def i- nition på begreppet register och det förklaras där som varje stru k- turerad samling av personuppgifter som är tillgänglig enligt sä r- skilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Enligt den föreslagna lydelsen av 3 A skall endast vissa artiklar i direktivet tillämpas på automatisk behandling av personuppgifter i form av ljud- och bilduppgifter och i text när materialet inte har strukturerats så att sökning av personuppgifter underlättas. Frågan inställer sig om det är någon skillnad mellan ett register enligt direktivets lydelse och den behandling som inte omfattas av artikel 3 A. DV anser att det är viktigt att direktivet - och efterföljande lagändring - inte vållar tillämpningsproblem och vill därför peka på att det kan uppstå svårigheter att avgöra om det är någon skillnad mellan ett register och material som har strukt u- rerats så att sökning av personuppgifter underlättas. Skall det inte vara någon skillnad i dessa hänseenden bör det klart framgå av lagtext eller motsvarande.

SWEDMA (Swedish Direct Marketing Association) (95): De- partementets skiss får ses som ett första steg i önskvärd riktning men är på intet sätt så långtgående som vore önskvärt. Den inn e- håller fortfarande många hanteringsregler och undanröjer kna p- past ens risken att behandlingen av harmlösa personuppgifter for t- farande kommer att vara strängt reglerad. Det bör övervägas om inte missbruksmodellen bör utformas på ett betydligt mer gen e- rellt sätt, t.ex. med någon eller några generella regler kanske kompletterade med exemplifieringar av vad som skall anses utgöra missbruk.

Tidningsutgivarna (99): Skrivningen i artikel 3 A kan dock öve r- vägas vad gäller uttrycket “inte har strukturerats…”. Det torde inte krävas mycket för att en strukturering som underlättar sö k- ning av personuppgifter skall anses ha ägt rum och risken är s å- lunda att bestämmelsen blir ett slag i luften. En alternativ skrivning skulle kunna vara “…”inte har strukturerats så att sökning av

140

Ändringar av EG-direktivet

Har ni i övrigt några synpunkter på hur EG-direktivet om perso n- uppgifter bör ändras?

Lunds universitet (2): Forskningen, som i mycket har en särstäl l- ning i direktivet, bör även regleras särskilt med avseende på öve r- föringsförbudet till tredje land. Att som idag hos tillsynsmyndi g- heten kräva undantag i varje enskilt fall för utlandsbearbearbetningar inom forskningen är vettlös byråkrati. Forskningsetisk kommitté borde kunna ge sin tillåtelse även till detta, liksom man i dag har att godkänna behandling av känsliga personuppgifter utan samtycke.

Jonas Flygare (12): Det bör stärkas med avseende på missbruk av enkla uppgifter i kommersiellt syfte.

Hemsidan Potatis (13): Större vikt måste läggas på individens egna ansvar att inte offentliggöra sådant han inte vill få spritt. Det är lättare att stämma i bäcken än i ån, och Internet liknar mer Amazonflodens delta än en å.

Tomas Ohlin (14): På lång sikt bör man bygga in kontroller i själva meddelandena, i stället för att som idag söka tillämpa bestämme l- ser i förväg.

Dracaena AB (21): Skulle gärna se att leverantörer av programv a- ra, verktyg var tvungna att mycket enkelt deklarera vilka risker användning av deras verktyg medför i relation till direktivet (eller PUL). Dvs. det vore säkerligen både enklare för lagstiftaren och för användarna om en sådan (åtminstone frivillig) deklaration gjordes direkt på produkten. Det skulle säkerligen göra att många företag inte hamnade ut i gråzoner utan att veta om det. Levera n-

tören av mjukvara har troligen mycket stor chans att åtminstone på en enkel skala klassa riskerna/problemen.

Riksskatteverket (32): Om behandlingen framgår av författning bör undantag kunna göras från skyldigheten att utan anmodan lämna information även då uppgifter, i samband med myndighet s- utövning, inhämtas direkt från den registrerade. Begreppet pe r- sonuppgifter bör inte ges en så vid definition. Direktivet och PUL bör ändras om myndigheter inte kan föra rättsfallssamlingar på ADB-medium utan att komma i konflikt med direktivets och PUL:s bestämmelser.

Uppsala universitet (34): Vad gäller Justitiedepartementets förslag till mindre justeringar i vissa artiklar i EG-direktivet tillstyrker universitet dessa med en reservation rörande den föreslagna än d- ringen av artikel 6. Det kan ifrågasättas om det finns skäl för att införa en möjlighet för den registrerade att samtycka till att pe r- sonuppgifter inte skall vara adekvata, relevanta och riktiga (artikel 6 punkterna c och d).

BitoS (37): Förutom nämnda förbudskatalog bör ytterligare skydd skapas genom att branschen ta fram riktlinjer som närmare bestämmer hur personuppgiftsskyddet skall utformas. Respektive bransch kan då skärpa skyddet för den personliga integriteten u t- ifrån de specifika förutsättningar som gäller för den branschen. Swedish Direct Marketing Association (SWEDMA) har presenterat sina nya branschregler för behandling av personuppgifter som också granskats av Datainspektionen. Dessa regler präglas av stor respekt för konsumenternas personliga integritet och innehåller detaljerade bestämmelser för hur näringsidkare skall förfara för att inte kränka den personliga integriteten. Även inom BitoS pågår arbete med dessa frågor inom arbetsgruppen för marknadsföring. Inom övriga delar av näringslivet pågår intensivt arbete med att ta fram förslag till hur företagen bör agera vid affärsverksamhet i onlinemiljö. Det svenska näringslivet tar således sitt ansvar och ytterligare lagstiftningsåtgärder utöver missbruksmodellen är mot denna bakgrund obehövliga.

Riksdagens ombudsmän (JO) (43) : Som framgått anser jag att de värsta olägenheterna med EG-direktivet och PUL sammanhänger med dessa regelsystems svårförenlighet (eller oförenlighet) med

144

offentlighetsprincipen. Enligt min mening borde man överväga att införa en klar och entydig undantagsregel i PUL av innebörd att PUL inte är tillämplig på sådan behandling av personuppgifter som inträffar när allmänna och offentliga handlingar förmedlas, sprids eller görs allmänt tillgängliga.

Journalistförbundet (46) : De förslag till ändringar i direktivet som förs fram i Justitiedepartementets skiss, är välkomna steg i rätt riktning, men det övergripande målet måste vara att ett helt nytt direktiv utarbetas.

Svenska Fotografers Förbund (53) : Direktivet bör få en från grunden ordentlig översyn som medger att medlemsländernas medborgare får ett lagligt skydd för yttrandefriheten via Internet.

Statstjänstemannaförbundet (ST) (54) : Helst bör EG-direktivet upphävas. Eftersom detta knappast kommer att ske stödjer vi missbruksmodellen.

Patent- och registreringsverket (58): Det är viktigt att våra grundlagsstadgade rättigheter, både vad avser rätten till personlig integritet och vår yttrandefrihet inte åsidosätts genom EG- direktivet utan att man uppmärksammar dessa rättigheter vid en eventuell ändring.

Finansinspektionen (61): Problemet med att inte kunna vara en öppen myndighet med hjälp av Internet(jfr Statskontorets rapport 2000:21 24-timmarsmyndighet) kvarstår.

Sveriges advokatsamfund (63): De viktigaste problem som samfundet kunnat spåra rörande i första hand PUL framgår av det f ö- regående. I vilken mån problemen är hänförliga till direktivet eller det svenska genomförandet av det kan självfallet diskuteras. Det kan möjligen hävdas att den svenske lagstiftaren inte gjort til l- räckliga ansträngningar att på vissa problem hitta lösningar som direktivet faktiskt medger. Ur advokatsynpunkt framstår det emellertid som angeläget att det måste vara klart att man i en rättslig angelägenhet skall kunna anlita ett ombud som inte på grund av regler till skydd för persondata måste underrätta en bl i- vande motpart om att uppgifter om denne registreras, vare sig genom att kräva samtycke eller på annat sätt, och detta oavsett om anspråket förväntas bli prövat i domstol eller rör en avtalsfö r- handling eller liknande.

145

Pliktverket (65): Sekretesslagen 7 kap. 16 § behöver förtydligas, eller EG-direktivets inverkan på den svenska offentlighetsprincipen bör redas ut en gång för alla. Skyldigheten att självmant lä m- na information till den registrerade behöver ses över.

Telia AB (66): Telia vill framhålla att de under punkten E. behandlade föreslagna ändringarna av gällande direktiv bygger på den hanteringsmodell som departementet föreslagit skall ersättas med en missbruksmodell. En ändring i direktivet på dessa punkter skulle således inte bidra till att lösa det grundläggande problemet med nuvarande regelverk. Departementet har föreslagit att avv i- kelser från det ändamål för vilket uppgifterna samlats bör kunna ske under förutsättning av den registrerades samtycke. Telia stödjer förslaget. Departementet har föreslagit att det införs ett undantag i artikel 13.2 från den registrerades rätt enligt artikel 12 att på begäran få ett registerutdrag, nämligen i de fall det visar sig omöjligt eller innebär en oproportionerligt stor ansträngning för den registeransvarige. Telia stödjer förslaget som dock inte bör vara inskränkt till att gälla 'särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskning s- ändamål'. Departementet har pekat på att artikel 4 inte impleme n- terats på ett harmoniserat sätt och visat på behovet av att ett kla r- görande sker. Telia delar bedömningen av att det finns ett behov av harmonisering av artikel 4. Telia efterlyser också, till förmån för informationssamhället och den inre marknaden, ett behov av harmonisering av regelverket i sin helhet.

Svenska Inkassoföreningen (68) : Föreningen har ovan angivit sina synpunkter om tillämpningen av PUL i inkassoverksamhet och de behov av ändrad lagstiftning som föreligger ur inkassoföretagens synvinkel.

Stockholms Handelskammare (77): Skyddet för den personliga integriteten är viktigt, mycket viktigt. Handelskammaren bedriver verksamhet för att hjälpa “personuppgiftsansvariga” att hantera sin information på ett för skyddsobjektet och för ett stärkande kundkapital adekvat sätt. Häri inbegrips initiativ till självreglering och riktlinjer för vad som inom Internetverksamhet bör utgöra god sed. De missriktade begreppen och ansatsen att genom betungande regler styra varje detalj, för varje indirekta personuppgift, och

146

för varje typ av åtgärd, ställer omotiverade krav med hänsyn till att skyddsintresset (och därmed också lagens syfte) inte kan def i- nieras närmare. Handelskammaren inser svårigheterna som följer i arbetet med EG-direktiven, inte minst inom detta rättsområde där kulturella skillnader och därmed synpunkterna på konfliktfokus offentlighet och integritet varierar starkt. Det har från flera håll framkommit indikationer på att övriga medlemsstater har liten e l- ler ibland ingen förståelse för den kritik mot regelverket som ri k- tas från svenskt håll. Skälen till det kan vara flera. Ett av dem kan antas vara att Sverige tillhör de länder som först implementerade direktivet i sin helhet och därför också uppmärksammat många av de svårigheter som följt i spåren härav (och som kommenterats ovan). Sverige har också en förhållandevis framskjuten position inom såväl datalagstiftningsområdet (genom införandet av en av världens första datalag 1973) som användningen av modern i n- formationsteknik. Nya flöden av kundinformation har skapat nya marknader. Regelverkets syn på försäljning av personuppgifter, inom såväl offentlig som privat marknad, har i övergången från Datalagens 21 § till direktivets regler härom inte blivit tydligare. Frågan har paradoxalt nog blivit allt vanligare och viktigare i praktiken men allt svårare att uttolka i regelverket. Handelskammaren vill därför utöver vad som ovan angivits se ett förtydliga n- de vad gäller försäljning av personuppgifter, dvs. i vilken omfat t- ning och av vilka skäl utlämning (mot eller utan ersättning) till annan är att betrakta som ny behandling eller inte.

Sjöfartsverket (83) : Det är önskvärt med en lagstiftning som är enklare att tillämpa, som t.ex. datalagen.

Domstolsverket (85): DV vill framhålla följande. När allt fler up p- gifter samlas i datasystem kan det innebära problem ur integritetssynpunkt. Med automatisk databehandling skapas det t.ex. mö j- lighet att söka fram uppgifter. Av den s.k. likställighetsprincipen följer att allmänheten i princip skall ha tillgång till information i samma utsträckning som den är tillgänglig för myndigheten. Detta innebär att de sökningar och sammanställningar som myndigheter kan göra med rutinbetonade åtgärder också utgör allmänna han d- lingar. Många uppgifter i domstolarna omfattas inte av sekretess över huvud taget. För att domstolarna skall kunna bedriva en bra

147

och effektiv verksamhet är det viktigt att domstolarna snabbt och enkelt kan utnyttja uppgifter i sina system. Det är angeläget att domstolarna får söka fram uppgifter som de behöver i sin ver k- samhet. Detta i sig innebär inte några problem vad avser den pe r- sonliga integriteten. En domstol kan vilja ha exempelvis en sammanställning av sina domar i rattfyllerimål för att få fram p å- följdspraxis i dessa mål. En sammanställning som sker i en do m- stol för ett sådant ändamål kan inte anses vara integritetskränka n- de. Om en sådan sammanställning skall lämnas ut till allmänheten kan det däremot vara mer betänkligt ur integritetssynpunkt. Det är enligt DV:s uppfattning nödvändigt att se över regelsystemet i dessa delar och då särskilt sekretessreglerna, så att det skapas möjlighet för domstolarna att göra de sökningar och sammanstäl l- ningar som verksamheten har behov av. Det måste även vara möjligt att elektroniskt föra över personuppgifter från polis och åklagare till domstolarna.

Anonym (88): Avskaffa det. Svårare är det inte. Vi har yttrande- och åsiktsfrihet i Sverige. Varför stifta lagar som begrä nsar detta?

Anonym (94): Missbruksmodellen bör även gälla för direktreklam.

SWEDMA (Swedish Direct Marketing Association) (95): Swedma inser svårigheten eller kanske snarare omöjligheten av att i EU få framgång med förslag om en mera allmän ändring av d a- taskyddsdirektivet mot en missbruksmodell. Sverige bör dock verka i en sådan riktning och – vid implementeringen i sin nationella lagstiftning så långt möjligt utnyttja de möjligheter att u t- forma lagstiftningen enligt en missbruksmodell som finns.

148

Bilaga 1 – De svarande

1.Lars Aronsson

2.Lunds universitet

3.Landsarkivet i Härnösand

4.Anders Andersson

5.Zenita Brandin

6.Mandamus Fastigheter

7.Länsförsäkringar Göteborg och Bohuslän

8.Lantbrukare Linden

9.Lärarnas Riksförbund

10.Sveriges Akademikers Centralorganisation (SACO)

11.Ordval Journalistik

12.Jonas Flygare

13.Hemsidan Potatis

14.Tomas Ohlin

15.Svenska kyrkans Församlingsförbund

16.Peter Rydén

17.Martin Pettersson

18.Tullverket

19.Sveriges Lantbruksuniversitet (SLU)

20.Uppsala kommun

21.Dracaena AB

22.Polismyndigheten i Blekinge län

23.Chalmers Tekniska Högskola AB

24.Konkurrensverket

25.Näringslivets telekommitté (NTK)

26.Sverige Geologiska Undersökning (SGU)

62.Telia Mobile AB

63.Sveriges advokatsamfund

64.Forskningsrådet för miljö, areella näringar och samhällsby g- gande

65.Pliktverket

66.Telia AB

67.Statistiska Centralbyrån

68.Svenska Inkassofören ingen

69.Socialstyrelsens arkivgrupp

70.Riksåklagaren

71.Region Skåne

72.Telia Nära AB

73.Utgår

74.Riksarkivet

75.Landstingsförbundet

76.Svensk Handel

77.Stockholms Handelskammare

78.Landsarkivet i Uppsala

79.Utgår

80.Utgår

81.Svenska Bankföre ningen

82.Sveriges Radio AB

83.Sjöfartsverket

84.Företagarnas Riksorganisation

85.Domstolverket (DV)

86.Svenska Folket

87.Anonym

88.Anonym

89.Anonym

90.Michael Meitzner

91.Anonym

92.Anonym

93.Anonym

94.Anonym

95.Swedish Direct Marketing Association (SWEDMA)

96.Svenska kyrkan

151

Bilaga 2 – Enkäten

Offentlig utvärdering av EG-direktivet om personuppgifter

EG-direktivet om personuppgifter har genomförts i Sverige genom bl.a. personuppgiftslagen (SFS 1998:204, PUL). Regeringen och riksdagen vill att EG-direktivet skrivs om så att det blir möjligt med en lagstiftning som är mer inriktad på att ingripa mot missbruk av personuppgifter än på att reglera själva hanteringen av personup p- gifter. Representanter från samtliga politiska partier som är repr e- senterade i riksdagen ingår i en samrådsgrupp med statssekreteraren Hans-Eric Holmqvist, Justitiedepartementet, som sammankallande. Inom Justitiedepartementet har det gjorts en skiss till en sådan lagstiftningsmodell mot missbruk av personuppgifter (missbruksmodell). EG-kommissionen skall senast i oktober 2001 komma med en rapport om genomförandet av EG-direktivet, eventuellt försedd med lämpliga ändringsförslag.

Justitiedepartementet vill nu inför EG-kommissionens rapport ha in underlag om vilka konkreta problem som EG-direktivet – på vilket personuppgiftslagen bygger – kan ha orsakat och synpunkter på hur EG-direktivet skulle kunna skrivas om för att undvika eventuella problem. Justitiedepartementet inbjuder därför alla intresserade att senast fredagen den 30 mars 2001 komma in med svar på nedanstående enkät.

Svaren sänds till Birgit Johansson, Justitiedepartementet, 103 33 STOCKHOLM, tfn 08-405 4643, fax 08-405 4638, e-post birgit.johansson@justice.ministry.se.

Enkäten kan också besvaras elektroniskt via Justitiedepartementets webbplats på webbadressen http://www.justitie. regeringen.se/ _enkat/index.htm.

Underlag

1.EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för e n- skilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter)

2.Personuppgiftslagen (1998:204) (se också Justitiedepartementets information om lagen)

3.Justitiedepartementets skiss till en missbruksmodell

På Justitiedepartementets webbplats på webbadressen http://www.justitie.regeringen.se/_enkat/index.htm finns det länkar till detta material. Den som inte har tillgång till Internet kan vända sig till Birgit Johansson för att få mat erialet.

Enkät

A.Kontaktuppgifter (frivilliga uppgifter)

Företag eller motsvarande, kontaktperson, kontaktuppgifter (adress, tfn, fax och e-post). De personuppgifter ni skriver in här kommer Justitiedepartementet/Regeringskansliet att behandla för redovi s- ning av och kontakter med anledning av denna enkät.

B.Bakgrundsuppgifter

1.Beskriv kortfattat den behandling av personuppgifter som ni ägnar er åt.

2.Ange om behandlingen i dag regleras av datalagen eller personuppgiftslagen.

3.I hur stor omfattning behandlar ni personuppgifter? (Ange t.ex. antal registrerade, storleken på databasen eller dylikt.)

154

C.Eventuella problem med EG-direktivet

Vilka konkreta problem känner ni till rörande bestämmelserna i EG-direktivet om

1.definitioner av olika begrepp som används, t.ex. personuppgift och samtycke (artikel 2, jämför 3 § PUL)

2.tillämpningsområdet, inklusive undantaget för det som är grundlagsskyddat och för privat behandling (artikel 3, 4 och 9, jämför 4–8 §§ PUL)

3.de grundläggande kraven på behandling av personup pgifter (artikel 6, jämför 9 § PUL)

4.de fall där behandling av personuppgifter i allmänhet är till åten (artikel 7 och 14, jämför 10–12 §§ PUL)

5.när känsliga personuppgifter och personuppgifter om lagöve r- trädelser m.m. respektive personnummer får behandlas (artikel 8, jämför 13–22 §§ PUL)

6.information som självmant skall lämnas till den reg istrerade (artikel 10, 11 och 13, jämför 23–25 och 27 §§ PUL)

7.information (s.k. registerutdrag) som skall lämnas när den r e- gistrerade ansöker om det (artikel 12 a och 13, jämför 26 och 27 §§ PUL)

8.rättelse av personuppgifter (artikel 12 b och c, jämför 28 § PUL)

9.automatiserade beslut (artikel 15 och 12 a tredje strecksatsen, jämför 29 § PUL)

10.säkerheten vid behandling av personuppgifter (artikel 16 och 17, jämför 30–32 §§ PUL)

11.överföring av personuppgifter till tredje land, dvs. utanför EU och EES (artikel 25, 26 och 31, jämför 33–35 §§ PUL)

12.anmälan av behandlingar till tillsynsmyndigheten (Datainspektionen) (artikel 18–20, jämför 36–41 §§ PUL)

13.upplysning till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten (Datainspektionen) (artikel 21.3, jämför 42 § PUL)

14.tillsynsmyndigheten (Datainspektionens) befogenheter (artikel 28 och 24, jämför 43–47 och 51 §§ PUL)

15.skadestånd och straff (artikel 22 och 23, jämför 48 och 49 §§ PUL).

155

16.Finns det övriga konkreta problem med EG-direkti vet som ni känner till?

D. Missbruksmodell

Justitiedepartementets skiss till en missbruksmodell går ut på i h u- vudsak följande.

Behandling av personuppgifter som inte har strukturerats för att underlätta sökning av personuppgifter, t.ex. vid ord- och textb e- handling och användning av Internet och e-post, undantas från bestämmelserna om själva hanteringen av personuppgifter. S å- dan behandling är förbjuden bara om spridning av personup p- gifterna är till skada för den registrerade. Spridningen skall dock alltid vara tillåten, om den som sprider uppgifterna är skyldig att uttala sig eller det annars med hänsyn till ett allmänt intresse är försvarligt att personuppgifterna sprids. Bara behandling av pe r- sonuppgifter i regelrätta databaser eller andra uppgiftssamlingar som strukturerats för att underlätta sökning av personuppgifter, t.ex. myndigheters, försäkringsbolags och bankers register med personuppgifter, omfattas alltså av bestämmelser om själva hanteringen av personuppgifter.

1.Anser ni att en sådan lagstiftning är att föredra framför EG- direktivet i nuvarande utformning?

2.Har ni några andra synpunkter på Justitiedeparteme ntets skiss?

E.Ändringar av EG-direktivet

Har ni i övrigt några synpunkter på hur EG-direktivet om perso n- uppgifter bör ändras?

Sammanställning av enkätsvaren

Enkätsvaren kommer att sammanställas under våren 2001. Vill ni ha en sammanställning av enkätsvaren i elektronisk form, kan ni ange detta och er e-postadress.

156

Bilaga 3 – Skiss till missbruksmodell

Förenklat skydd för personuppgifter med missbruksmodell

Vid tillämpning av nationell lagstiftning som antagits till följd av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter har det i Sverige och, såvitt vi känner till, även i andra medlemsstater som genomfört direktivet uppkommit vissa svårigheter. Tilläm p- ningssvårigheterna avser främst den vardagliga behandlingen av personuppgifter i form av ljud- och bilduppgifter och i löpande text, t.ex. vid ord- och textbehandling och vid användningen av e-post och Internet. För denna behandling, som utförs varje dag av snart sagt varje arbetstagare i Sverige och som oftast är helt harmlös, framstår direktivets bestämmelser om själva hanteringen av perso n- uppgifterna som alltför omfattande och komplicerade. För att b e- stämmelserna skall få acceptans och verkligt genomslag i den pra k- tiska tillämpningen måste de förenklas och koncentreras till det v ä- sentliga, nämligen att skydda mot skadliga förfaranden av mis s- brukstyp.

Inför den rapport med eventuella lämpliga ändringsförslag som kommissionen enligt artikel 33 skall lägga fram för rådet och Eur o- paparlamentet senast i oktober 2001 vill Sverige därför föreslå en förenklad reglering av skyddet för personuppgifter, inriktad på att förhindra missbruk, vid sådan vardaglig hantering av löpande text och ljud- och bilduppgifter som oftast är helt harmlös. Det förslaget presenteras nedan i form av ett utkast till en ny artikel i direktivet,

artikel 3 A. Sverige har vidare förslag till vissa mindre justeringar av vissa artiklar i direktivet som visat sig medföra tillämpningssv å- righeter. Också dessa förslag presenteras och motiveras nedan.

Förslag till förenklad reglering i vissa fall

Artikel 3 A (ny)

1.På automatisk behandling av personuppgifter i form av ljud- och bilduppgifter och i text skall, när materialet inte har strukturerats så att sökning av personuppgifter underlättas, bara tillämpas art i- kel 4, 9 och 22–24.

2.Medlemsstaterna skall föreskriva att sådan behandling som avses i punkt 1 och som innebär spridning av personuppgifter till skada för den registrerade inte är tillåten. Detta skall dock inte gälla om

den som sprider uppgifterna är skyldig att uttala sig eller det a n- nars med hänsyn till ett allmänt intresse är försvarligt att perso n- uppgifterna sprids.

Förslag till mindre justeringar i vissa artiklar

Artikel 6 – Avvikelser med stöd av samtycke

Enligt artikel 6 skall medlemsstaterna föreskriva att personuppgi f- terna skall bl.a. behandlas på ett korrekt och lagligt sätt (a), samlas in för särskilda ändamål och sedan inte används för ett oförenligt ändamål (b), vara adekvata och relevanta (c ), vara riktiga och akt u- ella (d) samt förvaras på ett sätt som hindrar identifiering av den registrerade under längre tid än nödvändigt (e).

Den registrerade kan enligt artiklarna 7 och 8 samtycka till i princip vilken behandling av personuppgifter, även känsliga sådana, som helst. Han eller hon kan däremot inte samtycka till att personuppgifterna exempelvis behandlas för ett ändamål som är oförenligt med det för vilket uppgifterna samlades in. Detta framstår inte som rimligt. Den registrerade bör genom att ge sitt frivilliga samtycke

158

kunna befria den registeransvarige från kraven i artikel 6 punkterna b–e. Han eller hon bör dock inte genom sitt samtycke kunna befria denne från kravet i punkt a att personuppgifterna skall behandlas på ett korrekt och lagligt sätt.

Artikel 12 – Vissa undantag från rätten till registerutdrag

Enligt artikel 11.2 kan den registeransvarige underlåta att självmant ge den registrerade information om behandling av personuppgifter som inte har samlats in från den registrerade själv om det ”– särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål – visar sig omöjligt eller i n- nebära en oproportionerligt stor ansträngning”.

Något motsvarande undantag återfinns inte beträffande den registr e- rades rätt att enligt artikel 12 på begäran få ett registerutdrag från den registeransvarige. Enligt artikel 13.2 kan undantag göras endast ”när uppgifterna behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av pe r- sonuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att fra mställa statistik”.

Detta medför att registeransvariga som har stora samlingar av bl.a. personuppgifter, kommer att få lägga ner enorma resurser på att söka genom sina samlingar för att kunna fullgöra sin skyldighet att tillhandahålla registerutdrag.

För att komma till rätta med det beskrivna missförhållandet bör ett undantag motsvarande det som finns i artikel 11.2 införas i artikel 13.2.

Artikel 4 – Klargörande i fråga om tillämplig nationell rätt

Med hänsyn till den internationella karaktären av artikel 4 om ti lllämplig nationell rätt är det nödvändigt att artikeln är entydig och tillämpas på samma sätt i alla medlemsstater. Så är inte fallet i dag.

159

Som exempel kan nämnas den finländska och den svenska lagstif t- ningen som genomfört direktivets b estämmelser:

Den finländska lagen:

Denna lag tillämpas på behandling av personuppgifter vid den r e- gisteransvariges verksamhetsställe som är beläget inom finskt te r- ritorium eller i övrigt står under finsk juri sdiktion.

Den svenska lagen:

Denna lag gäller för sådana person uppgiftsansvariga som är etablerade i Sverige.

Vilket lands lag skall t.ex. tillämpas för den behandling av perso n- uppgifter som ett företag etablerat i bara Finland u tför i Sverige?

Sverige är angelägen om att ett klargörande sker, men är öppen för alla användbara lösningar i sak.

160